Logius: DigiD vereist steeds vaker tweetrapsauthenticatie

Overheidsorganisaties vragen steeds vaker om tweetrapsauthenticatie voor het inloggen met DigiD. Het gaat dan om inloggen via de DigiD-app of inloggen met een sms-controle. Dat zegt DigiD-beheerder Logius.

Volgens Logius heeft 98,7 procent van de DigiD-gebruikers naast een gebruikersnaam en wachtwoord ook de DigiD-app en/of sms-controle geactiveerd, meldt Logius. Dat betekent dat vrijwel iedereen met een DigiD-account met 2fa kan inloggen. Vorig jaar logden Nederlanders 308 miljoen keer met de app in en 145 miljoen keer met de sms-controle. In totaal logden burgers in 2023 480 miljoen keer in met DigiD.

Bij veel organisaties is het ook niet meer mogelijk om alleen met een gebruikersnaam en wachtwoord in te loggen, al zegt Logius niet om hoeveel organisaties het gaat. Wie daar wil inloggen heeft dus een telefoon nodig. Naast een mobiele telefoon of smartphone kan dat ook een vaste telefoon zijn. Mensen zonder smartphone kunnen ook een gesproken sms op hun vaste telefoon ontvangen.

Er zijn ook nog steeds overheidsdiensten waar Nederlanders zonder 2fa met DigiD in kunnen loggen. Onder meer de Dienst Toeslagen van de Belastingdienst heeft dit nog niet verplicht gesteld. De bedoeling was dat dit op 1 januari van dit jaar zou gebeuren, maar de Dienst Toeslagen heeft meer tijd nodig om de overstap goed te laten verlopen, werd eind januari duidelijk. Wanneer 2fa daar wel verplicht wordt, is nog onbekend.

IT-banen

Reacties (132)

ocf81 22 februari 2024 15:54

Ik heb eerlijk gezegd wel wat moeite met hoe Logius te werk gaat.
Ze willen geen app maken voor andere mobiele OS'en en ze willen ook geen API beschikbaar stellen om er dan zelf een te kunnen schrijven. Echter willen ze tegelijkertijd ook geen alternatief aanbieden zoals een hardware scanner o.i.d.
En dat terwijl het einde van de SMS ondersteuning ondertussen al een tijd lang in de steigers staat...

En nee, ik laat mij niet dicteren dat ik een Apple of Google OS moet gebruiken, met de navenante acceptatie van de ToS die daarmee gepaard gaat. Ik eis een alternatief. Ik vind dat ik daar recht op heb als burger.

joker1977 @ocf81 • 22 februari 2024 17:38

Ik vind het een beetje "gezeur in de marge" eigenlijk. Je kunt gewoon autoriseren via SMS en het is nog onduidelijk wanneer (en of) dat wordt uitgefaseerd en evt. wordt vervangen door iets anders.

Verder kun je dezelfde argumenten vervolgens in stelling brengen over SMS: "Ik laat mij niet dicteren om een toestel te gebruiken aangesloten op het mobiele net. De ToS die daarmee gepaard gaat".

Zo kun je voor werkelijk alles wel "een alternatief" eisen. Het alternatief is in vrijwel alle andere gevallen het niet "via het internet" te regelen. Of bv. via een belastingconsulent e.d.

ocf81 @joker1977 • 22 februari 2024 22:30

Als je kijkt naar het aantal lijkt het misschien gezeur in de marge, maar als je iets verder kijkt zal je toch snel zien dat het om iets meer gaat dan gezeur. Als burger heb ik plichten jegens de overheid. Ik zou dan ook graag in staat worden gesteld om die te voldoen zonder daarbij gevangen te moeten worden in de wereld van Apple of Google, of wie dan ook.

Met de Wet Digitale Overheid en de geplande afschaffing van SMS in het achterhoofd gaat het wel degelijk om een belangrijk principe. Effectief wordt ik nu onderworpen aan voorwaarden die niet primair met mijn omgang met de overheid te maken hebben, maar waar ik toch niet onderuit kan. De toegang tot de overheid wordt binnenkort enkel nog mogelijk via middelen waar ik akkoord moet gaan met de voorwaarden van een 3^e partij, of deze mij nu zinnen of niet.

De minister heeft in al haar dwaasheid heeft dan maar geopperd dat je jezelf effectief gezien incompetent moet verklaren en een machtiging moet afgeven als je dat niet wil. En de reden daarvoor is dat de overheid te lui of te onwetend is om gewoon standaarden toe te passen die breed implementeerbaar zijn. Hier gaat op fundamentele grond iets fout.

En ja, ik heb het ze zelf al eens gevraagd. Het antwoord was complete nonsense en ontweek de eigenlijke vragen met schaapachtige verwijzingen naar de Playstore en Apple app store en het veinzen van onwetendheid.

[Reactie gewijzigd door ocf81 op 22 juli 2024 13:52]

hydex @ocf81 • 23 februari 2024 07:23

Je kunt bij de overheid nog altijd via papier je zaken insturen. Dat is ooit door de 2e kamer bepaald.

ocf81 @hydex • 23 februari 2024 11:07

Bron? Ik kan alleen iets vinden van de ombudsman, en niet van de 2e kamer.

Aldy @ocf81 • 23 februari 2024 15:32

Ik weet niet wie of wat iets beslist heeft, maar hier is het antwoord dat je nog steeds je aangifte op papier kunt doen: https://www.belastingdien...e-inkomstenbelasting-doen
Dit had je zelf ook gewoon kunnen vinden, gewoon Googlen. Oh nee, je wilt geen Google gebruiken. Heb ik trouwens ook niet gedaan, want ik gebruik DDG. En wat betreft je problemen dat SMS als 2FA verdwijnt: Voorlopig is het nog niet zover, want je weet dat ambtelijke molens traag draaien. Alleen al om die reden vind ik dat je spijkers op laag water zoekt.

joker1977 @ocf81 • 23 februari 2024 07:42

Ben het met je eens dat jezelf incompetent moet laten verklaren volstrekte dwaasheid is, geen discussie.

Maar het lijkt me dat je het als als een principe en/of fundamentele kwestie wilt benaderen, dan zijn er m.i. toch nog belangrijkere zaken dan dit. Ben je ook een voorvechter van mensen die plichten jegens de overheid hebben maar niet (eens) de mogelijkheid hebben om de communicatie in hun eigen taal te doen ?

Want je blijft losgaan op Apple en Google, maar de praktijk is dat je alles via DigiD kunt doen met een web-browser naar keus en SMS, dus zonder de Apple en Google zaken.

Dat dat niet jouw voorkeur heeft (SMS) is natuurlijk weinig relevant, er is zoveel wat niet mijn voorkeur heeft maar waar ik simpelweg toch mee moet leren leven, ook vanuit de overheid.

Overigens kun je altijd nog besluiten om je boel op papier te regelen he. Dat is ook je recht

ocf81 @joker1977 • 23 februari 2024 11:07

Die webbrower is het probleem niet. Dat is de telefoon.

Ik denk dat je hier niet goed in de gaten hebt de werkelijkheid is en wat de plannen zijn. Er is wet- en regelgeving zoals de Wet Digitale Overheid en de SUWI en vergelijkbare zut waarmee alles verplicht digitaal gemaakt wordt, en op basis daarvan kan een overheidsinstantie je ook (gaan, is veelal nog niet geïmplementeerd,) verplichten om digitaal te gaan communiceren, met de daarbij behorende inlogmiddelen. Dus papier is op weg richting de uitgang. Ook SMS is onderweg naar om een ding van het verleden te worden. De afschaffing van SMS is al meerdere keren uitgesteld. Maar je kan gewoon niet met droge ogen blijven volhouden dat dit nog veilig is. Dus dat gaat echt wel een keer gebeuren. Wat blijft er dan nog over? Inloggen via een app gebouwd op een platform van een 3^e partij. Om dezelfde reden is e-Herkenning ook zo'n draak van een dienst.

Ben je ook een voorvechter van mensen die plichten jegens de overheid hebben maar niet (eens) de mogelijkheid hebben om de communicatie in hun eigen taal te doen ?

In Nederland spreken en schrijven wij Nederlands. Als gebaar van goedwillendheid is het denk ik ook wel oké om andere talen aan te bieden, maar dat heeft een grens. Overigens is de Nederlandse overheid enorm toeschietelijk op dit gebied. In Frankrijk spreek je Frans met de Franse overheid, ongeacht wie je bent.

