Multifactorauthenticatie wordt vanaf begin 2024 verplicht voor Mijn toeslagen

Inloggen op Mijn toeslagen is vanaf 1 januari 2024 alleen mogelijk via de DigiD-app of met sms-verificatie. Het vereisen van multifactorauthenticatie moet een extra beveiligingslaag bieden. Vanaf volgend jaar is inloggen met enkel een gebruikersnaam en wachtwoord niet meer mogelijk.

Via Mijn toeslagen kunnen burgers diverse toeslagen aanvragen, wijzigen en stopzetten, zoals zorgtoeslag, huurtoeslag en kinderopvangtoeslag. De Belastingdienst legt op zijn site uit hoe gebruikers kunnen overstappen naar de DigiD-app of sms-verificatie kunnen activeren. Multifactorauthenticatie werd begin dit jaar ook verplicht voor het inloggen op Mijn Overheid. Sinds september 2022 geldt dat ook voor het inloggen bij de Belastingdienst.

Reacties (208)

readefries

4 december 2023 19:11

Het zou fijn zijn als ik dan ook mijn Yubikeys kan gebruiken. Ik snap nog steeds niet waarom de overheid last heeft van not invented here en ze geen mfa standaard gebruiken zodat je geen extra app nodig hebt...

[Reactie gewijzigd door readefries op 24 juli 2024 02:26]

kaas-schaaf @readefries • 4 december 2023 23:39

Geen van die methoden voldoet aan de eIDAS eisen. Niet dat DigiD of met sms goed is maar die "voldoen".

Je kan die yubikey vast eIDAS hoog gecertificeerd krijgen maar dat proces is wel een stuk complexer ( lees duurder ).

Note: dit gaat om het koppelen van de identiteit, niet zo zeer de veiligheid. Dat is ook een ding uiteraard maar niet het enige.

[Reactie gewijzigd door kaas-schaaf op 24 juli 2024 02:26]

arianvp @kaas-schaaf • 4 december 2023 23:47

Als fido2 (de standard achter yubkeys) niet eIDAS compliant is dan is eIDAS een slechte standaard naar mijn mening. Webauthn is een zuivere moderne implementatie van hardware authentication.

Maar Fido alliance heeft een white paper over eIDAS interoperability dus zij lijken er zelf anders over te denken? https://fidoalliance.org/...ronic-services-in-the-eu/

Edit: In Tschechien is fido2 gecertificeerd voor eIDAS assurance level High:

https://fidoalliance.org/...-systems-and-eidas-grows/

[Reactie gewijzigd door arianvp op 24 juli 2024 02:26]

The Zep Man

Beveiliging en antivirus
Nederland

@readefries • 4 december 2023 23:06

FIDO2 en TOTP, inderdaad. Hallo, open standaarden voor een open overheid!

Meteen de optie aanbieden om een PGP publieke sleutel te uploaden, om volledige berichten van de overheid ondertekend en versleuteld te ontvangen per e-mail.

[Reactie gewijzigd door The Zep Man op 24 juli 2024 02:26]

Vaevictis_ @The Zep Man • 5 december 2023 13:14

TOTP is gewoon een aanbevolen open standaard. Zie lijst open standaarden.

gooos @readefries • 5 december 2023 00:13

Precies, het kunnen gebruiken van een algemene 2FA code app zou het gebruik volgens mij ook fors aanjagen, juist omdat je dan geen extra overheids-only app nodig hebt.

Het zou wat mij betreft prima naast de andere eisen van eIDAS kunnen leven want het gaat uiteindelijk enkel om een extra inlog validatie en niet om het versturen van de daadwerkelijke data van die inlog. (Of zie ik nu iets over het hoofd?)

Teun! @readefries • 4 december 2023 19:32

Dit 100%!

sircampalot 4 december 2023 19:02

Ik lees: overheid stelt bezit (mobiele) telefoon verplicht om gebruik te maken hun diensten.
Dan moet dit middel vergoed worden of ter beschikking gesteld worden door diezelfde overheid.

Een andere oplossing zou bijv een tan-code lijst zijn, die per brief wordt opgestuurd.

Nu zullen er wel reacties komen als: je hebt toch een mobiele telefoon.

Nog even advocaat van de duivel spelen: met deze extra verificatie stap weet de overheid met grotere zekerheid dat het account van de voorgeselecteerde potentiële toeslagenfraudeur, ook daadwerkelijk door die persoon gebruikt wordt.

[Reactie gewijzigd door sircampalot op 24 juli 2024 02:26]

wildhagen

Beveiliging en antivirus
Nederland
Overheid

@sircampalot • 4 december 2023 19:07

Ik lees: overheid stelt bezit mobiele telefoon verplicht om gebruik te maken hun diensten.

Onzin natuurlijk. Zoals je op https://www.digid.nl/inlogmethodes/sms-controle kan zien kan het ook gewoon op een vaat toestel worden gebruikt. Je krijgt dan simpelweg een gesproken SMS.

Daarnaast had in 2022 meer dan 96 procent van de mensen een mobiele telefoon (zie https://thisplaymedia.nl/...l-gebruik-2022-nederland/), en dat zal alleen nog maar verder oplopen.

En als laatste kan je altijd nog iemand anders machtigen om voor jou je Digid te beheren.

Er zijn dus genoeg opties om zonder mobiel toch Digid te kunnen gebruiken.

sircampalot @wildhagen • 4 december 2023 19:09

Ik heb mobiele even tussen haakjes gezet.

Zonder telefoon zijn er geen opties om ZELF met de overheid te communiceren.
Dat is het punt, en dat maar 4% van de bevolking daar last van heeft, is wel degelijk een probleem.
Zelfs als dat 1% is.
Ter vergelijking: ongeveer 5% van de mensen is blind, braille kan volgens jouw redenatie de prullenbak in.

Dat het voor jou geen probleem is, zegt niet iets voor de rest.

[Reactie gewijzigd door sircampalot op 24 juli 2024 02:26]

Finraziel

@sircampalot • 5 december 2023 00:03

De statistiek die @wildhagen aanhaalt gaat over smartphones. Het percentage dat helemaal geen mobiele telefoon heeft ligt dus lager, ervan uitgaande dat de statistiek klopt natuurlijk, en het percentage dat helemaal geen telefoon heeft nog lager. Ik heb ook moeite met me voorstellen wie er nou helemaal geen telefoon zou hebben in Nederland, hebben we het dan niet al snel over mensen die om te beginnen al niet handelsbekwaam zijn (zwaar dementerende oudjes of zo)?
En gaan we die kleine groep dan ook nog eens beperken tot mensen die zelf worden geacht hun belastingen te regelen... Volgens mij hou je bijzonder weinig mensen over.

svenk91 @Finraziel • 5 december 2023 01:46

Buiten handels onbekwame mensen, die waarschijnlijk toch al zulke zaken niet meer zelf regelen, kan het ook een probleem zijn voor daklozen. Die eerste groep zal niet snel online zaken regelen, maar die 2de groep nog wel soms (via bieb of iets dergelijks).

DigiD is trouwens geheel niet beschikbaar voor mensen zonder BSN, nou is dat voor Mijn Toeslagen geen probleem normaliter maar van andere zaken wordt die groep nog wel eens buitengesloten. Zeker mensen in/uit Caribisch Nederland hebben daar nog wel eens problemen mee, ook voor toeslagen (als ze in het Europese deel van NL komen studeren bijv.).

DigiD is mooi voor een hoop zaken, maar de 'tweederangsburgers' vallen nog vaak buiten de boot en dat maakt de oneerlijkheid alleen maar groter voor een selecte groep.

Cerberus_tm

@svenk91 • 5 december 2023 02:43

Kunnen die mensen niet naar een kantoor van gemeente of belastingdienst o.i.d. komen om ter plekke met een beambte deze dingen te regelen?

svenk91 @Cerberus_tm • 5 december 2023 05:27

Niet als het persé met digid moet.

Cerberus_tm

@svenk91 • 5 december 2023 05:39

Ik zou inderdaad hopen dat het ook anders kan als je in persoon langskomt. Of anders zou de burger misschien ter plekke het belastingkantoor/gemeentekantoor daar moeten machtigen om namens hem zijn Digi D te bedienen.

jordy5 @Cerberus_tm • 5 december 2023 08:52

Daar heb je Toeslagen ServicePunten voor binnen de gemeente, als ik de website mag geloven. Die kunnen je toeslag aanvraag regelen.

Cerberus_tm

@jordy5 • 7 december 2023 19:43

Kijk, dat klinkt wel logisch.

targaryanwolf @Cerberus_tm • 6 december 2023 14:33

Toen ik in 2019 netjes bij de gemeente een afspraak had gemaakt om te melden dat ik in die gemeente was komen wonen en mij in wou schrijven zei die mevrouw, oh maar dat moet met DigiD tegenwoordig, fijne dag verder!

DJ Henk @sircampalot • 5 december 2023 09:02

Zonder telefoon zijn er geen opties om ZELF met de overheid te communiceren.

Het gaat hier over online omgevingen he, op internet. Hoe had je het dan voor je gezien? Met je laptop onder je arm naar het gemeentehuis zodat een ambtenaar de code in je oor kan fluisteren?

Als je argument is dat er een fysieke plek zou moeten zijn (gemeentehuis, bibliotheek..) waar mensen geholpen kunnen worden om overheidszaken te regelen ben ik het met je eens. Maar moeilijk gaan doen voor de minieme subset van de bevolking die wel een computer en internet heeft, maar geen telefoon is spijkers op laag water zoeken.

Marcel Br @sircampalot • 5 december 2023 13:02

offtopic:
Ik kan maximaal 150 000 blind vinden en 250 000 slechtziend in NL.
(oogfonds.nl, andere bronnen veel lagere getallen)

Dat is bij elkaar 2,5 % dus hoe je bij 5% komt?

g_v_rijn @sircampalot • 5 december 2023 07:39

Paspoort / ID worden ook niet vergoed ;-)

ari3 @sircampalot • 5 december 2023 11:12

Een telefoon is niet verplicht. Iedereen kan gewoon (kosteloos) zijn overheidszaken regelen op een computer in de bibliotheek.

deadinspace @ari3 • 5 december 2023 14:55

En hoe gaat de 2FA dan werken op die computer in de bibliotheek zonder telefoon?

ari3 @deadinspace • 5 december 2023 16:27

Goed punt, het zou kunnen met een een TAN-codelijst zoals ING dat vroeger ook deed.

Anoniem: 111246 4 december 2023 18:34

Wanneer stoppen ze met die onveilige sms?

Carlos0_0 @Anoniem: 111246 • 4 december 2023 18:36

Liever niet werk mij prima voor die 2 keer per jaar dat ik inlog

Get!em @Carlos0_0 • 4 december 2023 18:41

App werkt sneller en veiliger in combinatie met je laptop/desktop. Wat is je bezwaar tegen de app? En weegt dat op tegen de mogelijkheid dat iemand anders zou kunnen inloggen en je sms spoofen?

En met de nieuwe functie nog sneller als je meerdere DigiD sessies nodig hebt bij meerdere sites binnen een paar minuten.

CaptainKansloos @Get!em • 4 december 2023 19:09

Wat is je bezwaar tegen de app?

Beetje offtopic, maar wil het toch even kwijt. Ik heb op zich geen bezwaar tegen de app omdat ik de duidelijke voordelen van de beveiliging wel zie, maar er zit wel een praktisch probleem aan; voor iedere Digid heb je een apart apparaat nodig. Je kunt nl. maar 1 identiteit koppelen.

Ik heb een zoon van inmiddels 18 die "meervoudig beperkt" is zoals dat tegenwoordig heet en die dit soort zaken niet zelfstandig of zelfs onder begeleiding kan doen. Ik heb een aparte telefoon om met zijn Digid te kunnen werken. En formeel is dat eigenlijk identiteits fraude volgens mij. Maar zonder Digid wordt het heel lastig om zaken te kunnen regelen (rond Wajong, belastingaangifte, etc.)

Nog even los van dat hij via de rechtbank formeel onder curatele staat van mijn vrouw en mijzelf. Wij zijn dus juridisch aansprakelijk. Maar zover ik weet is er geen andere technische oplossing voor dit probleem (meerdere identiteiten in 1 app). Tenzij je onder android meerdere profielen op je telefoon zet oid.

Ik snap dat het een niche probleem is, maar het is nogal knullig dat dit soort dingen niet kunnen. Alles regelen is een hindernis die al groot genoeg is.

Als laatste nog en dan stop ik echt met zeuren; ik zou graag een pincode/wachtwoord/passphrase van veel meer karakters willen invullen in de Digid app!

Luuk1983

@CaptainKansloos • 4 december 2023 19:21

Ik het niet zo dat je iemand kan machtigen voor je DigID?

jpsch @Luuk1983 • 4 december 2023 19:45

Daar heb je toch je DigiD voor nodig?

dog4life @jpsch • 4 december 2023 20:51

Correct.. weet niet waarom je gedownmod bent, maar je hebt inderdaad DigiD nodig om DigiD te machtigen.

R4gnax @Luuk1983 • 4 december 2023 20:36

Ik het niet zo dat je iemand kan machtigen voor je DigID?

Bij mijn weten kun je niet iemand een volledige volmacht geven.
Je moet steeds en opnieuw aparte machtigingen afgeven voor aparte zaken.

Dat liep bij de belastingdienst uiteindelijk zo de spuigaten uit, dat ze voor de jaarlijkse aangifte gewoon al machtigingscodes in het vooruit begonnen te generen en per brief naar mensen toe zonden die vaker opeenvolgende jaren machtigingen richting dezelfde persoon hadden afgegeven.

Ook lekker veilig en zo. Hoeft iemand alleen maar die envelop te onderscheppen en ze zitten in je financiële geschiedenis. Klassiek geval kortzichtige overheid.

...

Vraag me trouwens af of het feit dat zij deze machtigingen ongevraagd voorgegenereerd per post uit sturen technisch gezien niet een schending van de AVG/GDPR is.

[Reactie gewijzigd door R4gnax op 24 juli 2024 02:26]

CaptainKansloos @Luuk1983 • 4 december 2023 20:55

Ik het niet zo dat je iemand kan machtigen voor je DigID?

Dat kan: https://machtigen.digid.nl/iemand-machtigen/1103 per toepassing...

Ik zal er me eens in gaan verdiepen. Geen idee hoe het plaatje _na_ machtiging er uit gaat zien. Maar Stap 1) is iig: "Log in met je eigen Digid" Het blijft dus een beetje kip-ei.

hcQd @CaptainKansloos • 4 december 2023 19:24

Kun je geen gebruik maken van een machtiging?

dog4life @hcQd • 4 december 2023 20:52

Klopt, die kun je aanvragen via DigiD.
En die verloopt eens in de zoveel tijd, dus eens in de zoveel tijd zul je beiden toch weer moeten inloggen bij DigiD.

lenwar

Nederland
Beveiliging en antivirus

@CaptainKansloos • 4 december 2023 21:26

Ik snap dat het een niche probleem is, maar het is nogal knullig dat dit soort dingen niet kunnen.

Nu doe je jezelf tekort vind ik. Dit is iets waarin gewoon gefaciliteerd moet worden.
Je bent een curator. Dit is een officieel geregistreerd iets. Dit moet gewoon geregeld zijn.

Heb je wel is geprobeerd dit aan te kaarten bij een verantwoordelijke instantie?

CaptainKansloos @lenwar • 4 december 2023 21:32

Nee. Niet aan begonnen. Een extra bankpas aanvragen was al 'door 20 brandende hoepeltjes springen'. Ik heb echt andere dingen te doen dan _die_ kar ook nog eens trekken.

Inloggen met zijn Digid werkt natuurlijk ook gewoon. Dus een beetje 'slapende honden' verhaal. Maar echt handig is het niet.

Ik snap dat de privacy goed geregeld moet zijn en dat je Digid persoonsgebonden is, maar in mijn context is dat een beetje een wassen neus natuurlijk; praktisch gezien _kan_ mijn zoon daar helemaal niks mee. Maar ja.

robvh99 @Get!em • 4 december 2023 18:44

Weer een extra app, dat is het bezwaar.
Vooral voor iets wat je zelden nodig hebt gewoon onhandig.

mphilipp @robvh99 • 4 december 2023 19:19

DigiD is toch iets dat je best wel vaak nodig hebt. Steeds meer zaken die je met overheid, zowel landelijk als lokaal moet regelen, gaan digitaal en dan heb je een DigiD nodig. Maar zo'n app zit toch niet in de weg?
Het biedt alleen maar gemak. Het is toch niet zo dat je telefoon zwaarder wordt van dat appje?
Ik heb DigiD en de berichtenbox van de Overheid. Zo hoef elimineer ik ook phishing mail die zogenaamd van een overheidsinstantie komt.

Ik zie eigenlijk alleen maar voordelen. Tenzij je een telefoon hebt die heel weinig geheugen heeft en die ene app net de druppel is waardoor je foon traag wordt. Ik kan het mij tegenwoordig haast niet meer voorstellen, maar goed....wie weet komt het voor. Ik heb heel veel apps die ik maar zelden gebruik, maar toch heb ik ze nodig en naar de website gaan vind ik dan juist weer onhandig.

R4gnax @mphilipp • 4 december 2023 20:20

Maar zo'n app zit toch niet in de weg?

Je maakt gerieflijk de aanname dat iedere burger in Nederland de beschikking heeft over een smartphone of die één wenst aan te schaffen.

En dat hoeft dus helemaal niet zo te zijn.
Bijv. omdat je te maken hebt met iemand die niet de voorwaarden van Google of Apple voor het gebruik van zo'n apparaat wil accepteren. Om diezelfde reden kun je ook met iemand te maken hebben die wel een smartphone heeft; en in principe wel de DigiD app zou kunnen installeren en gebruiken - maar daarvoor per sè een Google of Apple account aan moet maken om deze eerst uit hun respectievelijke app-store te installeren. Nog meer voorwaarden waar zo'n persoon zich wellicht niet aan wenst te verbieden.

De kernvraag die hier gesteld moet worden is:
Kun je als overheid voor essentiële publieke dienstverlening vereisen dat een burger een verbintenis aangaat met een rechtspersoon in de private sector?
Nota bene waar het buitenlandse rechtspersonen betreft die gelieerd zijn aan een rechtsstaat waarvan bij herhaling vastgesteld is dat deze niet de normen van de AVG/GDPR haalt inzake bescherming van privacy van betrokkenen en de gegevens over deze betrokkenen die deze bedrijven verwerken.

Mijn antwoord daarop zou zijn:
Nee, dat kun je niet maken.
Dat is moreel 200% verwerpelijk beleid.

En sowieso compleet idioot en schizofreen beleid ook nog. Aan alle kanten geven we Microsoft grandioos op hun donder voor het verzamelen van telemetrie; en moeten zij speciaal voor overheidsgebruik allemaal versies van software uitbrengen waar dat allemaal uitgezet is. En aan de andere kant gaan we de gehele bevolking doelbewust motiveren hun hebben en houden aan de grote klok te hangen bij 's werelds grootste adverteerder die het motto "do no evil" samen met haar moraal en geweten kundig de nek omgedraaid heeft.

Ja doei...

[Reactie gewijzigd door R4gnax op 24 juli 2024 02:26]

mphilipp @R4gnax • 4 december 2023 22:52

Tsja, wij zitten heel duidelijk anders in die discussie. En hier is niet de plek om die te voeren.
Dus als de reden is dat je 'm niet wilt omdat je geen smartphone wil of er geen wil van Apple of Google, dan is dat de reden en ga ik er verder niet op in. Ik reageerde op de stelling dat iemand het niet wil omdat ie het maar een enkele keer nodig heeft.

Carlos0_0 @mphilipp • 4 december 2023 19:53

Ligt er aan ik doe echt niks met digi ID, log maar 2 keer per jaar in.

1: riool / afval / gemeente belastingen die 1 keer per jaar komt, log ik effe in rond februari tik hem 1 keer af klaar.

2: effe in maart belasting aangifte toen 1 keer inloggen, vragen doorwandelen send klaar.

Digi ID niet meer nodig tot volgend jaar.

mphilipp @Carlos0_0 • 4 december 2023 22:49

Maar zit het in de weg dan op je telefoon? Je kunt alles toch netjes organiseren in foldertjes oid zodat je scherm niet vol staat met apps? Ik heb wel meer apps die ik maar zelden gebruik, maar dat vind ik geen reden om ze weg te doen.

Carlos0_0 @mphilipp • 5 december 2023 07:00

Nee zit niet in de weg maar iets wat ik niet nodig heb hoeft er ook niet op, de berichten box app heb ik ook namelijk niet.

Ik krijg nooit berichten in dat ding het hele jaar door, dus die 1 of 2 keer per jaar kijk ik wel via de pc.

Get!em @Carlos0_0 • 4 december 2023 20:08

Ja, dan snap ik het wel. Past vaak bij een bepaald fase van leven waarin je nog niet zoveel ermee te maken hebt.
Maar ondertussen zijn er genoeg instanties waar je het nodig hebt in andere levensfases, waaronder gemeente (aanvragen rijbewijs, paspoort, Id kaart en veel andere verzoeken), gemeentelijke belastingen, pensioen uitvoerder en pensioen overzicht, hypotheekzaken, toeslagen. Dan gebruik je het soms meerdere keren per dag of week in bepaalde weken van het jaar.

Maar goed, andersom gezien, juist omdat je er zoveel mee regelt, zou ik zelf graag sms voor mijn digid uitzetten, om risico te voorkomen.

Carlos0_0 @Get!em • 5 december 2023 06:59

Bepaalde fase heeft er niet veel mee te maken, ja met pensioen misschien zover ben ik nog niet

.
Maar ik woon al 7 of 8 jaar op mijn zelf, dus heb al genoeg levens fases gepasseerd voor dit(ben 35).

Al die documenten die jij zegt leuk, maar die vraag ik nooit op bij de gemeenste.
Alleen paspoort maar dat ding is 10 jaar geldig, dus dat duurt enige tijd voor de volgende keer.
Gemeenste belasting is 1 keer in het jaar, verder zou ik niet weten wat ik bij gemeente voor documenten zou moeten opvragen of formulieren.

