Bijna helft DigiD-gebruikers heeft app geactiveerd om veiliger in te loggen

Bijna de helft van de gebruikers van de Nederlandse inlogmethode DigiD heeft de app voor smartphones geactiveerd om veiliger in te loggen. Het aantal mensen die de app gebruiken verdubbelde afgelopen tijd bijna in een half jaar.

Vorige maand hadden zes miljoen gebruikers een app die geactiveerd is om in te loggen, meldt minister Raymond Knops van Binnenlandse Zaken in een brief aan de Tweede Kamer. Dat waren er in mei vorig jaar nog 3,4 miljoen. Er zijn in totaal 13 miljoen DigiD-accounts. Het aantal logins via de app steeg in die periode van 3,4 naar 6,3 miljoen per maand.

De app biedt tweetrapsauthenticatie, omdat gebruikers de beschikking moeten hebben over het ontgrendelde toestel en een pincode moeten weten om de loginpoging te laten slagen. Daarmee heeft de app beveiligingsniveau Substantieel. Dat is een stap boven inloggen met alleen een gebruikersnaam en wachtwoord, maar voor bepaalde toepassingen is er een DigiD-login die elke keer het scannen van de nfc-chip in een paspoort of id-kaart vereist.

Minister Knops zegt dat hij het inloggen met de app voor meer mensen mogelijk wil maken en voor telefoons zonder nfc, die eenmalig vereist is bij het activeren van de app om de nfc-chip op een identificatiemiddel te scannen, komt er een app waarmee gebruikers een telefoon van een ander kunnen lenen om dat te doen. Er is al een test geweest van deze eWid-app. Voor mensen zonder smartphones zoekt de minister nog naar een inlogmethode die veiliger is dan gebruikersnaam en wachtwoord, meldt Knops in een beantwoording van Kamervragen over hetzelfde onderwerp.

IT-banen

Reacties (183)

Flamesz 29 januari 2020 22:47

De indeling en beschrijving van beveiligingsniveau's binnen het DigiD systeem klopt niet helemaal in dit artikel, en het proces voor DigiD substantieel is ook incorrect beschreven.

Onderaan het systeem heb je DigiD Basis, dit is wanneer je alleen je gebruikersnaam en wachtwoord hoeft in te vullen.

Daar boven komt DigiD midden, dit zijn de 2FA opties waarbij je of werkt via de app, of via een SMS code.

Bovenaan staat momenteel alleen nog DigiD Substantieel. Dit is wanneer je 2FA inlogt met de app, nadat je minstens 1 keer met de app een identiteitsdocument hebt gescand. Dat hoeft dus niet voor elke authenticatie.

Er wordt momenteel gewerkt aan de implementatie van DigiD hoog, dit zal wel werken op een manier waarop je elke keer een identiteitsdocument moet scannen.

edit:
Zoals themrme onder mij inderdaad benoemt, dit zijn de eigen benamingen die we er in Nederland aan geven, ze moeten de beveiligingsniveaus weerspiegelen die worden gedefinieerd in Europese wetgeving, daar worden de de benamingen low, substantial en high gebruikt.

[Reactie gewijzigd door Flamesz op 23 juli 2024 10:57]

themrme @Flamesz • 29 januari 2020 23:08

Klopt. Dit artikel rammelt aan alle kanten vwb de beveiligingsniveaus. Alle DigiD varianten, behalve de app + id check, zitten op eIDAS niveau laag. De app + id check zit op niveau substantieel. Wij zien op dit moment nog maar 4% van de logins op dit niveau binnen komen. Zou mooi zijn als dit percentage snel stijgt.

ollie1965 @themrme • 29 januari 2020 23:30

Waarbij dan weer gezegd moet worden dat DigID niet voldoet aan het eIDAS model en dus nooit de term substantieel of hoog mag gebruiken i.r.t eIDAS.

En DigID gaat dat ook niet halen omdat de backend te oud is en het aantal verzoeken niet aan kan.

Nee wij als NL hebben nog geen middel genotificeerd gekregen in Brussel voor onze burger, bedrijven dan weer wel sinds vorig jaar maar dan gaat daar de kamer weer over mekkeren terwijl het daar toch bekend moet zijn

De term substantieel en hoog heeft trouwens niet alleen met de techniek te maken maar ook met de processen die het ondersteund.
Voor meer info > eIDAS en forum standaardisatie

[Reactie gewijzigd door ollie1965 op 23 juli 2024 10:57]

BeosBeing @ollie1965 • 30 januari 2020 14:16

Daarvoor was toch Idensys bedoeld, maar dan enkel aangeboden door commerciële partijen ipv de overheid (zoals DigID). iDin is nog zoiets, ook commercieel want dat is heilig in Nederland, de markt is altijd beter, ook als ze de burger of de kleine dienstverlener uitzuigt.

ollie1965 @BeosBeing • 30 januari 2020 15:11

Ja/nee, ja de kamer heeft gesteld dat het open moet zijn. Een ieder mag dus een middel uitbrengen, de vraag alleen is mag iedereen niveau hoog uitbrengen (of is dat voorbehouden aan de overheid). En een vraagstuk wat nog niet beantwoord is, is de privacy. Daarvoor is een internet consultatie opgestart. Laten we zeggen dat binnen de overheid de meningen duidelijk zijn. Die gene die middelen uitbrengen en het authenticatie proces doen mogen geen inzicht krijgen in de "transactie/dienst/product"

Nee, idensys was een proef die te groot is geworden (persoonlijke mening). IDin is het eerste commerciële middel wat (uit mijn hoofd) substantieel niveau heeft bereikt (zijn eerst afgewezen).

SpiceWorm @themrme • 30 januari 2020 00:02

Kan je wat meer uitleggen over hoe dat werkt?
Hoe wordt de NFC chip van het paspoort gebruikt? En als mijn paspoort gejat wordt, wat kunnen ze dan?
Ik zie op tegen het gedoe als ik mijn telefoon opnieuw installeer of kwijtraak. Per SMS heb ik het gevoel dat ik meer controle heb.

RAAF12 @SpiceWorm • 30 januari 2020 00:34

Als je paspoort gejat is kan je ook de NFC chip in het rijbewijs gebruiken. Werkt goed. Ik bedoel het formaat creditcard rijbewijs. Niet de ouwe papieren versie.

SpiceWorm @RAAF12 • 30 januari 2020 00:46

En als een aanvaller dan met dat paspoort probeert in te loggen?

Flamesz @SpiceWorm • 30 januari 2020 02:29

Bij het paspoort zal ook een pincode/wachtwoord horen, net zoals nu bij de DigiD app.