[Reactie gewijzigd door ocf81 op 22 juli 2024 13:52]

dimdek @ocf81 • 23 februari 2024 12:25

Ik heb de vraag vorig jaar bij DigiD neergelegd. Ook ik kreeg een ontwijkend onzinantwoord. Daarna heb ik gevraagd om een zinnig antwoord van een meerdere. Die werd mij beloofd en is nooit meer gekomen. Afgelopen januari heb ik DigiD gebeld en gevraagd waarom het beloofde antwoord nooit is gegeven. Er werd mij verteld dat de vraag nogmaals geactiveerd zou worden en dat het antwoord zou komen. momenteel wacht ik daar nog steeds op en ik verwacht eigenlijk niet dat het nog gaat komen. Misschien zijn er ect geen mensen bij DigiD die enige kennis van zaken hebben en misschien willen ze gewoon geen antwoord geven omdat ze weten dat het eigenlijk niet kan dat de Nederlandse overheid Nederlandse burgers dwingt (of ten minste stuurt) om gebruik te maken van een account bij een van twee Amerikaanse commerciële big-tech bedrijven die op aanvraag hun data delen met de Amerikaanse overheidsinstellingen.

DJ Henk @joker1977 • 22 februari 2024 18:04

Zo kun je voor werkelijk alles wel "een alternatief" eisen. Het alternatief is in vrijwel alle andere gevallen het niet "via het internet" te regelen.

Dat is natuurlijk schromelijk overdreven. Je kunt dit prima oplossen door een platform agnostisch systeem als TOTP, of WebAuthn. Voor een heel veel grotere groep te gebruiken, veiliger dan SMS en waarschijnlijk makkelijk te implementeren omdat het zo standaard is. Dat is echt heel wat anders dan "niet via internet"

joker1977 @DJ Henk • 22 februari 2024 20:02

Ik zeg niet dat het niet kan, ik zeg dat het nogal overdreven is.

"Voor een heel veel grotere groep" zeg je?

Ik verwacht dat de markt-penetratie van Apple en Android samen ruwweg 95-99% is ? Dan nog SMS voor die paar randgevallen, dat kan zelfs via de vaste lijn.

DJ Henk @joker1977 • 23 februari 2024 07:57

Ik verwacht dat de markt-penetratie van Apple en Android samen ruwweg 95-99% is ?

Dat is natuurlijk waar, maar is ook een beetje een kip/ei-verhaal. Ik denk dat er nogal wat mensen zich 'gedwongen' voelen om zo'n smartphone aan te schaffen. Juist als overheid zou je voorop moeten lopen om die afhankelijkheid kleiner te maken. Als er dan ook nog prima veelgebruikte protocollen zijn die het ook op kunnen lossen snap ik niet waarom je die niet gewoon implementeert.

Dan nog SMS voor die paar randgevallen, dat kan zelfs via de vaste lijn.

SMS is op zich een goede laatste mogelijkheid, maar ik kan snappen dat ze er vanaf willen. Van alle manieren om MFA te doen is het met afstand de minst veilige, omdat SMS zelf niet zo veilig is.

CivLord

@DJ Henk • 23 februari 2024 08:31

Veiliger dan SMS. In welk geval?
Je moet al iemand op het oog hebben voor deze aanval, waarvan je én toegang moet hebben tot de device waarop een dienst benaderd wordt én SMS verkeer moet kunnen monitoren.
Vervolgens heb je dan toegang tot een overheidsdient of verzekeraar, waar je misschien een paar persoonsgegevens kan achterhalen of wat gegevens verkeerd opgeven waardoor je die persoon in de problemen kan brengen, maar verder niet direct iets spannends waar een crimineel warm van wordt. Het is erg veel moeite voor erg weinig 'beloning'. Dan zijn er voor datzelfde slachtoffer accounts die veel aantrekkelijker ziijn en veel meer op zullen leveren.

Polderviking

@joker1977 • 23 februari 2024 14:12

Qua marktaandelen kan je het gezeur in de marge vinden, maar vanuit het principe vind ik dat ze beter hun best moeten doen volledig open source te ontwikkelen met "ons geld" en hun tierelantijntjes zo platform agnostisch als mogelijk moeten optuigen.

Het maakt mij niet zo veel uit hoeveel mensen daadwerkelijk die app buiten de play/app store om zouden ophalen, al is dat er maar één.
Als ik niet met Google of Apple in zee wil gaan moet dat geen "rare keuze" zijn waarmee ik mezelf gelijk aanwijs op communicatie middels rooksignalen of postduif wat overheidszaken aangaat...

[Reactie gewijzigd door Polderviking op 22 juli 2024 13:52]

joker1977 @Polderviking • 23 februari 2024 14:57

Tja, hoe ver wil je gaan in die laatste redenering ? Jij wilt geen Google/Apple app, prima joh, gebruik jij lekker de SMS-authenticatie.

Tuurlijk kun je dan weer zeggen "maar SMS is onveilig, dus waarom ondersteunen ze niet standaard X,Y of Z".

En als je dat oplost kun je gaan zeggen: "Ik wil het eigenlijk zonder internet kunnen doen" en ga je eisen dat het ook telefonisch moet kunnen. Met als authenticatie.. tja zeg het maar.. iemand die bij je langskomt om je paspoort te controleren ?

De opties zijn er, ook om zonder Google/Apple 2FA te hebben, namelijk SMS. Maar dat is dan ineens "ook nog niet genoeg" voor deze mensen, de 2FA moet ook voldoen aan hun favoriete standaard. En zo gaat het maar door.

Gebruik gewoon Apple/Google en als je dat niet weet lekker SMS en klaar.

Polderviking

@joker1977 • 23 februari 2024 15:11

Daar wil ik in ieder geval dusdanig ver in gaan dat dat werkt tussen logius/overheid en de gebruiker op elk apparaat zonder dat daar een of andere specifieke multinational tussen moet zitten.
Dat is echt geen rare eis, dat is hoe software werkte voordat iemand bedacht dat er meer geld aan te verdienen is als je de distributie monopoliseert met app stores die persé gebruikt moeten worden.

Je kan het het absurde in trekken door te suggereren dat mensen dan gaan willen dat agenten langskomen om op paspoorten te controleren maar je weet zelf ook wel dat dat geen realistisch scenario is en is vooral een beetje kinderachtig.

SMS gebruik ik nu maar wanneer ze dat dus gaan uitzetten heb ik toch wat anders nodig.
En dat was voor mijn punt verder ook niet zo relevant.
SMS is daarbij ook niet "ineens" niet goed genoeg meer, SMS is gewoon objectief exploitabel en er wordt al jaren campagne tegen gevoerd door iedereen die iets is in cybersecurity om dat vooral ook liever niet te gebruiken.

[Reactie gewijzigd door Polderviking op 22 juli 2024 13:52]

joker1977 @Polderviking • 23 februari 2024 15:29

Ik trek het in het absurde omdat de discussie een school-voorbeeld is van "shifting the goalposts".

Ik wil graag gebruik maken van de dienst zonder Apple en Google
is veranderd in:
Ik wil graag gebruik maken van de dienst zonder Apple en Google én zonder SMS want ik vind dat niet veilig genoeg.

De hele SMS-discussie lijkt mij ook nogal een flauwe in deze: Ja, het is uiteraard technisch exploitabel, maar hoe reëel is deze kans echt bij een dienst als DigiD als je er niet direct geld mee kunt verdienen als hacker?

Zou het fijn zijn als DigiD nog een extra (open) 2FA zou ondersteunen? Zeker wel, maar rekeninghouden met de (grotendeels irrationele) grollen van 0.001% van de bevolking is gewoon geldverspilling. Die kun je prima in de categorie "doe het maar op papier" schuiven.

Want laten we realistisch blijven: Hoeveel mensen gebruikt nu geen DigiD omdat ze én geen Google én geen Android én geen SMS vertrouwen maar wel technisch in-staat zijn om dit op een alternatief OS met een andere 2FA aan de praat te krijgen ?

Polderviking

@joker1977 • 23 februari 2024 15:55

Ik wil graag gebruik maken van de dienst zonder Apple en Google
is veranderd in:
Ik wil graag gebruik maken van de dienst zonder Apple en Google én zonder SMS want ik vind dat niet veilig genoeg.