Hypotheek heb ik niet aangezien ik geen koopwoning wil, en zorgverzekering pas ik nooit aan of stap nooit over.

Dus het is 1 keer per jaar gemeenste belastingen betalen, en 1 keer per jaar aangifte doen om te kijken wat centen terug krijg van de belasting.
En dan 1 keer in de 10 jaar eens nieuw paspoort aanvragen.

Segafreak83 @mphilipp • 4 december 2023 23:14

Er zijn ook oudere mensen hebben, die hebben vaak niet zoveel met moderne technologie, uiteraard zijn er altijd uitzonderingen.

mphilipp @Segafreak83 • 5 december 2023 09:47

Ja, dat klopt. En die mensen worden toch al geholpen met hun belastingopgave, die volgens mij ook alleen maar online kan. Ook voor die tijd hadden die ouderen problemen met de officiële zaken te regelen, ook op papier. Dus dat is naar mijn idee geen argument om deze ontwikkeling tegen te houden.
Mensen in instellingen e.d. kunnen al decennia hulp krijgen. Ik weet nog dat ik hoorde dat heel lang geleden op fabrieken enzo de vakbond klaar stond om de arbeiders te helpen bij het invullen van hun belastingformulier.

Maar wat je ook verzint, er zullen altijd mensen zijn die tussen wal en schip vallen. Maakt niet uit wat je regelt en verzint, altijd zijn er mensen waar het op een of ander probleem stuit. Maar je kunt nu eenmaal niet het hele beleid baseren op die paar mensen die écht niet kunnen. Voor die mensen wordt maatwerk verzonnen. Zo gaat dat uiteindelijk. Er zijn vrijwilligers en instanties genoeg die hulpbehoevenden helpen of kunnen regelen dat zij geholpen worden.

SirLenncelot @robvh99 • 4 december 2023 18:49

Jij laat liever de voordeur op een kier omdat je anders weer een extra sleutel mee moet nemen?

PaulHelper @SirLenncelot • 4 december 2023 19:46

Dat is denk ik niet wat hij zegt. Wat ik me ook afvraag is waarom kan dit niet met een standaard 2FA app als Google/microsoft authenticator, of nog beter iets als Authy. Is de DigiD app veiliger en op wat voor manier. Kijk als je vereist dat je met ID kaart of rijbewijs inlogt en dat werkt ook nog eens allemaal veilig dan kan ik het veiligheid voordeel snappen. Maar dit is nog niet vereist en vraag me ook af of ze het ooit zover beveiligen. Ik denk dat er voor die tijd al wel andere kwetsbaarheden zijn.

lenwar

Nederland
Beveiliging en antivirus

@PaulHelper • 4 december 2023 20:49

TOTP (waar door Google Authenticator en dergelijke gebruikt wordt) is effectief en shared secret. Het is een string van een aantal karakters dat samen met ‘de huidige tijd’ een zes-cijferige code genereert. Om deze reden werkt het offline en zonder verbinding met de overkant. (Je had je telefoon van de wifi, zonder SIM op vliegtuigmodus in een kluis gebruiken en je codes doen het zolang de klok goed loopt)

Ideaal. Totdat iemand anders die string heeft. Je kan dat niet zien. Iemand kan een kopie hebben van al jouw TOTP-codes zonder dat jij dat weet.

Versimpeld gezegd:
De Digid-app is hard aan jouw telefoon gekoppeld. Jouw telefoon heeft een unieke ID (daar zorgt Apple/Google voor). De app-installatie zelf heeft ook een unieke code die is opgeslagen in een chip op je telefoon. Alleen jouw PIN/vingerafdruk/gelaat kan bij die code.

Ofwel. Al zou iemand een dump maken van jouw telefoon z’n opslag, dan nog heeft ie niet de benodigde data om jouw MFA-sleutel te verkrijgen.

De Digid-servers kennen jouw fysieke telefoon en de sleutel die is opgeslagen. (Effectief zal het om een private/publieke sleutelpaar gaan)

Bank-apps gebruiken ditzelfde mechanisme.

PaulHelper @lenwar • 4 december 2023 21:33

Oke dus het voordeel zit het hem in maar op 1 plek je TOTP code kunnen hebben en per definitie niet meer waardoor je zeker weet dat als jij de combinatie hebt niemand anders die heeft.
Kunnen ze dit dan niet in een mogelijke nieuw versie van de TOTP beschikbaar maken voor standaard auth apps? Dus bijv standaard services die dat niet vereisen maar als een service dat zo heeft opgezet dat het deze zelfde techniek gebruikt maar dan vanuit eenzelfde app wat je authenticator is?
Daarnaast vraag ik me af hoevaak TOTP codes worden buit gemaakt en gebruikt op een verkeerd apparaat waarnaast je natuurlijk ook nog gebruikersnaam (vaak makkelijk zoals mail) en wachtwoord moet hebben.
Is het dan dat TOTP te onveilig? En waarom is het dan dat grote, vrij kritische andere services er wel 100% op vertrouwen. Een voorbeeld, DeGiro doet 'gewoon' TOTP natuurlijk icm mail en wachtwoord. Toch gaan daar ook nogal wat bedragen in rond. Als TOTP zo onbetrouwbaar is dan zou dat dus een groot veiligheidsgat zijn. Of zit ik hier nou naast?

lenwar

Nederland
Beveiliging en antivirus

@PaulHelper • 4 december 2023 22:32

Digid gebruikt juist geen TOTP. TOTP is een gedeelde sleutel. Jij en ik hebben dezelfde sleutel. We laten de huidige tijd en we verifiëren dat we allebei hetzelfde getal genereren.

Wat Digid gebruikt is de veilige enclave van je telefoon. Daar wordt een code ingezet, die aan de andere kant gecontroleerd wordt. Het heeft meer te maken met TLS-certificaten die voor websites worden gebruikt.

Een beter/moderner alternatief zijn passkeys. Dit zijn eigenlijk een soort generieke versies van wat Digid gebruikt.

TOTP is niet zo zeer onveilig. Je stuurt je sleutel nooit over de lijn. Alleen de 6-cijferige code die je genereert.
Als jouw telefoon en pc 100% veilig zijn, is het prima. Maar het blijft een shared secret. Twee partijen hebben dezelfde code opgeslagen.

Stel dat jij een website ‘beveiligd’ met TOTP en de database is ‘gehacked’, dan heeft de hacker jouw sleutel.
Met Digid is dat niet. Jouw telefoon bevat de enige sleutel.

Een bank die TOTP gebruikt zou ik persoonlijk niet vertrouwen/gebruiken, doordat het mechanisme te makkelijk te misbruiken is.

R4gnax @lenwar • 4 december 2023 22:44

Wat Digid gebruikt is de veilige enclave van je telefoon.

En waar denk je dat de private key(s) waaruit TOTP codes gegenereerd worden 'at rest' in opgeslagen zullen liggen, indien de app-maker weet wat 'ie doet?

Wat denk je dat in de basis de exchanges voor pak hem beet FIDO-U2F zijn? Er zit meer ceremonie omheen om een sessie-sleutel op te zetten, maar daarna is het ook one-time-use derived keys die over de lijn gaan.

En ook daar geldt dat de sleutels 'at rest' in de secure enclave liggen.
Zo'n oplossing zal nog een tikkie sterker zijn, omdat zowel Android als iOS phones direct FIDO-compatible authenticators zijn en de hele key generation dus onder de kap afgeschermd ligt en de master keys wanneer ze eenmaal geplaatst zijn absoluut nooit meer de secure enclave verlaten.

Daarvoor heb je geen dedicated app meer nodig.
Alleen maar een website die WebAuthn praat.

[Reactie gewijzigd door R4gnax op 24 juli 2024 02:26]

lenwar

Nederland
Beveiliging en antivirus

@R4gnax • 5 december 2023 10:04

En waar denk je dat de private key(s) waaruit TOTP codes gegenereerd worden 'at rest' in opgeslagen zullen liggen, indien de app-maker weet wat 'ie doet?

Op z'n best in de opslag van de app, of op de betreffende applicatie op je PC. Niet in de, daarvoor ontworpen chip in je telefoon. Die kan geen databasejes opslaan. Ik zou om eerlijk te zijn, oprecht niet eens weten of apps meerdere entries er in kunnen/mogen zetten.Het geen dat ik dergelijke apps 'soms' zie doen, is dat de database versleuteld is, en dat die wordt ontsleuteld met een PIN, dan wel een vingerafdruk/gelaatsscan via die bovengenoemde chip.
Dit doen ze echter niet allemaal. De meeste die ik voorbij heb zien komen, openen direct zonder tussenkomt van authenticatie. Dit betekent dat de data gewoon 'ergens in de app' zit. Ook als er wel een authenticatie wordt gedaan, hoeft het nog steeds niet te betekenen dat het versleuteld is. Het kan ook alleen een functioneel cosmetisch iets zijn. (dus dat je het schermpje niet ziet tenzij je een PIN hebt gebruikt)

Wat denk je dat in de basis de exchanges voor pak hem beet FIDO-U2F zijn?

Dat is, terug naar de basis, een keypair. De webdienst ken de private sleutel niet. Dus bij een datalek van de website, hoef jij je sleutel niet (per se) te vervangen. (Al is het mogelijk verstandig dit alsnog te doen, aangezien het mogelijk bij een spoofing-site gebruikt kan worden, maar dan zijn er natuurlijk nog meer factoren aan de hand. Andere discussie

)

Daarvoor heb je geen dedicated app meer nodig.
Alleen maar een website die WebAuthn praat.

Helemaal met je eens. Dit zou een veel fijnere/betere oplossing zijn voor alles en iedereen, en ik hoop eigenlijk ook, dat zeker systemen als Digid en banken dit ook gaan gebruiken.

RoestVrijStaal @lenwar • 4 december 2023 23:25

Maar het blijft een shared secret. Twee partijen hebben dezelfde code opgeslagen.

Stel dat jij een website ‘beveiligd’ met TOTP en de database is ‘gehacked’, dan heeft de hacker jouw sleutel.

Dus eigenlijk valt of staat de veiligheid van TOTP met hoe goed de online dienst het gebruikte IP-adres toetst met eerder succesvol gebruikte IP-adressen. En hoe vaak de TOTP-secret wordt vernieuwd.

Met Digid is dat niet. Jouw telefoon bevat de enige sleutel.

En dat is ook gelijk het nadeel. Als er iets met je telefoon gebeurd, heb je dikke pech, sleutel weg. Tja, en dan?

Een bank die TOTP gebruikt zou ik persoonlijk niet vertrouwen/gebruiken, doordat het mechanisme te makkelijk te misbruiken is.

Hoe dan?

lenwar

Nederland
Beveiliging en antivirus

@RoestVrijStaal • 5 december 2023 09:53

Dus eigenlijk valt of staat de veiligheid van TOTP met hoe goed de online dienst het gebruikte IP-adres toetst met eerder succesvol gebruikte IP-adressen

Nogmaals TOTP is een shared secret. Jij en de andere kant bewaren dezelfde informatie. Dit is anders dan bijvoorbeeld een wachtwoord. Daar wordt (als good practice) een hash van bewaard. De webdienst 'kent' jouw wachtwoord niet. Alleen de hash.
De webdienst kent wel jouw TOTP-code. Anders kunnen ze hem niet verifieren.

En hoe vaak de TOTP-secret wordt vernieuwd.
In de regel nooit. Want dat is een handmatige handeling voor de gebruiker. De handeling die jij doet met je telefoon (veelal een QR-code scannen, maar soms een string overtypen) is een eenmalige handeling. Ik heb zelf in elk geval nooit meegemaakt dat een webdienst mij vroeg om m'n code te vernieuwen. Ook zie je vrijwel nooit de optie om hem te vernieuwen.

Ook als we bijvoorbeeld bij Tweakers kijken, moet je het eerst uitschakelen en daarna weer inschakelen om hem te vernieuwen. Het vernieuwen is niet in het mechanisme opgenomen.

En dat is ook gelijk het nadeel.

Klopt. Het is een afweging tussen gebruiksgemak en veiligheid.

TOTP neigt meer naar gebruiksgemak. Laagdrempeligheid en 'best oké', waar de mechanismes die bijvooreeld Digid gebruikt meer gefocussed zijn op veiligheid.

Het is onder aan de streep ook natuurlijk waar je het voor nodig hebt. Een TOTP voor iets als Tweakers.net is natuurlijk prima. In het slechtste geval wordt er in jouw naam wat spam gepost. Is niet leuk, heel vervelend zelfs, maar geen drama.

Jouw Digid heeft toegang tot gigantisch veel gevoelige data. Jouw Digid kan allerlei formele handtekeningen zetten richting overheidsdiensten. Dan is een extra laag van beveiliging toch wel erg prettig.

Hoe dan?

Oké. Ik chargeerde het een beetje

. Het komt er meer op neer dat het minder veilig is, omdat het een shared secret is, die niet aan jouw toestel gekoppeld is. Iemand zou een dump kunnen maken van jouw opslag, de app kopiëren naar een ander toestel of überhaupt wat anders en zo bij jouw TOTP-token kunnen. (allicht vergezocht, maar niet onmogelijk met wat malware).
Je het onder aan de streep alleen de tokens nodig om de juiste codes te genereren.

RoestVrijStaal @lenwar • 5 december 2023 12:56

[...]

Nogmaals TOTP is een shared secret. Jij en de andere kant bewaren dezelfde informatie. Dit is anders dan bijvoorbeeld een wachtwoord. Daar wordt (als good practice) een hash van bewaard. De webdienst 'kent' jouw wachtwoord niet. Alleen de hash.
De webdienst kent wel jouw TOTP-code. Anders kunnen ze hem niet verifieren.

Het is niet uit te sluiten dat in de toekomst het wachtwoord bekend wordt. Omdat Quantum CPU's, blijkbaar veel sneller hashing algoritmes die nu gemeengoed zijn, kunnen kraken. Maar ik ga daar niet verder over uit weiden, want dan wordt de discussie meer offtopic over hypothetische situaties.

En hoe vaak de TOTP-secret wordt vernieuwd.
In de regel nooit. Want dat is een handmatige handeling voor de gebruiker. De handeling die jij doet met je telefoon (veelal een QR-code scannen, maar soms een string overtypen) is een eenmalige handeling. Ik heb zelf in elk geval nooit meegemaakt dat een webdienst mij vroeg om m'n code te vernieuwen. Ook zie je vrijwel nooit de optie om hem te vernieuwen.

Ook als we bijvoorbeeld bij Tweakers kijken, moet je het eerst uitschakelen en daarna weer inschakelen om hem te vernieuwen. Het vernieuwen is niet in het mechanisme opgenomen.

IMO is dat dan een gebied waar nog veel te winnen valt. Een TOTP-secret vernieuwen voelt voor mij makkelijker aan dan een wachtwoord vernieuwen.

[...]

Klopt. Het is een afweging tussen gebruiksgemak en veiligheid.

TOTP neigt meer naar gebruiksgemak. Laagdrempeligheid en 'best oké', waar de mechanismes die bijvooreeld Digid gebruikt meer gefocussed zijn op veiligheid.

Het is onder aan de streep ook natuurlijk waar je het voor nodig hebt. Een TOTP voor iets als Tweakers.net is natuurlijk prima. In het slechtste geval wordt er in jouw naam wat spam gepost. Is niet leuk, heel vervelend zelfs, maar geen drama.

Jouw Digid heeft toegang tot gigantisch veel gevoelige data. Jouw Digid kan allerlei formele handtekeningen zetten richting overheidsdiensten. Dan is een extra laag van beveiliging toch wel erg prettig.

Mee eens, al leeft "gebruikersgemak" bij menig tweaker niet zo erg. Die doen vaak alsof ze de lanceercodes van de Amerikaanse atoombommen hebben. En er wordt vaak verzuimd om over "slecht weer"-situaties een makkelijk uitvoerbare oplossing te bedenken.

Het is ook jammer dat de combinatie met asymetrische encryptie niet wordt toegepast (of niet mogelijk is?), waarbij de public key als TOTP-secret wordt gebruikt en dus de gebruiker de private (en public) key heeft.

Oké. Ik chargeerde het een beetje . Het komt er meer op neer dat het minder veilig is, omdat het een shared secret is, die niet aan jouw toestel gekoppeld is. Iemand zou een dump kunnen maken van jouw opslag, de app kopiëren naar een ander toestel of überhaupt wat anders en zo bij jouw TOTP-token kunnen. (allicht vergezocht, maar niet onmogelijk met wat malware).
Je het onder aan de streep alleen de tokens nodig om de juiste codes te genereren.

Ah, ik dacht al die kant op toen ik de vraag zelf probeerde te beantwoorden.
Ook de server waar de TOTP-secrets op staan zullen ook een interessant doelwit zijn. Ik dacht dat er met meer manieren (brute force misschien nog) het mechanisme te misbruiken valt.

robvh99 @PaulHelper • 4 december 2023 20:27

Precies dat. Heb intussen iets van 30 of 40 verschillende mfa authenticaties (allemaal unieke accounts), maar die werken tenminste allemaal via een dezelfde app, ipv dat ik nu 40 extra apps heb.

JeroenNietDoen @SirLenncelot • 4 december 2023 19:24

SMS functioneert nu als die extra sleutel en daarvoor hoeft ie geen extra app te installeren.

Haribo112 @JeroenNietDoen • 4 december 2023 22:00

het punt is dat SMS een zeer onveilige sleutel is. SMS als MFA optie moet zsm afgeschaft worden.

the_stickie @Haribo112 • 4 december 2023 22:34

SMS is niet zo veilig als andere oplossingen, akkoord.
Maar SMS MFA is wél veel veiliger dan een enkelvoudige authenticatie met wachtwoord.

Daar komt nog bij dat om SMS verificatie te misbruiken er wel wat nodig is. Een succesvolle simswap, een rogue zendmast of toegang tot de gsm bijvoorbeeld. Allemaal relatief lastige targeted attacks (waar bij een wachtwoord hergebruik een risico vormt, naast een hijacked browser -> makkelijk grootschalig geautomatiseerd 'uit te proberen').

SMS werkt daarnaast op elk type mobiele telefoon, een app niet. Ook zijn er genoeg mensen die om wat voor reden dan ook geen app kunnen of willen installeren of gebruiken. SMS is (dus) veel laagdrempeliger.

Beveiliging blijft een afweging met risico en gebruiksvriendelijkheid in de schaal. Imho valt er dus wel wat te zeggen voor SMS MFA, zelfs al kan je terecht stellen dat het niet de veiligste oplossing is.
Het staat je bovendien vrij de app te gebruiken als je van mening bent dat SMS verificatie voor jouw profiel onvoldoende is!

Segafreak83 @Haribo112 • 4 december 2023 23:12

Schei toch uit, met sms onveilig. Dan zullen ze toch echt eerst de nodige stappen moeten ondernemen om überhaupt toegang tot die sms te krijgen op precies dat tijdstip en die specifieke zendmast.

Beter een sms verificatie, dan geen verificatie.

the_stickie @Segafreak83 • 4 december 2023 23:52

De meest gebruikte aanval hiervoor is simswapping, niet mitm. Dat is gelukkig ook niet meer zo eenvoudig.
Verder ben ik het wel met je eens dat voor 99,99% van de mensen sms verificatie 'veilig genoeg' is. Er zijn ook verschillende redenen om mensen niet te verplichten een app te gebruiken, oa toegankelijkheid/laagdrempeligheid bewaren.

JeroenNietDoen @Jorrie • 5 december 2023 05:57

Beter gesprek lezen voordat je reageert.

lenwar

Nederland
Beveiliging en antivirus

@SirLenncelot • 4 december 2023 21:20

Nee, hij vindt een sterk slot in combinatie met een zwak slot voldoende.

De gebruikersnaam is op zich ook al een factor natuurlijk, want die mag je bij Digid ook zelf bedenken (het is niet je e-mailadres). Dus als je slim bent gebruik je als gebruikersnaam ook een willekeurige string.

The Realone @robvh99 • 4 december 2023 18:51

Het is 1 app die authenticatie voor nagenoeg alle overheidsdiensten regelt. Grote kans dat je apps hebt geïnstalleerd die je zelden tot nooit gebruikt. Een app zit toch niet in de weg?

SRI @robvh99 • 4 december 2023 18:50

Dan gebruik je toch de sms verificatie? Probleem opgelost.

R4gnax @SRI • 4 december 2023 20:18

Je reageert op een keten van reacties die begint met de vraag wanneer ze de SMS verificatie het systeem uit gaan gooien; gevolgd door een reactie die stelt "liever niet, want"

[Reactie gewijzigd door R4gnax op 24 juli 2024 02:26]

La1974 @robvh99 • 4 december 2023 19:31

DigiD werkt voor vrijwel alle overheidsdiensten, pensioenfonds, ziektekostenverzekering.

Ik apps die ik minder vaak gebruik.

Polderviking

@Get!em • 4 december 2023 20:42

Totdat ze SMS verificatie compleet uitfaseren, of je de optie geven om dat uit te zetten, maakt het geen jota uit wat je doet want je blijft via SMS "exploitabel".
Aanhalingstekens omdat er nogal wat voor moet gebeuren ook om dat succesvol te doen en dat voor Jan Doorsnee echt niet zomaar een reëel probleem is. (waarmee ik overigens niet wil zeggen dat ze dit niet moeten uitfaseren)

Mensen hebben hier nogal de neiging om het ronduit onveilig te noemen maar ze moeten je digid gebruikersnaam hebben, wachtwoord hebben en vervolgens moeten ze provider er van overtuigen een (e)sim aan je abonnement te hangen om je SMS te onderscheppen.

De app is niet zozeer een probleem als gewoon gedoe. Er gebeurd vaker iets met mijn telefoon waardoor ik die app niet meer heb dan dat ik die app daadwerkelijk nodig heb dus dat is elke keer gezeik bij het inloggen waarbij eerst die app weer geconfigureerd moet worden in plaats van dat je gewoon even een code uit een SMS overneemt.

Daarbij snap ik niet waarom ik er niet gewoon een TOTP (auty, microsoft/google authenticator, etc) token aan kan hangen, zoals zeg maar gangbaar is voor de rest van het internet.
Dat gebruik ik al op veertig andere plekken en dat werkt vanuit zowel praktisch als security oogpunt volgens mij uitstekend.

[Reactie gewijzigd door Polderviking op 24 juli 2024 02:26]

the_stickie @Polderviking • 4 december 2023 22:50

Omdat een afzonderlijke app direct wordt gekoppeld aan het device. Zonder device geen verificatie. Totp codes kunnen theoretisch op meerdere apparaten gegenereerd worden. Opnieuw theoretisch kan een kwaadwillige die 30 seconden toegang had tot je apparaat al je totp codes zelf genereren.

Polderviking

@the_stickie • 5 december 2023 12:07

Je krijgt het ook nooit compleet risicovrij als je het aan internet hangt. Je device kan ook gewoon gejat worden. Of je paspoort waarmee ze je app kunnen activeren en inlogpogingen kunnen goedkeuren, dat ding ligt bij mij in de la als je die te pakken krijgt gaat het maanden duren voordat ik dat doorheb.
Een lek in de DigiD applicatie zelf, kan ook nog.

Theoretisch kan er ook een hele grote steen onderweg zijn naar de aarde en doet niets er meer toe.

TOTP is echt wel prima. Zeker als je SMS ook nog steeds prima vind.

[Reactie gewijzigd door Polderviking op 24 juli 2024 02:26]

the_stickie @Polderviking • 5 december 2023 12:13

Het gaat er niet om wat ik prima vind, het gaat om de redeneringen die gevolgd worden door beleidsmakers.
SMS is 'prima' omwille van toegankelijkheid. Als je een app wil gebruiken, dan wel zo veilig mogelijk en ééntje waarbij ze de volledige keten in handen hebben.

Ik mag er overigens niet aan denken wat de mogelijke gevolgen zouden zijn van het gebruik van een verkeerde (kwaad bedoelde) totp app

Polderviking

@the_stickie • 5 december 2023 12:18

Het gaat er niet om wat ik prima vind, het gaat om de redeneringen die gevolgd worden door beleidsmakers.
SMS is 'prima' omwille van toegankelijkheid. Als je een app wil gebruiken, dan wel zo veilig mogelijk en ééntje waarbij ze de volledige keten in handen hebben.

Het gaat er in applicaties niet alleen maar om wat je zelf graag wil maar ook waar je gebruikers zin in hebben.
Ik ga gewoon niet werken met separate apps alleen maar om een matig beargumenteerde keuze dat volledig inhouse te doen.
Dan moeten ze toch echt eerst zorgen dat ik die app zelf ook wil gebruiken voor meer dan alleen maar een inlogpoging accorderen.
En ook buiten inmenging van Google en/of Apple om kan installeren tevens.

Ik mag er overigens niet aan denken wat de mogelijke gevolgen zouden zijn van het gebruik van een verkeerde (kwaad bedoelde) totp app

Het is een second factor. In de basis niet zo veel dus.
Als je de neiging hebt vage apps te installeren kan iemand je ook wel een frauduleuze DigiD app aansmeren.

[Reactie gewijzigd door Polderviking op 24 juli 2024 02:26]

the_stickie @Polderviking • 5 december 2023 12:35

Een frauduleuze DigiD/itsme app die wérkt, is afaik (bijna?) uitgesloten door de interne werking.
Verder kan je blijven discussiëren over wat we willen, maar zal je uiteindelijk wel binnen de gegeven lijntjes moéten kleuren. Wil je geen app? Prima, dan gebruik je sms...
Ik ben zelf overigens een zeer tevreden gebruiker van itsme (Belgische versie van...). Ik kan er mee authenticeren tov veel meer diensten dan ik met totp kan. Bovendien ben ik heel blij met de info die die app geeft over de gedeelde id-informatie én de bijkomende authenticatiemethodes die afgedwongen worden (pin, fingerprint, selecteer het juiste prentje). Tenzij je m'n telefoon hebt, de juiste vinger én m'n pin én ook nog zelf voor de webapplicatie zit, kan je niks dat er enigszins toe doet..

Finraziel

@Get!em • 4 december 2023 19:14

Sms spoofing gaat over dat je een bericht kunt sturen en de afzender faken (spoofen). Wat je nodig hebt om sms 2fa te verslaan is dat je het bericht onderschept. Dat is helaas ook niet onmogelijk maar wel een stukje lastiger dan spoofing (vooral om het zo te doen dat het slachtoffer er niks van merkt).

Persoonlijk vind ik dat sms 2fa wat overdreven verketterd wordt hier. Ja het is niet de veiligste methode maar zo onveilig als sommigen hier het doen voorkomen is het ook echt niet.

pvcholten @Finraziel • 4 december 2023 19:39

Spoofing is niet het probleem. Wat tot recent kon:

Bel Odido dat ik Finraziel ben, en ben verhuisd naar het adres van de aanvaller
Bel en tijdje later nog een keer dat je wilt overstappen naar esim of nieuwe simkaart wil omdat je telefoon kwijt is

Je kan zo eenvoudig iemands nummer kapen

Alex3 @pvcholten • 4 december 2023 19:53

Dan weten ze wel waar de aanvaller woont.

R4gnax @Alex3 • 4 december 2023 20:44

Dat kan een katvanger zijn.

R4gnax @pvcholten • 4 december 2023 20:48

Dat verbaast me.
Ik heb jaren geleden een keer een nieuwe SIM moeten gaan aanvragen bij toen-nog T-Mobile vanwege een andere vormfactor; micro naar nano. Omdat mijn geregistreerde vaste telefoonnummer niet overeenkwam (dat was nog de vaste lijn van mijn ouderlijk thuis) moest ik toch maar even in persoon langs de winkel; mezelf daar legitimeren en ook gelijk m'n gegevens aan laten passen; etc.

Lijkt me dat dit meer een geval is van slecht getraind personeel wat de procedures niet kent, dan.

[Reactie gewijzigd door R4gnax op 24 juli 2024 02:26]

laurens0619 @pvcholten • 4 december 2023 21:31

Ing blokkeer(de) sms otp codes voor 12 uur na een tel/sim wissel. Vaak genoeg tijd voor een klant de fraude te ontdekken en actie te ondernemen.

Doordat de telecomproviders de ING informeren over simwissels, kan de ING het voor deze klanten gedurende 12 uur onmogelijk maken om sms-codes te ontvangen. Op deze manier wordt mogelijk misbruik en schade als gevolg daarvan voorkomen. De ING gebruikt de informatie uitsluitend voor het voorkomen van fraude en dus niet voor commerciële doeleinden of anderszins. Op deze manier willen de telecomproviders en de ING samen een bijdrage leveren aan het voorkomen van identiteitsfraude via mobiele telefoons

Ik kan er niets over vinden maar waarschijnlijk doet digid dit ook.

https://www.ing.nl/partic...n/mijn-ing/geen-sms-codes

[Reactie gewijzigd door laurens0619 op 24 juli 2024 02:26]

the_stickie @pvcholten • 4 december 2023 22:44

Theoretisch is dit afgevangen door verplichte verificatie aan de kant van de provider(s) bij elke vraag tot simswap.
Als slachtoffer merk je een simswap zeker: de oude sim gaat offline. Als je vervolgens je provider belt, is die foute simswap zo weer rechtgezet.

[Reactie gewijzigd door the_stickie op 24 juli 2024 02:26]

TouchBar @Get!em • 4 december 2023 19:12

Het is absoluut niet sneller om je telefoon te pakken, een app te openen, een code in te vullen en vervolgens nogmaals te moeten bevestigen.
Zeker icm autofill van sms’jes op een Mac hoef je slechts 2 tellen te wachten voordat hij beschikbaar is, zolang je telefoon maar binnen bereik is. Volgens mij kan dit tegenwoordig ook op Windows/Android.
Of je ziet de code op je smartwatch…

Daarnaast is het ook niet veiliger, want je sms kan altijd nog gespoofd worden. Je kan de sms verificatie namelijk niet uitschakelen. Als je de DigiD app gebruikt, kan een kwaadwillende altijd nog een sms laten sturen bij het inloggen.

hcQd @TouchBar • 4 december 2023 19:26

Ik doe eigenlijk alles op mijn tablet, hoef dan alleen maar even de beveiligingsscode in te voeren en klaar.

R4gnax @TouchBar • 4 december 2023 20:40

Klopt. Tenzij hier recent iets in is gewijzigd is de SMS optie nog steeds niet een configuratie-optie die je in de account aan- of uitzet, maar is deze nog altijd een optie die bij elke individuele inlogpoging beschikbaar is als keuze.

De app verkiezen boven SMS biedt je dus nul-komma-nul extra bescherming waar je aanneemt dat je 06 nummer bekend kan zijn bij kwaadwillenden. Of je nu zelf SMS als tweede factor gebruikt of niet, criminelen kunnen proberen een SIM kopie te pakken te krijgen en daarmee inbreken.

Die app is in de huidige situatie schijnveiligheid.

[Reactie gewijzigd door R4gnax op 24 juli 2024 02:26]

the_stickie @R4gnax • 4 december 2023 22:42

Als je de app gebruikt kan de sms code alvast niet onderschept worden door een rogue zendmast of shoulders surfing. Hoewel beperkt is er dus wel een beveiliginsvoordeel

R4gnax @the_stickie • 4 december 2023 22:51

Wat is de kans dat er een criminele tap geplaatst wordt op juist de zendmast waar jouw verkeer over gerouteerd wordt; waar ze eerst al waargenomen hebben dat jouw verkeer over die mast gaat; en dat ze daarna een lijst met reverse lookup van 06 nummer naar DigiD username en password bij de hand hebben?

Je zult echt een targeted asset moeten zijn wil je daar überhaupt enige vorm van realistisch risico lopen.

[Reactie gewijzigd door R4gnax op 24 juli 2024 02:26]

the_stickie @R4gnax • 4 december 2023 22:53

Echt heel klein voor 99,99% van de mensen.
Zie ook mijn betoog hier ergens voor SMS MFA

Zo'n aanval gebeurt afaik niet door een criminele tap op een bestaande mast, maar door het opzetten van een rogue mast in een mitm scenario. Inlichtingendiensten hebben dergelijke mogelijkheden dus criminelen met het juiste budget ook.

[Reactie gewijzigd door the_stickie op 24 juli 2024 02:26]

R4gnax @the_stickie • 4 december 2023 22:55

Inderdaad. Het was ook relativerend bedoelt - geen aanval op je punt.

Je gaat alleen wel voorbij aan het feit dat of jij de app gebruikt of niet, er eigenlijk niet zo veel toe doet.

Het gaat er in de kern om of een malafide partij de SMS optie kan gebruiken en daarna kan onderscheppen.

En zowel in de situatie als waar jij SMS gebruikt; of waar jij de app gebruikt, kan dat gewoon.
Jij krijgt nl. bij elke inlogpoging gewoon de optie "nee, doe maar SMS ipv de app" - en als jij dat krijgt, krijgt een crimineel dat dus ook.

En totdat die situatie aangepast wordt, is in principe het gebruik van de app net zo veilig als van SMS. Zwakste schakel, en zo.

Daarentegen denk ik persoonlijk wel, dat voor de gemiddelde oninteressante burger, SMS MFA via een dumbphone de-facto veiliger is dan een MFA app op een smartphone. De gemiddelde 'normie' heeft niet een cutting-edge telefoon voorzien van courante beveiligingsupdates, maar een 3~5 jaar oude Android die op het kantje hangt of er al lang en breed over is. En klikt overal op; en installeert apps bij de vleet. Allemaal vectoren waarmee een RAT op zo'n ding geplant zou kunnen worden die geautomatiseerd meer gegevens bij kan gaan houden.

Één keer even makkelijk 2FA gebruiken via de DigiD app om direct zelf op de telefoon op een website in te loggen met DigiD en ze hebben ook je username en password. En dan is het hek van de spreekwoordelijke dam.

Dat kost niets; en is - in verhouding tot actief bij een zendmast moeten posten of apparatuur daar aan moeten gaan brengen die niet ontdekt mag worden - vrijwel geheel risicovrij. En: zo'n aanval kan vanuit de hele wereld ingezet worden.

[Reactie gewijzigd door R4gnax op 24 juli 2024 02:26]

ninjazx9r98 @R4gnax • 5 december 2023 19:29

Jaren terug bestond de optie al om in je account de SMS optie aan te zetten. Je leek dan de keuze te hebben om individueel te kiezen maar in de praktijk moest je dan toch een SMS code gebruiken.
Zie bijv dit artikel uit 2017
https://www.gratissoftwar...wachtwoord-gebruikersnaam

Keyb @Get!em • 4 december 2023 18:56

Het bezwaar, zoals ik hierboven ook net aangeef, is dat ik de voorwaarden van Apple of Android moet accepteren voordat ik de app kan installeren. En dat kan niet de bedoeling zijn voor toegang tot overheidsdiensten.

sircampalot @Keyb • 4 december 2023 19:04

Zo had ik hem nog niet bekeken, goed punt!

Carlos0_0 @Get!em • 4 december 2023 19:50

Ik heb geen meerdere sessies nodig, 2 keer per jaar zijn.

1: rond februari ofzo de riool / water en weet ik toeslag in 1 keer aftikken.
2: belasting aangifte in maart toen.

Dan weer jaar wachten tot eens digi ID nodig heb, dat sms’je is dus meer dan snel zat.
Verder hebben ze met sms’je nog steeds gebruikersnaam en wachtwoord nodig, en hoe willen ze dat sms’je krijgen die komt aan op mijn telefoon ?.

PureTryOut @Get!em • 4 december 2023 22:14

Ik vertrouw proprietary bij definitie niet. Het is gemaakt met belasting geld, dus open-sourcen die zooi. Pas dan zal ik het eens installeren.

Vicky Ronnen @PureTryOut • 6 december 2023 06:40

Stel het is open source, heb jij de kennis en kunde om beveiligingsproblemen in de source te ontdekken?
Log4j is ook open source. Dat heeft bewezen dat niemand er naar kijkt met als doel beveiligingsproblemen op te sporen en op te lossen, vele vele releases achterelkaar.
Hackers konden door het feit dat het opensource was wel moeiteloos een werkende exploit ontwikkelen die op alle versies werkte...
Opensource is geen garantie voor veiligheid.

PureTryOut @Vicky Ronnen • 6 december 2023 07:38

Het gaat mij persoonlijk vooral om privacy. Maar het is niet eens belangrijk dat ik de code kan doorlezen, als het open-source is kan iedereen dat. Dus ook onafhankelijke beveiligingsonderzoekers, mensen die daar wél verstand van hebben. Daarbij kan ik dan zelf de app compileren, kan het in F-Droid gezet worden (ik heb geen Play Store), en kan het geport worden naar alternatieve platformen zoals mobile Linux en bijvoorbeeld postmarketOS (waar ik aan mee werk).

Er zijn een heleboel redenen om te open-sourcen, niet alleen zodat gebruikers zelf de code kunnen nakijken.

HermanX @Get!em • 4 december 2023 22:17

prima plan. heb je ook een link naar die app?
Voor mijn iPhone heb ik hem al. Maar mijn moeder haar Nokia kon ik die app niet vinden.

Die belt nog met een vaste lijn en heeft een oer oud ding dat alleen opgeladen word als ze sms verwacht of alleen op pad gaat.

Mocht je een linkje hebben dan hoor ik het graag.

dimdek @Get!em • 5 december 2023 08:53

Een app die vereist dat je een Apple of Google account gebruikt, waarbij beide partijen alle informatie van je telefoon mogen volgen vind ik niet veilig. Dat de grote meerderheid van de Nederlandse bevolking daar vrijwillig of uit onwetendheid voor kies is prima, maar dat moet net door de overheid worden opgelegd. We hebben het wel over bedrijven die hun ata delen met de Amerikaanse overheid en iedereen de daarvoor genoeg geld over heeft.

Get!em @dimdek • 5 december 2023 10:15

Op dat punt geef ik je inderdaad helemaal gelijk. Echter er bestaat geen ideale wereld, en moet je kiezen uit het minst slechte. Zoals hieronder Oon al aangeeft, SMS en Email zijn sowieso onveilig. Als je dus de beschikking hebt over een telefoon die wel de app aankan en je toch al gebruik maakt van de app/play store, is het een kleine stap.
Als je echt alleen alternatieve app/playstores gebruikt, heb je voor jezelf weer andere risico's (zijn de APK's legit? niet geinjecteerd?).

Gelukkig kun je daarin zelf kiezen welk risico je wilt lopen en welk gemak je wilt hebben voor jezelf.

Oon

@Carlos0_0 • 4 december 2023 18:44

Maar dan heb je dus niet begrepen wat het probleem is. SMS is, net als e-mail, expliciet onveilig. Zeker in de tijd van e-sims is het heel makkelijk om een simkaart over te nemen en SMS af te vangen.

Heel fijn dat het werkt, de kans dat je het specifieke doelwit van een hacker wordt is niet heel groot voor de meeste mensen, en het is beter dan helemaal niks, maar het is een beetje als een snelheidsheuvel gemaakt voor 50km/u in een 30km/u zone; het oogt alsof het iets doet, maar eigenlijk voegt het weinig toe.

wiseger @Oon • 4 december 2023 20:37

Eh nee want zodra de hacker een esim ontvangt valt de andere telefoon uit. De klant belt de helpdesk en de fraude is ontdekt, esim geblokkeerd. Dan vraagt de klant alle belgegevens op en de DigiD fraude is ontdekt.

Verder is het MFA, alleen de sms is niet genoeg. Je hebt ook de Pin code nodig.

Het is gewoon een extra stap die fraude lastiger maakt.

ninjazx9r98 @Oon • 5 december 2023 19:39

Paar weken terug een nieuwe eSIM ontvangen en die moest toch echt geactiveerd worden in mijn account bij de provider. Om daar in te loggen had ik username en password nodig en een code die per SMS gestuurd werd naar de op dat moment nog werkende fysieke SIM. Succes met makkelijk overnemen.

wildhagen

Beveiliging en antivirus
Nederland
Overheid

@Anoniem: 111246 • 4 december 2023 18:37

Zal nog wel even duren. Niet iedereen heeft een smartphone en kan de app dus installeren, en is dus aangewezen op MFA via SMS.

Niet ideaal, maar nog altijd beter dan géén MFA, dus alleen username/password.

SRI @wildhagen • 4 december 2023 18:51

Ik maak mij meer zorgen om die enkeling die niet eens een mobieltje heeft. Wat moet je dan doen?

wildhagen

Beveiliging en antivirus
Nederland
Overheid

@SRI • 4 december 2023 18:55

Dan kan je ook je vaste toestel gebruiken, de SMS wordt dan uitgesproken. Zie https://www.digid.nl/inlogmethodes/sms-controle

Dus ook zonder mobiele telefoon kan je SMS-verificatie gebruiken.

SRI @wildhagen • 4 december 2023 19:18

Zo leer ik weer wat. Heb zelf nooit een vaste telefoon gehad. Dan rest nog de vraag hoe dat zal gaan als ze ooit die verificatie willen doen als je je rijbewijs of id moet scannen met je mobiel. Maar dat is (wellicht) nog ver weg.

R4gnax @SRI • 4 december 2023 20:52

Niet. Huidige plan is dat er een universeel Europees digitaal paspoort komt.
Dikke kans dat op de één of andere manier dat ding ook een fysieke tegenhanger in de ID kaarten en paspoorten krijgt als een NFC chip. En als ze dan slim zijn en die FIDO / WebAuthN compatible maken, zul je uiteindelijk dus gewoon die kaart moeten biepen langs een NFC lezer als second factor. Of misschien zelfs wel als algehele passkey. Hoewel me dat laatste niet heel veilig lijkt voor iets wat je altijd op zak moet hebben om je ook op straat te kunnen identificeren en dus behoorlijk onderhevig is aan zakkenrollen en dieverij.

[Reactie gewijzigd door R4gnax op 24 juli 2024 02:26]

RoestVrijStaal @wildhagen • 4 december 2023 20:03

Het kan, maar het is bij de meeste providers een ondergeschoven kindje.

Soms is er echt geen chocola van te maken.

Ze mogen van de stemcomputer de articulatie verbeteren en de snelheid vertragen.

Alex3 @wildhagen • 4 december 2023 20:00

Zo'n bericht heb ik ook wel eens gehad, net toen ik het me totaal niet uitkwam. De woorden werden niet uitgesproken maar gespeld. Dat ging zo snel dat ik er, ook na twee keer herhalen, nog geen touw aan vast kon knopen. En je kon ook niet aangeven later te bellen. Maar waarschijnlijk was het aan een verkeerd nummer gestuurd.

jessesteinen @SRI • 4 december 2023 18:58

Is dat niet een beetje zoeken naar problemen? In 2022 had 96,1% van de Nederlanders een mobiel (bron) en je kunt altijd nog je aangifte IB op papier doen.

jpsch @jessesteinen • 4 december 2023 19:45

Het is natuurlijk niet alleen een kwestie van een mobieltje. Ook laaggeletterden en visueel gehandicapten moeten bediend worden.

jessesteinen @jpsch • 5 december 2023 09:40

Maar waar eindig je? Mensen die volledig verlamd zijn etc.? Je kunt niet alles voor iedereen regelen, hoewel dat, in alle redelijkheid, je streven moet zijn.

GameNympho @jessesteinen • 4 december 2023 19:45

Ja, ik heb een mobiel. Maar ook nee, ik kan nm geen apps installeren ivm ouder toestel.
Maar online kan ook, dus er zijn opties voor ouderen of diegene die geen mobieltje hebben.

SRI @jessesteinen • 4 december 2023 19:19

Zoeken naar een probleem of de plicht van de staat om toegankelijk te zijn voor iedereen?

DeadPhoenix86 @SRI • 4 december 2023 19:51

Mijn vader heeft nog een ouderwetse mobiel. Hij wil geen mobiel met al die rotzooi apps. Bellen vind hij genoeg.

segil @Anoniem: 111246 • 4 december 2023 18:40

SMS is minder veilig dan een MFA app, maar nog steeds een stuk veiliger dan alleen gebruikersnaam/wachtwoord. Het is niet heel eenvoudig om een SMS te onderscheppen, dan moet je al wel een doelwit zijn waar een aanvaller meerdere personen voor nodig heeft om die aanval succesvol uit te voeren.

R4gnax @segil • 4 december 2023 20:57

Afhankelijk van de omstandigheden kan het zelfs veiliger zijn dan een MFA app.

Waarmee ben je eerder de bok?
Een SMS die binnenkomt op een dumb phone uit het jaar blok zonder verdere internetaanwezigheid?
Of een MFA app op een smartphone die jaar-uit/jaar-in verlopen of niet aan het internet hangt voor dageljiks gebruik, overal langs surft; van alles installeert; en waar in die loop der tijd door een exploit remote toegang op verkregen kan zijn?

Triblade_8472 @Anoniem: 111246 • 4 december 2023 19:01

Ik hoop 't niet, SMS is prima toch? Alsof iemand mijn SMSjes gaat spoofen...?

Mensen die extra beveiliging willen kunnen dan de app gebruiken, twee methodes om uit te kiezen. Beter toch?

En daarnaast, wie ben jij om voor mij te bepalen wat ik veilig acht voor mijn situatie?

Carlos0_0 @Triblade_8472 • 4 december 2023 19:58

Inderdaad zo makkelijk is al niet, sms is meer dan prima veilig.
Jij of ik zijn ook helemaal niet belangrijk voor een hacker uiteindelijk, die wil uiteindelijk iemand pakken met meer geld en mogelijkheden.

Sms is meer dan prima zeker voor die 2 keer per jaar dat in het gebruik, mocht ik nou regelmaat gebruiken is wellicht ander verhaal.

michielonline @Anoniem: 111246 • 4 december 2023 18:40

Als iemand de moeite neemt om mijn simkaart te klonen mogen ze mijn toeslagen hebben!

Mijn gezin heeft 4 DigID accounts, mijn vrouw en ik gebruiken de app. De kids zijn te jong en hebben nog geen telefoon, ten tijde van corona heb ik DigID accounts aan moeten maken voor de uitslagen van de tests. Daar zit ook netjes SMS auth op naar mijn nummer, aangezien ze geen eigen device hebben is dit ook de enige manier om MFA te doen op deze accounts.

Het zal zeker niet de veiligste optie zijn, maar de risico's van SMS auth zijn ook wel zeer theoretisch.

veloce @Anoniem: 111246 • 4 december 2023 19:02

SMS kan misschien minder veilig zijn, maar als je b.v. voor je (schoon)ouders zaken moet regelen kan je wel met eigen GSM inloggen, zeker als bovengenoemden geen smart phone hebben.

[Reactie gewijzigd door veloce op 24 juli 2024 02:26]

La1974 @veloce • 4 december 2023 19:34

Machtiging is je oplossing.

Lennyz @Anoniem: 111246 • 4 december 2023 18:37

Ik hoop nooit want ik wil die app niet.

Eentje @Lennyz • 4 december 2023 18:48

Wat is er zo erg aan de DigiD app dat je deze niet wilt?

Lennyz @Eentje • 4 december 2023 19:21

Waarschijnlijk niets. Ik wil echter niet verplicht worden om bepaalde apps te installeren, terwijl daar geen technische noodzaak toe is. Als ik bijvoorbeeld mijn eigen 2fa app kan kiezen, dan is het alweer een ander verhaal.

Eentje @Lennyz • 4 december 2023 20:27

dat zou inderdaad wel handig zijn goed punt

Keyb @Eentje • 4 december 2023 18:53

Dat ik de Apple of Android (Google) voorwaarden eerst moet accepteren.

PureTryOut @Keyb • 4 december 2023 22:16

Dit plus het feit dat ze niet gewoon standaard TOTP e.d. ondersteunen. Waarom moeten ze nou zelf weer iets verzonnen hebben, nogal nih...

PurifieR1980 @Anoniem: 111246 • 4 december 2023 18:47

Wanneer er een fatsoenlijk alternatief is wat mij niet verplicht app nummer zoveel te moeten installeren.

Tyrian @Anoniem: 111246 • 4 december 2023 18:54

Als ze een alternatief hebben bedacht voor mensen die geen (of een te oude) smartphone hebben.

aaahaaap @Anoniem: 111246 • 4 december 2023 19:07

Je bedoelt wanneer stoppen ze met hun eigen app voor MFA en bieden ze support voor standaard TOTP?

tweakbrand @Anoniem: 111246 • 4 december 2023 19:12

en wanneer beginnen ze met authenticator apps ipv dat verappen van onze burgerschap drama ^^?

standaard authenticator ondersteuning any1?
open source, zelf implementeerbaar je weet wel, not vendor locked...>,<

[Reactie gewijzigd door tweakbrand op 24 juli 2024 02:26]

PaulHelper @tweakbrand • 4 december 2023 19:51

Deels mee eens, maar als ze een goede reden hebben voor hun eigen app en aantonen dat het veiliger is dan ben ik er voor. Tot die tijd vind ik ook dat ze gewoon standaard auth moeten ondersteunen.

GEi @Anoniem: 111246 • 4 december 2023 19:14

Liever niet, werkt voor mij prima voor de DigiD van de kinderen. Als ze ouder zijn mogen ze er zelf over beschikken.

Teun! @Anoniem: 111246 • 4 december 2023 19:30

Hopelijk niet voordat ze 2fa beschikbaar maken voor een app naar keuze. Zit persoonlijk niet te wachten om mn backup telefoon voor digid te gebruiken.

RoestVrijStaal @Anoniem: 111246 • 4 december 2023 20:00

Liever nooit.

Smartphones kunnen crashen, gestolen worden, door een brakke update kapot gaan, en in de praktijk zullen enkel Android en iOS ondersteund worden.

In geval van SMS kun je nog je simkaart in een andere mobiel stoppen en je kunt verder met je workflow.

AibohphobiA BoB

@Anoniem: 111246 • 4 december 2023 20:51

Wanneer stoppen ze met die onveilige sms?

Betere vraag: Wanneer stoppen ze met die toeslagen.

Brainy1978 @Anoniem: 111246 • 4 december 2023 22:19

Beter dat dan geen sms. Daarnaast zijn er nog veel mensen zonder smartphone (vaak ouderen), ook hen wil je op een zo veilig mogelijke manier kunnen laten inloggen.

dimdek @Anoniem: 111246 • 4 december 2023 23:34

Misschien als er een alternatief komt voor de 'onveilige' DigiD app. Het delen van persoonsgegevens met Google en Apple kan toch zeker niet de enige mogelijkheid worden om met de overheid te communiceren.

SRI 4 december 2023 18:50

Nu vraag ik mij echt af, wat als je geen smartphone of mobiel hebt. Kun je een smsje naar je vaste telefoon laten sturen?

Ik vind dit qua veiligheid geen slechte ontwikkeling. En de groep die ik hier benoem lijkt mij klein tot niet bestaand maar toch, op basis van een toegankelijke overheid vraag ik mij toch af hoe zij dit verantwoorden.

The Realone @SRI • 4 december 2023 18:52

Hoe zit dit verantwoorden? Nou, wat dacht je van het beveiligen van zeer privacygevoelige informatie?

Triblade_8472 @The Realone • 4 december 2023 19:06

De overheid heeft ook een zorgplicht en een informatie plicht. De overheid mag er niet vanuit gaan dat iedereen (oa ouderen) een smartphone heeft of überhaupt een telefoon.

The Realone @Triblade_8472 • 4 december 2023 19:31

De overheid heeft vele plichten en daardoor zullen zij afwegingen moeten maken tussen wat de prioriteit heeft. Ik ben blij dat ze kiezen voor databeveiliging gezien dat enorme consequenties kan hebben en dat niet per se eindigt bij degenen waarvan de data/account gecompromiteerd is.
De groep mensen die geen smartphone hebben wordt alsmaar kleiner, maar voor die groep is er nog een SMS verificatie beschikbaar. Mensen die met dit alles moeite hebben, kunnen aankloppen bij familie of sociale steunpunten. Bibliotheken bieden bijvoorbeeld ondersteuning bij digitale interactie met de overheid, gratis en voor niks. En anders het zorghuis waar de ouderen of anders hulpbehoevenden wonen.
Ten slotte is dit onderdeel van het zelfstandig meedraaien in de maatschappij.

Een perfecte wereld bestaat niet.

R4gnax @The Realone • 4 december 2023 21:02

Ik ben blij dat ze kiezen voor databeveiliging

Door mensen richting Apple en Google te duwen en te dwingen een verbintenis aan te gaan met deze giganten uit de VS? Twee giganten die een loopje nemen met de EU en gevestigd zijn in een land dat een loopje neemt met de AVG/GDPR?

Wat je aan de ene kant wint, gooi je aan de andere kant drie-dubbel weg.
Het is nogal niet fijn heh?
Dat de overheid van de VS middels wetgeving kan dwingen dat er toegang verleent wordt tot de backups die authenticators richting Google of Apple Cloud maken, zodat de veiligheidsdiensten van de VS je tweede factor per definitie kunnen compromiteren?
Daar kan voor leuke zaken zoals massa-beinvloeding niet op creatieve manieren misbruik van gemaakt worden; zullen we zeggen? Vooral waar het zoals bij DigiD een alomvattend toegangs- ticket tot het volledige overheidsloket betreft.

En dat hoeft nu niet hier aan de orde te zijn. Natuurlijk. Vriendelijke mogendheid, blah blah.
Maar neem nou eens pak hem beet een Chinees gefabriceerd toestel.
Hoe serieus neem je je eigen soevereniteit en staatsveiligheid nog als je dit soort scenario's open laat en niet afdekt?

Is SMS hier op enige manier beter in?
Nee. Waarschijnlijk niet.

Maar pretendeer alsjeblieft niet dat het gebruik van een smartphone MFA app gedaan wordt met een goed besef van dataveiligheid als motivator. Het is vooral makkelijk scoren voor de bühne en een checkbox op het lijstje afvinken. En misschien speelt er ergens nog wel echt een moreel juist besef om dingen veilig te doen mee; maar dan is het hopeloos misplaatst.

Dit soort dingen, waar het de toegang tot de overheidsgegevens voor iedere burger in Nederland betreft, doe je veilig middels een werkelijk gescheiden en daarop toegespitst hardware-token. Waar je zelf ook streng de controle over fabricage etc. kunt handhaven.

[Reactie gewijzigd door R4gnax op 24 juli 2024 02:26]

The Realone @R4gnax • 4 december 2023 23:02

Bijzonder dat je begint over "een verhaal voor de bühne" en vervolgens zelf met een verhaal voor de bühne komt door een verhaal op te schrijven wat leuk oogt, maar totaal onsamenhangend is. De markt en de consument bepalen welke techniek ze willen gebruiken, als men Android op een Chinees of Amerikaans toestel wil draaien en daar hun zaken op willen regelen, dan doen ze dat. Je hebt het over afdekken, hoe wil je dat doen? De overheid dient de afweging te maken tussen bruikbaarheid en veiligheid, en als je enig besef hebt van hoe digitale beveiliging werkt, dan besef je dat dit eigenlijk altijd de afweging is. De best beveiligde data is data die volledig offline staat en waar nooit iemand bij hoeft te komen, dat is ook direct waardeloze data.

En hardware token klinkt wel leuk, maar buiten dat het een dure en onpraktische aangelegenheid is, is die direct al niet onfeilbaar. Een goed opgezette phishing website en je bent al klaar met je hardware token. Grappig genoeg is de DigiD app met de inlogbevestiging juist gemaakt om dat te voorkomen.
Een bankpas is trouwens ook een hardware token, dat gaat grappig genoeg vaak fout, niet?

R4gnax @The Realone • 4 december 2023 23:12

De overheid dient de afweging te maken tussen bruikbaarheid en veiligheid, en als je enig besef hebt van hoe digitale beveiliging werkt, dan besef je dat dit eigenlijk altijd de afweging is.

Je geeft dus zelf ook gelijk al aan dat de keuze voor een smartphone app er één is die gemaakt wordt uit bruikbaarheid. (Twee kanten op overigens; richting gebruikers en richting opzet en onderhoud v/d benodigde infrastructuur voor de overheid.)

En hardware token klinkt wel leuk, maar buiten dat het een dure en onpraktische aangelegenheid is, is die direct al niet onfeilbaar. Een goed opgezette phishing website en je bent al klaar met je hardware token.

Een basaal hardware token kan al ingebakken zitten in een pas. Het is gewoon een chip. Geef het ding NFC zoals - inderdaad - een bankpas. Bak het in in je ID kaart. Stel een NFC lezer beschikbaar aan burger die er ééntje willen, omdat ze niet gebruik maken van een laptop of telefoon met ingebouwde NFC, maar bijv. van een thuis-PC.

En wat betreft phishing:
Je hebt ook key exchanges met hardware tokens die niet te phishen zijn. De FIDO-U2F protocollen zijn bijv. in het bijzonder zo opgezet dat er geen sleutelmateriaal prijsgegeven wordt aan een domein wat niet origineel bij de authenticator geregistreerd was.

Tenzij de lokale browser die gebruikt wordt gecompromiteerd is, zal deze altijd het exacte domein van de website doorsturen wat het verzoek voor een key exchange doet icm cryptografisch materiaal op basis van het certificaat van die site. Een malafide site maakt geen kans.

[Reactie gewijzigd door R4gnax op 24 juli 2024 02:26]

The Realone @R4gnax • 5 december 2023 00:06

Je geeft dus zelf ook gelijk al aan dat de keuze voor een smartphone app er één is die gemaakt wordt uit bruikbaarheid. (Twee kanten op overigens; richting gebruikers en richting opzet en onderhoud v/d benodigde infrastructuur voor de overheid.)

Ja dat zeg ik, want zoals ik al zei, dat is altijd de afweging. Je moet ook beseffen dat het doel niet is om de meest veilige methode te kiezen, je kiest voor de de gulden middenweg tussen praktisch en veilig. Ten slotte is matige beveiliging (en daar is hier niet eens sprake van) beter dan geen beveiliging.

Een malafide site maakt evengoed geen kans bij de huidige DigiD authenticator, dus dat zit al goed. En alles daarbuiten gelaten, het gaat hier om de authenticator, die geeft op geen enkele wijze data prijs, dus eigenlijk probeer je een niet bestaand probleem op te lossen.

dimdek @The Realone • 5 december 2023 09:15

Binnen een commerciële omgeving denk ik dat je gelijk hebt, maar de taak van de overheid is niet om voor elementaire zaken de afweging te maken dat burgers worden gedwongen om hun leven te delen met een van twee commerciële organisaties die data delen met een andere overheid, puur omdat de meeste burgers geen idee hebben wat hun mobieltje kan en doet. Verder zou je overheid de bevolking dus ook 'dwingen' om iedere paar jaar een nieuw mobieltje aan te schaffen omdat de techreuzen beslissen dat het OS niet meer veilig genoeg is voor de apps. Dat lijkt me vanuit milieuoogpunt niet te verantwoorden. Daarmee zu de overheid een soort Microsoft worden die kan zorgen dat iedereen een nieuw device moet aanschaffen als zij daarvoor kiezen. Dan begint het al gauw op belangenverstrengeling te lijken.
Voor de belastingaangifte worden we gelukkig niet gedwongen om Windows of MacOS te gebruiken. Voor identificatie moet ook een universele manier gevonden worden die geen partijen voortrekt en financiëel voor deel oplevert.

The Realone @dimdek • 5 december 2023 12:54

Je mist het hele punt. Je wordt niet gedwongen, je kunt gewoon SMS gebruiken. En zelfs dat buiten beschouwing gelaten, dit gaat voor de zoveelste keer om een authenticator app. Daar zit geen data in, die data is toegankelijk via websites die op elk denkbaar OS werken. Het is dus een totaal non-issue.

Triblade_8472 @The Realone • 4 december 2023 19:35

Tijd om maar weer terug te keren naar de prima werkende pen en papier. Of minimaal de optie aan te bieden.

Ik ben tegen elke vorm van digitale-dwang. Er moet te allen tijde een analoog alternatief zijn. Of een app-loos alternatief.

tweakbrand @Triblade_8472 • 4 december 2023 19:13

maar daar hebben ze lak aan, want apps zijn zoooo handig.

er is wel ook die NCF reader optie met je id/rijbewijs voor pc's maar nog niet uitgeprobeerd

Mars Warrior @SRI • 4 december 2023 18:52

Ja dat kan. De code wordt dan uitgesproken

wildhagen

Beveiliging en antivirus
Nederland
Overheid

@SRI • 4 december 2023 18:53

Ja, het kan ook via een vast toestel. Je krijgt dan een gesproken SMS, zie https://www.digid.nl/inlogmethodes/sms-controle

Roel1966

4 december 2023 18:56

Ik snap wel dat multifactorauthenticatie veiliger is maar wat ik wel een nadeel eraan vind is dat je steeds afhankelijker word van de smartphone. Je bent tegenwoordig al bijna verplicht om je smartphone altijd bij de hand te hebben wil je ergens kunnen inloggen. En tja mij gebeurd het nog wel eens dat ik de smartphone in de la liggen heb en die dan eerst weer moet gaan pakken en inschakelen.

wildhagen

Beveiliging en antivirus
Nederland
Overheid

@Roel1966 • 4 december 2023 18:58

Je hebt helemaal geen mobiel nodig, het kan ook gewoon met een gesproken SMS via je vaste telefoon. Dat kan je gewoon in je Digid account instellen.

Dus ook mensen zonder mobiele tefoon, of met alleen een featurephone, kunnen Digid gebruiken.

[Reactie gewijzigd door wildhagen op 24 juli 2024 02:26]

Roel1966

@wildhagen • 4 december 2023 19:10

Een gesproken SMS vind ik zelf helemaal rampzalig eerlijk gezegd en daarbij heb ik ook niet altijd de gewone telefoon hier bij de hand. Maar oke, je hebt dan wel een punt dat je nog alternatieven hebt waarbij ik mij wel af vraag voor hoe lang nog. Vaste telefoon is tegenwoordig ook vaak gekoppeld aan een internet abonnement en ik mij eigenlijk af vraag of je nog wel een gewone aansluiting kan krijgen.

tweakbrand @Roel1966 • 4 december 2023 22:45

en met een open source authenticator is dat dus juist niet per se dat je aan je smartphone vastzit.

of niet aan google/apple

een linux phone/raspberry/windows/whatever device je voor kan coderen werkt dan ook

want 2factor time based tokens zijn niet heel moeilijk om te implementeren. open source genoeg

dan kan je ook ineens... oh wow... backuppen zonder cloud account...
wat een luxe

Roel1966

@tweakbrand • 4 december 2023 23:25

of niet aan google/apple

Dat maakt mij persoonlijk niet zoveel uit ondanks dat ik met beiden niet echt iets heb qua bedrijf dan.

een linux phone/raspberry/windows/whatever device je voor kan coderen werkt dan ook

Een Linux phone is in mijn ogen ook gewoon een smartphone en tja, andere devices, dan moet je ook weer net maar weten hoe je dat dan werkbaar kan maken. Zeker, als Tweaker zijnde zou dat nog niet zo'n punt zijn maar wel voor de doorsnee gebruiker.

visleeuw

4 december 2023 19:56

Behalve het al dan niet hebben van een smartphone speelt nog iets anders een rol. Laaggeletterdheid. De Algemene Rekenkamer heeft hierover in 2016 een rapport geschreven https://www.rekenkamer.nl...pak-van-laaggeletterdheid. Als je op die link klikt begint het artikel met 'Er zijn in Nederland 2,5 miljoen mensen die moeite hebben met taal en/of rekenen.'
En dat betekent dat het hebben van een mobieltje niet maatgevend is voor het goed kunnen gebruiken van digitale diensten (van de overheid). Dus er moet ook een niet-digitale weg zijn voor die 2,5 miljoen mensen. En dat is meer dan 10 procent van de mensen in Nederland.

Zanthr @visleeuw • 5 december 2023 01:29

Die 2,5 miljoen mensen kunnen door problemen met taal/rekenen geen mobiele telefoon gebruiken, én zijn beter af met een niet-digitaal alternatief?
Ik denk dat ze sowieso een probleem hebben met communicatie met de overheid of instanties. Wat zou het niet-digitale alternatief zijn? Een kantoor ergens, iemand die ze helpt? Want digitaal of niet-digitaal, het probleem blijft nog steeds.

glatuin @visleeuw • 5 december 2023 09:50

Dit betekent dat voor deze groep een toeslag aanvragen te ingewikkeld is. Deze mensen hebben extra hulp nodig. En dat staat helemaal los van het inloggen.

Irsu85 4 december 2023 19:13

Waarom niet 2FA via de identiteitskaart en kaarlezer of yubikey? Dat is toch een stuk veiliger dan SMS? (en ik heb geen smartphone dus apps is niet echt handig)

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@Irsu85 • 4 december 2023 20:25

Waarom niet 2FA via de identiteitskaart en kaarlezer of yubikey?

Omdat je mensen dan van een kaartlezer of een (dure) yubikey moet voorzien inclusief de logistiek hier omheen. Bij een yubikey dien je ook nog eens zorg te dragen voor een backup zoals een 2e yubikey mocht de 1e niet meer werken. Dan gaan de kosten al heel snel heel erg omhoog.

machie27 4 december 2023 18:48

Het zou ook fijn zijn als ze security keys toe zouden staan.

qlum

4 december 2023 19:09

Persoonlijk meestal geen fan van mfa via een specefiek apparaat. Op dit moment worden er geen backups gemaakt van mijn app data, dus wanneer ik van rom wissel of een nieuwe telefoon heb ben ik het kwijt Liever zou ik email verificatie of totp gebruiken.

Maar goed sms is niet super veilig, maar in combinatie met een goed wachtwoord prima te doen.

RAAF12 4 december 2023 19:12

Op die site kan ook een kindgebonden budget en kinderopvangtoeslag worden aangevraagd of wijzigingen in inkomen, wonen, vermogen ect. zijn daar te regelen. Werkt prima vooral als die apps op een telefoon staan. Wil je iets op een laptop doen dan vraagt DigID om een koppelcode van de app.

Op dit item kan niet meer gereageerd worden.

Multifactorauthenticatie wordt vanaf begin 2024 verplicht voor Mijn toeslagen

Lees meer

Reacties (208)

Sorteer op:

Weergave: