Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

Mogelijkheid om met sms-controle in te loggen op DigiD verdwijnt op termijn

De Nederlandse overheid wil de mogelijkheid om in te loggen op DigiD met sms-controle uitfaseren. 'Op termijn' zal die mogelijkheid verdwijnen, maar wanneer is nog niet bekend. Dat wordt gedaan om de dienst veiliger te maken.

Demissionair staatssecretaris van Binnenlandse Zaken Raymond Knops schrijft in een Kamerbrief over het stoppen met sms-authenticatie voor DigiD. "Het is mijn streven om het gebruik van DigiD tweefactor met sms-authenticatie zoveel mogelijk te gaan uitfaseren. Op termijn zal het minimaal vereiste niveau de DigiD tweefactor met app zijn, of een vergelijkbare private oplossing."

Volgens Knops moet dat wel verantwoord gebeuren en niet leiden tot uitsluiting van een groep mensen. Daarbij verwijst hij naar de groep van 2,5 miljoen laaggeletterden, die mogelijk niet over voldoende digitale vaardigheden beschikken 'om dit gemakkelijk te regelen'. Daardoor is nog niet duidelijk wanneer sms-controle als authenticatie wordt uitgefaseerd. Eerst wil Knops in kaart brengen 'wie er niet mee kunnen' en oplossingen bedenken, zoals een machtigingsvoorziening.

Voor Nederlanders die 'niet digitaal participeren' of uit principiële overwegingen geen gebruik willen maken van digitale middelen, blijft volgens Knops de 'analoge wijze' om contact te hebben met de overheid openstaan.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Julian Huijbregts

Nieuwsredacteur

23-03-2021 • 12:29

412 Linkedin

Submitter: molens

Reacties (412)

-14120405+1198+245+31Ongemodereerd184
Wijzig sortering
Als we dan apps gaan verplichten, kunnen we dat op basis van open standaarden doen? Dit zodat derden zelf ook voor ondersteuning van platforms kunnen zorgen die de overheid niet ondersteunt.
Yup. Gewoon TOTP implementeren. Simpeler, veiliger dan SMS, en makkelijk te distribueren (eventueel met een extra verificatie via een ander kanaal).

Andersom is dit straks ook minder een probleem als men zich met hun identiteitsdocument digitaal kan identificeren. Daar had Nederland al 10 jaar eerder naar moeten kijken.

[Reactie gewijzigd door The Zep Man op 23 maart 2021 12:42]

Yup. Gewoon TOTP implementeren. Simpeler, veiliger dan SMS, en makkelijk te distribueren (eventueel met een extra verificatie via een ander kanaal).
Duizend maal dit.
Yup. Gewoon TOTP implementeren. Simpeler, veiliger dan SMS, en makkelijk te distribueren (eventueel met een extra verificatie via een ander kanaal).

Andersom is dit straks ook minder een probleem als men zich met hun identiteitsdocument digitaal kan identificeren. Daar had Nederland al 10 jaar eerder naar moeten kijken.
TOTP gaat het niet worden.

Het idee van de app is dat die app op slechts 1 apparaat tegelijkertijd is aangemeld.

De codes van TOTP zijn te eenvoudig te kopiëren naar andere apparaten, om nog maar te zwijgen over de apps met export-mogelijkheden.

Dus helaas, het worden geen open standaarden, want die zullen allemaal dit probleem hebben.
Dus security trough obscurity is de oplossing? Want als de data op je telefoon staat, kun je die ook eraf kopiëren, tenzij met gaat berusten op de TMP's oid. Voor dat laatste zou dan weer prima een open spec gemaakt kunnen worden dus dat zal het trucje ook niet zijn.
Dus security trough obscurity is de oplossing? Want als de data op je telefoon staat, kun je die ook eraf kopiëren, tenzij met gaat berusten op de TMP's oid. Voor dat laatste zou dan weer prima een open spec gemaakt kunnen worden dus dat zal het trucje ook niet zijn.
Nou dat valt dus vies tegen.

TOTP zou prima kunnen werken als men zou kunnen garanderen dat de sleutels niet gekopieerd worden, maar dat kan niet.

Provisioning, een mogelijke onderschepping daarvan en exportmogelijkheden zijn dus het probleem hier.

Dus een oplossing moet bestaan uit een secure element dat ZELF een geheime sleutel genereert die de module nooit verlaat.
De bijbehorende publieke sleutel kan men dan gewoon over het internet versturen, maar hoe gaat men dan garanderen dat dat de juiste sleutel is?

Voor TPM's zijn er op dit moment geen geschikte open standaarden waar dit mee mogelijk is.

FIDO2 komt het dichtst in de buurt, maar dan is het probleem niet alleen Provisioning, maar ook nog eens bootstrapping van het hele systeem.

Dus waarschijnlijk gaan we in de richting van het systeem dat er al is: Paspoorten, ID-kaarten, rijbewijzen en NFC-lezers aan de computers.
Als je je DigId app installeert dan moet je je identificeren met je paspoort of rijbewijs middels NFC.
Daar hebben ze 10 jaar geleden al naar gekeken --> been there done that
TOTP: Time-based One-Time Password
https://en.wikipedia.org/wiki/Time-based_One-Time_Password

Dat klinkt heel goed, maar, vraag ik mij af, hoe gaat dat werken voor mensen die geen smartphone hebben, of geen app willen/kunnen installeren?
Zolang het gebruikt maakt van de standaard hoef je geen google authenticator te gebruiken. Er zijn ook multiplatform desktop versies van bijvoorbeeld Authy.
Hoe ontvangen zij nu dan een sms? Want voor een hoop diensten zijn sms of DigiD app verplicht.
Voor de belastingdienst-app wordt de DigiD-app niet eens ondersteund. Ik moest perse inloggen met gebruikersnaam en wachtwoord, om daarna de melding te krijgen dat ik sms-authenticatie weer moest inschakelen, of moest inloggen via de app ( wat dus niet ondersteund wordt). Als je klikt op 'meer informatie' gebeurt er niks. Je krijgt wel een knop met 'ga terug om in te loggen via de app', WAT DUS NIET ONDERSTEUND WORDT. Als ik daar op klik, komt er ook nog eens een foutmelding. Misschien zou de belastingdienst eerst zulke zaken moeten oplossen voordat ze sms gaan uitfaseren.

EDIT: Dit is op Android

[Reactie gewijzigd door pbruins84 op 23 maart 2021 15:02]

Ik geloof niet helemaal dat dit een fout is bij de Belastingdienst? Bij mij en vele andere werkt het gewoon.
Denk dat in dit geval de fout dus bij jou ligt.
Ik zit op Android, misschien gebruik jij een ander platform.

De reviews in de Play store staan hier vol mee, dus ik ben zeker niet de enige. De meeste mensen zullen sms-authenticatie aan hebben staan, maar deze had ik vanwege veiligheidsredenen uitgeschakeld, omdat de DigiD-app een veiliger alternatief is.

[Reactie gewijzigd door pbruins84 op 23 maart 2021 15:03]

Ook hier geen probleem ondervonden met de aangifte en de android Digi-D app. Moest meerdere keren inloggen want gezamenlijke aangifte en alle keren met de app gedaan (ook mijn vriendin, tevens android) zonder problemen.
Maakte je dan ook gebruik van de aangifte-app op Android? Ik kan namelijk ook prima inloggen met de DigiD app op de website van de belastingdienst. Maar niet in de aangifte app (https://play.google.com/s...lastingdienst.maa2019.pub). Daar krijg ik alleen twee tekstvelden voor gebruikersnaam en wachtwoord.
Nee via de website, niet via de aangifte app inderdaad.
Bij mij is het aanmelden via de android app prima gegaan tijdens het indienen van mijn belastingsaangifte. Ook meerdere keren moeten doen i.v.m. een gezamenlijke aangifte en geen enkele keer een probleem geweest (ook niet voor mijn vrouw, zij gebruikt ook android). Welke android versie draait je? Ik draai android 11.
Ik draai ook Android 11. Maar maakte je ook gebruik van de aangifte app op Android? Op de website van de belastingdienst kan ik prima inloggen met de DigiD- app.

Het gaat alleen mis als je de aangifte-app wilt gebruiken in combinatie met de DigiD-app. Dat wordt niet ondersteund, en dat is ook wat de helft van de negatieve reviews op de Play Store zegt.
je kan zelfs een gesproken SMS ontvangen op een vaste telefoon lijn => mobiel is niet eens nodig
Een sms kun je ook op een 'gewone' mobiel ontvangen.
En, belief it or not, ik geloof dat je zelfs nog zonder 2FA kunt inloggen, met alleen username/password.
Dit is afhankelijk van het security niveau wat de DigiD applicatie afdwingt.
Het slaat nergens op dat ze sms-controle om in te loggen op DigiD verwijderen, en je straks verplichten om een App van hun op je smartphone te zetten, moet geen troep App van de regering op me Smartphone.
Sms is niet veilig. Het slaat nergens op dat dat een optie was. Maar met je 2e punt eens als alternatief mag er best een open standaard worden gebruikt. Zodat je gewoon je Aegis of Authy app kunt gebruiken.
Sms is niet veilig. Het slaat nergens op dat dat een optie was. Maar met je 2e punt eens als alternatief mag er best een open standaard worden gebruikt. Zodat je gewoon je Aegis of Authy app kunt gebruiken.
Geef dan maar een alternatief dat ook werkt op een dumbphone, of een seniorentelefoon, op Sailfish OS (of op een Windows-telefoon).

En men gooit nu alles op 2FA-apps op Android en iOS, maar je kunt een telefoon verliezen, of laten vallen waarna dat die het niet meer doet, of zo'n ding kan er zelfs onverwacht mee ophouden (al met diverse toestellen gehad). Ook willen kinderen vaak een spelletje spelen op de telefoon van papa of mama. Juist een mobiele telefoon is in deze totaal niet veilig.
Zo is dat, doe dan een alternatief waarbij je niet verplicht wordt een kloten mobiel te gebruiken. Bijvoorbeeld een echt moeilijk wachtwoord of een reader zoals bij diverse banken.
Sms is niet veilig.
Het is ook geen sms, het is sms als bevestiging. Natuurlijk zou het heel misschien onderschept kunnen worden, sure. Maar of dat ook makkelijk gaat naast het invoeren van het wachtwoord? Dat scenario lijkt mij sterk.

[Reactie gewijzigd door 7ven op 28 maart 2021 20:28]

Op een "dumb" phone. Die kunnen prima een sms ontvangen, maar geen apps installeren.
In Nigeria kunnen ze gewoon met een gehackte telefoon jouw telefoonnummer nummer claimen bij de SMS provider. Het claimen van het nummer tbv SMS is geen beveiligd protocol.
En dan komen al je SMSjes in Nigeria aan tot jouw eigen telefoon na een interne WTF joue SMS nummer weer claimt.
Het s dus logisch dat de SMS verificatie stopt. Wellicht is een OTP generator (alla randomreader van de bank) een betere oplossing dan een SMS en app/telefoon onafhankelijk.
In Nigeria kunnen ze gewoon met een gehackte telefoon jouw telefoonnummer nummer claimen bij de SMS provider. Het claimen van het nummer tbv SMS is geen beveiligd protocol.
En dan komen al je SMSjes in Nigeria aan tot jouw eigen telefoon na een interne WTF joue SMS nummer weer claimt.
Het s dus logisch dat de SMS verificatie stopt. Wellicht is een OTP generator (alla randomreader van de bank) een betere oplossing dan een SMS en app/telefoon onafhankelijk.
Misschien wel, maar dan moeten mensen daar op dezelfde manier mee om kunnen gaan als met een bankpas, en dus, ook nog eens altijd bij zich hebben. En ook die apparaatjes kunnen stuk gaan.
Dan werkt in principe een ID-kaart met NFC-chip en pincode beter. Dan kun je de qr-kleurenscanner nog eenvoudig vervangen als die kapot gaat.
Er vindt grootschalige fraude plaats in Nigeria. Het concept achter MFA is dat je hen dan buiten spel zet, behalve dat ze dus ook makkelijk je SMS kunnen afvangen en de SMS dus een zinloze MFA-vorm is.
Dus punt 1: Ongeacht waarvoor het dient, je MFA moet iets beters zijn dan SMS.

Punt 2: Mensen schijnen geen app te willen installeren (aldus de reacties op deze pagina) Voor hen is een stukje extra hardware dan een uitkomst. (Hoewel de meerderheid ongetwijfelt nu hoog van de toren blaast en straks dan zo'n extra reader toch een gedoe vindt en dan alsnog de app gaat installeren....
Er vindt grootschalige fraude plaats in Nigeria. Het concept achter MFA is dat je hen dan buiten spel zet, behalve dat ze dus ook makkelijk je SMS kunnen afvangen en de SMS dus een zinloze MFA-vorm is.
Dus punt 1: Ongeacht waarvoor het dient, je MFA moet iets beters zijn dan SMS.
Akkoord, misschien dat dit onvoldoende overkwam in mijn vorige reactie. Probleem is echter dat smartphones vaak kapot gaan. Ongeveer 10% van de Nederlandse bevolking loopt een half jaar of langer rond met een gebarsten scherm (voor corona-tijd, het zal niet afgenomen zijn). Daarnaast zijn er ook diverse smartphones die, ook al hebben ze geen kapot scherm, onverwacht niet meer werken.
Dat kan komen door een plotseling lege accu*1, door kapot vallen, maar ook door onverwachte soft*2- of hardware*3-falen.

*1 (eergisteren legde ik de mijne, toen er een melding kwam dat de accu 15% was, aan de lader, maar korte tijd daarna was hij op 5%. Ik heb toen de stroombesparingsstand op maximaal gezet, maar tegen einde werktijd was hij toch op 4%, ondanks dat het laadsymbool al die tijd aangaf dat er geladen werd, en nee het ding werd al die tijd niet gebruikt).

*2 Na een OS-update crashte mijn vorige telefoon steeds als ik 's ochtends rond 7:00 het alarm afzette, het duurde dan tot na 16:00h voordat de accu leeg was, en deze na opnieuw geladen te zijn, weer werkte. Na het niet meer gebruiken van dit alarm kwam het echter nog steeds voor dat de telefoon crashte, nu op onverwachte momenten. Na ongeveer een maand of 9 ging hij echter na het leegmaken van de accu niet meer aan, Ik ben toen tijdelijk een oudere telefoon gaan gebruiken (zie *3) maar twee of drie maanden later startte hij toch weer op. Dan heeft mijn vrouw hem nog een maand of 3 gebruikt, maar ook bij haar crashte het ding, de eerste keer 's middags weer herstart, de tweede keer weer een maand niet gebruikt, en ba de derde crash was het definitief voorbij.

*3 Deze telefoon viel op een gegeven moment onverwacht uit, en wilde niet starten. Later lukte het dan wel weer. Dit gebeurde een paar maal zo, en daarna ging hij niet meer aan. Toen het toestel gekocht onder *2 maar toen die uitviel bleek deze weer te starten. Dat was echter van korte duur, (5 minuten) en daarna kwam ik er achter wat de reden was. Er zat in het batterijcompartiment ongeveer 2mm speling. Als de accu naar beneden zakte maakten de contactjes geen verbinding en viel de telefoon uit. Ik heb dit toen opgelost met een dubbel stukje karton, maar op een gegeven moment, waarschijnlijk door andere hardware-problemen, startte het toestel ook niet meer op.

Daarnaast geven heel veel mensen hun telefoon uit handen als hun kinderen een spelletje er op willen spelen.

Kortom, mobiele telefoons zijn notoir onbetrouwbaar en onveilig.
Punt 2: Mensen schijnen geen app te willen installeren (aldus de reacties op deze pagina) Voor hen is een stukje extra hardware dan een uitkomst. (Hoewel de meerderheid ongetwijfelt nu hoog van de toren blaast en straks dan zo'n extra reader toch een gedoe vindt en dan alsnog de app gaat installeren....
Ouderen hebben vaak een seniorentelefoon waarmee alleen gebeld en ge-sms-t kan worden. Daarbij zijn er heel veel mensen die rondlopen met een budget-telefoon met ofwel te weinig opslagruimte voor nog een app*4, of met een te oude Android versie. Ik ken iemand, multimiljonair, die graag Itsme (de Belgische tegenhanger van DigiD) op haar telefoon wilde, maar het weigerde te werken omdat de Android-versie te oud was. Dit was overigens een Samsung Galaxy Alpha.

*4 Mijn eerste smartphone, een Samsung had op een gegeven moment zo weinig geheugen over dat apps kort na opstarten afgesloten werden, ook al stonden de apps waarmee dat kon allemaal op de SD-kaart. Ik heb toen vrijwel alle apps verwijderd, maar kon toch geen nieuwe installeren, want het werkgeheugen zat overvol met services. Ook na een systeemreset bleef dat trouwens zo. Er zat gewoon te weinig werkgeheugen in. Dat is één van de vele redenen waarom ik nooit meer een Samsung koop.

Zo'n extra reader is leuk. Ik heb er op mijn werk ook zoëen liggen, nadat ING de sms-TAN-codes afschafte. Besef wel dat dit dus werkt zoals een extra betaalpas. Het werkt alleen voor één persoon (of betaalrekening), en je hebt er een aparte pincode bij. Daarnaast is het nog steeds een elektronisch apparaat met een batterij die leeg gaat raken. Voor thuis, of op kantoor is zo'n reader een bruikbare oplossing, maar voor onderweg niet. Het is een extra apparaat dat je kwijt kunt raken, dat kan beschadigen, en dat niet tegen vocht kan, dus niet kunt meenemen als er een risico is dat je natregent.
Zoals ik begreep zijn ook bij sommige andere banken de readers gekoppeld aan één rekening.
Echter als de batterij van mijn AMRO-reader leeg is, dan kan ik wel mijn bankpas met een andere reader gebruiken. Als je wilt kun je er dus een paar op voorraad houden, dan heb je backup.

België heeft al jaren een ID-kaart met een chip die is uit te lezen met een smartcardreader (of via NFC) en PIN-code, en alle overheidszaken zijn daarmee te doen. Is je reader kapot dan haal je een andere reader. Dit werkt een stuk betrouwbaarder dan DigiD. Alleen als je als buitenlander (bv Nederlander) daar belastingaangifte moet doen, of als je steeds je verlengde uitzendcontract digitaal moet verlengen, dan loop je tegen een muur op. Je moet dan een token halen in Brussel bij een dienst waar je alleen in het Frans een afspraak kunt maken, en ook als je de stad met de auto in wilt, zul je via een enkel Franstalige website je kenteken moeten doorgeven. Openbaar vervoer kun je ook licht vergeten, want de tickets en abonnementen kun je alleen aanschaffen als je al in België bent.

[Reactie gewijzigd door BeosBeing op 25 maart 2021 10:01]

In Nigeria kunnen ze gewoon met een gehackte telefoon jouw telefoonnummer nummer claimen bij de SMS provider. Het claimen van het nummer tbv SMS is geen beveiligd protocol.
En dan komen al je SMSjes in Nigeria aan tot jouw eigen telefoon na een interne WTF joue SMS nummer weer claimt.
Het s dus logisch dat de SMS verificatie stopt. Wellicht is een OTP generator (alla randomreader van de bank) een betere oplossing dan een SMS en app/telefoon onafhankelijk.
Dat die SMS door fraudeurs geclaimd kan worden is fout, maar die fraudeur moet dan wel al weten welk telefoonnummer bij welke bankrekening hoort. Het is niet vanzelfsprekend dat ze die al hebben, al is dat natuurlijk te achterhalen als ofwel
- het (toekomstig) slachtoffer de webpagina met deze informatie heeft geopend en de fraudeur heeft kunnen meekijken, of die pagina uit de cache kunnen halen.
- met een telefoonfactuur
- met een bankafschrift van opladen.
Dat zal al niet bij iedereen het geval zijn. Het feit dat het mogelijk is, betekent wel dat je inderdaad op een andere beveiliging moet gaan overstappen.

Misschien is due OTP-generator beter, maar dan moeten mensen daar op dezelfde manier mee om kunnen gaan als met een bankpas, en dus, ook nog eens altijd bij zich hebben. En ook die apparaatjes kunnen stuk gaan, al zullen ze - omdat ze minder gebruikt worden dan een smartphone - wel langer meegaan.

Dan werkt in principe een ID-kaart met NFC-chip en pincode beter. Dan kun je de qr-kleurenscanner nog eenvoudig vervangen als die kapot gaat. Dat ding dat de ING nu heeft is echter persoonsgebonden, heeft dus zijn eigen pincode. Dat betekent dat je de bankpas niet bij nodig hebt (handig, kun je hem thuis laten als je de bankpas meeneemt om te gaan winkelen) maar ook dat je partner hem niet kan gebruiken als haar scanner een lege batterij heeft of kapot is gegaan, en omgekeerd ook. Ook bij andere banken is het apparaatje gebonden aan één persoon of zelfs één betaalrekening (terwijl daar soms ook nog de bankpas uitgelezen moet worden).

Welk systeem je ook kiest, het zal altijd onveiligheden hebben.
1) Als het systeem te gemakkelijk is, is het te kraken
2) Als het te ingewikkeld is, zullen mensen het omzeilen. Nu al zie je dat eigenaars langer bezig zijn met hun fietsslot dan een professionele fietsendief. De praktijk van steeds moeten veranderen van passwords betekent dat mensen in plaats van <zelfbedacht> overstappen op <zelfbedacht1> en <zelfbedacht2> en als bedrijven dat gaan afvangen, stappen ze over op <1zelfbedacht> en <2zelfbedacht> of <zelf1bedacht> en <zelf2bedacht> Automatisch gegenereerde passwords worden niet onthouden en ofwel opgeschreven of in een passwordmanager geplaatst en ook met het toenemend aantal diensten dat inlogcredentials vraagt (meestal e-mailadres + wachtwoord) zijn dat de meest gebruikte acties waarbij mensen dus ook aan passwordsharing gaan doen. Alle acties van om daarom nu van die wachtwoorden af te stappen, zullen echter resulteren in
- het gebruik van een elektronisch token dat op een gegeven moment ofwel gekraakt wordt, ofwel defect gaat, ofwel verloren wordt (usb-keys e.d.)
- het gebruik van 2FA waarbij wederom gekoppelt wordt aan één faalbaar device (defect, verloren of doelwit van hackers want binnen is jackpot)
- het gebruik van biometrische gegevens.
Dat laatste is een zeer gevaarlijke ontwikkeling, want als hackers dat kraken, bewijs jij maar dat je het niet was, en ook daarna haal je niet zo makkelijk een nieuwe vingerafdruk of irisscan. Men kan het biometrisch uitleesapparaat proberen te misleiden (dat was het eerste soort hackpogingen en in het begin nog effectief ook) maar ook de communicatie tussen dat uitleesapparaat en de authenticatieunit misleiden.
3) als het systeem niet te kraken is, is het nog altijd mogelijk het slachtoffer te misleiden (inmiddels de vaakst voorkomende vorm van fraude) of deze te dwingen. Het feit dat de 2e generatie vingerafrukscanner niet werkt als de vinger is afgehakt verhindert niet dat de crimineel jou kan dwingen je vinger op het afleesapparaat te leggen. Als de politie het mag en kan, kan ook die crimineel dat. Past de politie het toe krijgt die crimineel misschien een jaartje cel. Was jij als slachtoffer met de eerste generatie alleen je geld kwijt, met de tweede ook nog je vinger, met de derde zal de crimineel zijn getuige - jij dus - ook nog willen elimineren.
Nu kun je argumenteren dat daarmee de drempel verhoogd wordt, maar een echte crimineel laat zich daar uiteindelijk niet door tegenhouden.

Ook een pincode is niet onkraakbaar gebleken. Ja de kans die te raden is verwaarloosbaar klein, maar de crimineel observeert het slachtoffer, leest de code uit het "pinapparaat" of dwingt de paseigenaar die op te noemen. Desondanks geldt die pincode als veilig genoeg. Je wilt geen wapenwedloop met de criminelen want de gevolgen voor de slachtoffers zullen steeds groter worden, en helemaal tegenhouden doe je het nooit.
Voor je belastingaangifte gewoon met een password
Hoe ontvangen zij nu dan een sms? Want voor een hoop diensten zijn sms of DigiD app verplicht.
Op een seniorentelefoon kun je dus wel sms ontvangen, maar geen apps installeren. Dat wordt dus voor een heleboel mensen gewoon een gigantisch probleem. Dat wordt dus voor hen weer papieren formulieren invullen en opsturen per snailmail die, zoals bekend, steeds vaker dingen kwijtraakt, verkeerd bezorgd of niet bezorgd (sinds ze geen echte postbodes meer hebben). Daar gaat de overheid dus nog meer tijd aan kwijt zijn.

Nee, ze willen per sé een app van een privaat bedrijf. Dan kunnen ze de verantwoordelijkheid afschuiven als het niet werkt. Nederland wordt een bananenmonarchie.
Dat klinkt heel goed, maar, vraag ik mij af, hoe gaat dat werken voor mensen die geen smartphone hebben, of geen app willen/kunnen installeren?
Die moeten de TOTP stap dan maar doen op hetzelfde apparaat als waarmee ze ook op DigiD inloggen.
Ik heb geen DigiD neem ik ook niet maar kan ook geen gegevens inzien bij mijn zorgverzekeraar andere mogelijkheden bieden ze niet.
Via de post opvragen doen ze moeilijk over belachelijk gewoon, dat kan toch ook gewoon via de website inloggen onder mijn zorgverzekeraar gegevens inzien of wijzigen onder een account die je aanmaakt, daar heb ik geen DigiD voor nodig.
Zo ver ik weet zijn er ook opties om totp op een laptop of via een web interface te gebruiken
TOTP kan je ook met een horloge, pen en papier en een rekenmachine gebruiken. Of je snel genoeg bent binnen 30 seconden weet ik niet :)
Oh, pen en papier. :)
Daar ga ik me eens in verdiepen.
Een HMAC Sha1 uitrekenen met pen, papier en een rekenmachine? Dat wordt nog best een uitdaging in 30 seconden :)
Je kunt TOTP ook op een fysiek token implementeren. Denk hierbij aan de tokens die veel ITers hebben van bedrijven als RSA.
Ja, er wordt nogal eens gezegd dat België achterloopt op techgebied en dat is niet altijd onwaar, maar er zijn ook gevallen zoals dit waarin ze wél voorlopen, want daar kan je al jaren digitaal identificeren met je id-kaart.
Hoe stop je die kaart dan in je computer? Ben benieuwd hoe dat gaat.
Net als in Nederland,....
Je kunt je de app op je smartphone koppelen middels de NFC chip in je paspoort/rijbewijs.
Dus een app, die ik niet ga installeren.... lol.
Het werkt op dezelfde manier zoals een bankkaart.
En je kunt er niet enkel jezelf mee identificeren. Je kunt ook digitaal je handtekening zetten. Ik zet bijna wekelijks een digitale handtekening op een aangifte.
Ook dát klinkt superhandig! Wordt echt tijd dat we dat hier in Nederland ook krijgen.
Er is ook de mogelijkheid om NFC uit je paspoort/identiteitskaart te gebruiken. Alleen ondersteund op Android en iOS, en op Windows en Mac OS als desktop-platforms :(

Ik erger me meer en meer aan hoe er mensen die met goede redenen kiezen voor alternatieve systemen het leven zuur wordt gemaakt door de overheid, die zich alleen maar lijkt te richten op de populaire systemen zonder open API's te publiceren.
Blijkbaar ben je laaggeletterd, of niet digitaal participerend als je geen Android/Apple app hebt?

Als je dus bewust kiest voor een veilig systeem wordt je, voor als nog, uitgesloten.
Juist een overheid zou een vender onafhankelijke technische oplossing moeten kiezen.
En SMS was dat (sort of).

Ik wil gewoon mijn linux desktop of telefoon kunnen gebruiken.
En ik wil zeker niet iemand anders moeten machtigen omdat die een "onveilige" android telefoon/tablet heeft.

Ik zie platform onafhankelijke techniek als een soort van "accesibility" eisen.
Je omschrijft het wat krom, maar ja, inderdaad: zonder de populaire systemen is je enige andere optie dezelfde als die voor laaggeletterden, ouderen en mindervaliden ingezet wordt: iemand anders machtigen of alles op papier doen.

Digitale communicatie met de overheid moet platform-agnostisch zijn: browser (met hoge toegankelijkheid) en/of open standaarden.
SMS is dus alles behalve veilig, het is niet encrypted, heeft geen fatsoenlijke aflever bevestiging, spoofen is een fluitje van een cent, kan worden afgeluisterd door iemand in de buurt en met simswappen kan iemand je nummer zo maar overnemen (ja dit gebeurd, nieuws: Simswappers stalen duizenden euro's aan cryptovaluta via datalek tele...)

Laten we vooral investeren in een degelijk en veilig ecosysteem wat voor 99% van de Nederlanders goed werkt. Helemaal als mensen die denken veilig te zijn zeggen dat SMS een goed alternatief is

Daarnaast kunnen brakke implementaties op exotische systemen wel degelijk een gevaar zijn voor het volledige platform, al is het maar voor het vertrouwen er van.

[Reactie gewijzigd door GrooV op 23 maart 2021 15:30]

Brakke implementaties op door Amerika gecontroleerde systemen is wel het laatste wat we willen hebben. Dat houdt in dat zowel iOS als Android voor veilige systemen afvallen. Wat overblijft zijn open systemen met als basis Linux in combinatie met federated systemen (b.v. Matrix) en eind tot eind versleuteling (dus zonder de Grapperhaus achterdeur).
SMS is dus alles behalve veilig, het is niet encrypted, heeft geen fatsoenlijke aflever bevestiging, spoofen is een fluitje van een cent, kan worden afgeluisterd door iemand in de buurt en met simswappen kan iemand je nummer zo maar overnemen
En een app op een smartphone is 100% waardeloos als deze internet-connected is en via malware overgenomen kan worden. Wat ook met enige regelmaat gebeurt.

En dat is massal op afstand te misbruiken en te coordineren met andere eavesdropping van internet-connected devices. Zeg maar: in tegenstelling tot het onderscheppen van een SMS. Zolang die SMS een gedegen tweede factor is die door derden niet koppelbaar is aan een eerste factor (username+password) is er feitelijk niets mis mee, tenzij criminelen jou echt als bewust doelwit gekozen hebben en naar je toe reizen om je daarvoor op de korrel nemen. En dat risico zal bij Jan Modaal vrij laag liggen.

Voor de veiligheid van SMS als two-factor wordt dan ook voornamelijk gekeken naar de veiligheid van SMS als protocol opzich; en niet zozeer naar het complete samenspel. En dat is, sorry, toch echt vrij dom.
Nou en SMS is maar een deeltje van de oplossing, je hebt nog steeds je wachtwoord nodig en dus is het niet onveilig. Vaak wordt er helemaal geen 2e factor gebruikt. Je wilt dit juist zo laagdrempelig mogelijk houden. Trouwens Paypal is juist begonnen met SMS 2e factor dus het is allemaal onzin!

Ik gebruik digi-d bijna nooit en als ik apps van hun moet gaan installeren kunnen ze in de stront zakken, dan maar geen digi-d
Ik denk niet dat je DigiD kunt vermijden. Het komt altijd wel eens voor dat je het moet gebruiken..bijvoorbeeld internet aangifte politie of je moet iets bij de gemeente op afstand regelen.

De politiek heeft Paypal verplicht om mensen via mobiel te laten inloggen dus dat is niet op eigen initiatief. Dat inloggen is eigenlijk een keer. Maar als je alle inloggegevens met bijvoorbeeld Ccleaner weghaalt dan moet je opnieuw via mobiel inloggen.
Mee eens ik gebruik digid alleen voor mijn belastingaangifte en ik heb er helemaal geen probleem mee om dat weer ouderwets via een papieren aangifte te doen. Al digid een smartphone only gebeuren gaat worden dan bedank ik ervoor.
Helemaal mee eens. Ik ga geen digid app voor 1 uur per jaar installeren. Dan zoeken ze het maar mooi uit daar :)
Erger nog, ik ga geen smartphone aanschaffen om met de overheid te communiceren :)
En als ze die verplicht gaan stellen (indirect) dan moeten ze gebruikmaken van open standaarden zodat iedereen op welk systeem dan ook toegang kan hebben/krijgen.
Was er niet een wet dat wanneer de overheid iets verplicht dat de overheid er ook zorg voor dient te dragen? We hebben dit gezien met het verplicht op zak moeten hebben van een identificatie en even voor een moment de aanschaf van een ID kaart gratis was. Daar was wel een stokje voor gestoken. Maar als de overheid nu het gebruik van een DigiD app verplicht moeten ze er ook zog voor dragen dat ook alle mensen het kunnen gebruiken. Uiteraard als de papieren versie als alternatief blijft is dat ook een oplossing. Dan maar met 10 miljoen Nederlanders een papieren aangifte doen, gewoon omdat het kan ;)
Ik zie wel wat in een apparaatje zoals de rabo scanner, heb die al een tijdje en dat werkt feilloos. Degene die een telefoon wil gebruiken kan dan zijn id kaart bij de nfc scanner houden en wie dat niet wil gebruikt het aparte apparaatje en steekt daar zijn id kaart in of houd zijn paspoort erbij.
Papieren aangifte kan nog steeds maar je moet bellen om een formulier.
Beetje zoals onze Belgische vriendinnen met hun eID.
Maar....de Hollander moet het wiel weer opnieuw uitvinden!
Mee eens een smartcardreader in mijn linux laptop waar ik een id kaart insteek zou ik helemaal top vinden, met een open standaard kun je zo iets simpel realiseren. Nu lijkt het weer een android, apple feestje te worden.
Ik pleit ervoor dat ALLE platformen ondersteund worden.
Misschien begrijpelijk dat de overheid gaat voor ondersteuning van OS platformen waar 90% of meer mensen gebruik van maken, maar ook de minderheid met andere(onbekendere) besturingssystemen moet digitaal toegang tot de overheid hebben.
Ik stel daarom voor dat mensen met alternatieve besturingssystemen zich aanmelden bij de overheid en dat zij kunnen afdwingen dat de overheid de app voor hun systeem beschikbaar maakt, desnoods door de ontwikkel en onderhoudskosten door deze groep te laten betalen ipv van expres deze mensen het digitale leven zuur te maken.
Alternatief kan je als gebruiker van een alternatief besturingssysteem ook de zorgen dat je OS meer gebruikers krijgt, maar dan vallen waarschijnlijk weer andere OS buiten de boot ;)

Hieronder de huidige marktaandeel besturingssystemen voor desktops en mobiele apparaten in Nederland:
https://gs.statcounter.co...share/desktop/netherlands
https://gs.statcounter.co...-share/mobile/netherlands

[Reactie gewijzigd door Jemboy op 23 maart 2021 14:48]

Als gebruiker van alternatieve platformen zeg ik: nee, onrealistisch. Ik verwacht niet dat de overheid software gaat maken voor NetBSD, BeOS, TempleOS, Ubuntu Touch, PureOS, SailfishOS, KaiOS etc etc etc. Laten we beginnen met open standaarden.
@Fuzzillogic We zitten denk ik voor 99% op dezelfde lijn :)
Ik vind ook dat de overheid waar mogelijk open standaarden moet gebruiken.
Bij uitzonderingen moeten ze onderbouwen (dus meer dan "1 regel" in een rapportje), waarom niet gekozen is voor open standaarden.

Let wel, er zijn natuurlijk wel argumenten aan te voeren waarom je soms (moeilijker) open standaarden kan gebruiken (kosten, userbase, beveiliging, standaard is er nog niet of word nog ontwikkeld).

Gisteren hoorde ik op het nieuws dat Europa een eigen cloudplatform will om de VS en China tegenwicht te geven. Ben ik mee eens. Probleem is dat op dit moment het enige bedrijf met kennis om dit snel op te zetten:
  • Amerikaans is
  • een slechte trackrecord heeft qua mensenrechten
Keuzes maken is soms echt een dilemma!
Ik verwacht niet dat de overheid software gaat maken voor NetBSD, BeOS, TempleOS, Ubuntu Touch, PureOS, SailfishOS, KaiOS etc etc etc. Laten we beginnen met open standaarden.
1 Met open standaarden / API's is er altijd wel iemand die iets kan maken.
2 Wat is er mis met een web-app?
3 Toevallig noem je allemaal OS-en die Linux als kern hebben/zijn. Hoe open kan je het hebben.
De eerste 3 die hij noemde zijn niet op Linux gebaseerd. De 3e heeft niet eens ondersteuning voor networking lol.
@mphilipp Misschien had ik het dikker op moeten leggen :)
Ik begrijp dat veel dingen als persoonlijk worden ervaren (bv. ik en mijn familie gebruiken besturingssysteem ABC en de regering boycot ons bewust door geen app voor onze OS te maken!)
In de praktijk weet de regering niet eens dat je OS ABC gebruikt en heeft helemaal niet bewust gekozen om voor jouw OS geen app te maken om jou "te pakken".
Iemand (als slachtoffer) kan overigens wel dat gevoel hebben.
Tsjaa...als iemand dat gevoel heeft, klopt er iets niet. De markt is nu eenmaal in handen van die twee systemen. Wat ze wél zouden kunnen doen, is het systeem van DigiD zo maken dat het voor elk OS toepasbaar is. Het DigiD systeem zelf kan dan ergens draaien, maar wordt aangeroepen door een API. Daar is heel snel een schilletje omheen gebouwd.

Probleem daarbij is, dat het weer de deur openzet voor frauduleuze apps. Juist door zelf een specifieke app te maken, heb je een stuk extra veiligheid ingebouwd. Ja, en dan hoor ik alweer roepen dat het open source moet zijn, want daar kun je niet mee frauderen. Nou, de mensen die in staat zijn om de sources te bekijken en te kunnen zien dat het 'goed' is, zijn op één hand te tellen natuurlijk. Er zijn zat manieren om een closed source programma te certificeren door een aantal partijen, zodat iedereen er vertrouwen in kan hebben. In een open source programma kan ook iets zitten, dus voor de consument/burger maakt het geen bal uit.

Maar goed, is zal wel een schaapje zijn ofzo, maar ik heb er geen problemen mee.
gelukkig is er wetgeving die de overheid dwingt om 'ik wist t niet' niet als een juiste oplossing te mogen zien. Daarnaast is er wetgeving die aangeeft dat men niemand mag uitsluiten, *en* is er wetgeving die stelt dat open standaarden en open source eerst moeten worden gekozen.
Ik denk niet dat de overheid als missie heeft om jou specifiek het leven zuur te maken, laten we dat voorop stellen.

In de links in je bericht staat in principe ook al het antwoord. De mobiele markt is voor 99.12% in handen van Droid/iOS en de desktop markt voor 94.15% van Windows/Mac. Dit zijn gesloten systemen die door een enorme meerderheid gebruikt worden. Begrijp me niet verkeerd, ik zou het ook fijn vinden als meer open standaarden gebruikt worden, maar open standaarden zijn voor een non-IT'er nu eenmaal ingewikkelder dan een proprietary app.

Het is absoluut onmogelijk om een systeem te verzinnen waar iedereen (dus de volle 100% van de nederlanders) op elk punt tevreden mee is (privacy, technologie, gebruiksvriendelijkheid, etc). Er moeten dus concessies gedaan worden, waarbij de eerste concessie zichtbaar is in het feit dat ze de meest gebruikte platformen ondersteunen en de rest bewust niet ondersteunen.

Het lijkt me ook vrij kostbaar om voor de minderheid veilige, voor de leek begrijpbare, alternatieven te verzinnen. Hoeveel mag dit dan kosten? Stel de ontwikkeling van de Android en iOS app van DigID kost bij elkaar 1 miljoen. Dan heb je 99.12% van de bevolking te pakken. Hoeveel geld is realistisch/acceptabel om uit te geven aan de resterende 0.88%?. Uitgaande van die 1 miljoen zou het ontwikkelen en ondersteunen van een open source alternatieve login methode dus niet meer dan 8800 euro mogen kosten. Daar kom je niet ver mee... Zelfs als de ontwikkeling 10 miljoen zou kosten, dan heb je nog maar 90k (wat veel lijkt, maar het absoluut niet is).
Dit zijn uiteraard allemaal fictieve bedragen, want ik heb geen idee wat de ontwikkeling van die apps kost.

Natuurlijk is het niet netjes van de overheid als je straks verplicht wordt om een android of apple telefoon te kopen puur om in te loggen, en daar kan je heel principieel en boos over doen, maar onder aan de streep schiet je daar niets mee op. Je privacy wordt mijn inziens niet aangetast als je een telefoon koopt, daar de digid app op zet en die in de kast legt en enkel en alleen voor dit doel gebruikt.

Dit is zo'n gevalletje "The needs of the many outweigh the needs of the few or the one" ondanks dat dat voor die few of one niet leuk is.
Maar jij wil dus dat de overheid nog meer geld uitgeeft om een hele kleine percentage van de bevolking te dienen. Laat ons zeggen dat 1% van de bevolking geen android of ios heeft als smartphone.
In pure aantallen zijn dat er nog veel. Maar in de massa te verwaarlozen. Maar het zou wel bv 1/3 van de kosten zijn. Aangezien het nu 50% android en 50% ios is. Een derde systeem toevoegen zou het dus elks 1/3 zijn van de kost. Aannemend dat ze even gemakkelijk er voor kunnen ontwikkelen. Want minder kennis van iets anders gaat ook ten koste van het gemak om er volk voor te vinden. Die ze dan misschien meer moeten betalen.
Ik kan inzien dat ze die investering niet willen doen. En de rest van de mensen niet extra belastingen willen betalen voor die 1% van de bevolking.
In pure getallen zijn dat veel mensen he.
voor het gemak 17 miljoen inwoners in Nederland.
1% daarvan is nog steeds 170 000 mensen.
Maar vergeleken met die 16 830 000 andere mensen is dat weinig.

En ze zouden absoluut iets platvorm onafhankelijk kunnen maken.
Maar dan klagen al die andere dat het nu niet gewoon in een appje kan op hun gsm.
Wat liefst op zoveel mogelijk diensten werkt dat ze niet teveel verschillende nodig hebben.

Dus jij mag best iets anders kiezen dan de meerderheid van de bevolking maar hou er dan ook rekening mee dat je dan soms tegen obstakels aan loopt. Dat is nu eenmaal het nadeel van in een maatschappij te leven. Je word voor een deel gedwongen om de meerderheid te volgen.
Nou doe je alsof het ontwikkelen van een open standaard / api een gigantische extra kostenpost is, terwijl ze die standaard / api ook zelf voor de Android/iOS-apps kunnen gebruiken. Ik vraag enkel om een meer platform-agnostische aanpak, met gepubliceerde interfaces.
Je bent zeker niet op de hoogte van https://www.digitoegankelijk.nl/wetgeving/wat-verplicht
De overheid is dus verplicht om JUIST toegankelijk te zijn voor de klein percentage van de bevolking met een handicap.
Met een app die niet werkt op alle platforms ga je dus hetzelfde probleem krijgen. SMS is toegankelijk voor iedereen, vandaar dat daar ooit voor gekozen is.
Dat gaat over ziekte of een beperking. Dat spreekt niet over "ik volg de kudde niet". Linux gebruiken is niet de oorzaak van een beperking.
Besef je je hoe ontzettend gevaarlijk jouw gedachten hier zijn?
Je bent ongetwijfeld zelf ook ergens een minderheid, Heck, wij Nederlanders zijn op de wereld een minderheid.
Ik ben het zat dat die minderheid in dat lage landje de hele tijd dat land voor zichzelf claimen ten koste van de rest van de wereldbevolking. plunderen die hap!
Als je democratie gevaarlijk vind, dan heb je gelijk. Ik zou niet weten waarom dit in wat voor vorm dan ook gevaarlijk zou zijn.

Je kunt NOOIT iedereen tevreden houden en alles voor iedereen beschikbaar maken. Geen enkele webwinkel, zelfs amazon draait niet op IE8 met alle functionalteiten. En toch zijn er waarschijnlijk nog genoeg mensen die met IE8 erop komen. Missen ze inkomst daardoor? Waarschijnlijk, maar dat weegt niet op tegen de enorme kosten om ook die functies te supporten op dat platform. En dit is een heel simpel voorbeeld, maar dit geldt op vrijwel alle aspecten in het leven. Dus waarom dit uberhaupt gevaarlijk zou zijn, zie ik graag een uitleg van.

Ja, ik ben zeker in bepaalde aspecten een minderheid. Maar ga niet verwachten dat de meerderheid zich aan mij dient aan te passen. En al helemaal als het gaat om een keuze die ik zelf maak, dan kies ik daarvoor en dan krijg ik dus niet alleen de voordelen van de keuze, maar ook de nadelen. En dat is precies andersom wat hierboven beschreven wordt. Hij kiest bewust voor een alternatief, en vervolgens klagen dat er functies (lees: luxe, extra's) niet beschikbaar zijn. Dit is zelfde als janken op snelheidsboetes. Het is een keuze om te hard te rijden, maar daar komt ook bij dat je de consequenties moet dragen als je dan er een bekeuring voor krijgt. Je bent zelf verantwoordelijk voor de keuzes die je maakt, consequenties of vervolg problemen moet je niet bij andere gaan neerleggen.

In je aangedragen voorbeeld doe je alsof er geen ethiek en (internationale)afspraken bestaan. Als iets kan wil niet zeggen dat je het moet doen. En als de <vul nationaliteit in> dit zouden doen, zou dat niet worden geaccepteerd door de rest van de wereld.
En in het doemsenario, dan wordt Nederland morgen nog opgedoekt als de hele wereld (of beter gezegd, meer dan 50% van de wereldmacht) vind dat Nederland geen bestaansrecht meer heeft. Dat is niet mijn gedachtegoed, dat is democratische werking.

Edit: Typo

[Reactie gewijzigd door DerDee op 25 maart 2021 20:10]

Jammer dat je dan niet de moeite neemt om te reageren. Had graag wat meer van je standpunt willen begrijpen, maar bereik je weinig met een extreem voorbeeld en zeggen dat iets gevaarlijk is terwijl het gaat over de meest geaccepteerde manier van besluitvorming. En dat alles na een minnetje te geven omdat je het bericht niet bevalt. Jammer!
of geef de mogelijkheid om ook gebruik te maken van Fido2 security keys bijvoorbeeld.
dan is een app ook overbodig
ja eens. Fido2 lijkt me bij uitstek een open standaard :)
Je koopt maar gewoon een Android toestel met G registratie, of je leeg je zakken maar bij die andere afzetter, de overheid toont hiermee immers aan dat we de grote Amerikaanse tech. bedrijven juist moeten blijven steunen in plaats van op eigen poten te staan.
De problematiek omtrent dergelijke invloedrijke bedrijven doet er voor hun blijkbaar niet toe...

Ben je mooi klaar mee, zo'n overheid.

[Reactie gewijzigd door URKb8DvHFz op 23 maart 2021 15:11]

Vorige week is dit demissionaire cabinet anders met 76 zetels een volgende termijn toegezegd. De schuld ligt dus niet direct bij de overheid, maar bij uw naasten.
Lijkt me een uitstekend plan. Snap de uitfasering van sms ivm de veiligheid, maar het zou goed zijn om een optie te bieden voor mensen zonder Android of iOS.

De regel
Op termijn zal het minimaal vereiste niveau de DigiD tweefactor met app zijn, of een vergelijkbare private oplossing.
is een indicatie dat het in ieder geval overwogen lijkt te worden.

[Reactie gewijzigd door phjk op 23 maart 2021 12:36]

De ING-reader voldoet voor mij prima. Geen app of SMS nodig.
Dat is "een vergelijkbare private oplossing".
Digid kan zich vandaag al bij de bank aansluiten.
Spaart ze jaren tijd, geld, en gedoe.

[Reactie gewijzigd door Bruin Poeper op 23 maart 2021 15:12]

How 'bout U2F? Bestaat al bijna 10 jaar, is gebaseerd op bestaande top-of-the-line crypto. Banken mogen ook volgen.
Uitbesteding aan de bieder die de juiste ongekozen topambtenaar goed heeft gewined en gedined.

Over 10 jaar moet je in het hokje vallen waar dd overheid voor kiest (een van de X big tech hokjes), en val je daar buiten dan ben je de paria.
Mijn ervaring is dat dit nu dus al het geval is. Geen DigID? Dan ben je een probleemgeval en mag je overal achteraan bellen. Ze zetten doodleuk de status dat je zaken op papier wil ontvangen weer terug naar digitaal en doen moeilijk als je uitlegt dat je geen Apple of Android telefoon hebt. Navraag bij Logius geeft weinig hoop. (zie ook mijn reply)
Als ze een app gaan verplichten wordt het vior vele lastig die geen smartphone hebben omdat ze dat niet begrijpen hoe het werkt.
En als ze dat gaan verplichten krijg je dan een vergoeding voor aanschaf toestel en het datagebruik?
De reden waarom ik nu sms gebruik is omdat ik geen overheids app op mijn mobiel wil. Zou toch niet zo moeilijk moeten zijn gewoon TOTP te implementeren, dan heb ik een eigen keuze.
Nee dat is niet zo veilig als de DigiD app, daar verleen je namelijk toegang per website/afnemer. Als je dus op belastingdienst.nl in wil loggen met DigiD dan is die code alleen geldig voor die belastingdienst.nl sessie.

Met TOTP gaat dat niet aangezien die geen context heeft, Google weet dus niet of jij de code gebruikt op Youtube of op Gmail (en in het geval van Google maakt dat ook niet uit). Ook heeft de Digid app device specifieke pincode waardoor je deze dus niet over kan zetten naar een ander device zonder deze opnieuw te configureren

[Reactie gewijzigd door GrooV op 23 maart 2021 13:37]

Maar waarom moet een app weten wat ik ga doen? Dat maakt het alleen maar potentieel minder secure. Als de backend van DigiD maar weet waarvoor ik inlog en als ze maar unieke codes vereisen om phishing te voorkomen.
Een pincode in de app hoeft van mij niet, de telefoon is al beveiligd en TOTP keys kun je ook niet zomaar exporteren.
Digid kan geen TOTP gebruiken voor toegang tot de gelinkte sites.
De gelinkte sites krijgen allemaal hun eigen TOTP mechanisme. Veel te complex voor de gebruikers.
De gelinkte sites krijgen allemaal hun eigen TOTP mechanisme.
Nee, het idee van DigiD is dat een gebruiker zich authenticeert bij DigiD. Als dat lukt krijgt de gebruiker een "token" (een kort geldig identiteitsbewijs ondertekend door DigiD) waarmee de gebruiker zich aanmeldt op de doelwebsite.
Gebruiken de gelinkte sites allemaal een andere backend dan? Ik dacht altijd dat het als volgt ging:

1. Inlogknop op gelinkte site
2. Authenticatie bij DigiD service inclusief 2FA
4. Check of gelinkte site toegang heeft
5. Geef key door aan gelinkte site

[Reactie gewijzigd door Ablaze op 23 maart 2021 14:55]

RDW, Politie, Belastingdienst, Gemeente, etc.
Op dit moment tegen de duizend verschillende systemen?
Ik heb het wel alleen over de authenticatie/autorisatie service
Inderdaad, TOTP en Oauth.
Het eerste zie ik niet snel bij DigID, het tweede maakt meer kans.
Met TOTP gaat dat niet aangezien die geen context heeft,
Onjuist. TOTP is gebaseerd op een "shared secret" dat zowel de betreffende server als de TOTP app kennen.
Google heeft gelukkig geen zier te maken met TOTP. En TOTP is prima implementeerbaar zonder hen, en zonder uplink naar wie dan ook.
De Google Authenticator is prima toch? en dat authenticeren doe je al bij de aanvraag.

[Reactie gewijzigd door freedzed6 op 23 maart 2021 13:24]

Waarom Google?
Microsoft of een andere authenticator is het zelfde met waarschijnlijk minder risico.
Waarom zou Microsoft veiliger zijn dan Google? Microsoft was nog eerder actief in het nsa prism programma dan Google.
De basis van de Google implementatie is open source: https://github.com/google/google-authenticator
Google? Maak het dan maar openbaar.
Hier gaat het om een belangrijk inlogmiddel om belangrijke zaken te moeten regelen, dit gaat die datahongerige Google niks aan, dus gebruik ik Firefox voor inloggen op DigiD.
Google heeft een protocol gemaakt hiervoor en dat is open en vrij beschikbaar voor anderen om te implementeren. Die codes zelf of waar/hoe je die gebruikt worden niet beschikbaar gesteld aan Google. En als je toch Google niet vertrouwt pak je elke willekeurige andere tool die precies hetzelfde doet.
Dat Google authenticator een populaire app voor TOTP is, betekent niet dat Google het protocol uitgevonden heeft hoor. TOTP is gewoon een RFC standaard.
I stand corrected echter is Google wel onderdeel van de taskforce die het heeft bedacht.
Nee, Google ondersteunt de protocollen, maar TOTP komt uit de hoek van OATH en Google is daar geen lid van.
List of OATH members: https://openauthentication.org/members/
Nou heeft Wikipedia niet altijd gelijk, maar is dit geval staat het er goed omschreven https://en.wikipedia.org/wiki/Time-based_One-Time_Password

En overigens, Google Authenticator ondersteunt alleen de 'standaard' TOTP tokens. Grotere sleutels als 512 bit werkt er niet in.
Ik maakte eruit op dat het was bedacht door IETF en dat Google daar een member van is maar dat had ik dan verkeerd gelezen blijkbaar. Dank voor de waardevolle correcte :)
Niet dat ik Google blind vertrouw of zo, maar Google authenticator is een prima app met een goed track record. Je kan ook prima vergelijkbare apps gebruiken als FreeOTP omdat het om een standaard protocol gaat.
Omdat die app juist bedoeld is voor het beveiligen van Google accounts zou het ook niet heel logisch zijn als Google de private keys naar zich toe zou trekken. Geeft nl alleen maar meer risico dat die misbruikt worden en is dus niet in hun belang.
Kan allemaal zijn, maar als overheid kun je het gewoon niet maken om producten van google, facebook of welk commercieel bedrijf te verplichten.

Als keuze aanbieden is één ding, maar een op zichzelf staand alternatief moet toch aangeboden worden. En ook als derde partijen als optie aangeboden worden, dan wil je als overheid nog wel zekerheden hebben over de kwaliteit. Een verkeerde keuze voor een login-app van een digid-gebruiker kan je leuk afwimpelen als "eigen schuld, dikke bult", maar daarvoor zijn overheidszaken net wat te belangrijk.
Kan allemaal zijn, maar als overheid kun je het gewoon niet maken om producten van google, facebook of welk commercieel bedrijf te verplichten.
Precies dat doen ze uiteraard met de app - ze verplichten je om een bepaald type smartphone te gebruiken.
Er zijn ook desktop TOTP clients ;)
Kan allemaal zijn, maar als overheid kun je het gewoon niet maken om producten van google, facebook of welk commercieel bedrijf te verplichten.

Als keuze aanbieden is één ding, maar een op zichzelf staand alternatief moet toch aangeboden worden. En ook als derde partijen als optie aangeboden worden, dan wil je als overheid nog wel zekerheden hebben over de kwaliteit. Een verkeerde keuze voor een login-app van een digid-gebruiker kan je leuk afwimpelen als "eigen schuld, dikke bult", maar daarvoor zijn overheidszaken net wat te belangrijk.
Ik ben het daar op zich wel mee eens, maar dat gaat niet op voor dit specifiek voorbeeld. Hoewel het in de volksmond vaak "Google Authenticator" genoemd wordt is het op geen enkele manier gebonden aan Google. Ik ben het met je eens dat de overheid een onafhankelijke implmentatie moet bieden maar daarbij wil ik dan wel dat ze zoveel mogelijk gebruik maken van bestaande protocollen en standaarden. Het TOTP-protocol dat gebruikt wordt is daar een prima voorbeeld van.
Er zijn zowel commerciële als niet-commerciële implementaties van de TOTP standaard. En ze zijn vanwege open standaarden allemaal uitwisselbaar.

Je lijkt er nu meer een probleem mee te hebben dat de overheid juist geen specifieke implementatie voorschrijft... want zodra je met zekerheden (of 'keurmerken') begint krijg je juist een scheef speelveld omdat dan alleen de grote partijen het zich nog kunnen veroorloven om iets in de markt te zetten. Niemand die een open source niet-commerciële applicatie laat testen of daar garanties op geeft, dus dan moet je noodgedwongen naar die van Google of een andere grote partij toe.
In principe ben ik het met je eens, maar het gaat hier om iets belangrijks voor dit land/gemeente.
Dit zouden ze helemaal in eigen beheer moeten hebben en goed afgeschermd en beveiligd, maar dit is een mening als leek met dit soort standaards.
En eerlijk, een app. :F ? Ik ben blij dat ik nog een mobiel gebruik zonder die troep en moet ik mijn smartfoon meenemen of gebruiken, dan alleen voor bellen en gebeld worden.
Alles moet nu via de foon, maar je weet net zoals ik, die mobieltjes worden maar zo lang ondersteund, en zo blijf je aan de gang.
App. dus handiger, nee in mijn ogen, voor de gemaksridders die elke 2 jaar een nieuwe mobiel hebben, die vinden het makkelijk en heb ik geen probleem mee, maar er zijn ook mensen zoals ik, die er wel een probleem mee hebben.
TOTP lost alle problemen in je post op. Het kan in eigen beheer, het kan op een token, het kans als app, het kan met programma's van derden.
Daarbij is TOTP een open standaard, en kun je dat (en is dat) implementeren op zo ongeveer elke taal, en elk platform. Dat je mobieltje niet meer ondersteund zou worden hangt niet van TOTP af.
Kan allemaal zijn, maar als overheid kun je het gewoon niet maken om producten van google, facebook of welk commercieel bedrijf te verplichten.
Oh gaan ze dan vermelden hoe je ook zónder de DigiD-app zelf alsnog kan authenticeren, of willen we doen alsof het moeten installeren van die app je ook niet al aan dezelfde problemen onderhevig maakt? :)

Zolang dáár geen nieuws over is, neem ik aan van niet.
“Goede track record” amehoela. Bij een update van die app een paar jaar terug op iOS ineens alle tokens kwijt. Behoorlijke “oeps”. Aardig wat werk van gehad om overal m’n 2FA te herstellen. Sindsdien die app vermeden als de pest.
2013 is 'een paar jaar terug'?
Mogen ze eerst de app wel is fixen, ding werkt gewoon niet goed op een huawei p30 pro. Blifjt hangen op de laatste stap en daardoor kan je niet inloggen :P
Ook zou de ondersteuning wel wat breder mogen. Waarom werkt de app niet meer op Android 5.x (Lollipop)? Veel digitale vaardigheid is er overigens niet voor nodig. Je moet een smartphone hebben en een PIN code kunnen onthouden.
Je moet een smartphone hebben
Correctie: je moet een smartphone met een bepaald besturingssysteem hebben (waarvan bij minimaal één van de makers grote vraagtekens m.b.t. privacy achter te zetten zijn).
Omdat Lollipop geen TLS1.3 spreekt.
Ook op me redmi note kwam ik geen steek verder bij de laatste stap :+
Bij mij werkt het ook vaker niet dan wel op een Motorola Moto G8 Plus.
Bij mij werkt het meestal op mijn LG G7, maar soms moet ik meerdere keren inloggen. Vertik het op de app op mijn nieuwe toestel te zetten ook, omdat andere mensen mijn toestel ook gebruiken. Echt lekker gebruiksvriendelijk zijn apps toch?
Ja de app is gewoon shit gebouwd.. Niet voldoende getest
Lijkt me ook sterk dat wij de enige personen zijn met problemen 😅. ID-kaart scannen was ook al een drama omdat de NFC de kaart niet zei te pakken. Echt beste oplossing ooit he, die app vol bugs 😂.
TOTP voldoet misschien niet eens. Het gaat niet alleen om authenticeren (dat jij het mag) Maar ook om identificeren (dat jij het bent).
Kleine correctie: Authentiseren gaat juist over identificatie. Autoriseren gaat over het mogen.
Ik snap waar je op doelt. Maar, ik bedenk dit even zo, kun je dit niet oplossen door een code te sturen naar het huisadres wat al bekend is of door identificatie bij de gemeente ofzo iets, en die code nodig te maken bij het instellen van een TOTP?
wat al bekend is of door identificatie bij de gemeente ofzo iets
Dit maakt het al meteen onveiliger dan de DigiD app (in het verleden is al gebleken dat codes en overheid niet samen gaan).

Het is een draak van een programma, dat geef ik toe, maar de manier hoe het werkt is naar mijn inziens de beste en veiligste manier tot op heden.
Ditto, ik wil ook geen meuk op mijn smart phone.

Laat de overheid fijn een eigen device uitbrengen net als banken e.d.
Voor bedrijfs VPN had ik ook zo'n token dingetje dat een code genereert en icm eigen code om in te loggen.
Dat heet OTP ( one time password) Token er zitten enkele problemen bij.

1: OTP tokens gebruiken normaal gesproken interne batterijen ... 5-10 jaar moeten ze vervangen worden
2: Banken zijn er grotendeels van afgestapt wereldwijd juist door de extra kosten etc die ermee gemaakt worden en een overwegend groot gedeelte van consumenten heeft liever een BYID systeem.
3: Je zit eventueel met een time drift en DigiID word door veel mensen maar heel sporadisch gebruikt.

https://searchsecurity.te...r's%20smartphone%20screen.

[Reactie gewijzigd door Zyphlan op 23 maart 2021 13:45]

Als ik de reactie van rsbroer lees, denk ik eerder aan scanners van kleurvarianten van QR-codes. Daar kunnen gewoon standaard batterijen in, en bij een bank betaal je toch wel vaste kosten waarmee zo'n ding te dekken is.

Als we het toch over dat soort dingen hebben: ik hoop dat iDIN breder ondersteund wordt. Voor elk kanaal een eigen authenticatiemethode voegt vanuit beveiligings-oogpunt weinig toe, en betere beveiliging dan zo'n scanner gaat digid toch niet bedenken. De overheid geeft aan dat iDIN niet digid zal vervangen, want je wil geen bank-login verplichten voor overheidszaken, maar het kan wel prima als keuze worden aangeboden.
Ah, bedankt, ik ben niet zo zo van de abbreviations :)

Batterijen is toch niet echt zo'n issue ? Tokens en card readers die ik heb gaan alle meer dan 10 jaar mee op originele batterij.
Na 10 jaar weer eens nieuwe token is ook niet zo verkeerd met voortschrijdende inzichten, sterkere encryptie etc.

Lijkt mij eerder een verschuiving van kosten bij die banken. Wat kost de vervangende IT dan wel niet voor die nieuwere manieren van inloggen.

Time drift kun je eenvoudig voor compenseren door de gedetecteerde drift over tijd te middelen en op te slaan.

Ik wil gewoon niet gedwongen worden mijn smartphone te moeten vervangen omdat DigiId vind dat mijn OS versie te oud is en niet meer ondersteund wordt.,
Juist DigiId is iets wat de meesten thuis gebruiken en niet zo vaak, wat is er dan tegen een OTP device die 10 jaar meegaat ?

Ik wil er zelfs voor betalen.

[Reactie gewijzigd door rsbroer op 23 maart 2021 14:59]

Batterijen is toch niet echt zo'n issue ? Tokens en card readers die ik heb gaan alle meer dan 10 jaar mee op originele batterij.
Na 10 jaar weer eens nieuwe token is ook niet zo verkeerd met voortschrijdende inzichten, sterkere encryptie etc.
het hangt ervanaf als het een echte OTP token is dus puur hardware met een interne batterij dan kunnen ze wel 10 jaar meegaan maar de normale duur is 3-5 jaar in veel gevallen dus bij jouw kan die nog werken maar als 10% uitvalt wordt dat allemaal stukken lastiger.... plus mensen blijken nogal een hekel eraan te hebben en willen juist software technische oplossing ( gebruiksgemak) en het kostenplaatje komt er bij kijken dus ik schat de kans echt 0% dat ze die optie zullen bekijken ;)
Al gedacht aan een app of een optioneel hardware token?
De paranoia mensen en stukken antiek mogen dan voor een tientje een willekeurig OTP hardware token aanschaffen die ze dan voor allerlei toepassingen kunnen gebruiken.
Batterij is echt geen issue. Mij ABN reader moet eens per 3 jaar een uurtje aan de mini-USB. (Waarbij het grote probleem is waar je godsnaam nog een mini-USB kabel hebt rondslingeren)
Dat heet OTP ( one time password) Token er zitten enkele problemen bij.

1: OTP tokens gebruiken normaal gesproken interne batterijen ... 5-10 jaar moeten ze vervangen worden
Dat vind ik een kul argument.
De meeste telefoonbatterijen halen niet eens 5 jaar en kosten -tig maal zo veel.

(Ik wil ook graag een device, zonder telefoon dus. Omdat ik al een ING scanner heb zou ik die aan DigiD willen koppelen)
Zo;n device hadden wij eerst ook. Helaas, dat vond men uiteindelijk toch te duur. Daarom moesten we naar een app op ons mobieltje :(
Er is vast wel iets leuks te doen met NFC via de chip in je paspoort / rijbewijs in combinatie met je mobiel.
Dat is precies hoe de DigiD app werkt ;-)
Oh? Ik dacht dat de DigiD app ook werkte op mobieltjes die geen NFC ondersteunen?
Geen idee hoe dat op non NFC phones gaat. Ik moest mijn DigiD app activeren met mijn ID bewijs via NFC.
Kan je met DigiD eigenlijk ook gewoon de standaard OTP authenticatie gebruiken (microsoft/google authentcator e.d.) ipv per se de DigiD app?

[Reactie gewijzigd door DoubleYouPee op 23 maart 2021 12:33]

Ik denk ook niet dat dit snel zal komen. Het was de bedoeling dat de DigiD app net even iets meer ging doen dan 2factor authenticatie namelijk.

In ieder uitgegeven identiteitsbewijs zit ook digitaal wie je bent, ondertekend door de overheid zelf. Door die gegevens met NFC uit te lezen ben je aangetoond in bezit van een identiteitsbewijs waarmee je jezelf probeert te identificeren.

En met de laatste nieuwsberichten lijkt het er op dat ze zelfs private keys en certificates uit gaan geven per gebruiker in je ID kaart. Als je dus in wilt loggen zal je bij het inloggen je toegangs aanvraag moeten laten ondertekenen door je ID kaart (blijkt uit elke keer ID kaart + pincode nodig uit gelinkde artikel), wat dus ook weer onweerlegbaar digitaal is gekoppeld aan je indentiteit. Ik doe een aantal aannames hier maar de weg die ze in slaan is wel duidelijk te zien.

Het verdwijnen van de SMS optie is dan ook wel in lijn met de strategie om je alleen nog maar in te laten loggen als je ook daadwerkelijk kan aantonen dat jij dat persoon bent doormiddel van een ID bewijs. Eenmalig bij installeren van de app voor de minder gevoelige zaken, maar bij elke inlog poging als het dus om gevoeligere zaken gaat zoals medische gegevens. Daarom denk ik dat OTP er eigenlijk nooit gaat komen.
Er zit wel meer beveiliging in dan je beweert. In de secure element van dit soort kaarten kan je voldoende cryptografische bewerkingen doen die ervoor zorgen dat dit niet gekopieerd kan worden.
Het is wel even een groot verschil tussen je sportpas met alleen onversleutelt een unieke identificatie nummer er op, veelal op een nog herschrijfbare types chips ook nog. Die zijn inderdaad zo te klonen.

Er bestaan echter ook NFC chips met bijvoorbeeld secure elements zoals Maarten21 ook vermeld. Deze kan je input geven met een pincode waarna deze eenmalig de data ondertekent of versleutelt met een privésleutel, zonder dat deze privésleutel zelf ooit uit te lezen is van de chip. Dat is op een hardware niveau onmogelijk te maken en daarna ook enorm lastig om te kopiëren. Je kan dan wel controleren met de publieke sleutel of de reactie ondertekend / versleutelt is met de bijbehorende privésleutel, dus daarmee dan ook op redelijk niveau onweerlegbaar gekoppeld aan dat ID bewijs.
Wat je dan moet gaan clonen/phishen is:
  • Username/wachtwoord
  • Koppeling app-DigiD platform
  • ID middel
De kans dat dat allemaal gaat gebeuren (op grote schaal) is extreem, extreem klein. Wil je van iemand toch iets hebben, dan is de $5 wrench attack eenvoudiger.
Denk het niet, want er vindt communicatie plaats tussen de app en de Digid-servers wanneer je wilt inloggen.

Ik weet niet of je bekend bent met de app, maar het werkt als volgt:
  • Je geeft aan dat je de app wilt gebruiken
  • De app geeft een "koppelcode" aan die je op de site invult
  • De site geeft een QR-code die je met de app scant
  • De app vraagt om je pincode
  • Na het invullen van de code in de app, logt de site je verder automatisch in
Vooral uit die laatste stap blijkt dat er meer gebeurt dan enkel een OTP-code. Er is verkeer tussen de app en de servers van Digid.

[Reactie gewijzigd door CykoByte op 23 maart 2021 12:38]

  • Je geeft aan dat je de app wilt gebruiken
  • De app geeft een "koppelcode" aan die je op de site invult
  • De site geeft een QR-code die je met de app scant
  • De app vraagt om je pincode
  • Na het invullen van de code in de app, logt de site je verder automatisch in
Best wel omslachtig. Met enkel een gebruikersnaam (en geldig wachtwoord) zou men al een QR code kunnen tonen om te scannen.
Dat van die koppelcode snap ik ook niet zo goed. Misschien om te voorkomen dat een ander (per ongeluk) de QR-code kan scannen en vervolgens op één of andere manier roet in het eten kan gooien, zoals inloggen op hun account.

Het scannen van de QR-code en vervolgens het invullen van je pin-code vervangt de noodzaak van gebruikersnaam en wachtwoord in dit proces, dus ik zie het ook niet zozeer als 2FA, eerder een alternatieve login-procedure.

Ben het met je eens dat Username+PW voldoende zou moeten zijn om vervolgens een TOPT of scannen van een code o.i.d. als 2FA te gebruiken, maar dat is niet hoe het nu werkt. Helaas, want een open implementatie zoals dat zou een mooie toevoeging zijn.
Zonder dat verkeer tussen de authenticator en aanbieder (digid in dit geval), is op geen enkele wijze te achterhalen of die QR code op meerdere toestellen geactiveerd is. Want er zit namelijk geen limiet op. Dit wil je gewoon niet in de DigiD app.

Microsoft heeft bv wat extra features in hun authenticator voor Azure, waardoor er bij het verifiëren verkeer is tussen je telefoon en Microsoft.

Persoonlijk heb ik liever niet dat dit soort dingen via derde partijen gaan. Laat DigiD maar mooi zelf zoiets opbouwen.
Zonder dat verkeer tussen de authenticator en aanbieder (digid in dit geval), is op geen enkele wijze te achterhalen of die QR code op meerdere toestellen geactiveerd is. Want er zit namelijk geen limiet op. Dit wil je gewoon niet in de DigiD app.
Een app kan ik ook clonen of draaien in een container/emulator op meerdere apparaten. Security through obscurity wil je gewoon niet in de DigiD app.

[Reactie gewijzigd door The Zep Man op 23 maart 2021 14:20]

Het is geen security through obscurity. Het is een extra security laagje op de standaard tokens door er voor te zorgen dat er communicatie is tussen de token app en de dienst waar je op in probeerd te loggen. Microsoft kan voor het aanmelden op Azure bv gewoon een push naar je MS Authenticator sturen om de login toe te staan, dan krijg je gewoon een notificatie met "login azure blabla, allow or deny". Zo kan je als organisatie bv de regie zelf in handen nemen met MobilePASS of andere applicaties.

Juist de standaard QR code authenticators werken d.m.v. security through obscurity. Als je namelijk de QR code weet te bemachtigen of reproduceren, kan je tokens koppelen. Het is bijna onmogelijk deze te reproduceren en dat moet ook nog a la brute force gebeuren, dus 'ingecalculeerd risico'. Voor een DigiD app wil je absoluut niet dat de tokens te dupliceren zijn.

[Reactie gewijzigd door batjes op 23 maart 2021 15:14]

Voor een DigiD app wil je absoluut niet dat de tokens te dupliceren zijn.
Als dat werkelijk zo was, dan werd niet jarenlang SMS gebruikt. Verder is de DigiD app te dupliceren.
Het is geen security through obscurity.
Dat is het wel, als ik effectief hetzelfde kan bewerkstelligen door de applicatie te klonen. Je maakt dan veel onnodige omwegen en afhankelijkheden.

[Reactie gewijzigd door The Zep Man op 23 maart 2021 20:24]

Het scannen van de QR-code en vervolgens het invullen van je pin-code vervangt de noodzaak van gebruikersnaam en wachtwoord in dit proces, dus ik zie het ook niet zozeer als 2FA, eerder een alternatieve login-procedure.
Het wordt mogelijk als 2FA gezien omdat de applicatie nog steeds een PIN code nodig heeft.
Ben het met je eens dat Username+PW voldoende zou moeten zijn om vervolgens een TOPT of scannen van een code o.i.d. als 2FA te gebruiken, maar dat is niet hoe het nu werkt. Helaas, want een open implementatie zoals dat zou een mooie toevoeging zijn.
Inderdaad. Eens.
Jij ziet het niet als 2FA, maar dat is het wel degelijk. Om het simpele feit dat je jouw app moet registreren en die vervolgens als token dient. MFA tokens die extra authenticatie vereisen is natuurlijk niks nieuw/vreemd.
Met is multi factor omdat de applicatie initieel een gebruikersnaam, wachtwoord en ID nodig had ter identificatie en autorisatie.
Ik heb, geloof het of niet, nog steeds een ouderwetse monitor aan mijn PC hangen, dus scannen van die QR code gaat niet, door alle door het scherm rollende "refresh rate balken" die je door de camera van je telefoon ziet... ;)
Dan zou je die QR code moeten uitprinten 🙃
Zonder printer? ;)
Anyway, er is naast de app/QR code scan of SMS bevestiging gelukkig nog een optie, dus die gebruik ik meestal.
hahaha.
Lekker voor je stroomrekening trouwens zo'n CRT.
Zekers, maar het werkt allemaal nog prima, en het is een lekker groot scherm, dus ik heb geen haast om hem te vervangen... ;)
We noemen het gewoon "emissievrij stoken", dan kun je daar milieu-technisch nog prima mee voor de dag komen!
Zelfs de domme reader van de ING kan dat, ligt dus aan jouw camera!
Nee, dat ligt niet aan mijn camera. Ik heb de nieuwste Samsung Galaxy, maar een gewone CRT monitor geeft lopende balken op het scherm van je telefoon, dus dan kan je de QR code simpelweg niet scannen.
Sorry, maar ik heb ook gewoon een crt monitor en heb met de ING reader geen enkel probleem! Dus....
Dus is een aanname.;)

Heb het net voor de zekerheid nog even geprobeerd met 2 andere Android telefoons, en op allebei zie ik lopende strepen (zeg maar gerust dikke, zwarte balken) van de monitor in beeld, dus die vlieger van jou die gaat niet op.

Hier bewijs dat ik niet de enige ben die dit volkomen normale fenomeen tegenkomt als hij zijn monitor wil fotograferen:
https://gathering.tweakers.net/forum/list_messages/936359

[Reactie gewijzigd door ThanosReXXX op 24 maart 2021 15:05]

Vergeet niet dat de app ook aangeeft op welke site je inlogt dus de gebruiker krijgt op op zijn/haar telefoon te zien dat ze op (hopelijk) de juiste website inloggen.

Dit is niet mogelijk met enkel een OTP code
Helaas niet. Ik zou het graag toegevoegd zien worden zodat je niet met een simpele vijf cijferige code kan inloggen op jouw DigiD omgeving.

Daarnaast kan je (H/T)OTP ook eenvoudig gebruiken op systemen die niet officieel ondersteund worden door DigiD. Denk aan smartphones zonder iOS of Android.

[Reactie gewijzigd door Caayn op 23 maart 2021 12:41]

Inderdaad, dat is echt irritant deze vorm van 2FA. Eerst username + wachtwoord, dan voor verificatie 2e device, ook weer een code nodig.

Inloggen m.b.v. SMS is vanuit gebruikersperspectief makkelijker.
Naja, als je eenmaal de DigiD app hebt is het wel heel simpel.
70+ers die ik het uitleg en laat zien, vinden de app uiteindelijk makkelijker dan username password + sms. Incl berichtenbox en toegevoegde verificatie van rijbewijs/is/paspoort ben ik nog geen websites tegen gekomen waar dit niet goed of niet snel werkt.
Makkelijker? Ja zeker
Veiliger? Absoluut niet

Ik snap echt niet waarom tegenwoordig maar alles met "apps" geregeld moet worden.
Dat maakt het alleen maar ondoorzichtiger, en in mijn ogen voegt het niets toe behalve zoals jij zegt gebruikersgemak.

Hopelijk komt er ook nog een alternatieve manier, die wel veilig is.
Ik houd graag de 2FA en de Digid dienst die ik wil raadplegen compleet gescheiden, op verschillende devices.

Misschien denken sommige mensen dat dat overdreven is, maar het zou niet voor het eerst zijn dat mensen misbruik maken van digid om bijvoorbeeld geld van de overheid voor toeslagen flink te verhogen en naar een alternatieve rekening laten storten.

Wat mij betreft zou digid gewoon moeten werken met door de overheid verstrekte fysieke 2fa tokens, maar dat zal wel te veel geld kosten.
Het artikel waar je naar verwijst is 10(!) jaar oud en die fraude kon juist dankzij de lage beveiliging:
Om in te loggen waren naam, geboortedatum en burgerservicenummer voldoende.
Grappig dat je het wel makkelijk zou vinden als je een fysieke 2fa token zou krijgen van de overheid, maar een extra appje op je telefoon (een digitale 2fa token), gaat je een brug te ver :)
Grappig dat je het wel makkelijk zou vinden als je een fysieke 2fa token zou krijgen van de overheid, maar een extra appje op je telefoon (een digitale 2fa token), gaat je een brug te ver :)
Grappig dat jij niet snapt dat een app op een smartphone geen gedegen tweede factor is.
Voor goede authenticatie factors geldt dat het zaken moeten zijn die enkel de rechtmatige eigenaar weet van heeft (wachtwoord bijv) of waar enkel de rechtmatige eigenaar toegang toe heeft.

Een smartphone app valt niet onder die tweede. Want een smartphone is een internet-connected device wat ook in die rol dagelijks ingezet wordt. Het risico op een drive-by malware infectie die het apparaat over kan nemen en op de achtergond 2FA apps kan instrueren om tokens te genereren is daarmee aanzienlijk. Zeker als je dit combineert met het feit dat via geregistreerde e-mail accounts op het apparaat makkelijk de identiteit van de betrokken persoon vastgesteld kan worden; en accountgegevens zoals username voor verschillende diensten vastgesteld kan worden.

Vertrouwen op een connected-device zoals een smartphone als tweede factor is simpelweg oliedom; en is in de praktijk voor Jan Modaal die niet direct onder een gerichte aanval van criminelen ligt, wss. zelfs gevaarlijker dan een one-time code via SMS op een dumbphone te ontvangen als two-factor authenticatie.

[Reactie gewijzigd door R4gnax op 23 maart 2021 16:40]

Met die app is je id-kaart een fysieke 2fa token toch? Anders moet je een kastje gaan geven wat waarschijnlijk alleen op computers werkt, en wie weet nog drivers etc nodig heeft. Dan is een app met NFC toch veel logischer?
Waarom niet itsme ?

Ik vind het makkelijk, je geeft je gsm nummer in.

Je opent de app je klikt inloggen / of tekenen. Soms moet je hetzelfde symbooltje aanduiden ( zelden ).

Tekenen met pin in de app of faceid of fingerprint.

Ondersteund op iOS & android. Dubbele authenticatie gsm sim + bank of eid.

Misschien moeten we dat exporteren naar Nederland ;-)
De vraag was voor een open standaard zodat het op een willekeurig platform te gebruiken was. Itsme is niet alleen beperkt tot ios en android, maar ook nog eens gebonden aan een mobiel abonnement/nummer. Dat is waarom geen itsme naar mijn mening.
Als je strenge authenticatie wil moet je wel ergens 2 authentieke bronnen hebben. Voor mij is dat een goed alternatief, je mag prepay of whatever hebben, operator maakt ook niet uit.

Maar als ik hier zie waar je kan mee inloggen in fas :

- eid met pincode ( eenvoudigste als je de plugins hebt + kaart lezer ).
- itsme
- username + paswoord + otp ( in google authenticator of whatever )
en vroeger had je papieren token gelukkig afgevoerd ;-)
Het zou idd wel fijn zijn als ze dit inbouwen. Dat ze van SMS afstappen is begrijpelijk en ook wel zo veilig, maar die DigiD app is zo ontzettend onhandig dat ik toch 9 vd 10 keer kies voor een SMSje. Het zou jammer zijn als dat verdwijnt.
wat is er onhandig aan die app dan?
Het feit dat je niet op je telefoon kan inloggen op (mobiele) websites, omdat je de QR code niet kunt scannen als je telefoon zowel de site oproept als de DigiD app bevat.

[Reactie gewijzigd door CyPh op 23 maart 2021 13:23]

Als ik via mobiel wil inloggen op een DigiD-benodigde website (coronatest.nl bijvoorbeeld), dan krijg ik keurig een vraag of DigiD op hetzelfde toestel geïnstalleerd staat. Dan hoef ik geen QR code te scannen.
Hier toch echt niet, Mijn CZ via Safari op IOS. Ik kies voor DigiD app en krijg koppelcode vraag

(ook voor @ijskonijn en @Maarten21

edit: wel in FireFox op IOS trouwens, maar niet in Safari

[Reactie gewijzigd door CyPh op 23 maart 2021 14:04]

Interessant! Het is mij nog nooit voorgekomen. Lijkt me het uitzoeken waard.
Conclusie: Safari is....
(welgemeende excuses, maar ik kan het gewoon niet laten)
Als ik via mobiel wil inloggen op een DigiD-benodigde website (coronatest.nl bijvoorbeeld), dan krijg ik keurig een vraag of DigiD op hetzelfde toestel geïnstalleerd staat. Dan hoef ik geen QR code te scannen.
En dan heb je ineens one-factor ipv two-factor. Handig, maar niet heus.
Ik zeg niet of dat klopt of niet, ik reageerde alleen op wat ervoor gezegd werd.
Dit heb je duidelijk niet zelf geprobeerd, anders wist je dat je kan kan overschakelen naar de digid app op je telefoon zonder QR code te scannen.
verkeerde aanname van jou :+

[Reactie gewijzigd door CyPh op 23 maart 2021 14:06]

Ja beetje kort door de bocht kennelijk :) Maar lijkt me toch eerder een bug of een niet-ondersteunde combinatie van browser/platform/website.
Up-to-date iPhone 11 Pro Max met Safari als standaard browser en het is echt de DigiD portal die de app melding moet geven, niet CZ zelf. Dus wat er fout gaat weet ik niet, maar ik vind het niet correct in die combinatie. Als het nu andersom was, FireFox niet en Safari wel, dan kon ik het nog begrijpen 8)7
Gek! Dan ziet de site niet dat je met een mobiel bezoekt. Vraag je mss de 'desktop' versie op van de site? Wellicht die optie uitzetten.
Stond inderdaad standaard aan voor alle websites, dat was hem inderdaad. I stand corrected 8)7 _/-\o_
Haha mooi! Blij dat ik kon helpen :)
Dan schakelt de site gewoon over naar de DigID app op de telefoon, daar vul je de pincode in en vervolgens gaat hij netjes verder in de browser. Dat werkt dus prima, inloggen op je telefoon waar ook de DigID app staat.

edit: ik was ietsje later, maar wat PdeBie zegt dus :-)

[Reactie gewijzigd door ijskonijn op 23 maart 2021 13:51]

hij is ten eerste ontzettend traag, en ten tweede zijn de handelingen omslachtig. Je moet een code overtypen, vervolgens alsnog een qr-code scannen, en ten slotte een pincode invoeren.

T.o.v. username/password autofillen en een (TOTP/HOTP) code invullen is dat gewoon onprettig, zeker als je vaak moet inloggen (bijv als je toeslagen moet regelen en een miljoen keer geredirect wordt van mijnoverheid.nl naar belastingdienst.nl naar toeslagen.nl naar uwv.nl etc.).

Edit: En uit ideologisch oogpunt staat het me ook tegen dat je verplicht wordt deel te nemen aan Amerikaanse applicatieplatforms om gebruik te maken van essentiële overheidsdiensten.

[Reactie gewijzigd door mcDavid op 23 maart 2021 14:01]

Dat het omslachtig is ben ik met je eens. Zeker als je veelvuldig gebruik moet maken van Digi-D gerelateerde diensten kan ik mij voorstellen dat je er gek van wordt.
In België kan dit wel, maar hier stappen de bedrijven massaal over op Itsme, een privé-initiatief. Zelfs de overheid heeft het geïntegreerd op haar websites. 🤦‍♂️
Hoop zelf dat ze ook verder dan dat kijken; andOTP heeft mijn voorkeur dan weer.
Denk dat als het compatible is met MS/Google dat het ook werkt met andere applicaties.
Google Authentcator vind ik persoonlijk een ramp. Vooral als er van die vage foto's gebruikt worden.
Dan stap je toch over op een andere OTP client? Dat is juist het mooie van de standaard :)
Moeilijk als een website die van Google gebruikt.
Nee hoor, TOTP is gewoon een open standaard. Je kan die QR code met elke compatible app scannen.

Google Authenticator ondersteund voor zover ik weet ook geen andere standaarden.

Ik heb zelf alle tokens in 1password zitten. Na het automatisch invullen van het wachtwoord is dan automatisch het TOTP token gekopieerd.

[Reactie gewijzigd door KRASH op 23 maart 2021 12:49]

Heb hetzelfde bij Bitwarden.. Maar wat is eigenlijk het nut van 2FA als je je TOTP token bij je wachtwoorden neerzet?
Daar heb ik ook wel over nagedacht. Maar het risico dat m'n device stuk zou gaan en ik geen backup van een aantal belangrijke 2fa tokens zou hebben vond ik groter dan dat m'n 1password kluis uitlekt / gekraakt zou worden.

Google Authenticator had eerst geen export functionaliteit op iOS, dus was ik aan het pielen met het opslaan van screenshots van de QR codes om die later eventueel opnieuw toe te kunnen voegen aan een app. Dat vond ik niet bepaald veiliger dan het opslaan in 1password.

Ook de apps die wel export functionaliteit hadden vertrouwde ik niet echt, zie bijvoorbeeld het recente Authy / t-mobile simswapping debacle.

Dus ben het wel eens dat het niet de ideale oplossing is, maar voor mij persoonlijk vind ik het een acceptabel risico.
daarom heb ik 2 devices gekoppeld...
Dan is het risico op simswapping 2x zo groot? ;)
Voor een authenticator app heb je geen sim nodig ;) alleen internet toegang.

[Reactie gewijzigd door PageFault op 23 maart 2021 17:33]

Het is strikt genomen geen perfecte 2FA meer waarbij de factoren verschillend zijn, maar de mogelijkheid tot afluisteren/phishing/reuse voorkom je daar wel (grotendeels) mee. Je wachtwoord verandert namelijk niet zo vaak, als die eenmaal is afgeluisterd op wat voor manier dan ook, kan daarmee ingelogd worden. Maar als je TOTP-factor wordt afgeluisterd heb je daar maar hooguit eenmalig iets aan. Dat is een van de grootste attack vectors die je daarmee al afgedekt hebt. Maar inderdaad, als je wachtwoord-database inclusief master-keys uitlekt en je 2FA staat daar ook in, is het huilen geblazen. Alleen vind ik persoonlijk dat gemak nog opwegen tegen de relatief kleine kans dat iemand mijn database in handen krijgt en ook nog eens de passphrase die nergens is opgeslagen behalve in mijn hoofd.
Nee hoor, TOTP is gewoon een open standaard. Je kan die QR code met elke compatible app scannen.
Dat zou je denken, maar ik ben toch echt ergens tegenaangelopen waar dat niet zo was. Voor 't werk 2FA ergens moeten gebruiken, QR code gescand met Google Authenticator, maar niet werken. Het door hun aanbevolen FreeOTP geinstalleerd, zelfde QR code gescand, werken. Naast elkaar gehouden, en inderdaad, de twee apps genereren verschillende OTP codes...

Helemaal standaard is het dus niet...

Edit: Met de TwoFactorQRCodeReader plugin voor KeePass 2 werkt het dus ook...

[Reactie gewijzigd door mbovenka op 23 maart 2021 13:55]

Ik bedoel meer een website, die de Google Authentcator gebruikt tegen spam e.d.
( oversteek paden, verkeerslichten etc.) Ik heb er altijd ruzie mee. ;(

mijn fout het is reCAPTCHA waar ik het over heb.

[Reactie gewijzigd door Euronitwit op 23 maart 2021 12:56]

Dat is geen Google Authenticator, maar reCAPTCHA. Dat zijn 2 heul verschillende dingen.
Jij bedoelt reCaptcha ;) Dat is inderdaad een mooie stukje Google spyware wat zo snel mogelijk uitgefaseerd moet worden, imo, en vervangen door bijvoorbeeld hCaptcha.

Hoe meer je van Google blokkeert hoe agressiever reCaptcha wordt.

[Reactie gewijzigd door Caayn op 23 maart 2021 12:59]

Dat is de captcha. Mogelijk heb je teveel tracker en cookie blockers aanstaan als je het vaak krijgt.
Eh, nee. (H/T)OTP is (H/T)OTP. Je kunt elke client gebruiken die dat ondersteunt.
probeer anders een keer Aegis Authenticator.

Werkt echt super en is een open source app.
Dus.. Het begint langzaam verplicht te worden om een smartphone te hebben om in de maatschapij te kunnen leven... Slechte zaak in mijn mening.

Internet, Smartphones is zo natuurlijk, maar daar moet niet vanuit gegaan worden. Het zelfde als FB of andere externe kanalen gebruiken als communicatie platform.

Dan heb je inderdaad een groep die er niet mee om kan gaan, maar ook een groep die er niet mee om WILT gaan.
En die groep verdient net zo veel respect. Waarom moet een smartphone zo standaard zijn?

Het wordt dan verplicht om een smartphone te hebben met minimaal iOS 12/Android 7 en wifi of een mobiel abonnement. Verplicht een Apple account of verplicht afnemen via Google.
Te gekke verplichtingen, met alle (onbekende) risicos

[Reactie gewijzigd door Christoxz op 23 maart 2021 14:33]

Zo gek is dat niet, gewoon hoe de maatschappij nu werkt en evolueert.

Deze discussie had men waarschijnlijk ook bij de invoering van de betaalpas. Of afschaffing van papieren acceptgiro's. Of afschaffing van de strippenkaart. Nu weet ik niet beter en zou ik ook niet meer terug willen.

Het is gewoon een andere manier van werken, en hoeveel zin heeft het nog om oudere manier van werken te blijven ondersteunen. Natuurlijk moet je wel pas iets afstoten als er goeie alternatieven zijn.

[Reactie gewijzigd door ido_nl op 23 maart 2021 12:49]

Het verschil zit hem erin dat je nu de bevolking soort van dwingt om Google Play Services af te nemen. Android != Google Play Services. En daar zijn veel van die apps wel van afhankelijk.
Of Apple's diensten, in het geval van iOS/iPadOS.
Deze discussie had men waarschijnlijk ook bij de invoering van de betaalpas. Of afschaffing van papieren acceptgiro's. Of afschaffing van de strippenkaart. Nu weet ik niet beter en zou ik ook niet meer terug willen.
Maar dat zijn dingen waar je mee om kan gaan en soort van een alternatief voor is.

Kan nog steeds pinnen en cash betalen, kan nog steeds een los kaartje in de bus kopen, kan nog steeds bellen, kan nog steeds brieven ontvangen en versturen, kan nog steeds een fysieke krant kopen.

Kortom met je voorbeelden ben je niet verplicht om aan mee te doen, en mochten ze SMS controle volledig afschaffen, ben je dus wel verplicht om een smartphone te hebben, die ook nog is moeten voldoen aan x specs. iOS 12+ of Android 7+.

Ik ben mee eens dat het evolueert, maar blijft een slechte zaak aangezien we langzaam toe gaan dat een smartphone, computer verplicht is. Maar daarbij komt ook veel andere dingen bij kijken, waar mensen bijvoorbeeld niet mee om kunnen gaan, of het gewoon niet willen. Het verplicht je namelijk ook weer om een mobiel internet abonnement te hebben, of wifi in je huis.

Het is allemaal zo gewoon en 'standaard', maar daar moet niemand eigenlijk op rekenen, dat het allemaal zo vanzelfsprekend is.
"kan nog steeds een los kaartje in de bus kopen"

Het enige nadeel is alleen dat dat een stuk duurder is t.o.v. van de reissom met je OV-chipkaart of zelfs een sms-ticket (in sommige steden heb je die).
Het enige nadeel is alleen dat dat een stuk duurder is t.o.v. van de reissom
Maar in geval van eenmalig iets meer betalen weegt die meerprijs op tegen het hebben en onderhouden van een smartphone die ik enkel nodig zou hebben in maart/april om belastingaangifte te doen.
Ik had het over de OV-chipkaart, niet over belastingaangifte - dat is weer een heel ander verhaal. Kijk, als je 1x per jaar met de bus gaat, is een kaartje kopen ondanks de meerprijs prima, maar regelmatig met de bus kost dan klauwen met geld. Hier in mijn stad alleen al kost een kaartje binnen de stad €3, terwijl je voor nog niet eens de helft van het geld met de OV-chipkaart de stad doorreist. Dus als je dat 3x per week doet, ben je wel érg duur uit.

Dus ik snap nog steeds niet waarom je een smartphone erbij haalt? OV-chipkaart kan nog niet op je smartphone namelijk (ja, er is wel een test met reizen op smartphone in Lelystad, maar in de rest van het land heb je toch echt je kaart zelf nodig).

[Reactie gewijzigd door TheVivaldi op 23 maart 2021 14:26]

Dus ik snap nog steeds niet waarom je een smartphone erbij haalt?
stresstak probeert te stellen dat de vergelijking met het OV slaat als een tang op een varken omdat de kostenfactor totaal onvergelijkbaar is. In geval van OV is het verlies van de oude methodes niet zo erg omdat je makkelijk éénmalig een 'duur' los kaartje kunt kopen. De kosten daarvan zijn nog steeds zeer beperkt.

Reis je vaker, heb je alsnog de mogelijkheid een anonieme OV chipkaart te nemen die je aan de balie op kunt laten laden waardoor er geen directe koppeling is met je betaalpas en evt. identiteit, mocht dat je zorgen baren. Dat is periodiek een klein beetje moeite, maar is nog te doen. (Ervaringsdeskundige: zelf jaren gedaan.) Zo'n kaart gaat ook nog redelijk lang mee; hoef je maar eens in de aantal jaren te vervangen. (Een kaart op naam gaat dacht ik 5 jaar mee, trouwens.)

Dat staat in schril contrast met dadelijk een 300+ EUR smartphone moeten hebben om nog digitaal je overheidszaken te kunnen regelen. Dat is een 300 EUR drempel die, als je ook nog iets om digitale veiligheid geeft, elke 2 tot max 3 jaar terug komt omdat de updates voor je toestel ophouden. (Ja; bij Apple gaan deze langer door, maar dan betaal je ook makkelijk het vier- of vijf-voudige voor het toestel, dus per tijdseenheid blijven die kosten gelijk.)


Gechargeerd komt die vergelijking neer op: "Ach, je vindt het niet zo erg om een euro of 5 extra uit te geven, dus waarom zou je het dan erg vinden om een euro of 50 extra uit te geven."
En dat gaat natuurlijk gruwelijk mank, he?

[Reactie gewijzigd door R4gnax op 23 maart 2021 19:08]

[...]


stresstak probeert te stellen dat de vergelijking met het OV slaat als een tang op een varken omdat de kostenfactor totaal onvergelijkbaar is.
Dat kan, maar waarom is dat dan aan mij gericht? Ik zei er wel iets over, maar de persoon boven mij haalde dat argument aan, niet ik…
Waarschijnlijk gewoon er langs gelezen. Dat had ik eerlijk gezegd initieel ook.
Vandaar dat ik mijn post later nog even gecorrigeerd had. ;)

(Threaded layout op Tweakers werkt dat ook wel een beetje in de hand. Leest niet altijd even makkelijk.)

[Reactie gewijzigd door R4gnax op 23 maart 2021 19:41]

Voor Nederlanders die 'niet digitaal participeren' of uit principiële overwegingen geen gebruik willen maken van digitale middelen, blijft volgens Knops de 'analoge wijze' om contact te hebben met de overheid openstaan.
Dus ook dit is niet verplicht, en ook hier is een "soort van alternatief" voor.
Prima als het verplicht wordt, maar dan moet het ook vanuit de overheid komen om er voor te zorgen dat iedereen een werkende smartphone heeft. Dit hoeft geen fancy telefoon te zijn, zolang het de vereiste functionaliteit maar kun uitvoeren. Zet dit op met een systeem waar ik mijn oude telefoon kan doneren zodat ze deze kunnen refurbishen/repareren zodat deze een 2e leven kan hebben bij iemand die een smartphone ter beschikking krijgt van de overheid.
Je redenatie klopt niet. Ten eerste kan je met een app juist breder gebruik maken van apparaten dan bij het huidige sms. Ten tweede is er net als voorheen juiste nog steeds toegankelijkheid via post of loket.
Het is eerder geen verplichting en juist meer keuze dan voorheen.
SMS werkt op álle GSM's vanaf al de jaren 90, het lijkt mij meer dan voor de hand liggend dat een kleiner aantal dan die groep apparaten gebruik kan maken van een App; al helemaal als deze allerlei third-party applicaties/platforms als mede-eisen kent...
Dat je sms al lang kan gebruiken maakt niet dat er dus breder bereik is. Mobiele telefoons worden namelijk ook vervangen. Daarbij kan je apps ook gebruiken op apparaten die geen mobiel bereik hebben, zoals apparaten zonder simkaart, tablets, laptops etc. En daar zijn er ook heel veel van. Dan kunnen we wel gaan speculere over extra eisen, maar die lees ik niet. Ik betwijfel of er in 2022 of later echt een verschil is of dat die in het voordeel van sms bereik zou zijn terwijl veel data sims inmiddels geen sms meer kunnen ontvangen.
Het is ook bijna verplicht om een brievenbus te hebben in Nederland. Daarnaast ben ik het overigens wel met je eens dat dit breder supported zou moeten zijn, of minimaal bijvoorbeeld optioneel alternatief te installeren op android.
En wat doe je dan als je een klein kind hebt en voor dat kind moet inloggen met het digid account (uitslag Covid19 test bijvoorbeeld)?
Een aparte smartphone per kind?
Ik kan met de app alleen inloggen met mijn eigen digid account.
Hebben kinderen dan DigiD? Ik dacht je pas vanaf je 13e een id-kaart én DigiD kon krijgen. (technisch zijn 13-18-jarigen natuurlijk ook nog kinderen, maar ik neem aan dat je op jongere kinderen doelde)
Je kan gewoon digid aanvragen voor je kind als hij/zij maar een geldig ID heeft (ervaring met 8 jarige)

[Reactie gewijzigd door OldSchoolPhoto op 23 maart 2021 13:34]

Ja ook voor jongere kinderen kan je deze aanvragen. Vooral handig om zelf snel online hun coronatestuitslag te controleren

Je kan nu nog de inlog bevestigen mbv de ontvangen sms code
Zeker. Mijn kinderen (9 en 7) hebben er ook een. We moesten er een nemen voor de oudste om in te kunnen loggen op de portal van het ziekenhuis, ivm chronische ziekte.

Je kan slechts 1 account per telefoon op de DigiD app. Dus voor mij dochters krijg ik sms'jes. Voor mij zou dit werken als je meer accounts per telefoon kan hebben in de DigiD app.
Ik heb ervaring met het voorbeeld dat je geeft (uitslag Covid-19 test). In dat gevallen bellen ze de ouder die de test ook aangevraagd heeft met de uitslag. Afspraak moet je in dat geval ook telefonisch maken. Geen Digid nodig dus.
Deze ervaring heb ik ook. Testuitslag komt binnen 48 uur. In geval van opzoeken mbv DigiD heb je de uitslag vrijwel altijd binnen 24 uur. Bij terugbellen lijkt het wel of ze zo dicht mogelijk tegen die 48 uur aan willen kruipen (persoonlijk record: 47,5 uur). Niet ideaal met kinderen op de basisschool, waar in de winter altijd wel iemand een snotneus heeft. In de praktijk betekent dat: snotneus? --> 3 dagen niet naar school.

Noodzakelijk is een Digid dus niet perse, maar het wordt je wel erg moeilijk gemaakt zonder. De GGD moedigt ook iedereen aan om een DigiD voor zijn/haar kinderen aan te vragen nu.

Wat ik niet begrijp is waarom je niet onder je eigen DigiD zaken voor je kinderen kunt afhandelen bij de overheid. Ergens moet toch wel de koppeling tussen ouder en kind gemaakt kunnen worden?
Heb maar één ervaring, en dat was meteen een bijzondere.
Zoontje van twee wilde echt niet, dus uiteindelijk is er gen test afgenomen. Vervolgens belden ze de volgende dag wel met een negatieve uitslag..

Zelf afspraken maken onder DigiD van de ouder lijkt me inderdaad wel iets wat mogelijk gemaakt moet kunnen worden.
Ik heb ervaring met het voorbeeld dat je geeft (uitslag Covid-19 test). In dat gevallen bellen ze de ouder die de test ook aangevraagd heeft met de uitslag. Afspraak moet je in dat geval ook telefonisch maken. Geen Digid nodig dus.
Wij hebben een andere ervaring met ons kind.
Wij moesten met digid de afspraak maken en met digid de uitslag opvragen.
Of voor je oudere vader/moeder die technisch totaal niet onderlegd is en een uur rijden van je af woont?

Op iCulture heeft een tijdje terug een artikel gestaan over de app, waarin (een van) de ontwikkelaars reageerden in de comments. Ik heb hem toen gevraagd of multi-user support op de roadmap stond voor de app.
Stond er toen nog niet op, maar er werd wel over nagedacht volgens hem.

https://www.iculture.nl/n...digid-app/#comment-857225
Hetzelfde als bij de Belastingdienst: inloggen d.m.v. machtiging. Dat is ook gebruikelijk bij patiëntenportalen bij ziekenhuizen. Het vereist wel dat beide personen bekend zijn in de administratie, maar vervolgens kan de tweede persoon uit volmacht van de eerste werken/inzien. Bij kinderen is het vaak ook nog weer eens zo geregeld dat bij de 16e verjaardag de machtiging automatisch komt te vervallen.
Precies. Hetzelfde speelt ook als je bijv. het online patientendossier (van het ziekenhujis) van je kind wilt inzien. Ik zie in de brief wel dat er ook gekeken wordt om iets met ouderlijk gezag te gaan doen. Als dat netjes wordt doorgevoerd overal is dat natuurlijk veel fijner dan per kind een losse DigiD.
Op zich zeer terecht om SMS uit te faseren, die shit is zo onveilig als de pest. Dat bleek de afgelopen tijd wel weer met diverse gevallen van simjacking, hacks of lekken bij telecom providers, enzovoort.

Maar dit:
Op termijn zal het minimaal vereiste niveau de DigiD tweefactor met app zijn, of een vergelijkbare private oplossing.
Nee, nee, NEE! :( Géén private oplossing! Doe nou niet zo stronteigenwijs en gebruik gewoon een open, bekende, solide, grondig geteste en zeer veilige oplossing die in the field al jaren heeft bewezen goed te werken.

HOTP / TOTP met clients zoals Aegis, KeepassXC, Authy, of eventueel Google Authenticator (die laatste zou ik zelf niet gebruiken maar is wel bekend).
De oplossing ligt dus bij het aanpakken van de telecom providers die simjacking mogelijk maken.
Maar ja, dat zijn dan weer de grote bedrijven waar de overheid de vingers niet aan wil branden.
Moet ik straks alleen om te kunnen inloggen bij DigiD weer een app installeren die een hoeveelheid MB's opslokt en op de achtergrond blijft draaien? En dan zul je zien dat oudere versies van Android niet ondersteund worden waardoor je ook verplicht wordt een nieuwe telefoon te kopen.
Dat wordt dus niet meer inloggen op DigiD voor mij dan.
Terwijl andere media het gebruik onmogelijk maken zonder sms verificatie.
Ja, veelal ouderwetse of achterlopende instanties. Met name banken hebben daar nog een handje van. Anno 2021 nog SMS gebruiken voor verificatie zou om meerdere reden (maar vooral de veiligheid) heel erg not done moeten zijn.
Facebook en Twitter kan je niet meer gebruiken zonder je telefoonnummer op te geven voor sms verificatie.
Ja, triest maar waar. Een verstandig mens mijdt dergelijke fossiele wanproducten dan ook als de pest.
[...]

Nee, nee, NEE! :( Géén private oplossing! Doe nou niet zo stronteigenwijs en gebruik gewoon een open, bekende, solide, grondig geteste en zeer veilige oplossing die in the field al jaren heeft bewezen goed te werken.

HOTP / TOTP met clients zoals Aegis, KeepassXC, Authy, of eventueel Google Authenticator (die laatste zou ik zelf niet gebruiken maar is wel bekend).
Dat zijn allemaal middelen die een minder veiligheidsniveau bieden dan DigiD Substantieel of Hoog. Prima voor veel dingen, maar laat ga niet de toegang tot medische gegevens achter een lager niveau hangen.
Hoe dan ook is het veiliger (en beter en handiger en flexibeler en gebruikersvriendelijker) dan SMS. Ik weet niet precies wat DigiD Substantieel of Hoog inhoudt, of welke extra verificaties daar nog aan te pas komen. Maar als je overal waar nu SMS wordt toegepast dit vervangt door HOTP / TOTP, is het sowieso al veiliger.
Die "met app of vergelijkbare private oplosing" moet je waarschijnlijk interpreteren als "middels smartphone met app of middels vergelijkbare private oplossing." Dwz met die "private oplossing" wordt waarschijnlijk een specifieke vorm van hardware token bedoeld. Vanuit de overheid geregeld net zoals banken (gelukkig nog steeds) losse 'random reader' apparaatjes beschikbaar stellen voor klanten die niet via een app willen of kunnen werken. Bij de banken steek je daar je bankpas in. Bij de overheid steek je er wss. je ID kaart in, of leg je deze er op (NFC).

[Reactie gewijzigd door R4gnax op 23 maart 2021 19:24]

Leuk, maar gaan ze dan ook de app verspreiden buitenom de gesloten app stores en zonder dependancies op privacy schendende third party frameworks zoals GSF?
Wat denk je zelf? :+

Dit is nog steeds het zelfde kabinet dat de code van de Debat Direct app niet wilde openbaren voor hun eigen veiligheid. Het volgen van een debat op je telefoon eist dus dat je akkoord gaat met de bergen voorwaarden die Google of Apple jou stellen... Dat zal vast niet beter worden de komende jaren.
Public money public code aub.

Maar dat zal wel tegen politieke belangen zijn.

Het is al een godswonder dat de covid spy app opensource is.

[Reactie gewijzigd door Hemingr op 23 maart 2021 16:07]

Wordt het hebben van een smartphone met Android/iOS dan straks een "eerste levensbehoefte" met ongeveer ook de verplichting om dus een account bij Google ofwel Apple te hebben?

Strak plan! Ik ben heel benieuwd naar die "analoge" oplossing!

[Reactie gewijzigd door Groentjuh op 23 maart 2021 12:36]

Je kan je belastingformulier nog altijd op papier invullen en per post opsturen.

Ook is het nog altijd mogelijk om het op je eigen computer via internet te doen. Hierbij is het nodig dat je op 1 of andere manier niet alleen geautoriseerd (dat jij het mag) wordt maar ook geïdentificeerd (dat jij het bent).

En dat alles natuurlijk zo veilig als nodig is.
Wat Android betreft moet er een oplossing komen zonder afhankelijkheid van Google Play Services. Android (of Sailfish met Android) werkt prima. Google Play Services als afhankelijkheid, en daarmee je bevolking onderwerpen aan Google is niet oke.
Maak je geen zorgen, voor Android ben je al afhankelijk genoeg van google ook zonder play-services. Voor software zoals digid is het waarmerken van de hele keten belangrijker dan een onafhankelijkheid van google dus daar hoef je niet te verwachten dat ze officieel buiten de play-store beschikbaar komt. Of er moet een andere/alternatieve manier komen om de keten te waarborgen en te waarmerken.

Qua waarmerken en dergelijke is het vergelijkbaar met de drm-afhankelijke software zoals voor streaming zaken en zo. Die werken ook niet als er geen keten van waarmerken in zit.
DigiD wordt onder andere ook gebruikt voor je zorgverzekering en de login van het ziekenhuis
Het zou echt een ramp zijn als dat dadelijk allemaal telefonisch moet of op papier
Zoals een 15, 20 jaar geleden bedoel je? Werkte anders prima.
Ja, want inmiddels gebruikt bijna iedereen DigiD, en er is dadelijk een groep die daar dus helemaal aan gewend is en vervolgens weer terug moet naar het oude systeem omdat ze geen smartphone hebben
Daar voor worden de paspoorten en zo voorzien van nieuwe identificatie mogelijkheden die via nfc werken. Het idee is dat computers met een nfc-reader dat kunnen lezen en jou zo kunnen identificeren. Digid is dan de software die alles aan elkaar knoopt en valideert.
Maar geen enkele computer heeft NFC
Dat zit eigenlijk alleen op telefoons
Of je zou een losse reader aan moeten schaffen
Dat valt nogal wel mee. NFC-readers zijn gewoon te koop en met usb aan een computer aan te sluiten. Net zoals veel computers ook geen camera hebben maar met een usb-webcam toch ook mee kunnen doen met video-vergaderen. Zo ook met vinger-print-lezers. Bij dergelijke randapparatuur zijn er veel kwaliteiten: Waar met windows 7 of windows 8 elk apparaat werkte, heb je met windows 10 toch wel een bepaalde klasse nodig voor toegangscontrole (aansluiten bij Windows Hello). Zo gaat dat met nfc-readers ook.
Je kan je belastingformulier nog altijd op papier invullen en per post opsturen.
Ook is het nog altijd mogelijk om het op je eigen computer via internet te doen.
Mijn belastingaangifte gaat al jaaaren goed met alleen Digid en een wachtwoord.
Gewoon zoals altijd al mogelijk was: in persoon, intermediairs, telefoon en post. Er is volgens mij nog steeds niks dat je zonder digid niet kan regelen. Sterker nog ik heb pas dit jaar weer een digid aangemaakt, omdat het wel makkelijk was voor de corona tests (je digid verloopt als je hem een tijdje niet gebruikt). Maar ik ben de afgelopen 10jaar niks tegengekomen wat ik niet zonder digid kon regelen.
"Er is volgens mij nog steeds niks dat je zonder digid niet kan regelen."

Mijn zorgverzekering werkt alleen online om de kosten laag te houden en daarvoor is DigiD vereist. Natuurlijk kan ik wel een andere zorgverzekering afsluiten waarbij dat niet vereist is, maar dat kost me wel meer geld wat ik niet heb.
Dat is de keuze van een commerciële partij, die had net zo goed google authenticator verplicht kunnen stellen. Zolang de overheid zelf voor alles een alternatief bied en er ook voor zorgverzekeringen e.d. alternatieven zijn vindt ik het prima. Dat dat wat extra kost snap ik en dat nam ik de afgelopen jaren ook voor lief. Analoog dingen regelen kost gewoon meer geld, zelfde geld bijvoorbeeld ook voor papieren bankafschriften daar betaal je ook gewoon extra voor. Als iemand perse iets op een andere manier wil regelen is het dan redelijk om te verwachten dat de rest daar voor betaald?

Uiteindelijk is het een kosten baten analyse, wegen de kosten en nadelen voor een zeer kleine groep mensen op tegen de risico's en kosten voor de rest van NL. SMS is gewoon onveilig gebleken, onderstreept door dat SIM swapping nu in de praktijk wordt misbruikt. Lijkt me goed dat de overheid op veranderende cyber dreigingen inspeelt.

Als je een voorbeeld wil van een overheid die niet snel genoeg op inspeelt op cyberdreigingen kijk dan naar de massale identiteitsfraude met belastingteruggaven in de VS. Door te kunnen inloggen op basis van "instant KBA" (kennis gebaseerde authenticatie op basis van feiten) kon je daar relatief eenvoudig iemands gegevens inzien van de afgelopen jaren, daarmee aangifte doen en de teruggaaf naar jezelf laten overmaken.
"Dat dat wat extra kost snap ik en dat nam ik de afgelopen jaren ook voor lief."

Dat is een gedachte die ik graag zou willen delen, maar zoals ik al zei heb ik dat extra geld niet. Dus je hebt nog steeds niet helemaal mijn punt begrepen, denk ik.
Past natuurlijk mooi in het plaatje dat zodra je een afwijkende mening hebt in de ogen van Google en/of consorten je meteen buitenspel staat in het echte leven.

2+2=5 anders geen brood op tafel.

[Reactie gewijzigd door Hemingr op 23 maart 2021 17:15]

Ze implementeren beter maar HOTP, TOTP of OAUTH, want no way in hell dat ik een of andere wazige overheids app op mijn telefoon ga plaatsen. Dat google mij trackt vind ik al vervelend genoeg, maar die willen slechts geld verdienen. De overheid is potentieel veel vervelender.
Uit nieuwsgierigheid: hoe wil je met dergelijke oplossingen een niveau vergelijkbaar aan DigiD Substantieel of Hoog bewerkstelligen? Wat je hier voorstelt is gelijk aan DigiD Midden (code), voor Substantieel en Hoog is respectievelijk een eenmalige ID-Check of iedere keer een ID scan nodig.
Hoe willen ze dat in de digid app doen dan? je ID kaart met nfc scannen? wat als iemand je ID kaart gejat heeft? Dat is in feite ook niets meer dan een token.

Als ze je een TOTP key als QR code via briefpost sturen of je die zelf in het gemeentehuis kan komen scannen bereik je het zelfde.
Het mooie van een SMS is dat ik m'n simkaart uit m'n kapotte (gevallen, verzopen,...) telefoon kan halen en in een andere kan stoppen om zo in te loggen met digid.

Dat zie ik met een app niet zo 123 gebeuren
Dat is inderdaad het mooie van SMS. Het nadeel van SMS is dat het niet veilig is. Zoals hier te lezen is: https://www.issms2fasecure.com.

Ik ben wel van mening dat toegang tot een Android of iOS smartphone als eis stellen geen stap is in de goede richting van de overheid.
SMS kan worden onderschept, maar apps kunnen ook lekken bevatten waardoor e.e.a. kan worden onderschept.
SMS kan worden onderschept, maar apps kunnen ook lekken bevatten waardoor e.e.a. kan worden onderschept.
SMS onderscheppen moet daarnaast lokaal gebeuren en geeft buiten het telefoonnummer geen andere gegevens prijs.

Zet dat even uit tegen het feit dat malware op een smartphone binnenkomt via het internet en dus vanuit overal op aarde gedistribueerd kan worden; en dat bij een gecompromiteerde smartphone er ook gelijk een heleboel andere data voor criminelen beschikbaar komt, waaronder waarschijnlijk je hele e-mail geschiedenis voor de account waar je standaard op ingelogd staat. Kunnen ze gelijk door je inbox spitten en je user names voor services waarop je geabonneerd bent te weet komen. En daarna remote je authenticator 2FA tokens laten genereren om je wachtwoord te resetten. En: binnen. Desnoods nog even de ingestelde tijdzone uit de phone uitlezen zodat ze dat om 4:00 AM doen terwijl jij ligt te ronken en niets ziet gebeuren.

Randscenario? Tuurlijk.

Maar criminelen die op willekeurige plekken fysiek een aantal uren gaan staan posten om SMS verkeer af te tappen in de hoop 2FA one-time tokens op te scheppen -- waar ze overigens zonder verdere aanknopingspunten over welke account deze bij horen, nog steeds niets mee kunnen... -- dat is net zo'n randscenario.

[Reactie gewijzigd door R4gnax op 23 maart 2021 18:40]

Dat kan prima, bij het gebruik van TOTP kan ik gewoon met Keepass van elk device wat ik heb aan de slag.
Het minder mooie van deze methode, is dat kwaadwillenden door middel van sim swapping ook in jouw account kunnen komen. Ik zeg niet dat dit makkelijk is, maar het is zeker mogelijk en al meer dan eens voor gekomen.
Want apps zijn nog nooit lek geweest? Er zijn duizenden voorbeelden van apps die een lek bevatten en wat kon worden misbruikt.
Dat zeg ik ook niet. Ik zeg alleen dat er een groot nadeel kleeft aan het gebruik van SMS. Niet dat het gebruik van apps waterdicht is.
Het mooie van SMS is ook dat een oplichter ontzettend makkelijk je sim kan swappen of via een sms-provider je SMS-jes kan onderscheppen.

Dat zie ik met een app ook niet zo 123 gebeuren.
Er zijn anders duizenden voorbeelden van apps die een lek bevatten en wat kon worden misbruikt…

[Reactie gewijzigd door TheVivaldi op 23 maart 2021 13:10]

Is het probleem dan niet botweg dat simswapping/nummerovername té makkelijk kan?
Een app is niet zomaar gebonden aan een apparaat. Je moet er alleen, net als met een nieuwe sim, moeite voor doen om het op een ander apparaat te kunnen gebruiken. Helaas is die moeite bij een simkaart voor criminelen niet heel moeilijk, omdat jij geen controle hebt aan wie een provider je nummer koppelt.
1 2 3 ... 7


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone 12 Microsoft Xbox Series X LG CX Google Pixel 5 Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True