[Reactie gewijzigd door Flamesz op 23 juli 2024 10:57]

AceAceAce @Flamesz • 30 januari 2020 10:16

'zal'?
a) zo werkt het nu niet; er zit geen PIN/PW op. Sommige data is gesigneerd maar niet met een kennis-factor die de paspoorthouder moet onthouden
b) ik zie niet dat een PIN/PW per paspoort ingesteld gaat worden omdat: i) de data van het paspoort wordt zo weinig gevraagd dat het PIN/PW bijna altijd al vergeten is wanneer erom gevraagd wordt. ii) De paspoort heeft geen input mechanisme waardoor de terminal van de dataophalende partij vertrouwd moet worden, iii) als deze PIN/PW entry onder dezelfde soort eisen gaat vallen als PCI PED eist, moeten al deze terminals waarop je je PIN/PW invoert, flink gehardend zijn, m.a.w. zoals betaalterminals

Cerebro @RAAF12 • 30 januari 2020 09:06

Als het goed is circuleren er geen papierenversies van het rijbewijs meer rond.
Ik heb net weer mijn rijbewijs verlengd (na 10 jaar) en mijn vorige versie was al van het creditcard type.

GrooV @Cerebro • 30 januari 2020 10:28

Klopt, in 2016 zijn de laatste verlopen

steveman @RAAF12 • 30 januari 2020 09:20

Ohja, die immense 3-vouw-flap!

Maar mmm, heb zelf in 2007 een plastic exemplaar meegekregen toen ik m'n A-tje erbij haalde...

Ah juist, de laatste papieren rijbewijzen verliepen per oktober 2016.

TheVivaldi @RAAF12 • 30 januari 2020 11:46

En als je geen rijbewijs hebt of het is tijdelijk ingevorderd of tezamen met je paspoort gejat?

BeosBeing @RAAF12 • 30 januari 2020 15:51

Mijn creditcard rijbewijs heeft nog geen NFC-chip hoor, dat is echt maar de laatste generatie,
Daarnaast is het de vraag of men die overal zal accepteren als zijnde bewijs van identiteit. Dat is immers nu ook niet bij de belastingdienst, onderwijsinstelling, werkgever, uitkeringsinstantie (gemeente, UWV) of vreemdelingendienst.

Oon

@themrme • 30 januari 2020 08:17

Ik denk dat hier ook wel wat wijzigingen in het 2FA-proces nodig zijn. Momenteel is het vrij onhandig, het zou al een stuk beter zijn als bij het openen van de app meteen een camera viewer geopend wordt die een QR-code op de site kan scannen, waarna je alleen je code hoeft in te vullen en meteen klaar bent.

Dit zou niks afdoen aan de veiligheid (je hebt immers nog steeds je eigen code nodig om de login te bevestigen) en zou de kans dat mensen dit gebruiken i.p.v. alleen een gebruikersnaam en wachtwoord vergroten.

joco @themrme • 30 januari 2020 09:12

als je wilt dat dat even snel stijgt en ik neem aan dat dit is op het moment dat je ook een id check heb gedaan in de app?
Dan moet je dit even meer pushen in de app (dus een soort van waarschuwing laten zien op het hoofd scherm van "scan uw id")
puur door dat ik dit lees heb ik mijn rijbewijs dus nu even gescand dat had ik anders nooit gedaan..

icelife @themrme • 30 januari 2020 09:29

Kort vraagje. Wanneer word het mogelijk om jezelf te identificeren met de DigiD app ipv een document zoals je paspoort/rijbewijs of id-kaart? Lijkt me een logische stap.

Flamesz @GeoBeo • 30 januari 2020 15:13

Het doel is wel dat de Nederlandse systemen deel worden van eIDAS, en dan zal er door de EU worden getoetst of de systemen voldoen aan de Europese eisen. Dan zal Nederland het systeem of de benamingen moeten aanpassen, of word aangetoond dat het wel klopt met de Europese benamingen.

devil-strike 30 januari 2020 08:10

Leuk maar niet heus, me moeder met Alzheimer kon nog prima inloggen. Via DigiD, nu kan ze al niet meer bij haar zorgverzekering kijken want ineens mobiel nodig, wat ze niet heeft want kan er niet mee overweg(uitleggen helpt niet want dat vergeet ze).

Zelfde gelul met ing die je nu verplicht om app of apparaat gebruiken. Ze kan dus niet meer inloggen met haar login/ww want extra stap nodig .

Tweakerhenk @devil-strike • 30 januari 2020 09:13

Dit probleem van een vergrijzend Nederland wordt bij al deze ontwikkelingen erg onderschat, het wordt voor een steeds groter wordende groep onmogelijk om overheids en bankzaken te kunnen doen zonder hulp van buiten, met alle frauderisico's die daar bij horen.

devil-strike @Tweakerhenk • 30 januari 2020 10:29

Ja precies word telastig allemaal, en om andere zomaar met dit soort dingen tevertrouwen dat wil je denk ik niet zomaar doen.

TheVivaldi @Tweakerhenk • 30 januari 2020 11:49

Daar kan ik me niet in vinden. Zowel mijn ouders (60+) als mijn grootouders (85+) doen alles op hun smartphone, tablet of laptop, óók bankzaken.

Verwijderd @Tweakerhenk • 30 januari 2020 16:42

Er is ook een groep die hetzelfde probleem heeft met het gebruik van geldautomaten. Het is geen nieuw probleem, maar het wordt wel meer zichtbaar. Als iemand niet het vermogen heeft om bepaalde concepten te begrijpen, dan moet die wel hulp krijgen vind ik (van de bank en/of de overheid). Bepaalde banken geven bijvoorbeeld workshops om mensen met bankieren via een smartphone e.d. om te leren gaan.

Dan blijft er nog steeds een groep over waar ook dit geen baat heeft. Hier moet je dus óf een mouw aanpassen door extra service te verlenen vanuit de bank (voor iemand die snapt hoe de basics van bankzaken werken, maar digitaal lukt het gewoon niet), of anders vanuit de overheid/familie (iemand die bvb niet in staat is om de eigen financiën te beheren).

De keerzijde van de medaille is dat iemand met mobiliteitsproblemen (jong en oud) nu juist veel makkelijker de bankzaken kan regelen. Je moet immers niet meer naar het bankfiliaal toe om alles te regelen.

PhatFish @devil-strike • 30 januari 2020 11:25

Vroeger, toen onze moeders jong waren, moesten ze voor ongeveer elk wissewasje fysiek naar het loket van de gemeente.

Dat kan overigens nog steeds. De digitalisering geeft vooral meer mogelijkheden, maar als je er echt niet uitkomt, kan je gewoon bij het gemeenteloket je zaken persoonlijk regelen. Wellicht zijn er zaken die nu echt alleen digitaal kunnen, die ken ik dan schijnbaar niet. Echter is het bij mijn weten nog altijd mogelijk om zonder smartphone en zelfs computer je zaken bij de overheid in orde te maken. Net als vroeger.

@Bruin Poeper : Maar daar kies je zelf voor (goed, pensioen ook niet altijd)

[Reactie gewijzigd door PhatFish op 23 juli 2024 10:57]

devil-strike @PhatFish • 30 januari 2020 11:49

Ja voor gemeente zaken kan je gewoon bij gemeente loket terecht, maar meer en meer word digitaal, van zorg tot bank.

Lrrr

@devil-strike • 1 februari 2020 02:27

Mijn zorgverzekering kan ik nog altijd bellen. En bij de bank kan ik bij het kantoor langs als ik dat zou willen

devil-strike @Lrrr • 1 februari 2020 11:43

Daar gaat het toch ook niet om of je kan bellen of niet, gaat er om dat oudere met demetie of ander soort aandoening dingen niet meer oppakken waarbij andere dingen die ze al jaren gewend zijn nog wel lukt.

word dus gewoon weg lastig of onmogelijk gemaakt voor sommige om zelf nog dingen teregelen.

Lrrr

@devil-strike • 1 februari 2020 17:41

Het gaat erom dat je vroeger dingen kon regelen door te bellen. En tegenwoordig kan je dingen regelen door te bellen of via het internet. Dus er wordt niks onmogelijk gemaakt want de 'ouderwetse' manier (bellen) bestaat ook gewoon nog.

PomPomPom @Lrrr • 4 februari 2020 11:27

Zorgverzekering misschien wel, maar als ik de knab wil bellen moet ik eerst via de twitter & chat klagen dat ze niet opnemen (want ze nemen niet op) en dan mag iemand van het service-center pas bij de telefoon, blijkbaar.

Dus een 80-jarige moet eerst een kind, kleinkind of anderszins mantelzorger bellen, die gaat dan chatten & twitteren tegen de bank en dan kan er pas gebeld worden.

Bruin Poeper @PhatFish • 30 januari 2020 19:22

Vroeger, toen onze moeders jong waren, moesten ze voor ongeveer elk wissewasje fysiek naar het loket van de gemeente.

Dat kan overigens nog steeds. De digitalisering geeft vooral meer mogelijkheden, maar als je er echt niet uitkomt, kan je gewoon bij het gemeenteloket je zaken persoonlijk regelen. Wellicht zijn er zaken die nu echt alleen digitaal kunnen, die ken ik dan schijnbaar niet. Echter is het bij mijn weten nog altijd mogelijk om zonder smartphone en zelfs computer je zaken bij de overheid in orde te maken. Net als vroeger.

Bij mijn zorgverzekeraar en ook een pensoeinfonds kan ik alleen terecht via digid+SMS.

(En ik wil perse mijn telefoon er buiten laten voor mijn veiligheid.)

renderb @devil-strike • 30 januari 2020 13:43

Dat scannen werkt ook totaal niet voor blinden. ING kon maar niet begrijpen dat een camera richten op een qr code die iemand niet kan zien niet lukt. Er zou een speciale scanner komen voor mensen met een beperking, maar die was niet beschikbaar toen ze wel alvast tan/sms uitzetten. Mensen konden niet zelf hun eigen rekening gebruiken. Advies van bank is dan: "Laat familielid het doen.", iets wat ze uit veiligheids overweging altijd zeggen absoluut niet te doen.

Tal van deze apps zijn niet (goed) te gebruiken met spraak uitvoer.

Verwijderd @renderb • 30 januari 2020 16:54

Tal van deze apps zijn niet (goed) te gebruiken met spraak uitvoer.

Stuur vooral feedback naar de app bouwers! Bij ons wordt dat in ieder geval serieus genomen. Suggesties met manieren om het te verbeteren zijn ook welkom, want zo'n gebruiker weet zelf beter wat hij/zij verwacht/fijn vindt.

incaz @renderb • 30 januari 2020 17:01

Dit soort dingen zouden best meer getoetst mogen worden aan mensenrechtenverdrag voor mensen met een beperking. Paar uitspraken van de rechter erover zou helpen!

Overigens: ik merk dat het scannen van de QR-code in mijn bankapp heel goed gaat en vaak al geaccepteerd wordt als ik er voor mijn gevoel nog niet eens ben. Ik weet dus niet hoe haalbaar het is om gewoon een beetje willekeurig te richten, maar denk dat het kan. (Iets wat bv met het inscannen van de betaalregel op een acceptgiro echt niet kan, dan moet je wel behoorlijk nauwkeurig zijn.)

Maar. Er zijn natuurlijk mensen die helemaal geen beeldscherm hebben omdat het gewoon niet veel toevoegt als je het toch niet gebruikt. En dat is in elk geval een probleem: de aannames over wat iemand ter beschikking heeft (computer, telefoon, scherm, familielid) en ook nog in redelijk up-t-date-versie worden steeds breder. En daar vallen in elk geval mensen af.

[Reactie gewijzigd door incaz op 23 juli 2024 10:57]

stuiterveer @devil-strike • 30 januari 2020 17:05

De app is 1 van de mogelijkheden voor het gebruik van 2fa, de andere is het ontvangen van een SMS. Moet ze dus de app gebruiken? Nee, niet per se. Los daarvan kan ze ook nog steeds de meeste dingen regelen zonder dit online te doen.

cyberpunkog 30 januari 2020 07:56

Ik word hier echt beroerd van. Eerst allemaal een "mijn..." omgeving gekregen. Mijnkpn.nl, mijning.nl blah blah blah. En nu wil iedereen een app op mijn telefoon installeren. Mooi niet dus. Het erge is nog dat de ing het je gewoon opdwingt. Moet straks dus weer ouderwets een cardreader gebruiken omdat ik geen spyapp op MIJN telefoon wil.

edwinjm @cyberpunkog • 30 januari 2020 10:07

Waarom vind je de ING app een spyapp? Hoe doe je normaal je bankzaken? Hoe is de manier hoe je normaal je bankzaken doet beter dan met een app?

cyberpunkog @edwinjm • 30 januari 2020 12:41

Op mijn goed beveiligde pc, op de website van ing. Heb ik alles zelf in de hand. Telefoonsoftware is anders, staat al veel meuk op, en is ondoorzichtig.

Verwijderd @cyberpunkog • 30 januari 2020 17:17

Log je in als gebruiker en niet als beheerder op je PC? (maw: heb je een aparte account om zaken te installeren?)
Heb je een encrypted proxy voor je bankzaken die certificate pinning doet wanneer je naar de website van je bank gaat?
Is je OS/boot gesigned en wordt dit gevalideerd door je BIOS?
Staat je OS in een losse partitie die helemaal vergrendeld is? (niks kan hierheen schrijven muv OS zelf)
Speel je geen games van grote studios op je PC? (want vele anti-cheat bevatten risicovolle kernel modules) [edit:] Dit geldt vooral voor Windows en mogelijk macOS, niet zo zeer voor Linux (voor zo ver ik weet)

Als je antwoord "ja" is op elke vraag dan is je PC mogelijk even veilig als een app.
Echter geldt dat voor 99% van de PC gebruikers niet zo.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 10:57]

cyberpunkog @Verwijderd • 30 januari 2020 19:25

Fijn zo, iemand die alles lekker op een rijtje kan zetten! Kan zeker niet op alles ja zeggen. Ik heb altijd ( wellicht incorrect ) het idee dat ik meer in de hand heb op mijn pc. Ik kan zien welke processen op de achtergrond lopen en weet van nagenoeg allen wat ze doen, als ik iets zie wat me niet bevalt, kan ik het opzoeken en eventueel verwijderen, ik houd alles schoon, en kan cookies en tijdelijke bestanden verwijderen. Ik kan in privatemode browsen, ik kan programma's zelf laten opstaryen of niet. Kortom ik weet wat er loopt en gebeurt. Bij mijn telefoon heb ik dat niet of iig minder, wellicht ligt dat aan mij maar toch. Ik betaal geld voor MIJN telefoon voor wat ik ermee wil doen, en vind niet dat iedereen het recht heeft apps op mijn telefoon te verplichten wat nu wel het geval gaat worden anders word het mij erg moeilink gemaakt. Wellicht moeten we allemaal maar een " staatstelefoon" krijgen waar we dit soort dingen op kunnen doen. Wel met verwijderbare batterij natuurlijk 😁. Je weet nooit of ze je gegevens al dan niet geanonimiseerd weer doorspelen.

Verwijderd @cyberpunkog • 31 januari 2020 13:38

Voor een ervaren gebruiker kan het een voordeel zijn om zaken in de hand te hebben. Je kan dan ook sneller zien wat er fout gaat, als er wat fout gaat. Bij platformen zoals Android en iOS heb je veel minder in de hand, dus wordt dat een stuk lastiger.

Het voordeel is dan dat dingen minder snel fout gaat, juist omdat het platform meer dichtgetimmerd is.

Als je veiligheid echt heel erg belangrijk vindt voor bepaalde zaken, dan zou je eventueel een los mobieltje kunnen overwegen dat je enkel daar voor gebruikt.

Stefan1987 @cyberpunkog • 30 januari 2020 09:41

Ik had hetzelfde bij het uitleggen van internetbankieren aan mijn moeder (70+). Geen mobiele telefoon, dus lastig om in te loggen. Je kan bij ING nog gewoon een kastje aanvragen waarbij telefoon niet nodig is.

Bruin Poeper @Stefan1987 • 30 januari 2020 19:15

Ik had hetzelfde bij het uitleggen van internetbankieren aan mijn moeder (70+). Geen mobiele telefoon, dus lastig om in te loggen. Je kan bij ING nog gewoon een kastje aanvragen waarbij telefoon niet nodig is.

Dat zou ik ook van Digid willen. Helemaal zonder telefoon.
Wellicht kunnen ze dezelfde reader van ING gebruiken.

Comp User @Bruin Poeper • 31 januari 2020 18:07

Ik heb wel een smartphone, maar zonder nfc, dus inloggen op digid moet sowieso via (SMS) authenticatie, al prefereer ik dan toch QR, veel makkelijker icm de Android authenticator.

Zenomyscus @cyberpunkog • 30 januari 2020 10:17

Ergens ben ik het er helemaal mee eens. Al die apps heb ik ook geen zin in. Anderzijds ben ik bang dat de overheid met een verplicht e-login komt voor alle websites en je alsnog verplicht wordt om een app te gebruiken. Wellicht moet je inloggen om uberhaupt op het internet te kunnen, niks anoniem. Ondertussen heeft iedereen app van de overheid op zijn telefoon waarvan niemand weet wat er nu exact mee gebeurd, wordt de data die verzameld wordt echt 'never nooit' gedeeld (toch wel) en kunnen allerlei derde partijen lekker met onze gegevens aan de haal gaan: als je gebruik wilt maken van hun dienst moeten ze immers alles zien. Een beetje zoals Android: een app wil iets met een bestand doen, dus heeft het de volledige rechten van het filesystem nodig. Of een andere app bevat de mogelijkheid een link te sturen naar je contacten, dus heeft deze leesrechten op al je contacten. Die worden voor het gemak even naar de server gestuurd, omdat dat technisch handig was enzo.

Nee, dan liever meerdere apps waarbij ik zelf kies of ik ze gebruik of niet.

cyberpunkog @Zenomyscus • 30 januari 2020 12:44

Ja exact. Zon telefoon is gewoon gevoeliger voor allerlij meuk, wat is er mis met een pc en een internetsite met een inlog en een tancode? Is niet veilig genoeg zeggen ze, maar nog nooit wat gehoord over dat het mis is gegaan. Is gewoon slap gelul.

P_Tingen 30 januari 2020 09:18

Ik heb net de DigiD app weer van mijn telefoon afgemikt. Wat een draak in het gebruik zeg. Als ik kan inloggen met naam + wachtwoord dan doe ik dat. Als ik de app gebruik moet ik eerst de telefoon pakken, app starten, pincode, code genereren en intikken. Via login + ww ben ik dan al minstens zes keer zo snel ingelogd. Daar waar ik 2fa nodig heb, gebruik ik sms

[Reactie gewijzigd door P_Tingen op 23 juli 2024 10:57]

THE_BASE 29 januari 2020 21:49

Ik heb een hekel aan allerlei applicaties, hoe vreemd dat ook klinkt in dit smartphone-tijdperk vol met miljoenen applicaties.

Op mijn iPhone staan alleen de benodigde en kom, naast de standaard-apps, niet verder dan twee schermen met app's, waaronder dus een aantal belangrijke zoals ING, NS, Flitsmeister en MijnKPN.

Als ik wil inloggen met mijn DigiD doe ik dat wel met gebruikersnaam en wachtwoord van 16 tekens welke nergens is opgeslagen.

Greetzkenny @THE_BASE • 29 januari 2020 22:01

Wat jij in dit verhaal, en ook vele anderen vergeten: 2-traps beveiliging is ook een maatregel tegen wanneer eventueel ook een database aan wachtwoorden op straat komt te liggen. Stel nou, dat morgen in het nieuws staat dat drie weken geleden een datalek was (waarbij wachtwoorden op straat lagen). Alle mensen die geen 2-traps beveiliging hadden, zouden een probleem hebben, want daar kun je gewoon met wachtwoord bij inloggen. Bij mensen met 2-traps beveiliging zou een eventuele misbruiker eerst ook nog voorbij die tweede stap moeten komen.

Veelal betekent "veiliger" in de IT niets anders dan "het kost meer moeite". Net zoals hele moeilijke, lange wachtwoorden eigenlijk ook alleen maar meer moeite kosten om te brute-forcen / gokken.

[Reactie gewijzigd door Greetzkenny op 23 juli 2024 10:57]

BeosBeing @Greetzkenny • 30 januari 2020 16:05

Veelal betekent "veiliger" in de IT niets anders dan "het kost meer moeite". Net zoals hele moeilijke, lange wachtwoorden eigenlijk ook alleen maar meer moeite kosten om te brute-forcen / gokken.

Precies, dus "veiliger" is nog absoluut niet veilig.
Bijkomende factor is dat de huidige 2FA systemen allemaal kwetsbaar zijn.
- accu telefoon leeg is geen toegang (al is dit tijdelijk, accu is hopelijk later diezelfde dag weer opgeladen)
- telefoon kapot. Smartphones kunnen er van het ene moment op het andere moment onverwacht mee ophouden door hardware-falen maar ook door software-problemen. Beide heb ik al diverse keren meegemaakt.
- NFC-paspoort met cardlezer is niet veilig. De kaartlezer kan gecompromiteerd zijn maar het paspoort kan gestolen worden (zakkenrollers, overvallers) of verloren raken. Hetzelfde geldt voor een rijbewijs. Deze worden meestal ook samen bij elkaar bewaard dus de ene kwijt betekend meestal ook de andere kwijt.
- biometrische check, bepaalde criminelen zullen niet aarzelen om via de vingerafdrukscanner toegang te krijgen je vingers af te hakken. Met een irisscan gaat dat wat lastiger maar ook dat is niet onmogelijk. Ook kunnen deze elders gescand worden om met het scanresultaat de authenticatie-apparatuur te misleiden.

Verwijderd @Greetzkenny • 29 januari 2020 22:49

Als de database met wachtwoorden is gelekt, staat de seed voor 2fa vast in diezelfde database ... en is de response code dus ook te achterhalen.

White Feather

@Verwijderd • 29 januari 2020 23:25

Tuurlijk, jij krijgt iedere keer dezelfde code?

Net als bij je bank app wordt die gegenereerd en zou dus redelijk random moeten zijn.

DataGhost

@White Feather • 29 januari 2020 23:40

Hij zegt seed. Je moet toch op de een of andere manier aan beide kanten op dezelfde code uit kunnen komen. En in mijn geval (elke site een ander wachtwoord) moet een uitgelekt wachtwoord toch echt uit een uitgelekte database van DigID komen, dus in dat opzicht beschermt dat daar niet tegen. 2FA kan ook met een generieke TOTP app, ik voel er weinig voor om hiervoor een aparte app te moeten gebruiken.

TheVivaldi @DataGhost • 30 januari 2020 11:51

En hoe zit dat met 2FA SMS? Als de seed uitlekt, dan kunnen ze toch niet zomaar mijn telefoonverkeer onderscheppen met die seed?

ThaWalrus @TheVivaldi • 30 januari 2020 12:26

2FA SMS werkt niet met seeds. Daar kun je gewoon een random number generator voor gebruiken.

Bij 2FA SMS is er echter een belangrijkere reden tot zorg: SIM swap.

https://www.issms2fasecure.com/

We found 17 websites on which user accounts can be compromised based on a SIM swap alone.

Wikipedia: https://en.wikipedia.org/wiki/SIM_swap_scam

[Reactie gewijzigd door ThaWalrus op 23 juli 2024 10:57]

lenwar

Digid
Nederland
Politiek en recht

@Verwijderd • 30 januari 2020 07:26

Stel dat dat zo is, dat dat in dezelfde database staat, of dat ze in elk geval ook de koppelcode met je telefoon hebben. Dan is dat nog altijd een onderdeel van een sleutelpaar. De telefoon heeft de sleutel om mee te coderen, en de digid-servers hebben alleen de sleutel om mee te decoderen.

Het voordeel van een toegewijde app, is dat de sleutel alleen in de betreffende app staat en is gekoppeld aan je fysieke telefoon. Als je een systeem systeem met tbotp gebruikt (zoals Google Authenticator) dan kan je sleutels in principe op elk willekeurig apparaat gebruiken.

Greetzkenny @Verwijderd • 30 januari 2020 08:09

Dan ga je er vanuit dat alles in 1 database opgeslagen wordt.. dat doen wij op het werk niet, ik hoop dat zij dat ook niet doen. Maar dat kan ik niet zeker weten natuurlijk...

ChAiNsAwII @Greetzkenny • 30 januari 2020 07:58

Dat is wel makkelijk gesteld, als jij een heel lang wachtwoord hebt die ook nog eens erg moeilijk is zal iemand met een gewone pc deze niet kunnen brute forcen..dit zou veels te lang duren.

Greetzkenny @ChAiNsAwII • 30 januari 2020 08:07

Dat is precies wat ik bedoel

tegenwoordig zijn er gelukkig ook andere methoden om bruteforcen tegen te gaan.

Bovendien moet je wel stellen dat het NU veel te lang zou duren. Er wordt bijvoorbeeld ook door critici gevreesd over de komst van quantum computers en hoe dit invloed heeft op bepaald cryptografische algoritmes. Best interessant, maar zoooo complex haha.

ChAiNsAwII @Greetzkenny • 30 januari 2020 08:43

Haha, jou wachtwoord kunnen ze met een supercomputer binnen een paar sec brute forcen....maar clubs die toegang hebben tot supercomputers hebben meestal geen interesse in privé personen en anders hebben ze wel meer mogelijkheden om bij jou gegevens te komen.

joco @ChAiNsAwII • 30 januari 2020 09:21

dat ligt er aan welke hash is op geslagen...
Want zelfs met als basis SHA1 zijn ze nog wel even bezig volgens mij (al is het geloof ik nu al we te doen)
maar als het met een basis heeft in SHA2 (SHA256) gedaan is dan is het nu op dit moment nog een heel stuk lastiger

Of ze gebruiken zoiets als BCrypt wat meer puur voor wachtwoorden is en je iteraties kunt opgeven die flink hoog staat.

Maar ik heb natuurlijk geen idee hoe DigiD het opslaat..

Greetzkenny @joco • 30 januari 2020 14:19

SHA1 is al een tijdje niet meer veilig inderdaad

, willekeurig artikel:
https://www.computerworld...ow-completely-unsafe.html

Greetzkenny @ChAiNsAwII • 30 januari 2020 14:32

Dit antwoord is behoorlijk ongegrond:

- Je zegt dat mijn wachtwoord binnen een paar seconde te brute forcen is en daarmee doe je een aanname naar de complexiteit van de wachtwoorden die ik gebruik.

- Zoals Joco al aangeeft, gaat het opslaan van wachtwoorden (hopelijk) gepaard met iets van een hashing functie die niet zomaar te kraken is, afhankelijk van het gebruikte algoritme.

- Hackers hebben regelmatig interesse in privé personen (ligt eraan op welk niveau je denkt), alleen wordt dan simpelweg een algoritme losgelaten op grote hoeveelheden accounts en dan testen ze of daarvan enkele accounts gekraakt kunnen worden (en dus niet goed beveiligd waren). Vooral bij slecht-beveiligde websites heeft dan nog wel eens succes. Denk bijvoorbeeld aan https://haveibeenpwned.com/.

- Meer mogelijkheden om bij mijn gegevens te komen? Wat? Als data encrypted wordt opgeslagen, maakt 't niet uit of ze daar bij kunnen. Dit klinkt voor mij alsof je totaal niet bekend bent met het onderwerp cryptography / one-way-encryption (google deze maar eens), maar ik ken de implementatie van de DigiD app en alles erachter niet, dus veel kan ik er ook niet over zeggen.

Eonfge @THE_BASE • 30 januari 2020 08:47

Het ergste nog, is dat de overheid hier het wiel opnieuw uitvindt terwijl er prima standaarden zijn voor multi-factor authenticatie: Time-based One-time Password algorithm

ManiacsHouse @THE_BASE • 29 januari 2020 22:20

Dus inloggen met DigiD op je eigen persoonlijke informatie en data en contact met overheid etc etc is geen belangrijke app?

Ultraman Moderator VB @ManiacsHouse • 30 januari 2020 08:52

Nee, het is nog meer wildgroei. Plus: de app is niet eens beschikbaar voor mij

Ook vind ik het jammer/zonde dat ze:
• zelf nog een keer het wiel gaan uitvinden.
• het in een gesloten applicatie steken, enkel beschikbaar voor 2 platformen.

Waarom een eigen manier i.p.v. een reeds bestaande en bewezen standaard gebruiken? Wellicht gebruiken ze onder water al iets bestaands en bewezen, maar de mogelijkheid om een alternatieve app te gebruiken heb ik nog niet gezien... Dus lijkt toch dan een eigen saus bij te zitten.
Weet jij toevallig of het mogelijk om een 2FA te gebruiken die in een standaard staat? Zoals OATH-TOTP? Daar heb ik al een app voor namelijk en qua identificatie doet dat hetzelfde.

Daarnaast zou imo publiek geld zou publieke code op moeten leveren: dus op open source dat ding.
Dan zouden ook andere overheidsorganen er gebruik van maken. Onderling wordt daar ook te weinig gedeeld met elkaar.

Ik maak op dit moment (noodgedwongen) gebruik van de SMS authenticatie. Dat geeft al voldoende 2-factor om normale kraakpogingen op de combinatie van gebruikersnaam en wachtwoord te verijdelen.

[Reactie gewijzigd door Ultraman op 23 juli 2024 10:57]

THE_BASE @ManiacsHouse • 29 januari 2020 22:25

Voor mij niet. Dat kan voor iedereen anders zijn.

Ik krijg zelden een bericht van de overheid waarvan ik denk: dat móet ik lezen. Vooralsnog sturen ze me gewoon brieven wanneer nodig.

Miglow @THE_BASE • 30 januari 2020 08:08

Daarom heb ik dus de berichtenbox uitgeschakeld. Kreeg ik een email dat er een bericht in de berichtenbox klaarstaat. Ik thuis maar eens ingelogd, is het een statusmelding dat mijn berichtenbox geactiveerd is of de belastingdienst dat ik aangifte moet doen, identiek aan de brief die diezelfde dag op de mat was gevallen. Dan sturen ze me 2x per jaar maar een brief.

CH4OS @THE_BASE • 29 januari 2020 22:38

Ik krijg zelden een bericht van de overheid waarvan ik denk: dat móet ik lezen. Vooralsnog sturen ze me gewoon brieven wanneer nodig.

Totdat je de berichtenbox activeert, want dan krijg je zoveel als mogelijk alleen nog maar digitaal.

sambalbaj @CH4OS • 29 januari 2020 23:51

En ook daar heb je een aparte Berichtenbox app voor. Werkt prima, maar is wel weer een extra app op je toestel die hooguit een paar keer per jaar gebruikt wordt. En via de site werkt ook prima.

Dat heb ik met de DigiD app ook niet begrepen waarom dat weer een aparte app moet zijn. Daar werkt wachtwoord + sms ook prima als 2fa. Zag wel een officiële brief langskomen dat de app voor sommige zaken nu de enige manier gaat worden

Irritant is dat die app ook niet altijd opent als je m nodig hebt, bank apps soms ook niet. En dan nog de schitterende 'open de app en scan de QR-code', hoe dan op hetzelfde device? Zo maar wat iPad ervaringen.

TheToolGuy @sambalbaj • 30 januari 2020 10:32

Werkt voor geen meter ... na het invoeren van mijn zelf gekozen pincode is die app na 3 uur nog niet ingelogd ... echt waardeloos ...
Dit gebeurd 90% van de tijd trouwens, dus niet altijd ...

BeosBeing @sambalbaj • 30 januari 2020 16:08

En ook daar heb je een aparte Berichtenbox app voor. Werkt prima, maar is wel weer een extra app op je toestel die hooguit een paar keer per jaar gebruikt wordt.

Nee hoor, zodra je die geactiveerd hebt moet je dagelijks checken. Bepaalde instanties sturen je daarna geen andere post meer en als je te lang wacht mis je misschien een aanslag of een (al dan niet terecht geconstateerde) overtreding waarna je boetes en verhogingen krijgt of zelfs gegijzeld kan worden.

Lrrr

@BeosBeing • 1 februari 2020 02:31

Ehh je krijgt gewoon een mail als er iets in je berichtenbox binnenkomt

BeosBeing @Lrrr • 1 februari 2020 15:38

Voor sommigen gaat die mail naar een adres waar ze geen toegang meer toe hebben*, ze krijgen die mail dus niet meer.
* dat kan zijn vanwege een overstap van provider, maar heel mensrn maken een e-mail-adres aan om een bepaalde dienst te kunnen benaderen, en na het bevestigen gebruiken ze die e-mail niet meer waardoor bij clubs als yahoo, gmail hotmail, e.d. de box na enige tijd verwijderd wordt. Andere e-mail boxen die niet gelezen worden zijn na verloop van tijd vol en gaan inkomende mail bouncen.
Je ziet dit heel veel bij mensen die uitsluitend communiceren via Whatsapp en/of Facebook messenger.

Daarnaast zijn er heel wat mensen die geen idee hebben hoe ze de MijnOverheid-berichtenbox moeten openen.

De gemeente hier heeft enige tijd geleden speciaal voor ouderen een cursus georganiseerd "Omgaan met de digitale overheid". De eerste stap die daar gedaan werd was die MijnOverheid berichtenbox activeren. Na afloop van die cursus herinneren heel veel van de deelnemers niet meer hoe het werkt en die worden vervolgens aan hun lot overgelaten terwijl voor hen alle overheidscommunicatie voortaan uitsluitend nog op die digibox terecht komt.

Het vreemde is dat er ook nauwelijks diensten zijn die aanbieden de communicatie op beide kanalen aan te bieden, zodat deze mensen de mogelijkheid hebben geleidelijk te wennen aan de nieuwe communicatiemethodes. Dat laatste kost op korte termijn misschien een heel klein beetje meer maar op langere termijn bevordert dit het overschakelen. Genoeg mensen die er nu voor kiezen om bij de oude vertrouwde systemen te blijven omdat ze het risico niet durven nemen dat ze geen toegang meer hebben tot hun communicatie.

jongetje

@CH4OS • 30 januari 2020 07:35

Dat zou zo moeten zijn. Al stuurt de belastingdienst alles ook nog eens per post. Lijkt mij papier verspilling.

TheVivaldi @jongetje • 30 januari 2020 11:53

Tot ergens vorig jaar wel, ja. Maar de laatste keer (1-2 maanden geleden) geen brief meer ontvangen van de Belastingdienst, alleen nog digitaal.

Bruin Poeper @CH4OS • 30 januari 2020 18:57

[...]
Totdat je de berichtenbox activeert, want dan krijg je zoveel als mogelijk alleen nog maar digitaal.

Als je een berichtenbox activeert ben je dus 'een beetje dom', om met Maxima te spreken.

Ik kijk altijd eerst hoe je iets kan déactiveren. Meestal zegt men er niets over en begin ik er niet aan.
Zo ook de SMS-controle bij Digid of die app.
Ik wil mijn telefoon graag prive houden.
Mijn bank ING loste het op met een QRreader. Wanneer komt Digid met een oplossing? Desnoods sluiten ze zich aan bij de QRreader van de bank.

CH4OS @ManiacsHouse • 29 januari 2020 22:37

DigiD was aanvankelijk bedoeld als middel voor contact met de overheid, intussen is het ook voor veel meer dan dat geworden. Zelfs bij het ziekenhuis en voor mijn pensioen moet ik inloggen met DigiD...

RedRayMann @THE_BASE • 29 januari 2020 22:50

Ik ben het met je eens.
Bij zowel DigiD en AFAS Insite gebruik ik username/wachtwoord/sms.
Beide sites hoor ik mensen super enthousiast over de app, maar uiteindelijk log ik amper in. Dus die ene keer een sms ontvangen is voor mij prima. Voor al die tijd apps en icoontjes op mijn telefoon? Vind ik zonde en vervelend.

Misschien is de app een betere beveiliging, dat kan ik niet beoordelen. Dacht dat een sms al redelijk goed was.
Laatst zag ik bijvoorbeeld ook de airmiles app, wat eigenlijk gewoon een browser is en websites voorschotelt. Voor mij allemaal extra opslag/iconen/chaos op mijn toestel

Maar, verschil moet er zijn

)

jozuf @RedRayMann • 30 januari 2020 07:49

Sms is minder veilig omdat het vrij makkelijk blijkt te zijn om je sim te stelen (simswapping) dmv social engineering.
Met dergelijke apps gaat dat niet.

[Reactie gewijzigd door jozuf op 23 juli 2024 10:57]

amx @THE_BASE • 30 januari 2020 06:07

Dan is de instant app echt iets voor jou

xFeverr @amx • 30 januari 2020 06:42

Behalve dat iOS dat concept niet kent.

amx @xFeverr • 30 januari 2020 18:48

Ik wist niet dat iPhone een eis is

THE_BASE @amx • 30 januari 2020 08:11

Ditzo is hier ook zo’n app. Als ik die eens nodig heb, download ik die wel eventjes.

amx @THE_BASE • 30 januari 2020 18:48

Dat snap ik niet.

Krankenhausen 29 januari 2020 22:03

Waarom heeft men eigenlijk gekozen voor een eigen app en niet voor een bestaande oplossing compatible met 1 van de vele authenticatie applicaties? Heb momenteel een iPhone, maar als ik een Android zonder Google services heb kan ik deze app dan gebruiken?

Ik vind het eigenlijk wel vervelend dat men met een eigen app is gekomen. Het is weer een extra stap in de houtgreep in de iOS/Android duopolie en weer een extra drempel voor een eventuele nieuwe toetreder. Die kansen worden al steeds kleiner maar daar hoef je als overheid wat mij betreft niet aan bij te dragen.

lenwar

Digid
Nederland
Politiek en recht

@Krankenhausen • 30 januari 2020 07:33

Het voordeel van een toegewijde app, is dat de fysieke telefoon onderdeel is geworden van de veiligheid. Als je een nieuw toestel krijgt, moet je hem opnieuw activeren. Met een tbotp systeem als Google Authenticator, kan je in principe de gegenereerde sleutels overal opslaan. (nou laat Google Authenticator als app het niet toe, maar het systeem laat het wel toe). Kijk naar bijvoorbeeld 'authy'. Die gebruikt dezelfde protocollen als Google Authenticator (kan je dus in plaat van gebruiken), en die kan je synchroniseren tussen je pc/tablet/telefoon als je dat wilt.
Met een toegewijde app gaat dat niet zo makkelijk.

maar als ik een Android zonder Google services heb kan ik deze app dan gebruiken?

Ik vermoed van wel. Ik heb geen bron, maar ik zou persoonlijk geen reden weten waarom dit niet kan, aangezien je niks van de Google Services gebruikt.

pauldaytona 29 januari 2020 22:12

Ik snap deze app niet,
Op elke website met digid kan ik kiezen om met de app of naam/ww in te loggen, dan kan een hacker toch gewoon met naam/ww inloggen terwijl ik moeilijk doe met de app?

Nu heb ik een iphone 7, dan wil ie een nfc van m'n paspoort scannen, dat werkt niet.n Nfc van de ing bankieren werkt dus m'n telefoon kan nfc.

Waarom moet ik alweer een pincode onthouden en kan ie dat niet met fingerprint?
Ik gebruik die app dus niet, want het is meer gedoe als dat het oplevert.

hcQd @pauldaytona • 29 januari 2020 22:38

Je kunt instellen dat je altijd 2FA wilt gebruiken, dan heeft iemand anders niet genoeg aan je wachtwoord.

Geerbeer94 @pauldaytona • 30 januari 2020 01:00

Apple heeft hun nfc dichtgetimmerd, met Android kan je al jaren betalen met de telefoon via verschillende banken.

Replic @Geerbeer94 • 30 januari 2020 04:50

Op de iPhone 7 werkt het niet, maar op de iPhone Xs en 11 zou het nu wel moeten werken, daar geven ze al meer ruimte met de NFC.

Je kan nu ook meedere dingen doen met NFC waaronder tags gebruiken etc.
Dus nee, nfc ziet niet meer dicht getimmerd, maar is nog steeds niet helemaal vrijgegeven.

Ook kan je nu al een tijdje met meerdere banken betalen, het gaat alleen via Apple Pay, zou je is moeten proberen, werkt perfect, maar ik ben dan ook een beetje bias. (heb wel ook android geprobeerd en vond daar niets aan)

[Reactie gewijzigd door Replic op 23 juli 2024 10:57]

SwitchingtoAMD 29 januari 2020 21:33

Maar is het dan ook echt veiliger? Ik heb een wachtwoord wat niemand zo zou raden (en nee ik heb het nergens opgeslagen). Dat zou toch al per definitie veiliger zijn als je niet 'standaard aanvullen' hebt ingeschakeld?

Patriot @SwitchingtoAMD • 29 januari 2020 21:35

Maar is het dan ook echt veiliger? Ik heb een wachtwoord wat niemand zo zou raden (en nee ik heb het nergens opgeslagen). Dat zou toch al per definitie veiliger zijn als je niet 'standaard aanvullen' hebt ingeschakeld?

Vergeleken met het alternatief, geen tweetrapsauthenticatie, is het veiliger. Dat is waar het om gaat. Het feit dat een goed wachtwoord veiliger is dan een slecht wachtwoord doet daar niets aan af.

SwitchingtoAMD @Patriot • 29 januari 2020 21:36

Daar is de SMS bevestiging toch voor? Wachtwoord en bevestiging per sms is tweetraps

ApexAlpha @SwitchingtoAMD • 29 januari 2020 21:45

SMS is niet zo goed als een time based token, zoals DigiD. Je moet met de DigiD App ook eerst een code van je telefoon op de website invullen die dan een QR genereert alleen voor dat toestel.

Frappuccino @ApexAlpha • 29 januari 2020 22:36

Nadeel is wel dat je 2 devices nodig hebt.
Lijkt me tenminste lastig om de qr code op je mobiel te scannen met diezelfde mobiel.

ApexAlpha @Frappuccino • 29 januari 2020 22:39

Dan hoeft het niet volgens mij, en kun je gewoon met de app en pincode inloggen.

royb3 @ApexAlpha • 30 januari 2020 00:51

Idd, er is dan een knop om de digid app te openen, en na authenticatie ga je weer terug naar de website of app waar je wilt inloggen.

Patriot @SwitchingtoAMD • 30 januari 2020 09:18

Tweetrapsauthenticatie met SMS is inderdaad veiliger dan geen tweetrapsauthenticatie. SMS is echter wel relatief makkelijk te onderscheppen, dus is het nog veiliger om het met bijv. TOTP's te doen. In deze situatie heeft de overheid gekozen voor iets wat nog een stapje veiliger is, authenticatie via een app waar je apart bij moet inloggen.

sympa @SwitchingtoAMD • 29 januari 2020 21:37

Spyware op je computer kan het wachtwoord dan nog steeds onderscheppen.

SwitchingtoAMD @sympa • 29 januari 2020 21:38

Net als spyware op je Android telefoon toch....

sympa @SwitchingtoAMD • 29 januari 2020 21:49

Niets is helemaal veilig, maar telefoons hebben wel een speciale veilige opslag voor dit soort data, waardoor een andere app er niet zomaar bij kan.
En ik verwacht dat er ook wat slims mee gedaan wordt: de pin wordt server-side gecontroleerd en is gekoppeld aan de key. Dus als iemand de pin steelt heeft ie niks, en als ie het certificaat steelt is de pin er nog steeds niet. Plus dat de app waarschijnlijk nog extra wachtwoordmateriaal meestuurt, en ook regelmatig dat extra materiaal en key kan vervangen.

CH4OS @sympa • 29 januari 2020 22:23

Een PC kan net zo goed een encrypted partitie hebben.

UPPERKEES @CH4OS • 29 januari 2020 22:47

Voor PC is het bijvoorbeeld de TPM chip. Voor Android is dat bijvoorbeeld Titan M.

sympa @UPPERKEES • 30 januari 2020 08:51

Als de TPM gebruikt kan worden vanuit een browser is dat ook een verbetering. Wordt dat niet bereikt met FIDO authenticatie? Of was dat een ander smaakje?

Septimamus @SwitchingtoAMD • 29 januari 2020 21:41

Ja. Want met de app heb je specifiek de telefoon nodig van het account waarmee je probeert in te loggen.

CH4OS @Septimamus • 29 januari 2020 22:35

Voor het ontvangen van de SMS heb je ook een telefoon nodig, dus dat maakt niet zo heel veel uit.
Ik zie liever dat er ook een TOTP authenticatie komt (ipv de zoveelste app die basicly hetzelfde doet), dan kan ik gewoon Enpass, mijn passwordmanager, gebruiken.

[Reactie gewijzigd door CH4OS op 23 juli 2024 10:57]

lenwar

Digid
Nederland
Politiek en recht

@SwitchingtoAMD • 30 januari 2020 07:17

In het kort. Ja, absoluut.
Tweetrapsauthenticatie is per definitie veiliger dan alleen een wachtwoord. Ongeacht hoe sterk/complex je wachtwoord is, kan het met keystrokelogging heel simpel ondervangen worden. Je kan in principe nooit 100% zeker zijn dat je geen malware/spyware/rootkit/enz/enz/enz op je pc hebt staan.

Het voordeel van een toegewijde app, ipv een tbotp-systeem (zoals Google authenticator bijvoorbeeld) is dat nu ook fysieke installatie van de telefoon gekoppeld kan worden. Effectief moet iemand dus met alleen wachtwoord authenticatie je gebruikersnaam en wachtwoord hebben. (twee items, maar wel twee items 'die je weet')
Met het systeem dat bij digid gebruikt wordt:

Je fysieke telefoon (iets wat je hebt)
Je PIN/vingerafdruk van je telefoon (iets wat je weet of iets wat je bent)
De PIN van de digid-app (iets wat je weet)

Let wel. Als ze dus een tbotp systeem hadden gebruikt, heb je ook drie mogelijkheden:
Gebruikersnaam (iets wat je weet)
Wachtwoord (iets wat je weet)
De sleutel van je tbotp (kan op je telefoon/tablet/pc/of extern staan - dus effectief iets wat je hebt (de sleutel weten is onwaarschijnlijk

)

Starke 29 januari 2020 21:53

Ik wacht wel lekker tot ze een bewezen goede twee traps authenticatie gebruiken, wat is er mis met Google Auth of Authy in plaats van app 762 (zoveel) voor 2 traps. Zou lekker worden voor elke site / instantie een andere 2-factor app moeten installeren. (Ik vind de 2 apps die ik ervoor heb eigenlijk al 1 teveel).

rbr320 @Starke • 29 januari 2020 22:17

De 2FA van DigiD is gewoon een variant op TOTP en dus bewezen technologie. Er wordt echter een extra verificatie van je identiteit vereist door middel van het scannen van een identiteitsdocument met de NFC chip in je toestel. Standaard authenticator apps ondersteunen dat niet (en ik betwijfel ook of dat zou kunnen) dus vandaar de noodzaak van een eigen app.

Ventieldopje @rbr320 • 29 januari 2020 23:16

Je identiteitsdocument is gewoon de 3e factor, waarom moeten zowel de 2e als 3e factor in één app? Gebruik/ondersteun voor de 2e factor gewoon bestaande oplossingen en wanneer de 3e factor vereist is (dat is lang niet altijd namelijk), dan moet je pas de app gebruiken.

rbr320 @Ventieldopje • 30 januari 2020 10:30

Dat klopt niet helemaal. In het geval van DigiD Substantieel is je identiteitsdocument slechts een extra authenticatie stap om je 2e factor te activeren. In de toekomst komt er DigiD Hoog, waarbij je identiteitsdocument bij alle inlogpogingen als derde factor wordt gebruikt. De DigiD app is daar nu al op voorbereid.

Paul 29 januari 2020 22:12

Ik vind het nogal een aanname, dat men het doet om veiliger in te loggen... Ik denk dat veel mensen het vooral doen voor het gemak.

Ik had in het begin vooral: "Zucht, wéér een app die je maar één keer per jaar gebruikt...", maar sinds ik een paar keer bij Duo en mijn zorgverzekeraar heb ingelogd ben ik om. Het inloggen met de app gaat gewoon veel simpeler...

Niet bij iedereen trouwens, de Samsung A50 van mijn vrouw heeft moeite met het scannen van de QR-code.

m1999 @Paul • 30 januari 2020 00:38

Ik heb nog nooit soepel een QR-code kunnen scannen. Samsung gakaxy ace, s4 mini, lg g4 en lg g7 thinq, allemaal hadden ze moeite over het algemeen. Alhoewel de kaatste 2 het met whatsapp wek weer soepel doen.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (183)

Sorteer op:

Weergave: