Inloggen bij Belastingdienst kan vanaf oktober alleen met tweetrapsauthenticatie

Nederlanders kunnen vanaf 1 oktober alleen nog maar inloggen bij de Belastingdienst als ze tweetrapsauthenticatie bij hun DigiD inschakelen. Alleen inloggen met een gebruikersnaam en wachtwoord lukt dan niet meer. Inloggen met de DigiD-app blijft ook mogelijk.

De Belastingdienst zegt dat de inlogmethode vanaf volgende week verandert. Op dit moment is het nog mogelijk met DigiD in te loggen met enkel een gebruikersnaam en wachtwoord, het laagste betrouwbaarheidsniveau dat de inlogdienst kent. Vanaf zaterdag 1 oktober kunnen burgers die inlogmethode niet meer gebruiken; ze moeten dan minimaal tweetrapsauthenticatie per sms inschakelen. Volgens beheerder Logius is dat veiliger en gaat het inloggen daardoor meer mee met de tijd nu op steeds meer plekken 2fa verplicht wordt.

Logius zegt ook dat er speciale aandacht is voor burgers die weinig digitale vaardigheden hebben. Voor hen is er in de afgelopen tijd extra voorlichting gegeven, onder andere via 'verschillende communicatiekanalen' en door een pop-up bij het inloggen. De Belastingdienst gaat daarnaast een 'balie' openen voor nabestaanden van overledenen, die daar een machtiging kunnen aanvragen. Ze kunnen daarmee belastingzaken regelen namens een overledene.

Het blijft daarnaast mogelijk in te loggen met de DigiD-app en met de combinatie van DigiD-app en een recent identiteitsbewijs. Die methoden waren al beschikbaar voor Mijn Belastingdienst.

Reacties (127)

laurxp 27 september 2022 16:50

Nu alleen nog hopen dat ze een keer standaard 2FA methodes gaan ondersteunen, zoals TOTP of WebAuthn.

SMS-authenticatie is onveilig, en in mijn ervaring werkt app+rijbewijs voor geen meter.

[Reactie gewijzigd door laurxp op 22 juli 2024 13:32]

Auteur

TijsZonderH Nieuwscoördinator @laurxp • 27 september 2022 17:07

SMS-authenticatie is onveilig

Veiligheid is natuurlijk een spectrum, maar de veiligheid van geen 2fa naar sms-2fa is een verbetering van 95%. Die extra WebAuthn-ondersteuning is dan nog eens die 5% extra. Maar ik blijf het wel altijd raar vinden dat ze zelfs niet lijken te werken aan die ondersteuning, laat staan er een datum voor te hebben.

Xantis @TijsZonderH • 27 september 2022 17:24

Het is niet alleen een kwestie van veiligheid, maar ook gebruikersgemak / extra opties. Persoonlijk vind ik het makkelijker om m'n YubiKey te gebruiken die standaard in m'n pc zit, dan op zoek te gaan naar m'n telefoon. Die laatste kan ik overigens alleen met SMS verificatie gebruiken sinds ze de voor de QR code functionaliteit in de DigiD app dependent op de google.vision qr scan functionaliteit. (Ja ik ben zo iemand zonder GAPPS)

batjes @Xantis • 28 september 2022 07:37

Dat zou anders moeten. Onbegrijpelijk eigenlijk dat in de huidige tijd we voor de DigiD app zo afhankelijk zijn van Google. Zou mooi zijn als de overheid haar best zou doen daar rekening mee te houden. Zo forceer je gewoon een afhankelijkheid en ook nog eens van een partij die om de haverklap over de grens gaat.

laurxp @TijsZonderH • 27 september 2022 18:48

Juist Webauthn geeft véél meer beveiliging.
SMS-2FA geeft nul beveiliging tegen phishing-aanvallen, en dat is nou juist het grootste probleem. Met WebAuthn is het technisch onmogelijk om in een phishingaanval te trappen, omdat de 2FA authenticatiemethode dan simpelweg niet werkt.

SMS is zeker beter dan helemaal geen 2FA, maar alle grote techbedrijven zijn het met goede redenen al een tijdje aan het uitfaseren. Het NIST gaf het in 2017 al het label "verouderd".

Eigenlijk zou ik wel graag een kritisch Tweakers-interview met Logius willen zien: waarom is voor het merendeel van de Nederlanders hun email bij Google beter te beveiligen dan hun communicatie met de overheid?

beerse @laurxp • 27 september 2022 23:37

Als je goed naar digid kijkt, zie je dat daar meerdere niveaus van beveiligen zijn. De mfa is al jaren de mogelijkheid, net zoals de digid-app in combinatie met de nodige beveiliging op je telefoon.

Het is met dit nieuwsbericht vooral dat de minimale eis niet meer account & wachtwoord is maar dat daar als minimum nu account, wachtwoord & sms is. Mits er een telefoonnummer geregistreerd staat.

PhilipsFan @TijsZonderH • 27 september 2022 22:47

Ze kunnen toch gewoon authenticatie via Google Authenticator ondersteunen? Zo moeilijk is dat helemaal niet en dan kan iedereen gewoon z'n favoriete app daarvoor gebruiken. Het is mij altijd een groot raadsel geweest waarom Logius z'n 2FA perse via SMS wil afhandelen. Dat is duurder, lastiger en minder veilig.

oef! @PhilipsFan • 27 september 2022 23:55

Lang niet iedereen heeft een smartphone en/of een pc waardoor het verplichte gebruik van een app problematisch is.

Daarnaast is het voor een digibeet praktisch onmogelijk om een authenticator applicatie te downloaden, te installeren en te configureren.

PhilipsFan @oef! • 28 september 2022 01:24

Eens, maar dat een klein stapje niet genoeg is wil niet zeggen dat je 'm niet moet nemen...

William_H @PhilipsFan • 30 september 2022 00:44

Het gaat niet altijd om willen, maar vaak niet om kunnen.
Stel, jij hebt geen geld voor een smartphone, hoe ga je dan die app installeren?
Een SMS kan zelfs met een vaste lijn ontvangen worden, en ookmet een pre-paid telefoontje.

keigezellig123 @oef! • 5 oktober 2022 09:41

Vooral dat laatste.. Als ik zie hoe mijn moeder van bijna 80 moeite heeft met dit soort dingen (en zeker als die om de haverklap veranderen) en ze kan toch echt wel de basisdingen met haar smartphone doen.

familyman @PhilipsFan • 28 september 2022 07:25

Je kunt je afvragen of je het van amerikaans functionaliteit wilt laten afhangen, natuurlijk.

KoffieAnanas @familyman • 28 september 2022 09:41

Beetje ongelukkig voorbeeld van Google Authenticator. Het draait vooral om ondersteuning voor TOTP, en daar zijn vele apps voor, niet alleen van Google.

TheMaurice @KoffieAnanas • 28 september 2022 13:05

Inderdaad, TOTP is een prachtige standaard, recent heeft zelfs Paypal daar ondersteuning voor toegevoegd. Sterker nog, van de 100 accounts die ik in Bitwarden heb staan heeft meer dan 95% ondersteuning voor TOTP.

knakworst @TheMaurice • 28 september 2022 16:48

Heb je dan ook bitwarden voor je passwords? Ik heb zelf lastpass maar gebruik geen lastpass authenticator. Heb altijd het gevoel - misschien onterecht - dat ik dan weer richting 1FA ga

CH4OS

Beveiliging en antivirus

@laurxp • 27 september 2022 17:19

Volgens mij kun je met de DigiD app tegenwoordig ook een TOTP-token genereren. Echter wil ik niet verschillende apps gebruiken, ik wil het gewoon in mijn password manager of mijn TOTP-manager zetten en niet voor elke TOTP-mogelijkheid een andere app nodig zijn, voor die ene keer per jaar.

gooos @CH4OS • 28 september 2022 09:16

Precies dat!

Voor de enkele keer in het jaar zou je niet een aparte app moeten installeren. Laat ze gebruik maken van de marktstandaarden en ik had het allang ingeschakeld, en ik vermoed met mij nog vele anderen.
Tot dan maar gebruik blijven maken van de SMS-2FA mogelijkheid, ook al kleven daar wel wat bezwaren aan.

mastair @CH4OS • 27 september 2022 18:13

Wat bedoel je? TOTP is een standaard dus als DigiD dat zou ondersteunen kun je van je gebruikelijke TOTP tool gebruik maken. Maar ik ben het nog nooit tegengekomen bij DigiD.

CH4OS

Beveiliging en antivirus

@mastair • 27 september 2022 19:03

Met de DigiD app kun je inlogcodes laten genereren. Volgens mij gaat dat op basis van TOTP. Maar er is geen mogelijkheid om een eigen app te gebruiken voor het TOTP-token, alleen de DigiD app, helaas. Dit komt omdat de secret niet gedeeld wordt waarmee de codes gegenereerd worden.

[Reactie gewijzigd door CH4OS op 22 juli 2024 13:32]

memphis @laurxp • 27 september 2022 19:21

Gezien iedereen met de Belastingdienst te maken heeft zal voor een redelijk deel de zwakste schakel de persoon zelf zijn. Hoeveel ouderen die niets met computers doen leggen hun belastingzaken en hun login in de handen van een ander?

FilipSP @memphis • 27 september 2022 22:52

"ouderen" is wel een beetje generaliserend. Ik werk als fiscalist en het gebeurt regelmatig dat tijdens een kennismakingsgesprek ondernemers, ook jonge, nog altijd direct met de deur in huis vallen: "alstublieft hier heeft u een brief met mijn digid-code, het wachtwoord staat bovenin geschreven, die heeft u vast nodig" ....WTF, nee natuurlijk niet...

PhilipsFan @memphis • 27 september 2022 22:49

Dat is een probleem van de Belastingdienst. Aangezien iedereen wel eens een aangifte moet doen, zullen zij ervoor moeten zorgen dat iedereen dat kan. Ook mensen die digibeet of analfabeet zijn. Op dit moment wordt dit veel te veel het probleem gemaakt van de mensen zelf. Hoewel je volgens mij ook nog steeds op papier aangifte kunt doen, maar dan duurt het langer voordat je aangifte verwerkt is.

P_Tingen @memphis • 28 september 2022 10:07

Dat is ook precies de manier waarop ik de belasting invul voor mijn zwager

Voordeel is dat het ontzettend makkelijk werkt. en nou heb ik geen kwaad in de zin, maar het is natuurlijk niet de goede manier. Ah, well, ik zal me eens verdiepen hoe het straks moet. Om ze nou straks te bellen bij het indienen van de belasting om de SMS code door te geven is ook zo wat.

Frame164 @laurxp • 27 september 2022 19:09

Sinds dat bekend werd dat SMS veiligheidsproblemen had hebben alle providers de nodige maatregelen genomen. Overal staan SMS firewalls en content filters. Uiteraard zal er altijd wel een mogelijkheid te vinden zijn om het te misbruiken maar dan moet je de effort daarvoor afzetten tegen de mogelijke opbrengst. De impact van inloggen op iemand belastingdienst account is beperkt.

Anoniem: 316512 @Frame164 • 27 september 2022 19:51

Een SMS blijft meestal lang geldig. Een gegeneerde code vanuit een app een stuk korter. Daardoor is SMS best goed te phishen en zou ik het zelf nooit gebruiken.

Ik kan mij niet voorstellen dat OTP of WebAuthn nou zo heel moeilijk is om te implementeren, en de opbrengst is best wel hoog.

GertMenkel

Beveiliging en antivirus

@laurxp • 27 september 2022 19:02

Wachtwoord als eerste factor, app als tweede factor werkt toch prima? Ik vind het scannen van een QR-code met een telefoon die ik toch altijd bij me heb niet zo storend.

Ik mis wel een veilig alternatief voor open source telefoons maar als je MicroG installeert (eventueel in Anbox) moet de Android-app het daarop ook gewoon doen; wellicht dat de NFC-support in Anbox niet werkt maar dat is doorgaans niet zo vaak nodig.

Ik zou veel liever WebAuthn support zien dan TOTP op dit punt, eventueel in combinatie met WebNFC zodat elk apparaat veilig kan inloggen, maar ik verwacht op dat gebied niet al te veel.

beerse @laurxp • 27 september 2022 23:33

Eerst even muggenziften: Het zou geen 2fa moeten zijn maar mfa: Niet 2-authenticaties maar meer-authenticaties.

En dan het gebruik van 'standaard' methoden: ja, die zou ik ook willen zien, naast de al geboden mogelijkheden. En dan zou ik voor mezelf en voor authenticerende instanties (zij die gebruik maken van digid) de mogelijkheid willen bieden dat er een minimum aan meervoudige authenticaties kan worden aangegeven. Dat kan voor de instanties volgens mij nu al, maar dat zou ik zelf ook willen kunnen instellen.

Daarmee zou jij dan jou 'sms is niet veilig' kunnen invullen door die niet toe te staan voor jou account maar bijvoorbeeld wel zowel een wachtwoord, als de digid app als ook je totp en/of webauth.

PepijnK @laurxp • 29 september 2022 19:46

Nu alleen nog hopen dat ze een keer standaard 2FA methodes gaan ondersteunen, zoals TOTP of WebAuthn.

SMS-authenticatie is onveilig, en in mijn ervaring werkt app+rijbewijs voor geen meter.

Gelukkig blijft SMS wel een optie. Ik weiger om na alle moeite die ik heb gedaan om Google Play Services van mijn telefoon af te slopen die spyware weer terug te zetten, omdat de rijksoverheid het niet voor elkaar krijgt om een degelijke app te produceren.

Het idee dat SMS niet veilig genoeg zou zijn is wat mij betreft ook behoorlijk overdreven. Ik ben niet interessant genoeg voor criminelen om te gaan proberen dat SMSje te onderscheppen.

En de phishing mails die ik heb gezien die door moeten gaan voor de belastingdienst of andere takken van de rijksoverheid zijn allemaal overduidelijk phishing.
Hoe weet ik dat zo zeker? Omdat er in een mail van de overheid nooit een link staat naar waar je kan inloggen. Staat die er wel, dan is het per definitie phishing. Het is redelijk triviaal om daar je filter op in te richten.

App+Rijbewijs of ID kaart is ook geen optie voor mensen die een telefoon zonder NFC hebben.

SMS blijft dan redelijkerwijs over als enige toegankelijke relatief betrouwbare 2FA methode die weinig kost. De andere redelijke optie is om iedereen zo'n "random reader" kastje op te sturen wat je nu ook voor internetbankieren gebruikt. Maar ja die dingen kosten geld.

Loggedinasroot 27 september 2022 16:44

Is het ook al bekend wanneer 2fa via sms wordt uitgefaseerd?
Logius heeft dit al eerder aangegeven maar had toen nog geen concrete datum.

GeeBee @Loggedinasroot • 27 september 2022 17:08

Zolang er nog (oude) mensen zijn met geen smartphone hoop ik van niet.

wildhagen

Beveiliging en antivirus
Nederland

@GeeBee • 27 september 2022 17:12

Gelukkig hebben ook oude mensen steeds vaker een smartphone tegenwoordig. En sowieso, veel ouderen doen de aangifte sowieso niet zelf, maar via bijvoorbeeld een belastinconsulent die het samen met hen invult. Al dan niet via een ouderenbond als de KBO etc.

En ze kunnen ook altijd een familielid machtigen om de aangifte namens hen te doen.

Ik vind niet dat oudere mensen een reden kunnen zijn om een onveilig systeem in de lucht te houden, met alle risico van dien voor iedereen (we hebben het hier immers over erg gevoelige gegevens), als er diverse goede manieren zijn voor die mensen om alsnog aangifte te kunnen doen (zoals hierboven aangegeven).

TheVivaldi @wildhagen • 27 september 2022 17:28

Maar dat wil niet zeggen dat iedereen een ondersteunde smartphone heeft. Ik draai Ubuntu Touch op mijn smartphone. Inloggen zonder sms zou betekenen dat ik niet meer zou kunnen inloggen. En ja, ik weet dat het een niche is, net als Linux op de pc (wat ik ook draai), maar ik wil niet gedwongen worden naar een systeem dat ik niet fijn vind alleen omdat enkele tweakers een inlogoptie willen ontnemen. Als je liever met de app inlogt, dan doe je dat toch gewoon? Je wordt niet gedwongen om in te loggen via sms. Sms is nog altijd 95% veiliger dan geen 2fa (zie ook TijsZonderH in 'Inloggen bij Belastingdienst kan vanaf oktober alleen met tweetrapsauthenticatie').

(En ik ben pas 30 jaar oud, btw.)

laurxp @TheVivaldi • 27 september 2022 18:52

Helemaal mee eens. In feite dwingt de overheid je om mee te doen aan het duopolie van Android en Apple.

Waarom moeten ze zo nodig het wiel opnieuw uitvinden in plaats van gewoon een volwassen open standaard te gebruiken?

PhilipsFan @laurxp • 27 september 2022 22:50

Duopolie? Je hebt alleen een 06-nummer nodig om een SMS te kunnen ontvangen. Misschien werkt het (afhankelijk van je telefoonprovider) zelfs via een vaste lijn, je krijgt dan een gesproken bericht. Je hebt voor de huidige vorm van 2FA geen Google of Apple nodig.

batjes @PhilipsFan • 28 september 2022 07:44

Alleen draaide deze discussie dus over het afschaffen van de SMS als optie en dan forceer je in de huidige situatie gewoon een afhankelijkheid bij die 2 partijen.

n8n @TheVivaldi • 27 september 2022 21:39

Ze zouden ook ‘gewoon’ totp kunnen ondersteunen ipv alleen de DigiD app waardoor je een veelvoud van (gratis, open source) apps kan gebruiken om inlog-codes te genereren.

Zelfs een code naar je e-mail sturen is veiliger omdat een e-mail provider zelf vaak al mfa ondersteunt/afdwingt.

The_Woesh @wildhagen • 27 september 2022 17:22

Ja oude mensen hebben een smartphone. Maar ik heb wel ervaren bij overlijden van mijn schoonvader dat het voor de erfgenamen enorm moeilijk/onmogelijk is om alles snel om te zetten naar de erfgenamen.

Mobiel wordt vaak op fingerprint/wachtwoord gezet. Partner kan er niet bij, alles met 2FA kan je ineens niet inloggen.
Abonnementen lopen door omdat je ze niet kan kan opzeggen zonder inlog... rekeningen komen binnen die niet afgeschreven kunnen worden omdat de bank bij overlijden rekeningen op naam blokkeerd....

De Belastingdienst gaat daarnaast een 'balie' openen voor nabestaanden van overledenen, die daar een machtiging kunnen aanvragen

Ik hoop dus heel erg dat deze balie goed gaat functioneren. niet alleen voor de belasting dienst maar voor alles met digiD.

Marcel Br @The_Woesh • 27 september 2022 20:42

Dat probleem bij overlijden geldt niet alleen bij oude mensen.

GameNympho @wildhagen • 27 september 2022 22:51

Ik ben aardig op leeftijd en heb een oudere Nokia nog met W10 erop.
Totaal niet ene app op mijn mobiel, ik geef aan alle instanties door dat ik een gewone mobiel bezit, zonder internet en ondersteund dus ook geen app`s. Dan is een sms wel wenselijk ivm inloggen op DigiD voor mensen zoals ik en ook die geen vertrouwen in zo`n ding hebben, hebben vaak nog wel zo`n normaal mobieltje waar ze mee bellen/gebeld worden of een berichtje naar man/vrouw/kids stuurt.

SCS2 @GeeBee • 27 september 2022 17:42

Google en andere lezen de cijfercode voor als er geen SMS-functie is.

Ben wel benieuwd hoe dat bij mijn vader zijn FAX gaat ... Zou die ook nog ondersteund zijn?

GeeBee @SCS2 • 27 september 2022 21:19

Om zijn TAN-codes uit te draaien?

CH4OS

Beveiliging en antivirus

@GeeBee • 27 september 2022 17:23

Ik weiger DigiD als app te gebruiken op mijn telefoon speciaal voor TOTP voor die ene keer per jaar. Ik heb al een password manager en TOTP token manager, ik wil daar niet nog een app voor.

Anoniem: 710428 @CH4OS • 28 september 2022 12:04

Dan ga je toch gewoon even moeilijk doen en misschien een petitie starten voor alternatief waar dan mijn belastingcenten weer heen moeten? Wat jij wil, ik heb er geen last van hoor, vind het prima veilig

kozue @GeeBee • 27 september 2022 17:14

Of jonge mensen met een afkeer van apps. Die Digid app komt er hier niet in.

rsbroer @kozue • 27 september 2022 17:25

Ditto.

De overheid kan toch ook een token hardware aanbieden zoals veel bedrijven hanteren / hanteerden voor VPN verbindingen ?

Ik wil daar zelfs voor betalen.
Kan dan mooi in de la voor die enkele keren per jaar dat je hem nodig hebt...

SMS controle voldoet ook prima nog

TheVivaldi @rsbroer • 27 september 2022 19:25

Precies! Ik wil best een tientje of zelfs een paar tientjes per 3 jaar of zo betalen voor een platformonafhankelijke oplossing.

alwuzomondo @TheVivaldi • 27 september 2022 22:24

Ik vind dat ik daar genoeg voor betaal, namelijk belasting. De overheid zou per definitie platform onafhankelijke oplossingen moeten maken.

alwuzomondo @kozue • 27 september 2022 22:22

Hier komt de DigiD app er ook niet in, en wel vanwege drie redenen:
1) Closed source ipv vrije software. (Public money, Public code!)
2) Afhankelijk van GApps
3) Voorzien van trackers van zowel Microsoft als Google: https://reports.exodus-privacy.eu.org/en/reports/nl.rijksoverheid.digid.pub/latest/

Onbegrijpelijk dat er geen TOTP aan DigiD wordt toegevoegd, veel veiliger dan SMS en dan hoef je niet je telefoon nr met de overheid te delen.

kozue @alwuzomondo • 28 september 2022 22:36

Yuck, die app is nog erger dan ik had verwacht... trackers ook nog. Alsof het nog niet genoeg is om iedereen een app door hun strot te rammen willen ze nog jouw data aan de Amerikaanse spywareboeren geven ook

TheVivaldi @kozue • 27 september 2022 19:24

Idem dito. Ik wil zélf bepalen welk OS ik gebruik en dat is geen OS waarop de app beschikbaar is. En al zou die dat wel zijn, dan nog zou ik hem niet willen.

Anoniem: 710428 @TheVivaldi • 28 september 2022 12:03

Ik vraag me af waar je eigenlijk last van heb? Wat merk ik (ik vind alles prima ) tov van jou? en wat zijn mijn nadelen en jouw voordelen in de praktijk? dus niet dat microsoft en google mijn tel en account etc weten, maar wat is nou in mijn levensstijl anders dan bij jou?

Stel ik ga ook die paar uur per dag investeren om volledig op privacy te letten en onafhankelijke devices/apps/internet etc. Wat staat daar dan tegenover? lagere kosten? name it, vraag me oprecht af wat er nou nu (en geen toekomst verhalen) fout aan is om met google en microsoft, apple etc gekoppeld te zijn,

Ik gebruik op PC: Microsoft zowel prive als zakelijk, google nest, speakers prive account etc,

en ik gebruik google, Instagram, whatsapp op iPhone

Daoka @Loggedinasroot • 27 september 2022 21:41

Ik vind dat zolang de app niet aan bepaalde voorwaarden voldoet dat SMS gewoon moet blijven. Dan denk ik aan dan denk ik aan dat de broncode van de digid app openbaar moet zijn. Daarnaast vind ik dat de overheid van de extra data moet afblijven. Het is al een hele tijd geleden dat ik de app ooit kort geïnstalleerd heb maar toen stond in de instellingen dat de app dus extra informatie mag versturen. En dit stond standaard aan zonder enige kennisgeving. Gelukkig dat ik het snel gezien heb en snel uitgezet. Maar wie weet welke data in die paar minuten gestolen is (ja ja het valt niet onder stelen). Ook geen informatie erbij wat überhaupt de extra data is. Dit vind ik niet kunnen van een app van de overheid. Dus laat mij maar minder veilig zitten met de SMS.

JeroenH 27 september 2022 16:37

Goede zaak. Ik heb een tijd terug een Yubikey 5 NFC aangeschaft en al mijn accounts die het ondersteunen daaraan gekoppeld.

Ergens jammer dat DigiD en de banken deze sleutels nog niet ondersteunen

GeeBee @JeroenH • 27 september 2022 17:07

ING ondersteunt FIDO2 en dus kun je daar met een (Yubi)key uit de voeten, maar voor zover ik weet is dat de enige bank.

GekkePrutser @GeeBee • 27 september 2022 17:16

Maar ook nog niet passwordless helaas (Yubikey + Pincode, helemaal geen wachtwoord). Jammer. Office 365 ondersteunt het bijvoorbeeld wel, het is super en heel veilig omdat er gewoon geen wachtwoord meer is om te raden.

Van DigiD ook weer heel jammer dat ze zelfs de 2FA optie van FIDO2 (die ING dus wel ondersteunt) niet doen. Maarja in Nederland moeten we altijd weer het wiel opnieuw uitvinden

[Reactie gewijzigd door GekkePrutser op 22 juli 2024 13:32]

martijnsch

@GeeBee • 28 september 2022 16:14

Bedoel je Mijn ING? ik zie daar geen mogelijkheid om mijn Yubi Key in te stellen..

vgroenewold @JeroenH • 27 september 2022 16:45

Zijn er überhaupt veel die dat doen want hoewel ik het ook zou willen gebruiken, kom ik nauwelijks sites tegen die dat bieden.

JeroenH @vgroenewold • 27 september 2022 16:49

Nope, te weinig.

The Zep Man

Beveiliging en antivirus
Nederland

27 september 2022 16:35

Dit is niet echt nieuw voor iedereen die aangifte inkomstenbelasting doet. Voor het ondertekenen was sowieso al tweetrapsauthenticatie nodig. Nu komt het inloggen erbij, maar buiten dat het iets gebruiksonvriendelijker wordt, maakt het niet opeens aangifte doen echt lastiger.

[Reactie gewijzigd door The Zep Man op 22 juli 2024 13:32]

.oisyn Moderator Devschuur® @The Zep Man • 27 september 2022 16:58

Voor het ondertekenen was sowieso al tweetrapsauthenticatie nodig

Volgens mij niet? Dit is ook het eerste waar ik aan dacht; ik vul het altijd in en stuur het op, en over het algemeen heb ik de input van mijn vrouw op geen enkele wijze nodig; ik onderteken voor haar met haar naam en wachtwoord.

Ik moet deze week een wijziging doorgeven, dus we zullen het zien

SCS2 @.oisyn • 27 september 2022 17:38

Deze week is nog voor 1 oktober ....

.oisyn Moderator Devschuur® @SCS2 • 27 september 2022 18:13

Precies, dus ik ga merken of ze nu al 2fa vereisen zoals The Zep Man zegt

RoamingZombie @The Zep Man • 27 september 2022 18:06

Voor het ondertekenen heb ik dat de laatste 5 jaar gedaan voor mijn vader zonder 2fa. Alleen DigID was nodig.

aikebah @The Zep Man • 27 september 2022 18:55

Dit is niet echt nieuw voor iedereen die aangifte inkomstenbelasting doet. Voor het ondertekenen was sowieso al tweetrapsauthenticatie nodig. Nu komt het inloggen erbij, maar buiten dat het iets gebruiksonvriendelijker wordt, maakt het niet opeens aangifte doen echt lastiger.

Herauthenticatie (met 1fa) bij versturen is iets anders dan authenticatie met 2fa.

Wat vereist was bij versturen was enkel de herauthenticatie. Ik heb al mijn aangiftes tot nu toe met digid user+pass gedaan.

HansvDr @The Zep Man • 28 september 2022 07:49

Wordt wel lastiger, ik doe belastingaangifte voor mijn vriendin en mijzelf. Nu moet zij erbij zijn omdat ik anders niet kan inloggen voor haar. Geen ramp maar wel lastiger.

Laatst was mijn telefoon stuk, dan is het verdraaid lastig dat 2fa.

Ik vind 2fa vaak overbodig. Voor mij hoeft het niet.

BeosBeing @HansvDr • 30 september 2022 14:24

Laatst was mijn telefoon stuk, dan is het verdraaid lastig dat 2fa.

Dat heb ik ook al diverse keren gehad. Van het ene moment op het andere werkt het niet meer.
- In een toestel was het omdat de batterij geen contact meer maakte, bleek er ruim een millimeter speling te zijn.
- Telefoon crasht en komt in een bootloop. Wileyfox, Nokia
Telefoon verliezen is trouwens net zo lastig.

Ik vind 2fa vaak overbodig. Voor mij hoeft het niet.

Je bent een roepende in de woestijn, en niet de enige.

RoestVrijStaal 27 september 2022 16:45

Jammer.

Fijner zou zijn geweest dat je wel kan inloggen met enkel je gebruikersnaam en wachtwoord en dat je dan op een pagina komt waarin enkel groene vinkjes of rode kruisjes te zien zijn als je aangifte van jaar 20XX correct is ontvangen en verwerkt of juist niet. Zonder enig andere informatie van de persoon e.d. erbij.

Als je dan iets wil muteren of "dieper erop in" wil gaan, is 2FA wel gerechtvaardigd.

kodak

Beveiliging en antivirus
Nederland

@RoestVrijStaal • 27 september 2022 17:02

Aangezien je niet kunt stellen dat toegangscodes niets over de persoon zeggen en persoonlijke gegevens over verwerking net zo goed niet zomaar zonder details voldoende zijn, of minder bescherming nodig hebben, lijkt me dat geen oplossing. Daarbij lijkt het me net zo goed lastig dat gebruikers met meerdere vormen van authenticeren te maken krijgen.

Tigran 27 september 2022 17:02

Ik heb een tijdje geleden in het buitenland gewoond en moest nog steeds aangifte doen in Nederland (voor box3).
Destijds had ik geen 2FA op mijn DigiD en kon dat ook niet aanvragen zolang ik in het buitenland zat (en ja, ik heb het destijds goed uitgezocht).
Ik hoop dat het nu wel mogelijk is voor niet ingezetenen, anders gaat er straks een hoop mis!

PolarBear @Tigran • 27 september 2022 17:31

Dat lijkt nu beter geregeld? https://www.digid.nl/buitenland/

SCS2 27 september 2022 17:46

Heeft niemand van jullie een bedrijf?
Daar zijn ze al een jaar veel strenger, door eHerkenning3 te eisen.
Zit er een verplichte, niet gratis, 3e partij tussen.
Degene die wij gebruiken eisen ook een mob.tel met hun app, die op de achtergrond de site van de Buhlastingdienst vrijgeeft.

mschol @SCS2 • 27 september 2022 22:58

ik ben ZZP'er en kan (nog) gewoon inloggen met naam+ wachtwoord
en een optie verplichten die ook nog eens geld kost is voor de overheid eigenlijk een no-go.. dat zou je per definitie tegen moet ageren.. het kan niet zo zijn dat je, om je belastingen te betalen, moet betalen

[Reactie gewijzigd door mschol op 22 juli 2024 13:32]

SCS2 @mschol • 28 september 2022 19:37

Toch is dat wat er is gebeurd. Dacht jan 2021 verplicht geworden.
Wij zijn een klein bedrijf met een BV en een Holding BV.
Ik moet voor beide BTW aangifte doen, en moest dus 2x eHerkenning KOPEN om aangifte te MOGEN doen.
Er zijn een paar aanbieders, die zouden moeten concurreren.
Kan voor 1 of 3 jaar kopen.
(Ik had al EH1 moeten kopen voor iets anders, toen de goedkopere 3 jaar. Maar halverwege werd EH3 geëist en ... werd die onbruikbaar)

Er was van de Belastingdienst/staat een minimale vergoeding als overgangsregeling.
Andere instanties vereisten het ook.
Ik kocht dus nu de volledige EH3 variant en niet de uitgeklede variant die alleen voor de Belasting werkt.
én ... kom daarom blijkbaar 2x niet voor de vergoeding in aanmerking......

Ja ja....

pbruins84 27 september 2022 17:00

Ik heb het net nog even gecontroleerd, maar de app van de belastingdienst om aangifte inkomstenbelasting te doen heeft nog steeds geen ondersteuning voor 2-factor authenticatie via de DigiD app. Om de belastingdienst app te kunnen gebruiken, moest ik eerst de onveilige sms-authenticatie inschakelen.

Schandalig dat dit na 2 jaar nog steeds niet gefikst is, terwijl 2-factor authenticatie nu verplicht wordt.

[Reactie gewijzigd door pbruins84 op 22 juli 2024 13:32]

PolarBear @pbruins84 • 27 september 2022 17:30

Hoe bedoel je dat? Ik heb echt net ingelogd op mijn belastingdienst en de IB geopend?

pbruins84 @PolarBear • 27 september 2022 17:34

Heb je de belastingdienst app én de DigiD app gebruikt? Op Android wordt dit niet ondersteund. Dit voorjaar heb ik daar contact over gehad met de belastingdienst, en kreeg ik terug dat ik SMS autorisatie moest inschakelen (wat de belastingdienst-app ook aangeeft), want inloggen via de DigiD-app wordt niet ondersteund.

PolarBear @pbruins84 • 27 september 2022 17:48

Ah zo, ik gebruik én iPhone en ik log in op de website omdat de app te beperkt is voor mijn aangifte.

equit1986 27 september 2022 16:34

prima toch. had al veel eerder verplicht moeten zijn.
wij verplichten onze leveranciers ook al tijden met 2fa voordat ze bij ons aan mogen melden.

Anoniem: 30722 27 september 2022 16:44

Niet meer dan logisch, de keuze tussen 1 of 2 staps verificatie heeft me altijd verbaasd.
Zelfs als je op Digi-D 2 staps aanzette, kon je het vroeger bij het inloggen toch tijdelijk negeren, bijzonder idee over security!
Dus goed dat het nu naar 2-staps gaat!

Op dit item kan niet meer gereageerd worden.

Inloggen bij Belastingdienst kan vanaf oktober alleen met tweetrapsauthenticatie

Lees meer

Reacties (127)

Sorteer op:

Weergave: