DigiD is niet te downloaden op toestellen met Android 11

De DigiD-app werkt nog wel op Android 11, maar is niet meer te downloaden in de Play Store voor gebruikers met dat besturingssysteem. Ook lukt het bijwerken van de app niet. Het zou gaan om een probleem met het ondertekenen van een certificaat.

DigiD2 De overheid waarschuwt op de site van DigiD alleen dat de app niet te downloaden is op Android 11. Logius, de overheidsinstantie die DigiD beheert, zegt dat het aan een oplossing werkt. Een woordvoerder verwacht dat die niet lang op zich laat wachten, maar kan nog geen prognose geven van wanneer de app weer te downloaden is.

De app is niet langer te downloaden in de Play Store. Gebruikers die de app al hebben gedownload, kunnen die nog wel gebruiken. Wel krijgen ze een pop-up te zien waarin staat dat er een update voor de app beschikbaar is, maar in de Play Store kunnen ze de app niet bijwerken. Volgens een woordvoerder van Logius gaat het om een probleem met een certificaat dat niet of verkeerd ondertekend is. Daarom kan de app wel nog gewoon gebruikt worden.

Reacties (208)

pagani 3 december 2020 10:26

De DigiD app is op een hele reeks aan telefoons sowieso onbruikbaar. De app staat je niet toe te kiezen welke camera je gebruikt voor QR en gaat dan met de verkeerde camera proberen de code te scannen, wat dus niet werkt.

Aiii @pagani • 3 december 2020 10:40

Daar heb ik ze op 26 mei over gemailed, toen kreeg ik na twee dagen een standaard mailtje terug:

Wij hebben uw e-mail in goede orde ontvangen. Wij danken u hartelijk voor uw informatie.

Wij zullen deze informatie gebruiken om ons product en/of onze werkwijze te verbeteren.

Maar schijnbaar is dit een ontzettend complexe materie, ofzo.

ApexAlpha @Aiii • 3 december 2020 11:57

Ligt dit wel bij DigiD dan? Volgens mij is zo een CameraView die je krijgt in de app de 'logical' camera en heeft dat te maken met de implementatie van de OEM.

What the logical camera provides is entirely dependent on the OEM implementation of the Camera HAL. For example, a device like Pixel 3 implements its logical camera in such a way that it chooses one of its physical cameras based on the requested focal length and crop region.

https://developer.android.com/training/camera/multi-camera

Ik heb er dan ook geen last van met mijn Samsung telefoon met meerdere camera's.

MacD @ApexAlpha • 3 december 2020 23:55

Wat best grappig is omdat Samsung of all manufacturers een historie heeft van camera problemen (op de nexus5 na is het de enige waarvoor ik de code heb moeten schrijven: "if manufacturer==SAMSUNG"

)

Anyway, zeker met de Camera2 API kan je makkelijk bepalen of je een front of rear camera te pakken hebt (Camera.getCameraInfo()) en met getCameraCharacteristics(String) kan je een geldige/bruikbare camera kiezen.

Dat DigiD dit dus blijkbaar soms fout doet is ... nee, ik zeg het gewoon: dat is een schande en hun Android devs moeten zich schamen.

Als ik tig jaar geleden op een snapdragon 801 al multiple cameras tegelijkertijd kon laten zien (front/rear) en kon onderscheiden en later cam keuze kon doen n.a.v. requirements, dan moet je je schamen als je voor een overheidsinstelling met genoeg financiering dat niet voor elkaar kan krijgen.

ApexAlpha @MacD • 4 december 2020 09:56

Ik denk dat dit niet om front/rear gaat maar om wappie Chineze toestellen met 5 camera's op de achterkant waarbij er een bijvoorbeeld Chroma is, waardoor een zwart-wit QR code niet te scannen is.

Je kan inderdaad opties inbouwen om ook tussen al die camera's te wisselen, maar het ligt toch vooral bij de OEM die niet zulke camera's moet doorgeven aan CameraViews in apps.

Overigens is er al een DigiD update in de appstore voor Android 11, dus dat werkt weer.

CtEkCoPx @pagani • 3 december 2020 11:02

Dank voor de tip! Ik zal er eens gaan induiken :-).
BTW, uit betrouwbare bronnen (ikzelf), kan ik zeggen dat er inmiddels een update beschikbaar is, die wel weer op Android 11 werkt; 5.16.3

defixje @pagani • 3 december 2020 10:32

Hier het zelfde probleem, heb in totaal 5 camera's op mijn Xiaomi Note 10, en ook daar wordt de verkeerde camera gekozen. Gelukkig werkt het af en toe wel.

Buiten dat vind ik de DigiD app omslachtig, heb liever een soort van Google Authenticator code ofzo ipv code overtypen in je browser, dan weer terug naar de app om op verder te klikken dan de pin invoeren en weer op verder klikken.

edit: handelingen van de app aangepast

[Reactie gewijzigd door defixje op 23 juli 2024 06:19]

JackBol @defixje • 3 december 2020 11:06

De DigiD app is zo ontworpen om de transactie uniek te maken. De DigiD Authenticator app weet WAAR je probeert te authenticeren, en dat moet je bevestigen.

Een OTP of SMS oplossing doet dat niet, waardoor je de code overal kan invullen.

Hypothetisch kan ik een website bouwen, je bank otp vragen en die onderwater gebruiken om echt bij de bank in te om nefarische dingen te doen. Dit kan niet gebeuren met de DigiD app.

Kewne @JackBol • 3 december 2020 13:24

Er zijn wel voorbeelden waar het wel kan, maar waar ze toch niet die extra omslachtige koppelcode stap van de DigiD app hebben. De Rabobank QR code betalingen & internetbankieren via de vereisen beide maar een trip naar je "auth toestel" en ook die laten exact zien waar je voor ondertekent. Zelfs in de dagen van de Random Reader had je losse knoppen voor inloggen vs betalingen, en moest je delen van de rekeningnummers + bedragen invullen voor betalingen boven een bepaald bedrag.

Overigens doet de SMS oplossing het bij DigiD ook redelijk goed, deze geeft aan waar je inlogt. Het bericht dat je per SMS krijgt is "Uw DigiD sms-code om in te loggen bij MijnOverheid is: 123-456".

JackBol @Kewne • 3 december 2020 13:58

Er zijn wel voorbeelden waar het wel kan, maar waar ze toch niet die extra omslachtige koppelcode stap van de DigiD app hebben.

Dat komt omdat je met de random reader alleen bij de Rabo kan inloggen. Dus de webapp hoeft niets van de authenticator te weten. DigiD kan je gebruiken op een veelvoud van websites, en zal er dus extra informatie gecommuniceerd moeten worden.

supersnathan94

@JackBol • 3 december 2020 15:48

Maar de gescande qr code kan ook gewoon inhoudelijk bevatten waar je inlogt. Dat verwerken banken ook in hun QR code. Die extra info kan ook prima in de code verwerkt worden. In principe kun je hele games in een qr code stoppen (zoek maar even op YT)

Als het goed is wordt de koppelcode gebruikt om ervoor te zorgen dat de qr code niet door MITM vervalst kan worden.

Ik kan namelijk een proxy opzetten die alles doorpasst, maar ik kan niet de qr code wijzigen zodat er een andere website/locatie in komt te staan. Omdat het dan niet meer klopt.

Die koppelcode is dus een extra laag om MITM te voorkomen. Dit omdat de partij waar je inlogt namelijk al een MITM is. Je wil dus kunnen afvangen daat er niet nog meer lagen tussen gaan zitten die de codes aanpassen.

Opzich is het best een slim en veilig systeem. Alleen is het heel raar dat er met accountnames wordt gewerkt en niet domein namen. Zo wilde ik latst inloggen bij de gemeente veenendaal om een verhuizing door te geven en tot mijn verbazing stond er als account “gemeente veenendaal4”. Hoezo 4? Is er ook een 1,2 en 5? En hoe zit dit dan met andere services van andere diensten?

Ik wil eigenlijk gewoon zien “veenendaal.nl”. Het domein waar een mooi EV certificaat voor afgegeven is, want een accountnaam zegt mij niks.

Raan7 @supersnathan94 • 3 december 2020 17:37

Is het niet zo op het moment dat hackers aankondigde dat qr-code helemaal niet veilig is, maar zoals jij zegt een layer is, iedereen overstag ging naar qr code zoals banken en cryptovaluta en authenticators? Volgens mij meen ik me dat gezien te hebben hier op t.net of YT.

Schandalig eigenlijk en dan zoveel betalingsverkeer genereren en mensen niet compenseren, terwijl je gewaarschuwd bent! Zelfde als NFC en ABNAMRO’s tikkie verhaal!

uncle_sjohie @JackBol • 3 december 2020 14:55

En je DigiD schermt het meest heilige aan privacy gevoelige gegevens, je complete medische historie, af. Dat heeft van wetswege ook een robuustere beveiliging nodig dan "maar" je bankgegevens volgens mij. Scheelt niet veel, maar zal allicht ook één van de redenen zijn waarom de app zo is alstie is, en dus niet werkt zoals de Rabobank dat doet met hún app.

memphis @JackBol • 3 december 2020 12:22

Het is gewoon een gedrocht van een app. Als ik moet inloggen heb ik sowieso een probleem omdat de camera op mijn telefoon het niet doet dus moet ik op de mobiel naar UWV en WERK.nl welke voor mijn gevoel op de mobiel niet makkelijk te zijn navigeren. Overheid en software/websites, ergens vraag je je af waarom dat nooit goed kan....

Bekers

@memphis • 3 december 2020 12:46

Ik moet zeggen dat ik het juist heel fijn vind werken! Supersimpel, lekker snel en bij mijn weten veilig. Ik vind dit veel fijner dan je 'normale' digiD onthouden die je 1x per jaar gebruikt voor je belastingen en dus veel makkelijker vergeet en na 6 pogingen pas goed hebt.

In de gebruikservaring scheelt het natuurlijk wel dat het bij mij altijd werkt (nokia 8 ) maar ik ben dus erg tevreden!

[Reactie gewijzigd door Bekers op 23 juli 2024 06:19]

PolarBear @memphis • 3 december 2020 12:41

heb ik sowieso een probleem omdat de camera op mijn telefoon het niet doet

Het is vooral jouw probleem zo te lezen.

Jack Flushell

@PolarBear • 3 december 2020 16:21

Nee, lees even het artikel en de andere reacties. De app kiest de verkeerde camera en dan gaat het lezen van de code niet goed. Zo ook op mijn OnePlus 8 Pro.

memphis @PolarBear • 3 december 2020 17:57

Is het? Ik zit voorlopig niet in de bijstand en hoop dat na de vaccinatie weer gewoon werk te vinden is maar stel je eens voor wanneer je in de bijstand zit en iedere euro moet omdraaien voordat je hem uitgeeft, mag de overheid dan van je verwachten dat je dan maar even geld moet uitgeven om een slechtwerkende app werkend te krijgen?

akooijman @memphis • 3 december 2020 19:41

Je kunt DigiD toch nog steeds gebruiken zonder de app?

pookie79 @akooijman • 4 december 2020 09:11

Gelukkig wel, er bijna niets zo eng als dat iedereen één en de zelfde bepaalde overheids app moet hebben. Dat is vragen om problemen

BeosBeing @pookie79 • 4 december 2020 14:58

Gelukkig wel, er bijna niets zo eng als dat iedereen één en de zelfde bepaalde overheids app moet hebben. Dat is vragen om problemen

Daar zijn we echter heel hard naar op weg. UWV en Werk.nl kom je volgens mij ook al niet binnen zonder telefoonnummer.
Horeca wilt ook al een invoeren dat je met een app laat zien dat je coronavrij bent.

In België moet je overal identificeren met ofwel een PC-smartcardreader die de chip op je identiteitskaart leest, ofwel via de Itsme app. Itsme is daar zowel voor je bank, als voor je zorgverzekering, voor je medische dossier, enzovoorts.

[Reactie gewijzigd door BeosBeing op 23 juli 2024 06:19]

pookie79 @BeosBeing • 5 december 2020 17:26

Horeca wilt ook al een invoeren dat je met een app laat zien dat je coronavrij bent.

Dat is gelukkig bij wet verboden

BeosBeing @pookie79 • 5 december 2020 18:58

Dat is bij wet verboden, en ook verbied de grondwet dat werkgevers mogen eisen dat hun werknemers gevaccineerd zijn. Toch gaat het gebeuren, vooral in de zorg, ook al hebben ze daar nu al tekorten en willen de zorgmedewerkers meer nog dan anderen niet gevaccineerd worden.

Dat deze Corona-spoedwet de grondwet aan zijn laars lapt is nog maar het begin. Het wordt nog erger. Europa wordt een dictatuur en Nederland zal voorop lopen, samen met Duitsland. Merkel komt uit de SED.

Polydeukes @memphis • 3 december 2020 13:06

De app werkt prima, het probleem zit volgens mij aan jouw kant.

jqv @memphis • 3 december 2020 14:55

Je kunt de app niet aanwijzen als schuldige als de camera op je telefoon niet werkt.

Dan leg je de fout van he defecte telefoon bij de overheid. Miaschien is hand in eigen boezem steken hier best op zijn plaats.

memphis @jqv • 3 december 2020 15:06

Naast de SMS optie wordt ervanuit gegaan dat je een telefoon met een camera hebt, dat is wel degelijk een fout van de overheid.

Darses

@JackBol • 3 december 2020 21:15

Hypothetisch kan ik een website bouwen, je bank otp vragen en die onderwater gebruiken om echt bij de bank in te om nefarische dingen te doen. Dit kan niet gebeuren met de DigiD app.

Beweer je daarmee dat de DigiD app ook bestand is tegen phishing? Want daar heb ik nog steeds een heel hard hoofd in. Als dat zo zou zijn moet ik dat toch maar eens gaan testen, want volgens mij kun je dat niet voor elkaar krijgen zolang je geen beveiligd communicatiekanaal hebt tussen je webbrowser (laptop) en DigiD app (telefoon).

IT_Architect @Darses • 9 december 2020 11:50

Om mensen in te laten loggen met DigiD moet je als organisatie zijn aangemeld. Anders werkt het niet. Dus phising kan dan niet.
https://www.logius.nl/die...0uw%20systemen.%20More%20

Darses

@IT_Architect • 9 december 2020 13:12

Ik denk dat we een verschillende opvatting hebben van wat phishing is/doet. Wat ik bedoel je dat als je een nep site opent, bijvoorbeeld nepbelastingdienst.nl, dat je inloggegevens gekopieerd kunnen worden en (automatisch) ingevuld kunnen worden op belastingdienst.nl. Je hoeft dus niet nepbelastingdienst.nl aan te melden bij DigiD, je hoeft alleen maar alle (QR) codes door te zetten. Het gevolg is dat de eigenaar van nepbelastingdienst.nl als jou ingelogd is op de echte belastingdienst site. De enige twee manieren om daar tegen te beveiligen is door je authenticatie op TLS/HTTPS niveau te regelen (client certificates/smartcards), of door te zorgen dat je met een inlogmiddel alleen maar op de echte belastingdienst.nl site kan inloggen (FIDO2/WebAuthn). Dat laatste is dus alleen mogelijk als je telefoon (app) weet welke website je webbrowser (laptop) open heeft staan. Zie bijvoorbeeld ook deze uitleg over het phishen van 2FA: https://www.youtube.com/watch?v=QRyinxNY0fk.

Ali_Baba @defixje • 3 december 2020 10:43

Precies dit is de reden dat ik nogsteeds altijd een sms verificatie gebruik, veel makkelijker.

MartineEekhof @Ali_Baba • 3 december 2020 10:54

If it works don't fix it with an app

Xacky @MartineEekhof • 3 december 2020 10:58

Het werkt maar sms verificatie is onveiliger dan een applicatie.

latka @Xacky • 3 december 2020 11:05

Ja, SMS verkeer is te hacken, maar ook authenticator apps zijn te hacken. Ik vraag me af of de effort die nodig is om SMS te hacken niet vele malen hoger is dan een of andere wazige rootkit uitrollen. Dat laatst kun je vanaf een zolderkamer doen, willekeurig SMS verkeer hacken moet je je huis voor uit. Als het veilig moet heb je een offline device (zo'n rekenmachine van de bank) nodig. De rest is gewoon niet veilig te krijgen.

GertMenkel

Google
Google Android

@latka • 3 december 2020 12:00

SMS is triviaal te hacken (SS7 redirection, kwestie van een speciale telefoonlijn in een of ander ver land aanvragen en je kunt telefoonverkeer MITM'en, of anders gewoon een nieuwe SIM-kaart aanvragen in de KPN shop met social engineering...).

Authenticatorapps zijn moeilijk te hacken (vereisen remote code execution met een root exploit die werkt op je specifieke apparaat), dat kan alleen met superspecifieke targeting.

Er zit een daadwerkelijke veiligheidsverbetering in DigiD boven het brakke SMS-systeem. Als je met een alternatief komt, noem dan TOTP, dat is op zijn minst nog afhankelijk van een lokale sleutel.

De allerveiligste optie zou inderdaad iets als zo'n omslachtige rabo-reader zijn, maar smartphones zijn veilig genoeg dat dat momenteel (nog) niet nodig is.

De RAT die je noemde, is nutteloos als je DigiD-authenticatie wil jatten zonder root. Het kan op oude toestellen misschien je Google Authenticator screenshotten, maar DigiD gaat je niet zomaar lukken, daarvoor zul je root access moeten verkrijgen en selinux moeten uitschakelen om de framebuffer zelf te lezen. Dan moet je natuurlijk nog de QR-code in de camera-stream injecteren, wat ook niet triviaal is, en de DigiD-app openen om te authenticeren. Daarvoor moet je eerst de pincode hebben opgenomen, anders doet hij het natuurlijk niet.

Dat alles is een stuk lastiger dan de "geen screenshots aub" van GAuthenticator uitzetten en op afstand de app openen via Teamviewer als je doelwit slaapt. Het kán wel, maar het is veel moeilijker dan je suggereert met de link die je plaatst.

Kewne @GertMenkel • 3 december 2020 13:29

Iemand met root kan de secrets gewoon rechtstreeks uit de DigiD (of TOTP) app halen. Geen camera emulatie of vage screenshots nodig.

GertMenkel

Google
Google Android

@Kewne • 3 december 2020 13:32

Dat is niet bepaald triviaal omdat voor dit soort applicaties de TPM de sleutels van de secrets bevat. Zelfs met root kun je daar niet zomaar bij, daar zul je toch een kernel exploit voor nodig hebben.

Wellicht is het makkelijker dan het hele screenshotverhaal, maar de beveiliging van DigiD is alsnog stukken moeilijker te omzeilen dan de beveiliging op SMS, omdat SMS niet gemaakt is om veilig te zijn.

Kewne @GertMenkel • 3 december 2020 13:46

Zou kunnen dat het inmiddels hardware-backed crypto is, was het een paar jaar geleden helaas niet. Maar dan nog kun je met root zelf een verzoek aanmaken alsof het uit de DigiD app komt. Er is geen hypervisor of dergelijke zoals er op sommige game consoles zit en dus ook geen manier voor de Secure Element chip om na te lopen of de app unmodified is.

Het is inderdaad wel veiliger dan SMS, maar zeker niet 100% waterdicht. Ik heb wel gelezen dat Google ermee bezig was om bepaalde dingen vanuit het secure OS te laten ondertekenen (doen ze al op Pixel telefoons met Google Pay volgens mij) maar dat vereist bepaalde changes die nog niet in de meeste telefoons zitten.

MartineEekhof @GertMenkel • 3 december 2020 13:37

Door je post ga ik de app proberen. Thanks!

MacD @GertMenkel • 4 december 2020 00:00

Zoals een sec-dude me jaren geleden op een Android conferentie vertelde: root op je toestel is als zonder condoom het internet op.

Wat je zegt over ss7 is ook compleet waar (mobiel is per definitie zo lek als een mandje ... zodra je over ss7 leest schrik je je kapot).

Wat nog wel nasty kan zijn is 'draw overlay/draw over app' permissie voor een malefide app ...

GertMenkel

Google
Google Android

@MacD • 4 december 2020 00:27

Als het jaren geleden is, moet je misschien dat advies met een korrel zout nemen. Waar vroeger rooten gebeurde met exploits en vage ships van Chinese rooting tools, gaat rooten tegenwoordig vaak gepaard met een open source bootloader en een open source zipje van Magisk. Niet meer je toestel patchen omdat je bang bent root te verliezen is onderhand eigenlijk verleden tijd.

Android heeft de afgelopen drie tot vier jaar behoorlijke stappen in beveiliging gemaakt, inclusief verbeteringen betreffende versleuteling van gegevens, permissies (draw over moet expliciet aan staan en je krijgt altijd een popup als een app die permissie gebruikt, apps kunnen de draw-over apps detecteren en niet weigeren te werken, SD-kaartopslag is straks niet meer gedeeld), systeembeveiliging (selinux is nog verder uitgebreid zodat je zelfs met root niet veel kan doen aan het systeem zonder een tweede exploit) en het updatebeleid.

Ik heb gekeken om mijn telefoon te rooten, maar zonder een ontgrendelde bootloader is dat toch echt verdomde lastig. Het gevaar met root voor normale gebruikers is, net als op Windows, macOS of Linux, dat als je vage dingen downloadt en te vaak op "ja" klikt je hele vervelende virussen kan krijgen die anders geen kans van slagen hebben. Het is niet alsof je browser opeens root access heeft ofzo, zelfs als je browser geëxploit wordt, is je root manager nog steeds nodig om de exploit ver genoeg te laten gaan dat het echt verschil maakt qua beveiliging. Zolang de Magisk root manager veilig is, heb je eigenlijk weinig te vrezen als je je telefoon root.

Het advies blijft "niet rooten als het niet nodig is", maar ik hoor wel vaker achterhaalde ideeën over de veiligheid van Android die niet meer kloppen. Die wil ik graag even rechtzetten.

Jantimon @latka • 3 december 2020 11:11

Banken zijn langzamerhand ook aan het weg bewegen bij die offline devices. De meeste banken hebben tegenwoordig apps. Dat is een ingecalculeerd risico omwille van gebruikersvriendelijkheid. Tussen veiligheid en gebruiksvriendelijkheid zit altijd een spanningsveld.

Jelle E @Jantimon • 3 december 2020 11:42

Boven een bepaald bedrag vragen veel van die apps om je losse apparaatje erbij te pakken voor verificatie. Het is niet omwille van veiligheid dat ze steeds meer via de app laten doen.

Chris_147 @Jantimon • 3 december 2020 11:41

Doen ze dat niet voornamelijk voor de kosten? Toestel kopen, opsturen naar klant, support voor lege batterijen etc.
Als je toch al een app gemaakt hebt, lijkt het logisch om die kost te laten vallen.

latka @Chris_147 • 3 december 2020 11:53

Zal voornamelijk kosten zijn. Staat me bij dat zo'n apparaat tussen de 10 en 15 euro kost (kennis uit 2007).

Raan7 @supersnathan94 • 3 december 2020 17:47

Nee is afhankelijk van de overeenkomst die je hebt met de bank. Je vergeet zakelijk te noemen of private banking. Daarbij loopt het al gauw tot in de tonnen.

supersnathan94

@Raan7 • 3 december 2020 23:26

Oh dat zal best, maar we hebben het hier over consumenten. Vergelijken met zakelijke dingen heeft dan niet zoveel zin. Zeker als we het met Digid vergelijken daar je zakelijk dan een heel ander systeem hebt (e-herkenning).

Ik heb overigens zakelijk nog niet gezien dat je ff 100k over kunt boeken zonder signeren dus daar kan ik geen uitspraken over doen. Klinkt mij helemaal niet safe, maar zou best kunnen dat het wel zo werkt.

mbb @latka • 3 december 2020 13:29

In plaats van een speciale app, is het voor de overheid niet handiger om een open patch voor SMS uit te brengen die alle telefoonfabrikanten mogen gebruiken? Dan is het niet alleen voor Nederlandse digiD-gebruikers veilig, maar ook voor bank-codes en alle andere SMS gebruikers in de wereld.
Mogelijk nog goedkoper ook als andere landen (kuch EU kuch) mee wil betalen.

supersnathan94

@mbb • 3 december 2020 15:55

Het gaat jaren duren voordat iedereen dat overneemt. Je moet dit vanuit de standaarden organisatie gaan doen en dat gaat ook weer even duren. Het is makkelijker om dan maar een app te maken die dit voor je fixt.

cire @mbb • 3 december 2020 16:17

Hoe bedoel je een "patch" voor SMS?

TommieW @MartineEekhof • 3 december 2020 11:01

Muah, SMS is niet per se het meest veilige protocol. Dit is een prima manier om een app in te zetten, zeker als je daarmee extra beveiliging kan doen met bijvoorbeeld de NFC-chip in een identiteitsbewijs.

Navi @TommieW • 3 december 2020 11:38

En vergeet de hogere kosten van al dat SMS'en niet.

TheVivaldi @Navi • 3 december 2020 12:05

Ja, want het ontwikkelen en bijhouden van een app is gratis... Ik durf met 100% zekerheid te zeggen dat het versturen van smsjes goedkoper is dan een ontwikkelteam dag in, dag uit op die app te zetten. Nog afgezien van de klantondersteuning die daarbij hoort (bij sms kunnen ze simpelweg doorverwijzen naar providers).

Navi @TheVivaldi • 3 december 2020 13:00

Alsof dat nodig is? Bijvoorbeeld mijn Google Authenticator app wordt haast nooit geüpdatet (heb even gekeken, zo ongeveer 1x in de 1,5 jaar komt er een update voor), de codes worden gegenereerd en als dat prima werkt hoeft daar echt geen heel team op te zitten.

Het verzenden van miljoenen SMS'jes om in te loggen loopt echt wel in de papieren.

Plus los daarvan is SMS onveiliger en is het niet voor niets dat iedereen daar vanaf stapt, o.a Microsoft, ING met hun tan codes, etc.

[Reactie gewijzigd door Navi op 23 juli 2024 06:19]

TheVivaldi @Navi • 3 december 2020 13:17

Alsof dat nodig is? Bijvoorbeeld mijn Google Authenticator app wordt haast nooit geüpdatet (heb even gekeken, zo ongeveer 1x in de 1,5 jaar komt er een update voor), de codes worden gegenereerd en als dat prima werkt hoeft daar echt geen heel team op te zitten.

Oké, zeg dat maar tegen Logius, die vaker updates uitbrengt voor de DigiD-app. Zal wel automatisch gegenereerde code betreffen dan zeker? Er werkt wel degelijk een team regelmatig aan de app, zoals Logius zelf ook zegt: https://www.logius.nl/verhalen/het-gaat-om-echte-mensen
"‘Die signalen clusteren en categoriseren we, en brengen we onder de aandacht bij het DigiD app-team."

Bovendien is de app nu ook goedgekeurd als Europees hulpmiddel en zal het team ook steeds weer aanpassingen moeten doen als andere landen iets veranderen aan hun infrastructuur of beleid. En dat nog los van de Nederlandse bedrijven, waaronder ziekenhuizen, die ook controles uitvoeren via de app. Die controles worden allemaal onderhouden door Logius.

Plus los daarvan is SMS onveiliger en is het niet voor niets dat iedereen daar vanaf stapt, o.a Microsoft, ING met hun tan codes, etc.

SMS is niet onveiliger en authenticatie-apps zijn ook al meer dan eens doelwit geweest van trojaanse paarden.

Daarnaast werkt sms op elk apparaat en niet alleen op Android en iOS.
En geen idee waar jij vandaan haalt dat iedereen afstapt van sms? Ik moet de eerste nog tegenkomen. Zelfs van Microsoft krijg ik nog steeds 2FA-smsjes.

Navi @TheVivaldi • 3 december 2020 13:34

Zoals iemand anders je de link van Microsoft al gegeven heeft, die raden het af, en de o.a de ING.

Maar we hebben het nu niet over de complete Digid app, uiteraard heb je daar onderhoud aan, ik heb het puur over het 2-Factor gedeelte, als dat eenmaal geïmplementeerd is heb je daar niet heel veel te doen, zoals ook blijkt uit bv de Authenticator app van Google. (zie de release notes van die app, eens in de 1,5 jaar een update)

Dat gedeelte van de app vereist dus weinig onderhoud.

https://apps.apple.com/us...authenticator/id388497605

Internet staat ook vol met artikelen waarom 2FA via SMS niet slim is:

https://www.google.com/se...+not+use+sms+for+2+factor

https://blog.sucuri.net/2...fa-sms-is-a-bad-idea.html

Bundin @TheVivaldi • 3 december 2020 13:37

[...]

SMS is niet onveiliger en authenticatie-apps zijn ook al meer dan eens doelwit geweest van trojaanse paarden.

Een bron is wel op zijn plaats bij statements als deze. Googlen op 'sms authenticator app' levert hele hordes pagina's op waar altijd de conclusie is dat sms minder veilig is. Voorbeeldje

Ik kijk uit naar je onderbouwing.

EwickeD @TommieW • 3 december 2020 11:13

Aah vandaar ook die losse ID-check app, omdat niet alle telefoons NFC hebben, slim opgelost van de staat!

TuxDePinguïn @Ali_Baba • 3 december 2020 11:29

Totdat iemand een SIM-eject tool bij zich heeft.

Ik weet dat dit een wijsneuserige reactie is en dat je een pin-code op je sim-kaart kan zetten maar veel mensen hebben dit niet (ik mag hopen dat iedereen met een OTP-app dit wel afschermt met in ieder geval een pin-code).

Daarbovenop heb je ook nog het probleem met port-out scamming.

Ik zou geen seconde mijn verificatie puur willen laten afhangen van mijn telefoonnummer.

Ali_Baba @TuxDePinguïn • 3 december 2020 11:47

Het moet een aardig doelbewuste actie zijn wil iemand je inloggegevens weten, je weet te vinden en dan ook nog je sim kaart uit je telefoon kan vissen zonder dat je dit door hebt. Het kan natuurlijk altijd maar het is niet waarschijnlijk.

TuxDePinguïn @Ali_Baba • 3 december 2020 12:08

Om ad hoc maar even een voorbeeld te geven:
Stel wij werken samen op kantoor. Ik hoef dan maar een keylogger te kopen voor $20 en dan heb ik binnen enkele werkdagen het wachtwoord van je e-mail/wachtwoordmanager. Dan ga je een keer naar de wc en swap ik gedurende enkele minuten je sim-kaart. Klaar.

Tuurlijk moet het een doelbewuste actie zijn, maar dat is de hele gedachte achter verificatiemethodes toch? Dat zelfs als gebruikersnaam en wachtwoord bekend zijn, de authenticiteit van de gebruiker geverifieerd wordt.

Kaoh

@Ali_Baba • 3 december 2020 12:25

je kan de sim toch ook soort van clonen?
ik weet dat toen ik een nieuwe sim kreeg voor mijn nieuwe telefoon, ik op de dag van wissel mijn smsjes op beide toestellen ontving voor mijn ing online bankieren. de nieuwe was eerder actief dan de oude geblokkeerd, dus tojdelijk beide. een hacker kan zo in principe beide actief houden.

defixje @Ali_Baba • 3 december 2020 10:56

Jep hier ook, gebruik eigenlijk altijd SMS.

WizX @defixje • 3 december 2020 11:49

Microsoft roept op om geen tweestapsverificatie via sms meer te gebruiken

nieuws: Microsoft roept op om geen tweestapsverificatie via sms meer te gebru...

latka @WizX • 3 december 2020 11:54

Ik denk altijd maar: follow the money. Het versturen van SMS berichten kost geld per bericht. Een App niet.

TheVivaldi @latka • 3 december 2020 12:06

Maar de app kost toch ook geld, of ontwikkelt die app zichzelf? En de klantondersteuning op die app wordt gedaan door vrijwilligers?

latka @TheVivaldi • 3 december 2020 12:27

Eenmalige kosten voor de ontwikkeling vs. doorlopende kosten voor versturen SMS.

latka @TheVivaldi • 3 december 2020 12:34

Zucht. Je maakt het nu wel heel kort door de bocht. Ik doe wel eens wat ontwikkeling, heck, ik wordt er zelfs voor betaald. Met SMS heb je ook vaste kosten (ontwikkeling van backend, support etc.). Maar de kosten van een authenticator app zijn 0 per stuk. SMS bericht kost geld per stuk. Dus ja, SMS is duurder als het genoeg gebruikt wordt.

[Reactie gewijzigd door latka op 23 juli 2024 06:19]

bilbob @latka • 3 december 2020 13:07

offtopic hoor maar: "Je maakt het nu wel heel kort door de bocht." ga ik bewaren voor later.

tom.cx @defixje • 3 december 2020 10:53

Het zou nog mooier zijn als je de Microsoft manier gebruikt. Je krijgt een melding of je de aanmelding wilt goedkeuren en je klikt op 'ga door' om in te loggen. Dat werkt nog eenvoudiger.

defixje @tom.cx • 3 december 2020 10:57

Ja die mehtode is ook veel gebruiksvriendelijker inderdaad.

Firestorm @tom.cx • 3 december 2020 12:08

Ook daar zitten risico's aan; iemand midden in de nacht spammen zorgt er op een gegeven moment ook wel voor dat deze het zat is en op accepteren drukt. Wat ik op m'n werk zie is dat veel personen ook niet kunnen lezen en daardoor geen idee hebben waarvoor ze op OK drukken en het maar gewoon doen.

Tweakert2020 @defixje • 3 december 2020 10:40

Hoe kan dat dan? Is er in Android niet 1 default camera die is aan te roepen via een API?

HitDyl @Tweakert2020 • 3 december 2020 10:57

Toevallig is het ook de meeste domme/slome barcode scanner app die er is. Waar het bij andere apps al gescanned is voordat je het door hebt, zit je bij Digid rustig een halve minuut te kloten. Het lijkt er naar mijn idee dus op dat ze inderdaad geen gebruik maken van officiële API's. Misschien is het een verpakte web app, iets cordova achtigs bijvoorbeeld.

sfranken @HitDyl • 3 december 2020 11:50

Ligt dat misschien aan je toestel? Ik heb een Pixel, en daar gaat het scannen van een QR code via de DigID app bloedsnel. Zodra de code in beeld is pakt de app 'm netjes op en ben ik klaar. Het totale proces duurt, gok ik, minder dan 3 seconden.

HitDyl @sfranken • 3 december 2020 13:21

Hier een iPhone 12 Pro, zelfde probleem met iPhone X. Waarschijnlijk zit dat probleem dan alleen in de iOS variant.

sfranken @HitDyl • 3 december 2020 23:04

Dat gok ik. Ook bij mijn vader met een goedkopere Nokia gaat het binnen 5 seconden. Ik moet zeggen dat ik dezelfde telefoon heb als @Horatius hieronder, een Pixel 5

Horatius @HitDyl • 3 december 2020 11:56

Kan mijzelf hier absoluut niet in vinden. Op mijn OP6 en Pixel5 gaat het scannen altijd heel snel, hoef de camera er maar ongeveer op te richten en hij pakt hem al.

snrwo1 @HitDyl • 3 december 2020 12:46

weet niet wat voor telefoon je hebt, maar bij mij is het scannen van de qr code zo snel (binnen 1 seconde) bij elke app die daar gebruik van maakt (digid, ing, etc.) En mijn telefoon is nu ruim 2 jaar oud.

Jeroenneman @defixje • 3 december 2020 10:45

Bijzonder, dus echt toestel specifiek, want mijn Poco (gewoon een omgekatte K30 van Xiaomi) doet het wel goed met de DigiD app. Alleen het pincode invoeren venstertje is erg nauw, waarschijnlijk omdat ze nog voor 16:9 displays ontwikkelen.

defixje @Jeroenneman • 3 december 2020 10:57

Ja, het is beetje jammer dat je niet in instellingen kan aangeven welke camera er gebruikt moet worden

Ashundi @Jeroenneman • 3 december 2020 18:09

Nou hier een ouderwets scherm maar hier is ie ook heel smal. Lijkt eerder voor een computer scherm ontwikkeld.

mark777 @defixje • 4 december 2020 19:34

JA erg omslachtig allemaal. ik begruik wel een wachtwoord om in te loggen. veel makkelijker

EwickeD @pagani • 3 december 2020 11:10

De herkenning van de QR code wordt toch niet gedaan in de sensor (camera) maar in de software (app) zelf? De gebruikte camera is dan toch niet zo echt relevant, al die camera's kunnen naar dat zelfde plaatje kijken.

Wellicht mis ik iets, vertel me dan gerust wat!

TunefulDJ_Mike @EwickeD • 3 december 2020 11:59

Bij mij (Oneplus 8 Pro) gebruikt hij de wide-angle vermoed ik waardoor de QR Code uit zijn verband wordt gerukt en niet meer werkt...

EwickeD @TunefulDJ_Mike • 3 december 2020 13:59

een 'telelens' zou geen 'verschillende' verschaling moeten geven van breedte en hoogte.
je krijgt hooguit een holling of bolling in het plaatje dat de sensor opneemt, maar ook dat zou de laag tussen sensor en app (dus iets in het OS) moeten corrigeren indien nodig.
Lijkt me meer dat de betreffende telefoons niet voldoende goed functioneren dan dat je dit aan de app kan wijten.

TunefulDJ_Mike @EwickeD • 3 december 2020 15:45

Er staat al even dat het de wide-angle ofwel groothoek betreft. Deze vertekend toch echt wel...

EwickeD @TunefulDJ_Mike • 3 december 2020 15:55

Sorry my bad, maar ook daarvoor geldt dat het niet bepaald aan de app ligt, maar meer aan hoe het OS er mee om gaat, mijn wide-angle geeft toch echt maar een beperkte vervorming, op de GoPro zelfs instelbaar (fisheye -gebruik van volledige sensor- of gecorrigeerd -delen van de sensor worden niet gebruikt en horizon beeld wordt gecorrigeerd voor realistische weergave.

Doordat er zoveel vrijheid is in het implementeren van Android onstaat dit soort onhandigheid ;-)
Het is maar net hoe je er tegenaan wil kijken.

TunefulDJ_Mike @EwickeD • 3 december 2020 16:37

Maar dit zijn dan wel specifieke wide-angle sensors. Het typische aan de app is dat het een van de weinige is die er last van heeft. De meeste werken gewoon goed.

EwickeD @TunefulDJ_Mike • 8 december 2020 09:44

Misschien hebben ze expres gekozen voor de wide angle, zodat het richten van de camera geen probleem vormt, ook niet voor minder technisch onderlegde. Ik kan me zo indenken dat de fors oudere generatie die wel gebruikt maakt van deze techniek,daarmee goed geholpen kan zijn, maar dat men het effect van het kiezen voor die camera voor het betreffende toestel verkeerd heeft ingeschat.
Eigenlijk is de wide-angle sensor dus een fish-eye camera?

K-aroq @pagani • 3 december 2020 10:29

Kiest de app dan soms de frontcamera?

b12e @K-aroq • 3 december 2020 10:31

Ik vermoed de wide-angle, zwartwit 2MP, of wat voor rare constructie je toestel met 3 of meer rear cameras ook kan hebben.

pagani @b12e • 3 december 2020 10:33

De wide angle inderdaad...

maceddy2004 @pagani • 3 december 2020 13:00

Ah ik ben dus niet te enige. Mijn Mi9 pakt ook de groothoekcamera voor het scannen. Werkt overigens meestal wel gelukkig. Dat heb ik ook al eens aangegeven.

Daarnaast heb ik bij gebruik van SwiftKey een megasmal numeriek toetsenbordje bij het invoeren van de pincode...

Mr-Famous @pagani • 3 december 2020 10:40

Los van dit probleem, super frustrerend dat als je twee browsers gebruikt op je iOS device met de DigiD app, dat de app je na het autoriseren je altijd omleid naar Safari i.p.v. de eerder gebruikte browser (in mijn geval Edge) voor authenticatie. Dit zorgt ervoor dat de token niet geldt voor Edge, waardoor ik verplicht ben om de DigiD website altijd te openen vanaf Safari

jaenster

@Mr-Famous • 3 december 2020 11:11

Dit is een algeheel ios issue, heb dit met thuisbezorgd ook. Maar zullen we eens apple buiten een android bericht houden?

pagani @Mr-Famous • 3 december 2020 10:42

Heb je dat ooit bij de eerste keer niet per ongeluk zelf gekozen? Bij mij moet ik áltijd als een app "de browser" gaat openen kiezen welke dat is, en kan dan aangeven always/once. Dat zou DigiD ook moeten hebben gedaan, volgens mij is dit niet te omzeilen door de ontwikkelaar.

Mr-Famous @pagani • 3 december 2020 10:45

Ben inderdaad bekend met deze optie maar die verschijnt i.i.g. niet op mijn iOS device. Die gaat er standaard van uit dat ik Safari als default browser gebruik.

redfoxert @Mr-Famous • 3 december 2020 10:51

Kan je gewoon aanpassen in je Settings bij de Edge app > Default Browser App

Relief2009 @Mr-Famous • 3 december 2020 11:44

Dat jij zaken verkeerd hebt ingesteld is niet de schuld van de app....

slijkie @pagani • 3 december 2020 16:11

op iOS nergens last van. Dus die 'reeks' bedoel je dus Android toestellen neem ik aan.

pagani @slijkie • 3 december 2020 17:01

Yes, dus 85% van het marktaandeel, maar daar dan de subset van met meerdere camera's minus Samsung.

OmeJoyo

@pagani • 3 december 2020 16:03

Ik heb toen ook gemaild over mijn Mate 20 pro, dat was toen wel in een maand opgelost. Bij mijn Pixel 5 gebruikt die ook de verkeerde camera, maar het werkt wel. Maarja dat is idd wel een probleem. Gelukkig heb ik hem nu al op mijn toestel staan.

MooDyBLueS @pagani • 3 december 2020 10:55

De DigiD app is op een hele reeks aan telefoons sowieso onbruikbaar.

Kleine correctie:

De DigiD app is op een hele reeks aan Android telefoons sowieso onbruikbaar.

Ik gebruik beide platformen, maar iOS primair, en heb daar aardig wat camera apps op staan, maar geen enkele op iOS zorgt ervoor dat de DigiD app niet kan scannen.

DigiD (het development team erachter) zou op Android een failsafe in moeten bouwen: standaard de built-in camera en middels gebruikerskeuze om te zetten naar een camera naar keuze. Dat én het feit dat er op Android 11 (en niet op 10 en lager) een certificaatprobleem optreedt geeft aan hoe bedenkelijk de kennis bij het DigiD development team is. Dat mag niet kunnen voor een app die voor heel Nederland toegang geeft tot zo'n beetje je allerbelangrijkste gegevens.

pagani @MooDyBLueS • 3 december 2020 12:24

0.1% van zeventien miljoen gebruikers is anders in absolute aantallen nog best een groep.

MooDyBLueS @pagani • 3 december 2020 14:26

Niet groot genoeg voor o.a. banken om dergelijke apps te verantwoorden. Net als dat mijn oma onlangs klaagde dat de AH helemaal overgaat naar digitaal sparen met koopzegels per 2021, is het verre van gebruiksvriendelijk. Het verschil is echter dat de smartphone populatie er wél mee overweg kan en het dus een bewuste keuze is om geen iOS of Android te nemen. Dan mag je daar niet over klagen.

Wouterie @MooDyBLueS • 3 december 2020 13:19

Om met je eigen woorden te spreken... Kleine correctie: smartphones. Sinds 1876 is er aardig wat op de markt waar het echt niet op werkt.

Simon Weel 3 december 2020 10:43

Die app kan best handig zijn voor sommige mensen. Wel jammer dat steeds meer instanties voor authenticatie met DigiD een bepaalde methode afdwingen. Bij de SVB kon je voorheen inloggen met naam en wachtwoord. Dat is nu gewijzigd in app of SMS code. Mijn (lichamelijk) gehandicapte vriendin is niet in staat een smart phone voor het beeld te houden; daar heeft ze de kracht niet voor. Dus de app valt af. En voor de SMS code moet ze de nodige moeite doen om de telefoon aan te nemen en de code in te tikken. Over dat soort aspecten wordt door de makers van DigiD helaas niet nagedacht...

GertMenkel

Google
Google Android

@Simon Weel • 3 december 2020 11:39

Als tip voor je vriendin, er zijn diverse programma's op Windows, macOS en zelfs Linux waar je de SMS-berichten op je telefoon automatisch en real-time mee kan synchroniseren met je PC. Zo hoeft ze niet de telefoon te pakken om de code over te tikken.

Het lost het app-probleem niet op, maar het zou haar misschien een hele hoop moeite schelen?

Wraldpyk @GertMenkel • 3 december 2020 14:51

Bij Mac is het zelfs ingebouwd

GertMenkel

Google
Google Android

@Wraldpyk • 3 december 2020 14:52

Ah, iMessage synchroniseert ook SMS? Dat is wel mooi.

Jammer genoeg zit je met iMessage vast aan iPhones en macOS, anders had ik het graag geprobeerd.

Phntm 3 december 2020 10:20

Ze gaan alle certificaten binnen het rijk vervangen/vernieuwen. Dit heeft uiteindelijk impact op alle certificaten binnen het Rijk.

https://www.logius.nl/act...rtificaat-vervangingsplan

JapyDooge @Phntm • 3 december 2020 10:56

Voor vrijwel alle DigiD koppelingen bij externe organisaties via het SAML-koppelvlak is deze actie al gedaan vorige week donderdagmorgen om 6:00.

Wel weer slordig; door de enorme drukte bij Logius (aan de snelheid van de servicedesk af te meten) gaat er daar de laatste tijd wel meer mis - zo ging ook het vervangen van het certificaat op het SAML-preproductie koppelvlak mis.

tweaker2010 @JapyDooge • 3 december 2020 23:27

Grappig dat jij dat weet dan. De meeste PKI certificaten dienen voor 31-12 vervangen te zijn zijn. De root G3 loopt nog tot 31 januari 2021.

JapyDooge @tweaker2010 • 4 december 2020 10:01

In dit geval ging het om een vervanging aan de kant van Logius, daar moet de rest van het land dan wel op reageren anders werkt je koppeling niet meer.

Octopuz 3 december 2020 20:06

De app is inmiddels weer vindbaar en installeerbaar op Android 11. @Anoniem: 13272

shicomm 3 december 2020 11:31

Oef... Dan wacht ik nog even met het upgraden.. Heb de digid app iets te vaak nodig..

ArawnofAnnwn @shicomm • 3 december 2020 13:48

Oprechte vraag, waar gebruik je dit voor? Ik heb een koophuis, een baan, een auto voor de deur staan. Ik gebruik 1 keer per jaar mijn Digid inlog gegevens voor het doen van mijn belastingaangifte. verder nooit.

shicomm @ArawnofAnnwn • 3 december 2020 18:13

De berichtenbox van mijnoverheid.nl , uwv.nl , de zorgverzekering en werk.nl zijn de meest gebruikte items voor m'n digid.

Ruuddie 3 december 2020 10:20

Bij mij werkt de reeds geïnstalleerde app ook niet meer. Hij geeft aan "App update beschikbaar" als ik probeer in te loggen middels DigiD, maar vervolgens zegt hij in de Play Store dat mijn app niet meer werkt met mijn apparaat. Ik heb een Pixel 4 XL op Android 11.

Hopelijk fixen ze het snel, want ik kan nu niet meer bij mijn zorgverzekeraar inloggen. Toevallig wilde ik hier gisteren op inloggen om de polis voor komend jaar uit te zoeken.

boeman1995 @Ruuddie • 3 december 2020 10:28

Bij mij werkt hij gewoon op mijn OP8, als ik gewoon bovenin op het kruisje klik. Dan verdwijnt dat scherm en kan ik hem gewoon normaal gebruiken. Gisteren een paar keer gedaan!

Edit: De camera vervormt de QR-code op mijn telefoon wel, maar hij werkt bij mij nog steeds prima en dit gebeurde ook al voor Android 11 erop stond.

[Reactie gewijzigd door boeman1995 op 23 juli 2024 06:19]

spelbreker @boeman1995 • 3 december 2020 10:34

OP7T (android 10) vervormt de QR code op het scherm. kost ook moeite om deze te scannen vaak.

Carharttguy @Ruuddie • 3 december 2020 10:29

Ik ken de situatie niet in NL, maar is er geen enkel alternatief voor de DigiD app dan?

cornebw @Carharttguy • 3 december 2020 10:31

Je kan altijd nog inloggen met je gebruikersnaam en wachtwoord in combinatie met een SMS code

rneeft

@cornebw • 3 december 2020 10:47

Kijk dit vind ik zo dom bij DigiD. Ik maakt gebruik van de app en deze is oke een beetje omslachtig (ik heb ook liever een standaard app zoals Microsoft/Google Authenticator) maar dan kan er nog steeds gekozen worden voor inloggen met username/password. Dat zou ik dus het liefst willen blokeren met mijn account, maar die optie heb ik nog niet gevonden.

NKR @rneeft • 3 december 2020 10:57

digid.nl -> inloggen mijn digid -> scrollen tot 'Altijd inloggen met de DigiD app of sms-controle' -> wijzigen

Geen dank

rneeft

@NKR • 3 december 2020 13:09

$_/-\o_$ thnx!

Moartn @rneeft • 3 december 2020 10:56

De aanbieder van de website/dienst die DigiD gebruikt bepaalt wat het minimum beveiligingsniveau is dat ze accepteren. Bij dingen die met zorg te maken hebben (je zorgverzekering bijvoorbeeld) zul je bijvoorbeeld zien dat inloggen met username/password niet toegestaan is.

michielRB @Moartn • 3 december 2020 12:38

Bij dingen die met zorg te maken hebben (je zorgverzekering bijvoorbeeld) zul je bijvoorbeeld zien dat inloggen met username/password niet toegestaan is.

Heb je dat ooit geprobeerd dan? Want het is totale onzin wat je zegt.
Ik gebruik geen app en kan prima met digid user/wachtwoord inloggen bij zorgverzekering, belastingdienst, DUO etc... En ja, er is 2fa met een geverifieerd mobiel telefoonnummer.

Moartn @michielRB • 3 december 2020 14:28

Ik had het over alleen inloggen met username/password, dus geen 2FA met SMS erbij. Dat noemt men bij DigiD niveau Basis. Inloggen met SMS-verificatie, of via de app is een niveau hoger, namelijk Midden.

michielRB @Moartn • 3 december 2020 14:31

Bij mij staat 2fa voor digid altijd aan. Dus ook voor sites die dat schijnbaar niet vereisen. Zodra er ingelogd wordt, ga je sowieso naar de digid website voor het inloggen. Het token dat dan gegenereerd wordt is dan geldig voor de dienst waar je wilt inloggen. De authenticatie gebeurd door digid. (incl 2fa via sms)

Wild e-Man @rneeft • 3 december 2020 10:56

Altijd inloggen met de DigiD app of sms-controle, in te stellen via mijn.digid.nl

ChiMan @cornebw • 3 december 2020 11:16

Maar niet elke website met DigiD werkt met SMS code.
Bij velen waaronder mijnoverheid.nl is gebruikersnaam en wachtwoord genoeg.

nexhil @Domih • 3 december 2020 10:42

staat gewoon in mijn password manager....

Gé Brander @Domih • 3 december 2020 10:55

Daar zijn password managers voor.

Edit: spuit elf

[Reactie gewijzigd door Gé Brander op 23 juli 2024 06:19]

Bergen @Domih • 3 december 2020 10:52

Staat hier gewoon in Keepass. Misschien moet je ook eens een wachtwoord-manager proberen. Dan kun je bij elke website een ander (willekeurig) wachtwoord gebruiken en hoef je niets meer te onthouden.

[Reactie gewijzigd door Bergen op 23 juli 2024 06:19]

Domih @Bergen • 3 december 2020 11:34

Zit er al lang over te denken, op mijn werk gebruik ik nu keypass.
Maar wat als ik bij DigiD moet inloggen op mijn smartphone? Moet ik dan zo'n lang willekeurig wachtwoord overtypen?

borft @Domih • 3 december 2020 11:37

again: password manager? die kan je toch gewoon syncen naar je mobiele device?

cornebw @Domih • 3 december 2020 12:20

Ik heb mijn Keepas databse op Onedrive staan. Dus ik via al mijn devices bij mijn password maanger komen

TERW_DAN @Domih • 3 december 2020 14:14

Geniaal!

En als ik nou op de telefoon van mijn maat bijvoorbeeld wil inloggen?

Dan log je daarin op je password manager.
Zelf gebruik ik LastPass, dat wachtwoord weet ik, dus ik kan een willekeurige PC pakken, de website openen (of browserextensie), of willekeurige telefoon waar die app opstaat en inloggen. Die doet ook mooi autocompleteion in applicaties. Ik weet echt nog maar een handjevol wachtwoorden uit m'n hoofd, en dan is op een schone PC of telefoon iets meer werk om voor de eerste keer in te loggen, maar daarna is het zoveel sneller en veiliger.

svane @Domih • 3 december 2020 14:14

Als je op die telefoon van je maat geen 8 karakters wilt overtypen dan ligt het probleem echt bij jezelf

Zo achterlijk vind ik die eisen ook weer niet:

bijv: Domih94! zou toch te onthouden moeten zijn!

ToolBee @Bergen • 3 december 2020 17:26

Of gewoon de nieuwste Firefox, die kan dat ook voor je onthouden.

Blokker_1999

Google

@Domih • 3 december 2020 10:38

password reset?

somososan @Blokker_1999 • 3 december 2020 10:43

Die is er alleen krijg je dan een papieren vervangingscode dacht ik. niet zo snel dus

darioboy75 @Domih • 3 december 2020 10:38

Uiteindelijk onthoud je die wel na x keer intypen. Ondertussen is die hier vrij lang geworden

bilkin2005 @Domih • 3 december 2020 10:47

password manager?

Carlos0_0

Smartphones

@Domih • 3 december 2020 11:17

Die weet ik prima uit mijn hoofd en anders heb je Keepass of iets.

Philo Melos @Domih • 3 december 2020 14:45

Daar hebben ze dus wachtwoordmanagers voor uitgevonden!

fruitbakje

@Carharttguy • 3 december 2020 10:32

Hangt er vanaf waar je precies wilt inloggen. Direct bij overheidsdiensten moet je meestal (ik denk altijd) DigiD gebruiken (als particulier). Maar bij zorgverzekeringen bijvoorbeeld kán het, maar is het niet noodzakelijk. Daar zijn ook andere mogelijkheden. Ik weet alleen niet of je, als je bij je zorgverzekering DigiD als methode hebt ingesteld, makkelijk kan switchen naar een andere methode.

Xfade @Ruuddie • 3 december 2020 11:53

Sideloaden?

michielRB @Xfade • 3 december 2020 14:32

serieus? brrrr!

Kenhas 3 december 2020 10:22

Foutjes kunnen natuurlijk gebeuren, zolang het maar snel opgelost wordt. Ik ga er beetje van uit dat ze een update publiceren maar zonder een geldig certificaat.

Vind het wel opmerkelijk dat de app gewoon blijft werken. Een niet-geldig certificaat zou er toch eigenlijk voor moeten zorgen dat die app op zich ook niet meer geldig is en dus niet meer werkt. Apps kunnen natuurlijk ingetrokken worden door Google maar is zo'n certificaat niet de eerste "line of defense"?

WoutervOorschot

@Kenhas • 3 december 2020 10:28

Het zou het developer certificaat kunnen zijn, daar sign je je apps mee. Als je die kwijtraakt (moet je zelf bijhouden) heb je een behoorlijk probleem want dan accepteert google je updates niet, omdat het met een ander certificaat (en dus private key) is gesigned.

Lijkt me sterk (hopelijk) dat zo’n grote zaak dat kwijtraakt, ik ken de details van de signing certificaten ook niet precies, maar dat zou het kunnen zijn.

GertMenkel

Google
Google Android

@WoutervOorschot • 3 december 2020 11:43

Ik denk dat dat de meest logische reden zou zijn dat ze geen update door kunnen voeren, anders zouden apparaten op andere software-versies het ook niet doen namelijk.

Ik kan me voorstellen dat een partij als Logius hun code signing-certificaat op een hardware-module hebben zitten, en als een software-update ervoor zorgt dat de APK niet ondertekend kan worden, kun je ook je app niet updaten.

Het zou ook kunnen zijn dat ze gewoon (het wachtwoord van) de key store kwijt zijn, maar dat zou wel heel kwalijk zijn voor een partij zo groot als Logius.

PD2JK

@Kenhas • 3 december 2020 10:26

Lijkt mij ook. Als je een ongeldig certificaat accepteert/doorlaat, kun je ook de klos worden bij mitm attacks.

Relief2009 3 december 2020 11:46

In tegenstelling tot anderen werkt de app hier fenomenaal. Kan makkelijk naar mijn overheid en dan met de digid app snel inloggen met pincode. Ook op andere mobile compatible website werkt het inloggen met digid heel goed.

Ortep

@Relief2009 • 3 december 2020 12:05

Hier werkt ook alles prima.

djmelvee 3 december 2020 10:20

Werkt op mijn OnePlus 8 Pro negen van de tien keer niet. Camera is vervormd waardoor de QR code raar wordt en niet uitgelezen kan worden.

Edit: Hoe dan ongewenst, dit gaat over de DigiD app, op mijn Oneplus 8 Pro met Android 11

[Reactie gewijzigd door djmelvee op 23 juli 2024 06:19]

GertMenkel

Google
Google Android

@djmelvee • 3 december 2020 11:49

Het lijkt erop dat DigiD gewoon de eerste of laatste camera pakt die je apparaat aanbiedt, en als dat een groothoeklens is en de app geen correctie toepast, ben je de klos. De juiste camera selecteren is zo makkelijk nog niet, want je kunt niet zomaar zien welke camera nu de "hoofdcamera" is met de Android-API, je zult een set vereisten moeten kiezen en in de code moeten filteren om te vinden welke van alle camera's nu degene is die de beste karakteristieken heeft.

Ik heb het zelf ook. Het zou fijn zijn als DigiD een dropdown van alle camera's zou maken, zodat je de juiste zelf kan kiezen, alhoewel ik wel denk dat de meeste mensen erg verward zullen raken door de zes camera's waar ze uit moeten kiezen.

Gelukkig zijn QR-codes gemaakt om met slecht beeld herkend te worden dus alhoewel ik iets soortgelijks heb, doet hij het meestal weer wel.

robpizza @djmelvee • 3 december 2020 10:33

Heb ik ook altijd, dat het een beetje in elkaar gedrukt lijkt, overigens werken deze nog wel gewoon voor mij.
(Of is dit niet wat je bedoeld?)

djmelvee @robpizza • 3 december 2020 14:45

Precies wat ik bedoel. Ligt er aan op welke monitor ik werk ook merk ik. Op mijn werk bijvoorbeeld heb ik echt moeite (of op de laptop van werk). Zodra ik thuis zit kan ik zonder problemen scannen.

Jazco2nd 3 december 2020 10:47

De app werkt hier vaker niet dan wel. Android 10, Pixel 1. Na de authenticatie in de app wordt je teruggestuurd naar de site, maar gaat iets mis in de redirect. Zegt vaak dat er al 15min zijn verstreken of dat het de pagina niet getoond mag worden, gekke meldingen.

Inloggen op een ander apparaat (laptop) met authenticatie via de app gaat wel. Maar ik vind sms dan makkelijker. Dat is natuurlijk niet veilig, maar het alternatief is frustrerend onbetrouwbaar.

Irritant dat je niet gewoon je MFA app kan gebruiken zoals Aegis, Authy etc.

Op dit item kan niet meer gereageerd worden.

DigiD is niet te downloaden op toestellen met Android 11

Lees meer

Reacties (208)

Sorteer op:

Weergave: