Maker van Belgische ID-app itsme neemt multifactorauthenticatiebedrijf over

Itsme heeft het eveneens Belgische bedrijf nextAuth overgenomen. NextAuth, een spin-off van de KU Leuven en imec, maakt multifactorauthenticatiesoftware. Itsme wil nextAuths mfa integreren in de itsme-identiteitsapp. Itsme wordt nu door miljoenen Belgen en Nederlanders gebruikt.

Met de overname wil itsme meer authenticatiemogelijkheden inbouwen in zijn identiteitsapp en de apps van klanten. Het bedrijf noemt als voorbeelden biometrische en wachtwoordloze mobiele multifactorauthenticatie voor in bankapps. "NextAuth staat bekend om zijn ijzersterke en zeer geavanceerde cryptografie. Deze gepatenteerde spitstechnologie wordt alom geaccepteerd als een uiterst veilige manier voor authenticatie", schrijft het bedrijf.

Een overnamebedrag wordt niet genoemd. Itsme is een identiteitsapp die door publieke instanties zoals overheden en in de privésector wordt gebruikt. Afgelopen maart had het bedrijf 6,7 miljoen Belgische en Nederlandse accounts, wat een toename was van 11 procent ten opzichte van een jaar eerder. Het bedrijf achter itsme heet Belgian Mobile ID.

Door Hayte Hugo

Redacteur

24-10-2023 • 14:59

58

Reacties (58)

58
58
20
4
0
33
Wijzig sortering
Ook Nederlandse accounts?
Zijn die Nederlanders die van Belgische diensten gebruik maken?
Voor NL Overheid is er DigiD, wellicht vergelijkbaar met Itsme?
Itsme is zich stilaan ook op de Nederlandse markt aan het begeven. Uiteindelijk voldoen ze aan de nieuwe EU standaard voor authenticatie en zijn daarom gelijkwaardig te gebruiken als DigiD,
Op dit moment kan een Nederlands Itsme inlogmiddel niet gelijkwaardig gebruikt worden aan DigiD. Afgezien een enkele uitzondering (zoals die pilot van Rotterdam) ondersteunt geen overheidsdienst Itsme naast DigiD.

De nieuwe Wet op de Digitale Overheid maakt het mogelijk dat er straks (?) naast DigiD ook private aanbieders erkent kunnen worden. Itsme zal dat vast gaan doen.

Tot dat moment kan je (paradoxaal genoeg) alleen met een Belgisch Itsme-middel inloggen bij veel overheidsdiensten door de EU-inlog-knop te kiezen (ipv DigiD), vervolgens "Belgie" bij het Nederlandse EU-knooppunt en tenslotte "Itsme" bij het Belgische EU-knooppunt. Dat werkt overigens alleen als het Nederlandse EU-knooppunt de paspoort gegevens (die het Belgische EU-knooppunt teruglevert) in de BRP kan vinden. België kan en mag namelijk geen BSN aanleveren.
Dit is een goede vraag, maar heel eerlijk zit ik er helemaal niet op te wachten. Een “digitale identiteit” geregeld door een commerciële partij. Dat ze maar mooi in België blijven.

Als 1 partij iets van mij wil weten en het is (semi-)overheid dan zorgen ze maar dat ze digid ondersteunen. En als ze geen digid mogen ondersteunen dan doe ze maar idin (een identiteit verificatie vergelijkbaar met ideal).

Ik ga nooit itsme gebruiken!
En zit je dan wel te wachten op een overheid om iets complex als authenticatie goed te implementeren? Er valt misschien wel iets voor te zeggen dat dit een "core business" zou moeten zijn voor een moderne overheid, maar vandaag de dag zie ik dat niet gebeuren in België.
Dat zou ik zeker eerder vertrouwen dan bij een commerciele partij, ja. Een overheid heeft namelijk geen winstoogmerk als hoogste prioriteit, en zal dus ook niet ten bate van de winst de kantjes er vanaf lopen.

Dat wil niet zeggen dat er binnen overheden niets fout kan gaan, natuurlijk - maar dat er beknibbeld wordt om meer winst te draaien is nagenoeg zekerheid binnen een commercieel bedrijf, en dus sowieso een probleem. Bij een partij als een overheid is de kans netto dus kleiner, want de incentives zijn fundamenteel gewoon veel minder tegenstrijdig.

(Het veelgehoorde tegenargument is dat een commercieel bedrijf failliet zou gaan als ze de beveiliging niet in orde zouden hebben, maar in de praktijk gebeurt dat afgerond nooit, en is er bijna geen enkel bedrijf dat niet op beveiliging bespaart, kan ik je vanuit branche-expertise wel vertellen.)
Mja, dat is toch wel een zeer theoretische benadering. In de praktijk is er vorige week een terroristische aanslag voorgevallen in België, met twee doden,en die had perfect kunnen vermeden worden. Door het structurele tekort aan personeel bij justitie en dus de hoge werklast, heeft een magistraat een fout gemaakt en het dossier van die terrorist in een verkeerde kast gelegd, en daardoor is dat dossier niet tijdig opgevolgd. De minister van justitie is afgetreden, er is een rondje paniekvoetbal gespeeld met de belofte van meer personeel, en daarmee is de bevolking weer even zoet.

Maar je hebt gelijk: dit is niet het gevolg van er de kantjes willen aflopen in functie van winstbejag.
Digid lijkt best goed in elkaar te zitten. Dat ze zoiets in België niet voor elkaar krijgen betekent niet dat een commerciële oplossing uit België richting het noorden moet trekken.
CSAM is van de overheid en werkt ook goed in België (afgezien van de naam die nogal ongelukkig gekozen s), je moet geen Itsme gebruiken.
En je vergeet dan even te benoemen dat alle iDIN leveranciers op dit moment commerciële banken zijn.... 8)7
Commerciële partijEN, die samen in het verleden ook iDeal hebben geïmplementeerd en daarop hebben voortborduurt….
Maar ja die hebben daar wel een commercieel belang bij, dus wij hebben hier al iets voor alle situaties. Geen reden om een extra oplossing uit België over te nemen.
Nou, hier in Nederland moesten we zo nodig het wiel weer opnieuw uitvinden. Dat terwijl de Belgische variant al veel meer kan en kon toen hij ingevoerd werd, en beter aansluit bij de Europese online identiteit, eID.
Dus de Hollandse arrogantie is weer niet nodig hoor...
Men loopt gewoon voor in België. Als Nederlander misschien moeilijk toe te geven omdat wij altijd denken dat we voor lopen (op de rest) op de wereld.

[Reactie gewijzigd door William_H op 22 juli 2024 15:57]

Digid is voor alles met de overheid en is uit 2004
IDIN is voor alles wat niet overheid is (bijvoorbeeld leeftijd check bij online alcohol kopen) en is gelanceerd in 2016

Volgens Wikipedia is itsme uit 2017, dus ik ben benieuwd over welke app je het hebt waarmee België enorm voorop loopt? Oprecht nieuwsgierig.
Het gaat niet over een specifieke app, maar het raamwerk waarin deze diensten zijn gebouwd. In België kun je al veel langer bepaalde zaken met eID doen, wij in Nederland liepen voorop met DigiD/iDIN, maar hebben sinds eID Europees beschikbaar is last de remmende voorsprong.
In België is er geen verschil tussen een "DigiD" en "eID", alles is benaderbaar via één en hetzelfde raamwerk en dat is eID.
In Brasschaat zitten er veel die ITSME gebruiken ;)
Allemaal goed en wel maar ik wens de klassieke manier van beveiliging wel te blijven gebruiken zoals een klassieke pincode. Gezichtsherkenning of de vingerafdruk beveiliging weiger ik om persoonlijke redenen te gebruiken.
Je hebt liever een veel minder veilige manier van authenticatie voor je digitale identiteit bij je overheid?

Ik ben benieuwd naar de reden daarachter.
Een mogelijke reden dat ik zie is dat je vingerafdrukken/gezichtafdruk meer informatie bevat over jou dan een pincode. Wat als die data nu te grabbel ligt en criminelen jouw vingerafrukken beginnen te gebruiken bij misdaden?

Je kan ook verschillende pincodes hanteren. Verschillende vingerafdrukken is iets mogelijker/beperkter.
En dat is dus iets dat in principe niet kan. Enkel het OS heeft toegang tot de vingerafdruklezer of de IR sensor in je camera. En de data om mee te vergelijken is niet terug te brengen naar het origineel en wordt opgeslagen in een beveiligde chip. Je TPM chip op de PC, de Secure Enclave op je iPhone en ook Android devices hebben ondertussen iets gelijkaardigs aan boord.
Het OS valt niet te hacken om zo tot die data te komen?

Ik ben advocaat van de duivel aan het spelen, ik heb te weinig kennis van die beveiligde chips.

Ik vind het o zo gevaarlijk dat als eenmaal derden jouw vingerafdrukken kennen, ze momenteel praktisch alles kunnen doen in 'jouw naam'.
In theorie kan alles, maar wat @Blokker_1999 zegt klopt. Zoals Touch ID bijvoorbeeld is opgebouwd krijgt het OS niets te zien over je vingerafdruk. Alleen maar info of hij klopt. Daarom kunnen er ook maar 5 opgeslagen worden, er passen er niet meer in dat chipje.

De verbinding tussen de Vinger print sensor en het OS is encrypted en daardoor ook weer afhankelijk van elkaar, er wordt wel eens geklaagd dat ze niet te vervangen zijn, doordat hij bijvoorbeeld is gescheurd bij een scherm reparatie, maar dat heeft ook te maken met die encryptie. In iedergeval bij iOS is dit stuk ontzettend goed beveiligd.

Die TPM (Trusted Platform Module) is een chip/module die gebruikt wordt in PC's/Laptops, op smartphones zit iets vergelijkbaars. In die chip/module zitten de encryptie sleutels opgeslagen en omdat die bijvoorbeeld bij Apple in de SoC zit gebouwd is dat ontzettend moeilijk te kraken. Je kan namelijk niet eventjes een paar draadjes solderen om de communicatie af te tappen.

[Reactie gewijzigd door jctjepkema op 22 juli 2024 15:57]

De SE van Apple heeft een unpatchable flaw volgens hackers.

Recent ontdekt
Waarom zijn biometrische gegevens zoals de vingerafdruk veiliger? Het is eenvoudig een kopie van je vingerafdruk te maken. Ik moet enkel maar wat poeder smeren op een van de heel erg vele oppervlakken die jij aanraakt. En voor gezichtsherkenning kan ik als ik een handvol foto's van je heb een extreem accuraat 3D model van je hoofd maken.

Bovendien zijn die gegevens nadien niet door U te wijzigen. M.a.w. je kan er niet eens iets aan doen eens ik die gegevens heb (die dus voor een aanvaller veel eenvoudiger te bekomen zijn dan iets als een eenvoudig passwoord).

Vingerafdrukken en gezichtsherkenning zijn enkel in films en fantasie veilig. In werkelijkheid zijn ze niet veilig.
Waarom zijn biometrische gegevens zoals de vingerafdruk veiliger?
Zoals met alles in beveiliging ligt het helemaal aan je use case: wat je beveiligd en wat je threat model is.

Om een voorbeeld te noemen waar ik liever biometrics gebruik: als ik in de trein (of een andere publieke plaats) zit te werken dan unlock ik liever mijn laptop met m'n vingerafdruk dan door het intypen van het wachtwoord in het zicht van jan en alleman. Weet jij wie er allemaal meekijkt als jij je wachtwoord intikt ?

Een tijdje terug is het onderzoekers zelfs gelukt om een wachtwoord te achterhalen over een Zoom gesprek alleen op basis van het geluid van het toetsenbord.

Een ander voorbeeld is wanneer ik betaal in de winkel met Apple Pay. De unlock met FaceID is in zo'n geval veel veiliger dan in een publieke ruimte de PIN code van je toestel intikken.
Moet je wel toegang hebben tot een oppervlak waarop een goede afdruk van de juiste vinger te vinden is. Van een duim gebeurt dat al sneller omdat we daar veel kracht mee zetten, maar laat dat nu net een vinger zijn die we niet gebruiken voor het unlocken van een toestel.

En wanneer je spreekt over dingen zoals een vingerafdruk of een gezicht namaken dan is men al bezig met een zeer gerichte aanval tegen je persoon. Denk je dan echt dat zij niet in staat zouden zijn je pincode te achterhalen?

Nee, die pincode kan malware ook relatief eenvoudig achterhalen, dat lukt dan weer net niet met biometrische authenticatie. Er is een reden dat de toekomst wachtwoordloos is, en een PIN code is uiteindelijk ook gewoon een wachtwoord.
Moet je wel toegang hebben tot een oppervlak waarop een goede afdruk van de juiste vinger te vinden is. Van een duim gebeurt dat al sneller omdat we daar veel kracht mee zetten, maar laat dat nu net een vinger zijn die we niet gebruiken voor het unlocken van een toestel.
Bepaalde Motorola-toestellen hebben de vingerafdruklezer in de power knop zitten. De rechterduim is de natuurlijke vinger die daarop valt. Zo zullen er wel meer voorbeelden zijn.

[Reactie gewijzigd door The Zep Man op 22 juli 2024 15:57]

Ik heb een xiaomi poco x5 pro met vingerafdrukscanner in de powerknop.
Powerknop zit rechts.
Bij mij is het de linkermiddelvinger die de natuurlijke vinger is die daarop valt.
Al ben ik wel rechtshandig

[Reactie gewijzigd door eesiediesie op 22 juli 2024 15:57]

Moderne biometrische sloten zijn niet zo simpel te spoofen, die kijken ook naar dingen zoals microbewegingen van de ogen, huidskleur en textuur, verdeling van haarvaten en bloedstroom, etc.. zelfs de originele afgehakte vinger werkt niet eens.

Dit soort systemen slaat datapunten op en niet een afbeelding of patroon dat je niet even kan reproduceren, voor andere systemen, als je het al weet te onderscheppen en ontsleutelen.

En dan heb je al die moeite gedaan, voor 1 persoon, op een manier die nogal opvalt (Bezig zijn met maskers, printjes, poeder), terwijl technisch gezien je bij de wachtwoorden alleen maar de encryptie hoeft te kraken.

En ja, het soort systemen dat zo werkt zijn extreem duur, en waarschijnlijk ook nog gereguleerd, maar het is wel veiliger want je combineert autorisatie en authenticatie, waar een WW alleen autorisatie is en authenticatie impliceert.

[Reactie gewijzigd door dakka op 22 juli 2024 15:57]

En met een clip-on infrarood camera voor je smartphone kan je gewoon zien wat de pincode was van de persoon voor je op de betaalterminal in de winkel. Of je kan gewoon meekijken, als dat ook al te veel moeite is.

Jij praat over het reconstrueren van een volledig hoofd op basis van een paar foto's. Recent "Mission Impossible" gekeken zeker? Niet dat het onmogelijk is, maar iemand die zo veel moeite wil doen heeft tal van andere mogelijkheden om gedaan te krijgen wat ze willen.

Ik ben wel radicaal tegen het opslaan van vingerafdrukken op de identiteitskaart of in een databank. Je moet maar eens een uur voor een misdaad ergens geweest zijn en geen alibi hebben. Plots schiet er niet veel meer over van het vermoeden van onschuld...

[Reactie gewijzigd door Niosus op 22 juli 2024 15:57]

Dus dan moet enkel de betaalterminal beveiligd worden ipv alle aangeraakte oppervlakken.

Moesten we met vingerafdrukken betalen dan zouden dus alle handvaten en bars van alle winkelkarren moeten schoongemaakt worden zoals tijdens Covid19, bij alle winkels, gewoon om het betalingsverkeer veilig te houden.

Ik denk dat je voorbeeld dus net mijn punt aantoont.
Je negeert hiermee wel de volledige technische implementatie. Je betaalt niet met je vingerafdruk. Je betaalt met een private key die opgesloten zit in een beveiligd deel van de processor van je apparaat. Je vingerafdruk is enkel nuttig in combinatie met een apparaat dat je hebt ingesteld om met jouw specifieke vingerafdruk te kunnen betalen.

Ik zou je dus nu een perfecte scan van mijn vingerafdrukken kunnen doorsturen, en je bent er helemaal niets mee. Pas wanneer je ook mijn smartphone vast krijgt, dan kan je zelfs maar een poging wagen om iets te betalen.

En dan negeer je ook dat het echt niet zo eenvoudig is om van een vingerafdruk in het wild een kopie te maken die goed genoeg is om een smartphone te unlocken. Er zijn filmpjes zat van hoe je het kan doen als je specifiek een mal maakt van je vinger. Maar om van een foto (of wat dacht je precies te doen nadat je poeder hebt zitten strooien?) een 3d object te maken met genoeg precisie om door de scan te geraken... Dat kost toch wel wat werk.

Als we dan even vergelijken met de betaalkaart: ik kan over je schouder kijken voor je code, en 2 minuten later tegen je aan lopen en je portemonnee stelen. Nog voor dat je klaar bent met poederen voor vingerafdrukken, kunnen er al duizenden euro's aan cash afgehaald zijn aan een bankautomaat. Dat is toch echt een veel groter gevaar dan iemand die cosplay van CSI denkt te doen...
Ik ben in dat opzicht van de oude stempel en ik heb geen vertrouwen in gezichtsherkenning of de vingerafdruk mogelijkheid. Los van dat kan ik me niet inbeelden dat men ooit enkel nog gebruik kan maken van datgene wat heel wat mensen als "veiliger" ervaren.
En wie zegt of waar staat dat dit niet meer gaat kunnen? Nog niet beginnen roepen, daar is het te vroeg voor.

De klassieke manier van beveiliging met een pincode kan je ondertussen ook al geen echt robuuste manier van beveiliging noemen
Voor zover ik weet, bewaren je eigen toestellen hashes van de biometrie, en niet de biometrie zelf. Apps zoals itsme stellen ja/nee-vragen aan die hardware.
Van de officiële documenten (id, reispas) weet ik het niet. Hier (BE) worden vingerafdrukken genomen bij de aanvraag en het afleveren van een eID (=bevat al heel lang een chip met certificaten bruikbaar voor digitale handtekeningen), maar hashes van vingerafdrukken kunnen m.i. volstaan om daarop te bewaren. De foto staat er uiteraard al decennia op, voor visueel/menselijk gebruik.
Dat is perfect mogelijk met MFA, van de website van MS:
- Something you know - Like a password, or a memorized PIN.
- Something you have - Like a smartphone, or a secure USB key.
- Something you are - Like a fingerprint, or facial recognition.

Meestal heb je genoeg aan 2 van de drie. :)
Altijd die mooie cijfers van het aantal gebruikers die itsme bij elke persmededeling geeft. Weliswaar moeten we hier een kanttekening bijmaken dat elke *Belg* in corona-tijd praktisch verplicht werd om die app te installeren.

Neen…itsme is een draak van een applicatie. Het is een geweldige en handige tool om je bij bepaalde instanties te identificeren. Maar het gedoe begint telkens wanneer je de app opnieuw moet installeren omdat je een nieuwe telefoon hebt of iets dergelijks. Voor sommige valt het mee als jouw bank als een itsme partner fungeert. Maar anders kan je veel gedoe hebben…al jaren beloven ze hier beterschap in maar helaas.
Mijn vriendin is klant bij Argenta, heeft op 5 minuten itsme op haar nieuwe GSM gezet en is verre van een it'er. So I think the problem is between chair and keyboard.
Dat is straf. 😉
Argenta staat bekend als een conservatieve bank en jawel hoor die bank kan je niet gebruiken om itsme te *activeren*.

De Argenta app maakt weliswaar wel gebruik van itsme om bepaalde transacties goed te keuren in plaats van de Digipass te gebruiken maar om itsme te activeren zal je met een andere partner of mogelijkheid aan de slag moeten gaan.

https://www.itsme-id.com/nl-BE/get-started/bank
Ze heeft het dan ook gewoon opnieuw geactiveerd zonder bank, denk dat het gewoon eens authenticeren was op de vorige telefoon.
Dat is inderdaad een groot nadeel. De eerste maal installeren was ook al een heel bedoening, een veel gehoorde klacht. Maar eens het werkt is het echt handig.
Met dat geklaag over het moeilijke gedoe bij het weer installeren, lijkt het wel of je wekelijks een nieuw mobieltje in gebruikt neemt.
Ik gebruik het ondertussen niet meer. Een commerciele partij moet zich niet moeien met mijn login bij enkele van de meest privacy gevoelige websites die ik kan bedenken. Of het nu mijn bank, mijn dokter of de overheid is, daar wil ik geen enkele commerciele partij toegang toe geven.
Jouw bank is geen commerciële partij? Daarnaast heft de overheid een meerderheidsaandeel in itsme.
Belgische staat heeft 20%
Itsme handelt de authenticatie af, zij hebben helemaal geen toegang tot jouw prive gegevens.
Itsme krijgt geen toegang tot eender van die dingen. Het is puur een identificatie/authentificatie app.
Welke verplichting was er dan tijdens corona? Ik heb nog altijd geen itsme account en ik weiger pertinent om mijn data bij een prive firma onder te brengen voor overheidszaken. Tot nu toe kan ik nog op elke overheidsdienst terecht met ID kaart en kaartlezer. Welke dienst werkt met enkel itsme waar ik niet omheen kan dan?
in de corona app was er een bepaalde functie die je alleen met itsme kon gebruiken, ik weet echter niet meer welke
Je kon ook aanloggen via e-id, was wel wat omslachtig
App ook nooit nodig gehad, papieren of pdf QR code heeft altijd gewerkt...
Nu ben ik toch benieuwd welke gegevens je niet wenst te delen met Itsme die je wel deelt met je bank, telecomprovider of energieleverancier
Dit klopte zeker een jaar geleden, maar intussen heeft itsme echt wel heel wat verbeteringen doorgevoerd waardoor je nu zelf zo goed als alles via hun website kan fixen. De gebruiksvriendelijkheid is er echt wel op vooruit gegaan het laatste jaar!
ze kwamen in juni vorig jaar ook in het nieuws
zie nieuws: De opmerkelijke draai van het Belgische kabinet rond itsme
dat Belgische overheid er toch weer vanaf wilde en weer een eigen dienst wilde optuigen

en dat in november de tweede aanbieder ook al online was:
nieuws: Tweede authenticatie-app goedgekeurd voor gebruik Belgische overheids...
Itsme is een private, commerciele partij en kost de overheid handen vol geld. De overheis wenst liever een eigen alternatief aan te bieden zodat er geen commerciele partij komt te zitten tussen de overheid en de burger. En daar ben ik een groot voorstander van.
De overheid bezit de meerderheid van de aandelen in Itsme via o.a. proximus en belfius
De overheid is de grootste aandeelhouder. Niet hetzelfde als meerderheidsaandeelhouder.
Als ze meerderheidsaandeelhouder waren was een van de argumenten voor het alternatief (wat als het verkocht wordt aan een buitenlands bedrijf) onzin.
en die 2de aanbieder was een paar dagen later al offline door veiligheidsproblemen https://www.tijd.be/onder...-herkansing/10430190.html

Op dit item kan niet meer gereageerd worden.