Het is niet "IK" die sms niet echt meer helemaal oké vind. Hier is gewoon consensus over.
En binnen cybersecurity veranderen ze inderdaad nog wel eens van inzicht naarmate er dingen gebeuren en nieuwe technieken beschikbaar komen.
Dat is gewoon een realiteit die je moet afhandelen als je iets doet in deze ruimte en soms zit je met extra ontwikkeltijd waar je geen ROI tegen kan wegzetten.

De hele SMS-discussie lijkt mij ook nogal een flauwe in deze: Ja, het is uiteraard technisch exploitabel, maar hoe reëel is deze kans echt bij een dienst als DigiD als je er niet direct geld mee kunt verdienen als hacker?

Of iemand dat wel of niet gaat uitbuiten heeft alles te maken met de persoon rond wie eventueel uitgebuit wordt lijkt me.
Maar die kansberekening is sowieso een beetje bijzaak.
Als jij een slap bout wachtwoord gebruikt als jan doorsnee kom je daar waarschijnlijk ook wel mee weg.
Zou dat toch evengoed niet doen.

Zou het fijn zijn als DigiD nog een extra (open) 2FA zou ondersteunen? Zeker wel, maar rekeninghouden met de (grotendeels irrationele) grollen van 0.001% van de bevolking is gewoon geldverspilling. Die kun je prima in de categorie "doe het maar op papier" schuiven.

Want laten we realistisch blijven: Hoeveel mensen gebruikt nu geen DigiD omdat ze én geen Google én geen Android én geen SMS vertrouwen maar wel technisch in-staat zijn om dit op een alternatief OS met een andere 2FA aan de praat te krijgen ?

Ik snap oprecht niet waarom je het irrationeel vind dat software voor zover als mogelijk platform agnostisch moet werken.
Implementatie van een open standaard als TOTP kost de Nederlandse belastingbetaler echt niet noemenswaardig geld.

Luminair @joker1977 • 22 februari 2024 19:32

Ik vind het een beetje "gezeur in de marge" eigenlijk.

Ik snap dat het zo oogt, maar dat dit allemaal aan een paar grote bedrijven hangt (in plaats van open standaarden) heeft gevolgen die verder reiken, en moeilijk te overzien zijn. Stel de DigiD app valt straks uit zo'n store, wat dan?

Zoals hieronder al is aangegeven zijn TOTP en WebAuth al een hele tijd lang gangbare methodes voor 2fa. Het zal mij niet verbazen als DigiD onder water ook een variant daarop gebruikt, maar het mooiste zou zijn als we zelf onze private key gewoon konden inzien en bewaren.

Verwijderd @joker1977 • 23 februari 2024 06:52

Zo kun je voor werkelijk alles wel "een alternatief" eisen. Het alternatief is in vrijwel alle andere gevallen het niet "via het internet" te regelen. Of bv. via een belastingconsulent e.d.

Daar kan ik het niet mee eens zijn. Bij veel banken, bijvoorbeeld, kan je nog steeds een apart kastje voor de 2fa krijgen. Een simpel en goed beveiligd alternatief dat het goed mogelijk maakt om de zaken "via het internet" te regelen.

Overheidszaken zijn toch wel van vergelijkbaar groot belang die ook een dergelijke voorziening rechtvaardigen.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 13:52]

Keyb @ocf81 • 22 februari 2024 16:17

Ik ben ook niet van plan een Apple of Android app te installeren voor toegang tot overheidsdiensten. Maar ik heb nog nergens gelezen dat SMS gaat verdwijnen.

En dat terwijl het einde van de SMS ondersteuning ondertussen al een tijd lang in de steigers staat...

Operator6447 @Keyb • 22 februari 2024 16:27

Maar ik heb nog nergens gelezen dat SMS gaat verdwijnen.

https://tweakers.net/nieu...verdwijnt-op-termijn.html

hanev001 @Operator6447 • 22 februari 2024 16:45

Dat is een vaag niet doordacht idee. DigiD is de portal voor een steeds groter aantal sites en dus kan de teegang niet al te moeilijk worden gemaakt omdat er ook een steeds breder deel van de bevolking gebruik van moet kunnen maken.

Log In met een SmS controle is nog wel haalbaar maar de app en nog andere opties sluit teveel mensen uit.

MrFax @hanev001 • 22 februari 2024 17:50

Een smartphone zou geen vereiste levensmiddel moeten zijn. Een dumbphone en een computer met internet bij de bibliotheek wel. Als SMS verdwijnt, dan verandert een smartphone in een primaire levensbehoefte. Wil je dat nou echt doen?

Ik weet al wat ik ga krijgen: "Ja maar iedereen heeft er toch een?" Niet iedereen dus. Ik ken namelijk iemand die dus alleen een goedkope 20 euro telefoon heeft met een prepaid kaartje. Nu heeft hij na 10 jaar lang geklaag van zijn familie een computer gekocht/gekregen (weet ik even niet meer) voor 300 euro en een goedkoop internetlijntje om niet meer naar de bibliotheek te hoeven gaan, maar nu wordt hij ook geforceerd een smartphone aan te gaan schaffen, en dat wilt ie helemaal niet. En die keuze zou bij hem moeten blijven liggen. Wat zijn reden dan ook is. Of het nou dat hij bang is afgelezen te worden of dat hij denkt dat ie gemicrochipped wordt of wat dan ook doet er in principe niet toe.

Hij is 1 van de weinige mensen waarvan echt helemaal niks op het internet staat, omdat hij het niet gebruikt, alleen om af en toe mijn.overheid.nl te bekijken voor digitale post en een aantal andere overheidsites. En dat kan ik best waarderen

SMS zou om die reden gewoon moeten blijven imho.

[Reactie gewijzigd door MrFax op 22 juli 2024 13:52]

The Realone @MrFax • 22 februari 2024 19:32

Ik ben wel benieuwd wat dan die, enigszins arbitraire, grens is die getrokken wordt. Want je vindt niet dat een smart phone "verplicht" moet zijn, maar hebt dus geen moeite met een dumb phone als verplichting. Als iemand je 20 jaar geleden had verteld dat een mobiele telefoon/SMS een verplichting zou zijn voor zoiets, had men ook moord en brand geschreeuwd.
Wanneer passen we dat toe op de smartphone?

MrFax @The Realone • 23 februari 2024 19:44

Mobieltje is makkelijk: 112 kunnen bellen en bereikbaar zijn bij ongevallen. Zoiets krijg je een (bewuste) digibeet wel aangepraat.
Computer was al een stuk lastiger: "Ja maar dan ga ik wel naar de bieb".
Een smartphone wordt dan toch al heel lastig. "Ja omdat het moet van de overheid, anders kan je niet meer inloggen" vind ik een onzin reden. Dan moet de data en smartphone gewoon vergoed worden door de overheid. Hij betaalt al 25 euro per maand aan internet dat ie maar eens in de zoveel tijd gebruikt.

[Reactie gewijzigd door MrFax op 22 juli 2024 13:52]

joker1977 @MrFax • 23 februari 2024 21:34

Je redenering is gewoon dat je een arbitrair punt in tijd hebt gekozen wat jij "noodzakelijk" acht.

Het feit dat je een dumbphone/mobieltje noodzakelijk acht en denkt "dat krijg je een bewuste digibeet wel aangepraat" is iets wat 20 jaar geleden ondenkbaar was. De kans dat jij (over een aantal jaar), of de generatie na jou nu hetzelfde zegt over de smartphone is vrij groot.

Dumbphone + bezoek aan bieb vind ik net zo "laagdrempelig" als een smartphone en op een willekeurige plek meesurfen op de WiFi.

En nogmaals, de overheid verplicht een smartphone helemaal niet.

MrFax @joker1977 • 24 februari 2024 01:40

Als twee-factor verplicht wordt voor je DigiD is er wel een indirecte smartphoneverplichting hoor. Zonder DigiD kan je helemaal niks, en straks zonder smartphone, geen DigiD.

[Reactie gewijzigd door MrFax op 22 juli 2024 13:52]

Ablaze @The Realone • 24 februari 2024 15:38

Het probleem is simpelweg dat er een proprietary app nodig is voor 2FA, in dit geval.
Daardoor zijn we in Nederland straks allemaal afhankelijk van Google of Apple voor overheidsdiensten.
Dat vind ik een kwalijke zaak.

Dit terwijl er gewoon standaarden zijn die iedereen kan implementeren, zoals TOTP. Daarmee behoud je de mogelijkheid voor concurrenten, zoals Europese bedrijven, om zichzelf te ontwikkelen.

SMS was in het verleden wellicht een obstakel, maar het is al decennia zo dat je voor een paar tientjes SMS toegang koopt op welke telefoon maar ook. SMS staat ook gewoon beschreven en is voor iedere aanbieder toepasbaar.

[Reactie gewijzigd door Ablaze op 22 juli 2024 13:52]

uiltje @MrFax • 22 februari 2024 19:21

Ik ken meerdere mensen die geen smartphone hebben omdat ze niet continue online willen zijn. Ik heb ook behoorlijk veel last (en natuurlijk veel voordeel) van WhatsApp enzo. En dat zijn geen ouderen of digibeten maar IT'ers (die al de hele dag achter dit k-ding zitten

Technewbie @MrFax • 22 februari 2024 19:44

Ik heb al jaren het gevoel dat twee driestaps en andere extra maatregelen er alleen zijn omdat digibeten bij de overheid van alles wordt aangepraat. En omdat anderen het ook doen. Dit resulteert in het pesten van gebruikers. De lachende derden zijn IT bedrijven die miljoenen per keer subsidies opstrijken. Het is pervers. En nogmaals pest enkelt de eindgebruikers.

[Reactie gewijzigd door Technewbie op 22 juli 2024 13:52]

Gast Gebruiker @Technewbie • 22 februari 2024 21:14

Ik zou het anders redelijk onverantwoord vinden als iedereen, zoals vroeger, bij de overheid kan inloggen met enkel een simpel wachtwoord. Miljoenen digibeten die voor alles hetzelfde wachtwoord gebruiken en dus enorm makkelijk misbruik van valt te maken door elk datalek. Nog afgezien van de wettelijke verplichting van overheden (en bedrijven) om persoonlijke gegevens adequate te beschermen.

Natuurlijk verdienen IT bedrijven aan implementatie en onderhoud van 2FA's en ander IT-gerelateerde dingen, maar dat geldt voor elk bedrijf met een Enterprise omgeving. Verschil is dat alle cijfers bij de overheid bekend zijn, en bij private ondernemingen niet.

henk717 @ocf81 • 22 februari 2024 16:29

Ik sta daar ook zo in, ik laat mij niet dicteren wat er op mijn telefoon staat. Ik wil graag met root aan de gang (In mijn geval voor Viper4Android, custom rom om van de google play services af te zijn, etc) dus dan wil ik geen overheids en bank apps op de telefoon. De bank gaf mij netjes een hardware ID token dus dat zit goed, alle overige zaken gaan netjes via TOTP en dat werkt platform agnostisch. TOTP is al veel veiliger dan SMS dus dat moeten ze gewoon gaan toestaan, ik laat geen app toe.

Willen ze dan hardware tokens ondersteunen zoals bijvoorbeeld Passkey (Wat mijn Bitwarden weer ondersteund) dan zou ik direct er gebruik van maken in plaats van de SMS controle nu.

[Reactie gewijzigd door henk717 op 22 juli 2024 13:52]

TheVivaldi @ocf81 • 22 februari 2024 19:50

Mee eens, eveneens als gebruiker van een ander OS. Kijk, dat ze geen specifieke app willen maken voor een niche platform snap ik en dat zou ik ze ook echt niet willen verplichten. Dat is het ‘risico’ wat ik neem door een niche OS te gebruiken en ik wil ze niet op onnodige extra kosten jagen. Maar voor zoiets als dit, wat door de overheid gebruikt wordt naar de burgers toe, vind ik wel dat het verplicht zou moeten zijn om de api's vrij te geven, zodat andere ontwikkelaars een app voor niche platforms kunnen maken.

fRiEtJeSaTe @ocf81 • 23 februari 2024 10:37

Maar ondertussen wel afvragen waarom overheidsprojecten toch zoveel geld kosten, en waarom er zoveel faalt. Er is altijd wel een bezorgde burger of journalist die een ergens een gaatje in kan prikken. In het bedrijfsleven maakt men dan een kosten-baten analyse en zegt: 'je doet het er maar mee'.

Op m'n werk ook van die beroepszeikers die geen TOTP app op hun prive telefoon willen zetten en een hardware token eisen. Toedelokie.

[Reactie gewijzigd door fRiEtJeSaTe op 22 juli 2024 13:52]

ocf81 @fRiEtJeSaTe • 23 februari 2024 11:09

Niks Toedelokie wat mij betreft. Je moet gewoon platformonafhankelijk kunnen communiceren met de overheid. Dat hoeft helemaal geen enorme hoeveelheden geld te kosten als je dat bij aanvang al goed bedenkt.

R4gnax @fRiEtJeSaTe • 24 februari 2024 12:59

Op m'n werk ook van die beroepszeikers die geen TOTP app op hun prive telefoon willen zetten en een hardware token eisen. Toedelokie.

Ik zou mijn privè apparatuur ook niet zakelijk ter beschikking gaan stellen.

Omdat je daarmee ook verantwoordelijkheid naar jezelf toetrekt die niet bij jou geparkeerd zou moeten worden, bijv. in verband met security breaches als blijkt dat jij bijv. bepaalde updates niet tijdig op je telefoon had gezet of je maakte gebruik van een telefoon die geen updates meer kreeg.

Daarnaast is het een hellend vlak en een rutsch de afgrond in.

Ik ken mensen die uiteindelijk de-facto verplicht werden hun privè-telefoon te laten aanschakelen op allerlei geautomatiseerde BYOD policies vanuit hun werkgever. Werkgever had in principe de macht om hun toestel een remote-wipe te geven en de hele reutemeteut.

Één foutje-bedankt en je kunt gedag zeggen tegen je privè-fotos, privè-correspondentie, cloud-opslag van ik weet niet wat die ook gewoon mee gewist wordt, incl. backups. etc.

Je moet dit gewoon los houden van elkaar. Privè is privè. Zakelijk is zakelijk. Punt uit. Basta.

Dat is trouwens ook wel zo gezond voor je eigen mentale welzijn. Want als je met een privè-telefoon rondloopt waar continu notificaties voor zakelijke zooi op staat te blerren heb je geen moment rust in je kont.

[Reactie gewijzigd door R4gnax op 22 juli 2024 13:52]

fRiEtJeSaTe @R4gnax • 25 februari 2024 08:49

Je haalt er nu van alles bij. Maar we hebben het over een app die er toch al op staat, waarbij je werkgever vraagt om 1 extra code te genereren wanneer je inlogt. Als je dat al teveel vindt dan ben je een zuiger die alles van zijn werkgever verwacht, maar niets teruggeeft.

De oplossing was bij ons om het zakelijk (vaste) toestel als optie te geven. Je wordt dan gebeld met de code. Dat hebben ze een paar weken vol gehouden.

[Reactie gewijzigd door fRiEtJeSaTe op 22 juli 2024 13:52]

R4gnax @fRiEtJeSaTe • 25 februari 2024 11:02

Je haalt er nu van alles bij.

Het is een hellend vlak, inderdaad. Geef ze een vinger en voor je het weet ben je je arm kwijt. Hap.
Dat zal heus niet overal gebeuren, maar het gebeurt dus wel.

[Reactie gewijzigd door R4gnax op 22 juli 2024 13:52]

mega2084 @ocf81 • 23 februari 2024 15:35

Één van de redenen dat er niet vollop geinvesteerd zal worden in doorontwikkeling van DigiD zoals het nu is, is omdat de wetgeving op het punt staat te veranderen. DigiD is de Nederlandse uitwerking van de eIDAS (1.0) regulering vanuit Europa. De opvolger hiervan, eIDAS2.0, staat op het punt om goedgekeurd te worden in Europa. Dan krijgt DigiD een geheel ander karakter, waarbij ook andere apps, leveranciers etc. voorzieningen kunnen ondersteunen, we gaan dan niet meer uit van één partij of één platform maar het uitwisselen van gegevens en credentials op basis van één protocol. De uitwerking hiervan kun je vinden op de website van het Architecture Referential Framework (ARF) https://digital-strategy....ference-framework-outline.

JairSterre @ocf81 • 23 februari 2024 10:34

En zelfs al zouden ze besluiten om niet voor de 2 gebruikers van UBports en Symbian hun app te porten(bij wijze van spreken ;p ), zou het tenminste fijn zijn als ze een APK download met verficatiesleutel aanbieden voor allen onder ons die AOSS gebruiken(lineageOS etc)

Zackito 22 februari 2024 15:31

Weet iemand waarom de belastingdienst meer tijd nodig heeft om 2FA uit te rollen? Dit is toch onderdeel van de digid dienst? Of is dat te simpel gedacht?

[Reactie gewijzigd door Zackito op 22 juli 2024 13:52]

lenwar

Digid

@Zackito • 22 februari 2024 15:34

De aanvrager (belastingdienst, gemeente, enz.) moet tegen DigiD zeggen dat 2FA nodig is. Mij lijkt het ook niet zo spannend, maar blijkbaar is het ingewikkelder dan dat we bedenken?

Noxious @lenwar • 22 februari 2024 19:27

Als iemand die regelmatig DigiD aansluitingen maakt - als de Belastingdienst gebruik maakte van het SAML2-koppelvlak met Logius dan was het een zeer eenvoudige wijziging (1 veld aanpassen in de metadata). Hierin kan aangegeven worden wat het minimaal gewenste beveiligingsniveau is, en 'lagere' opties komen dan niet tevoorschijn op het aanmeldscherm bij DigiD.

Echter voor zover ik kan zien gebruikt de Belastingdienst nog de oude CGI-aansluiting.

Hierbij kan de service provider geen gewenst betrouwbaarheidsniveau afdwingen in de request. De Belastingdienst krijgt enkel in het antwoord te zien welke er gebruikt is, en als deze te laag is de aanmelding alsnog weigeren - maar dan krijg je een aparte situatie, waarbij iemand wel succesvol is aangemeld maar dan alsnog de applicatie niet in mag. Die persoon moet je dan terug sturen naar Logius met een handleiding hoe af te melden, en opnieuw aan te melden met een hoger niveau.

Heel soms zie je die flow nog wel eens bij zorgverzekeraars die nog de oude aansluiting gebruiken, terwijl ze wel verplicht zijn om 2FA te vragen; maar de meeste zijn inmiddels al lang over op het nieuwere SAML2-koppelvlak, die er ook al vele jaren is.

Ik verwacht dus dat het de wens heeft om de applicatie(s) van de Belastingdienst om te bouwen naar dit nieuwe koppelvlak, maar dat kan een ingrijpende aanpassing zijn.

Edit: Dit is ook een antwoord op @Zackito

[Reactie gewijzigd door Noxious op 22 juli 2024 13:52]

lenwar

Digid

@Noxious • 22 februari 2024 20:00

Helder! Bedankt voor de informatie.

The Zep Man

Internettoegang

@Zackito • 22 februari 2024 15:33

Weet iemand waarom de belastingdienst meer tijd nodig heeft om 2FA uit te rollen?

De redacteur houdt met de referentie in dit artikel geen rekening met de update in het andere artikel:

Update, 19.45 uur: Dienst Toeslagen maakt geen onderdeel meer uit van de Belastingdienst, maar is een zelfstandig onderdeel binnen het Nederlands ministerie van Financiën. Het artikel is aangepast.

Het betreft dus niet de Belastingdienst. Dat zou ook gek zijn, want voor bijvoorbeeld aangifte inkomstenbelasting moet voor ondertekening twee factoren gebruikt worden (volgens mij, ik dacht dat het niet nodig is om in te loggen).

CivLord

@Zackito • 23 februari 2024 08:16

Toeslagen (geen onderdeel meer van de Belastingdienst) zal geen technische problemen hebben om 2FA uit te rollen. Ze bedienen echter de doelgroep met het hoogste percentage digibeten, waarvan een groot deel effectief wordt afgesloten van de digitale diensten wanneer 2FA verplicht zal worden gesteld.
Ze zullen meer tijd nodig hebben om hun doelgroep beter voor te lichten en om alternatieven aan te bieden (zo hebben een aantal gemeentehuizen inmiddels overheidsloketten waar je ook terecht kan voor Toeslagen).

davekok 22 februari 2024 15:25

Hopen dat ze ook nog een keer FIDO of TOTP gaan ondersteunen.

lenwar

Digid

@davekok • 22 februari 2024 15:33

Wat is daar dan de toegevoegde waarde van? Het kan al via de app (smartphone). En met SMS kan het dus ook via vaste lijnen (gesproken SMS) en 'GSMs' zonder 'smart-functie'.

CH4OS @lenwar • 22 februari 2024 15:37

FIDO en TOTP zijn een stuk veiliger dan SMS. Naar mijn weten heeft SMS (naast Short Message Service kun je het ook zien als Simple Message Service) geen versleuteling en kan dus makkelijk onderschept worden.

lenwar

Digid

@CH4OS • 22 februari 2024 15:44

Dat snap ik

(( SMS is natuurlijk ook een extra factor in deze, naast de gebruikersnaam en het wachtwoord die ook uniek zijn en via een ander kanaal gestuurd en ontvangen worden. Je TOTP-sleutel kan ook gestolen zijn van je telefoon zonder dat je het door hebt. )). Maar wat voegen FIDO en TOTP in de praktijk toe aan het andere mechanisme (de app).

Uiteraard kun je FIDO en TOTP met een desktop doen. Zeker met TOTP zien we veelal dat dit met een smartphone gaat. Hier is dus de app al voor. FIDO zou nog kunnen, maar ook hier geldt, denk ik, dat ongeveer 100% van de mensen die iets met FIDO (kunnen/zullen) doen ook wel een smartphone hebben.

Effectief forceert DigiD 2fa (als je het aan het staan) met een telefoon van enige aard. (zij het mobiel, zij het vast). FIDO en TOTP voegt dan toch niet zo veel toe? Anders dan 'nog een mechanisme' wat je op hetzelfde apparaat kan doen? Puur focussen op functie en niet denken vanuit de techniek.

kozue @lenwar • 22 februari 2024 15:55

Maar wat voegen FIDO en TOTP in de praktijk toe aan het andere mechanisme (de app).

Omdat je dan hun closed source crap-app (crapp?) niet nodig hebt. Die komt niet op mijn apparaten. Met TOTP kun je zelf je client kiezen. Als 99% er dan voor kiest om alsnog voor de DigiD crapp te gaan, mogen ze dat zelf weten, maar degenen die dat niet willen hebben dan andere opties.

Bovendien is TOTP helemaal niet perse gelinked aan een telefoon. Ik heb een hekel aan smartphones, en wil die geen centrale rol in mijn leven geven. Ik heb op m'n laptop een open source TOTP client geïnstalleerd, voor die paar websites die ik gebruik die perse 2FA willen forceren. Zo heb ik wel 2FA maar geen smartphone-dependency.

Dus totdat ze TOTP gaan ondersteunen blijf ik lekker onveilig sms'jes ontvangen. Liever nog een optie om helemaal geen 2FA te doen, maar ja, keuzevrijheid lijkt een schaars goed tegenwoordig.

Herko_ter_Horst

@kozue • 22 februari 2024 16:28

De DigID-app is sinds begin 2023 open source: https://github.com/MinBZK/woo-besluit-broncode-digid-app
(en niet alleen vanwege de beschikbare broncode, de EUPL licentie is ook echt een FOSS licentie).

En zo slecht is ie niet, doet gewoon wat ie moet doen, het is alleen geen TOTP. Vanuit een "gemiddelde burger"-perspectief snap ik de keuze voor een eigen app wel: je wilt als overheid(sdienst) geen helpdesk worden voor TOTP-app Foo of FIDO-app Bar.

Dat er dan een paar technisch onderlegde en security-minded Tweakers zijn, die je geen "optimale ervaring" biedt, is dan even jammer.

En dat geldt ook voor de "keuzevrijheid": als je de optie biedt om zonder 2fa te werken, zal niemand het gebruiken, ook mensen die de veiligheidsrisico's voor zichzelf niet zo goed kunnen inschatten.

joco @Herko_ter_Horst • 22 februari 2024 17:57

eh die github is al in readonly archive mode
dus ze hebben 1x een dump gedaan en wat nu? waar zit de echte code van de huidige app dan nu?

nst6ldr @joco • 22 februari 2024 19:18

eh die github is al in readonly archive mode
dus ze hebben 1x een dump gedaan en wat nu? waar zit de echte code van de huidige app dan nu?

Beter nog, de README noemt zelf dat de broncode niet voor FOSS bedoeld is maar slechts om aan een WOO verzoek te voldoen:

De broncode is openbaar gemaakt vanwege een Woo-verzoek waardoor deze gericht is op transparantie en niet op hergebruik.

TheVivaldi @nst6ldr • 22 februari 2024 19:56

Dat is nog steeds een vorm van open source, maar het helpt inderdaad niet als ze de code niet blijven bijwerken.

CivLord

@TheVivaldi • 23 februari 2024 07:56

@nst6ldr @joco
Die README laat dus ook zien wat er nodig is om de meest recente versie van de broncode in te kunnen zien. Het staat iedereen vrij om met een eigen WOO-verzoek zelf de broncode op te vragen.
Ik geef toe, dat is niet de meest optimale werkwijze, maar voor een overheidkritische tweaker mag dat geen belemmering zijn. (Tenzij je alleen maar dankbaar bent dat het je nog meer ammunitie geeft om op de overheid te kankeren.)

nst6ldr @CivLord • 23 februari 2024 08:33

Die README laat dus ook zien wat er nodig is om de meest recente versie van de broncode in te kunnen zien.

(en dat deze incompleet is)

joco @CivLord • 23 februari 2024 22:40

Dit heeft gewoon niks met open source te maken.
Is gewoon een een eenmalige dump.

Tja je kunt het zelf misschien ook wel doen. Maar wat wil je daar mee dan? 1 dag later een je bent al weer achter de feiten aan lopen.. en welke release (welke code) heeft wat?

CivLord

@joco • 24 februari 2024 13:16

Een eenmalige dump van de source code, die je na kan kijken als je dat wilt.

nst6ldr @CivLord • 24 februari 2024 15:36

Nee, een deel van de source code.

NielsFL @Herko_ter_Horst • 22 februari 2024 18:17

Deels eens.

Naar mijn idee zou het de overheid niet misstaan om burgers een beetje op te voeden mbt 2FA.

Dat komt toch ten goede aan een soort algehele digitale weerbaarheid van onze bevolking.

SirLenncelot @Herko_ter_Horst • 22 februari 2024 19:14

En zo slecht is ie niet, doet gewoon wat ie moet doen

Het afgelopen jaar twee keer vrij willekeurig opeens ontkoppeld op mijn telefoon. Moet je weer een paar dagen wachten tot je per post de activatiecode ‘s krijgt. Mijn TOTP apps daarentegen doen het feilloos, kan ik backuppen en eventueel zelf restoren zonder wachttijd.

Dat ze die app zo maken voor onze minder technisch geïnteresseerde medeburger vind ik prima. Maar een goede standaard daarnaast aanbieden lijkt me best een goede oplossing.

lenwar

Digid

@kozue • 22 februari 2024 16:46

Even los van je felle toon snap ik je prima. Zoals @Herko_ter_Horst is de Digid-app gewoon open source, dus dat argument valt weg.

Dat je je mobiele telefoon niet centraal in je leven wilt snap ik ook. Dat is een keuze en dat is goed.

Maar ik blijf er bij dat ze met de huidige mechanismen vrijwel iedereen bereiken. Dus wat voegt iets als TOTP of FIDO dan nog toe?

davekok @lenwar • 22 februari 2024 16:09

100% - 1 dan, want FIDO en TOTP doe ik via een apart hardware apparaat de mooltipas. En daar gaat het dan ook precies om. Door gewoon standaarden te ondersteunen kunnen mensen zelf kiezen. Nu dwingen ze een app af of SMS.

lenwar

Digid

@davekok • 22 februari 2024 16:23

Maar hoeveel mensen doen dat?
Keuzes zijn altijd goed hoor. Maar op een gegeven moment moet je natuurlijk ook kijken waarom je extra complexiteit toevoegt.
Alle code moet onderhouden worden. Met wat ze nu hebben, de app en SMS, hebben ze een bijzonder groot spectrum van de gebruikers. Hoeveel zullen ze er meer hebben door die twee zaken toe te voegen?

nst6ldr @lenwar • 22 februari 2024 16:47

Alle code moet onderhouden worden. Met wat ze nu hebben, de app en SMS, hebben ze een bijzonder groot spectrum van de gebruikers. Hoeveel zullen ze er meer hebben door die twee zaken toe te voegen?

Als vanaf het begin af aan open standaarden gebruikt zouden worden, dan kost onderhoud precies zoveel als het aantal open standaarden dat ze kiezen te ondersteunen. Nu kiezen ze voor een gesloten eigen implementatie, dan moeten ze niet gaan miepen dat het toevoegen van open standaarden complexiteit toevoegt - het gaat tenslotte over een dienst die voor alle burgers toegankelijk zou moeten zijn.

lenwar

Digid

@nst6ldr • 22 februari 2024 16:52

Dat doen ze ook niet hè? Dat is mijn opmerking, over de kosten.

Maar nu even praktisch. Hoeveel niet-tech-savvie mensen gebruiken er FIDO en TOTP-tools.
Ik snap prima dat ze dan een veilige implementatie maken, die modulair toepasbaar is, (Zo kun je ook via je ID-kaart een hoger beveiligingsniveau krijgen) in plaats van bijvoorbeeld TOTP.
De Digid-app is makkelijk te gebruiken, doet wat het moet doen en is modulair toepasbaar.

SMS is natuurlijk niet optimaal, maar ook zeker niet zo slecht als dat men wel is doet suggereren naast een unieke gebruikersnaam en wachtwoord.

nst6ldr @lenwar • 22 februari 2024 16:54

De 'praktische' benadering is een commerciële benadering, het gaat hier om de overheid.

CH4OS @lenwar • 22 februari 2024 15:51

TOTP hoeft dan weer niet per se op de telefoon te staan, ik gebruik daar "gewoon" mijn password manager voor. Die heeft een versleutelde database, dus daar heb je niets aan als je daar niet weet in te komen.

Daarnaast kan je dus als een apparaat waarop dergelijke tokens staan de MFA resetten en opnieuw instellen wanneer je een mobiel device met dergelijke tokens dus verliest om wat voor reden dan ook. Waar het bij SMS eenmaal verzonden is onversleuteld blijft en bij de provider blijft, totdat de telefoon de SMS kan ontvangen.

lenwar

Digid

@CH4OS • 22 februari 2024 16:21

Ik zeg ook zeker niet dat SMS ideaal is hè? 😊

En er zijn inderdaad een paar mensen (waaronder ik) die de TOTP-dingen ook op een desktop hebben. En je moet maar net weten dat je TOTP-string is gecompromitteerd. Je kunt dat nergens aan zien.
Volgens mij is het met SMS in elk geval nog zo dat achteraf gezien kan worden dat je SMSje ergens anders was afgeleverd? (Weet iemand dat? Kunnen KPN/Vodafone/enz dat zien?)

Maar wat voegt het toe ten opzichte van de twee bestaande mechanismen? Hoeveel mensen ‘extra’ gaan ze daarmee bereiken?

CH4OS @lenwar • 22 februari 2024 16:26

Ik zeg ook zeker niet dat SMS ideaal is hè? 😊

Dat snap ik, maar ik beantwoord dan ook de vraag in wat meer detail over de toegevoegde waarde van FIDO/TOTP vs SMS.

Volgens mij is het met SMS in elk geval nog zo dat achteraf gezien kan worden dat je SMSje ergens anders was afgeleverd? (Weet iemand dat? Kunnen KPN/Vodafone/enz dat zien?)

Ze kunnen per mast zien hoe en wat.

Maar wat voegt het toe ten opzichte van de twee bestaande mechanismen? Hoeveel mensen ‘extra’ gaan ze daarmee bereiken?

Het voegt dus een beter beveiligd niveau toe. Waar in SMS de code in plain text verstuurd wordt naar het apparaat of over de telefoonlijn gaat doordat iemand de tekst uitspreekt. De TOTP-string wordt eenmalig medegedeeld over een HTTPS lijn en hoeft (afhankelijk van de implementatie geloof ik) zelfs niet (volledig) in de database te zitten aan de "server" kant, dus in theorie kan het dan ook niet gestolen worden of gecompromitteerd raken.

CivLord

@CH4OS • 23 februari 2024 07:50

Maar in hoeverre is FIDO/TOTP een realistische vervanging voor SMS?
Anders gezegd, hoeveel mensen die nu nog gebruikmaken van SMS en niet de DigID-app, zal je over kunnen halen om iets te installeren dat voor hen nog onbegrijpelijker is dan de DigID-app?

Afschaffen van SMS heeft net als het 100% afdwingen van 2fa het probleem dat het een grote groep minder technisch begaafde mensen effectief afsluit van digitale overheidsdiensten.

R4gnax @lenwar • 22 februari 2024 23:43

Maar wat voegen FIDO en TOTP in de praktijk toe aan het andere mechanisme (de app).

TOTP niets qua mate van security. Het maakt je enkel niet afhankelijk van een specifieke app/
FIDO voegt wel security meerwaarde toe. Door de wijze waarop de FIDO protocol-suite werkt wordt het praktisch onmogelijk gemaakt om via phishing je credentials afhandig gemaakt te worden. De authenticator en browser werken samen om een key-exchange te doen, waarbij de browser het domein van de website doorgeeft. Als dat domein niet overeenkomt met registraties in de authenticator geeft die laatste nul op het rekest. Look-alike URLs zijn daarmee buitenspel gezet.

rhuijben @CH4OS • 22 februari 2024 18:39

En sim wissels zijn mij ook veel te makkelijk aan te vragen bij de providers. Nummer porteren wordt nog wel redelijk gechecked, maar een sim wissels is minuten werk.

gevoelig @CH4OS • 23 februari 2024 09:54

Makkelijk?

laurxp @lenwar • 22 februari 2024 16:21

Het kan al via de app (smartphone).

Smartphones zijn apparaten die aan het internet hangen en arbitraire software kunnen draaien. Een significant deel van de bevolking gebruikt smartphones die al jaren geen beveiligings-updates meer hebben gekregen. Het feit dat diensten als DigiD vertrouwen op zulke kwetsbare apparaten blijft me verbazen.

Een hardware FIDO-token is onmogelijk te klonen, hangt niet aan het internet, en heeft geen aanpasbare software. Qua veiligheid zijn ze vergelijkbaar met een moderne pinpas. Dat is toch echt een flinke stap beter dan een random smartphone-app.

lenwar

Digid

@laurxp • 22 februari 2024 16:27

Klopt helemaal. Ik ben bekend met de technologieën. Ik gebruik het zelf ook allemaal 😊

En nu de praktijksituatie.
Met de opties die ze nu hebben bereiken ze vrijwel iedereen. Door TOTP dan wel FIDO toe te voegen, gaan ze niet ‘veel’ meer mensen bereiken die ze nu wel bereiken.

R4gnax @lenwar • 22 februari 2024 23:44

Met de opties die ze nu hebben bereiken ze vrijwel iedereen. Door TOTP dan wel FIDO toe te voegen, gaan ze niet ‘veel’ meer mensen bereiken die ze nu wel bereiken.

Door FIDO toe te voegen bereiken ze ook iedereen die een Android of iOS smartphone heeft. Want beide OSen hebben een FIDO authenticator ingebouwd zitten.

Maar ze maken mensen niet meer afhankelijk van Android of iOS.
Windows 10 en 11 Hebben ook FIDO authenticatie opties aanboord. Evenals MacOS.
Maar je kunt ook kiezen om hardwaresleutels te gebruiken.

Het rijk zou zelfs kunnen kiezen om voorgeconfigureerde FIDO hardwaresleutels te verstrekken.
Een optie die uitermate geschikt zou zijn voor de digibeten onder de bevolking.

[Reactie gewijzigd door R4gnax op 22 juli 2024 13:52]

CivLord

@R4gnax • 23 februari 2024 08:04

Het rijk zou zelfs kunnen kiezen om voorgeconfigureerde FIDO hardwaresleutels te verstrekken.
Een optie die uitermate geschikt zou zijn voor de digibeten onder de bevolking.

Ja, handig! En klein plastic dingetje dat je ergens goed opbergt en dat je wanneer je het die ene keer nodig hebt nergens meer terug kan vinden.
De grote piekbelasting van de servers tijdens de eerste paar dagen van de aangifteperiode hebben ze nu eindelijk redelijk onder controle. Maar jij wil er een logistieke uitdaging aan toevoegen om rond die tijd honderdduizenden zoekgeraakte hardwaresleutels te versturen.

nst6ldr @CivLord • 23 februari 2024 08:29

Had/heeft jouw oma geen sleutelbos? Als je spijkers op laag water gaat zoeken kan je ook gelijk alzheimer erbij halen natuurlijk.

CivLord

@nst6ldr • 23 februari 2024 08:43

Dit zijn geen spijkers op laag water. Informeer eens voor de grap bij een bank hoe vaak die autenticators vervangen moesten worden voordat de stap gemaakt werd om de autenticatie via de app van die bank af te handelen.

Ik denk ook dat de groep mensnen die bang zijn om een sleutelhanger bij zich te hebben die toegang geeft tot al hun digitale overheidsszaken (ook al moet je je op die sleutelhanger nog indentificeren voordat je er wat mee kan doen) dan de groep mensen die bezwaren hebben tegen SMS.
En aan een sleutelbos heb je het probleem dat die bij veel mensen niet meer werkt op het moment dat het nodig is, omdat het apparaatje een knauw heeft gekregen of knopjes zijn 'afgeschuurd'.

nst6ldr @CivLord • 23 februari 2024 08:53

Ik vraag me af welke FIDO sleutels jij gebruikt hebt, want onhandig, groot of kwetsbaar zijn ze totaal niet. Vaak komen ze in sleutelformaat, passen ze aan een sleutelbos en hebben ze aanraakgevoelige knoppen ipv mechanische.

R4gnax @CivLord • 24 februari 2024 12:32

Ja, handig! En klein plastic dingetje dat je ergens goed opbergt en dat je wanneer je het die ene keer nodig hebt nergens meer terug kan vinden.

De grote piekbelasting van de servers tijdens de eerste paar dagen van de aangifteperiode hebben ze nu eindelijk redelijk onder controle. Maar jij wil er een logistieke uitdaging aan toevoegen om rond die tijd honderdduizenden zoekgeraakte hardwaresleutels te versturen.

Net zoals je Digid wachtwoord, bedoel je? Waarbij net zo goed al een logistieke uitdaging bestaat omdat nieuwe aanvragen voor nieuwe wachtwoorden per post verstuurd moeten worden?

Want dat is de doelgroep waar we het hier over hebben. Niet de mensen die hun smartphone als authenticator zouden gebruiken en wachtwooorden in een wachtwoordmanager hebben staan. We hebben het hier over personen die hun wachtwoorden nog ergens op een papiertje hebben staan, waarvan je mag hopen dat het in een kluis opgeborgen ligt.

Persoonlijk denk ik dat een insteeksleutel met een duidelijk logo er op, genegen is net iets minder snel verloren te gaan (of onherkenbaar in de massa op te gaan en dan als verloren beschouwd te worden) dan een handgeschreven papiertje.

[Reactie gewijzigd door R4gnax op 22 juli 2024 13:52]

nst6ldr @lenwar • 22 februari 2024 16:49

Door open standaarden te gebruiken kan iedereen een implementatie bouwen voor alle mogelijke platformen, inclusief Logius zelf. Google doet dit bijvoorbeeld ook met hun Authenticator, de meeste mensen weten niet beter dan dat Authenticator een Google app is.

Dus wat is het bezwaar?

[Reactie gewijzigd door nst6ldr op 22 juli 2024 13:52]

uiltje @laurxp • 22 februari 2024 19:00

Aan de andere kant is er op smart phones minder makkelijk spyware enzo aanwezig volgens mij. Er is betere scheiding tussen applicaties, de meeste mensen gebruiken app stores die worden bijgehouden etc. Dus het is wat mij betreft nog steeds een stuk veiliger dan bijvoorbeeld een PC waar van alles op kan draaien en waarbij 1 keer als admin installeren meestal voldoende is om letterlijk overal bij te kunnen.

Natuurlijk heb ik ook liever een smartphone met alle beveiligingsupdates. FIDO is een interessante optie, maar ook zonder FIDO kan 2fa wel voor extra veiligheid zorgen naar mijn mening.

R4gnax @uiltje • 24 februari 2024 12:42

Aan de andere kant is er op smart phones minder makkelijk spyware enzo aanwezig volgens mij. Er is betere scheiding tussen applicaties, de meeste mensen gebruiken app stores die worden bijgehouden etc. Dus het is wat mij betreft nog steeds een stuk veiliger dan bijvoorbeeld een PC waar van alles op kan draaien en waarbij 1 keer als admin installeren meestal voldoende is om letterlijk overal bij te kunnen.

De keerzijde daarvan is dat sinds gebruik van digitale diensten richting smartphones aan het verschuiven is gegaan, de verspreiding van malware mee aan het schuiven is gegaan. Omstreeks 2015 was dat al merkbaar. Omstreeks 2018 was het break-even point bereikt waar er grofweg net zoveel malware op iOS en Android verspreid werd, als op Windows.

Dat terwijl mensen gerieflijk aannemen dat smartphones vanwege het gesloten karakter van app stores, veilig zijn. En zich daar ook naar gedragen door ongeremd en zonder na te denken app na app op hun apparaat te gooien alsmede niet na te denken over wat voor websites ze bezoeken.

De onderliggende realiteit is dat er legio zero days voor iOS en Android zijn geweest die arbitrary code execution en sandbox escapes mogelijk maakten; en dat zal in de toekomst niet anders zijn. En het gebeurt met regelmaat dat apps met malware aanboord via de app stores aangeboden worden en door duizenden zo niet honderd-duizenden of miljoenen mensen per ongeluk geinstalleerd worden.

Je hoort er alleen niet vaak iets over omdat de gemiddelde smartphone gebruiker totaal geen besef er van heeft als er een keylogger, password stealer, coin miner, etc. op hun apparaat mee staat te draaien. Ze draaien bijv. geen anti-virus softwarepakket wat deze dingen mee op zou pikken en ze zou waarschuwen. De bewustwording bestaat dus niet.

Een kaal ongenuanceerd statement "Smartphones zijn beter gesandboxed en dus veiliger," is je reinste geval van kop-in-het-zand.

[Reactie gewijzigd door R4gnax op 22 juli 2024 13:52]

uiltje @R4gnax • 25 februari 2024 17:20

Misschien wel als je een gamer ben. De meeste mensen die ik ken - de non-tweakers - draaien alleen de hoogst noodzakelijke software. Da's wat anders dan bij Windows waarbij de apps nog steeds vaak worden gedownload buiten de vreselijke Mickeysoft appstore om.

Maar goed, ik kan me voorstellen dat veel mensen games gaan installeren en dan is een zero-day natuurlijk dodelijk. Ik zelf draai geen virusscanner, maar goed ik weet waarschijnlijk beter in te schatten wanneer software "suspect" is. Op Windows draai ik slechts defender. 30 jaar zonder virus & counting. Nou ja, behalve de Yankee Doodle enzo die ik expres gedownload had.

Mijzelf @lenwar • 22 februari 2024 15:48

Om de app te gebruiken moet je akkoord gaan met de algemene voorwaarden van een Amerikaans commercieel bedrijf die de belangen van de aandeelhouders zwaarder laat wegen dan die van de klanten.

Terwijl TOTP en FIDO een open standaard zijn die je op ieder platform kunt draaien.

lenwar

Digid

@Mijzelf • 22 februari 2024 16:36

Klopt.
Het leeuwendeel van de mensen heeft dit ook gedaan. Ook op hun desktop (behalve de happy few met een Linux desktop of zo).

Hoeveel extra mensen gaan ze bereiken door dit toe te voegen?

The Zep Man

Internettoegang

@davekok • 22 februari 2024 15:31

WebAuthn en TOTP zijn goed. Waarom één en niet de ander?

Als iets meer zekerheid gewenst is voor een hoger beveiligingsniveau, dan kan via WebAuthn ook afgedwongen worden dat het gebruikte authenticatieapparaat zich (cryptografisch afgedekt) identificeert met diens merk en model.

Arckedo @The Zep Man • 22 februari 2024 16:30

WebAuthn is FIDO2

The Zep Man

Internettoegang

@Arckedo • 22 februari 2024 18:59

Dat weet ik. Daarom vroeg ik "waarom niet één en niet de ander?".

Verwijderd @Arckedo • 22 februari 2024 21:25

Arckedo schreef:

WebAuthn is FIDO2

Niet bedoeld om te mierenneuken, maar dat is vergelijkbaar met zeggen: fruit zijn appels.

Zowel passkeys als FIDO2 hardware keys maken gebruik van het WebAuthn protocol, dat zich grotendeels op de server en in de webbrowser afspeelt.

Verwijderd @davekok • 22 februari 2024 15:54

Edit za 12:19: ondertussen heb ik hier uitgebreid beschreven wat de problemen zijn van 2FA met SMS of TOTP.

davekok schreef:

Hopen dat ze ook nog een keer FIDO of TOTP gaan ondersteunen.

TOTP is nauwelijks veiliger dan SMS.

Het voordeel van SMS is dat iedereen die op z'n minst een vaste telefoon of een "dumbphone" heeft, SMS 2FA kan gebruiken.

TOTP vereist een "slim" apparaat. Bij een TOTP app op een (Windows) PC zou het risico t.g.v. een gehackte PC wel eens net zo groot kunnen zijn als het risico op een SIM-swap-aanval indien SMS wordt gebruikt.

Een TOTP app op een smartphone lijkt relatief het veiligst {1}, maar als je zo'n telefoon hebt, wil Logius kennelijk dat je daar hun DigiD app op installeert (hetzelfde geldt waarschijnlijk voor passkeys).

{1} 2FA middels TOTP, SMS of Microsoft's "number matching" helpen niet tegen aanvallen (aantal stijgend) m.b.v. "evil proxy" websites. Bovendien zijn TOTP apps niet zo betrouwbaar als bijna altijd wordt gesuggereerd (en men wil horen).

FIDO2 hardware keys worden maar door heel weinig mensen gebruikt en kennen, zeker voor doorsnee burgers, veel nadelen: kort (Engels) en lang (NL).

Aanvulling do 18:32: hebben degenen die deze reactie als "irrelvant" hebben getagged, ook de moed om uit te leggen waarom zij dat vinden?

[Reactie gewijzigd door Verwijderd op 22 juli 2024 13:52]

Arckedo @Verwijderd • 22 februari 2024 16:31

TOTP is vele malen veiliger dan SMS, want realistisch gezien is elke moderne SMS-ontvanger is ook gewoon een "slim" apparaat tegenwoordig.

Het voordeel van TOTP is dat de veiligheid volledig in jou handen ligt, terwijl je het met een SMS niet alleen om de veiligheid van jou apparaat gaat, maar ook om:
- De apparaten waar je SMS'jes op verschijnen/gesynced mee staan (e.g bijvoorbeeld een Mac in het geval van een iPhone)
- Alle apps die toegang hebben tot jou SMS'jes, zoals bij gratis Android apps nog vrij vaak mis gaat (te veel rechten opvragen)
- De veiligheid van je SIM-provider

Dat Logius een bar vervelende partij is, dat staat los van de veiligheid van SMS/TOTP, dat zijn meer de implementatiedetails.

[Reactie gewijzigd door Arckedo op 22 juli 2024 13:52]

lenwar

Digid

@Arckedo • 22 februari 2024 16:39

SIM-swapping is inderdaad echt een ding en achteraf toetsbaar en aan te tonen.

Als jouw TOTP-string is gecompromitteerd, heb je geen manier om dit te achterhalen.

TOTP zie ik zelf een als een ‘beter dan niks’, maar ook niets meer dan dat.

De kracht van TOTP is tegelijk de zwakte. Het is namelijk volledig offline.

Arckedo @lenwar • 22 februari 2024 17:03

Daarom is goede beveiliging ook altijd een kwestie van lagen.

Als een partij hun zaken goed op orde hebben, dan zouden ze deze inlogpogingen ook aan de server-kant loggen, je een mail moeten sturen wanneer er toegang tot je account is verkregen vanaf een onbekend apparaat/locatie, en idealiter ook welke credential(s) er zijn gebruikt indien je er meerdere hebt. Dat is dan dé manier om daar achter te komen, en dat neemt daarmee ook de zwakte van TOTP's enigszins weg.

Verder zijn SMSjes/SIM-swap attacks echt niet beter: Het is leuk om ergens achteraf achter te komen en te kunnen aantonen, maar op het moment dat iemand ongeauthoriseerd toegang heeft verkregen, is de schade vaak al gedaan.

Overigens lijkt het er in de praktijk toch echt op dat TOTP's veiliger zijn: SIM-swapping is dusdanig een probleem aan het worden, dat vrijwel elke "big tech" partij dit inmiddels al uitgefaseerd heeft en dit ook als de reden noemt, terwijl TOTP / vergelijkbare device-specific tokens vaak nog wel als optie beschikbaar zijn:
nieuws: Google begint met uitfasering van sms bij tweetrapsauthenticatie

[Reactie gewijzigd door Arckedo op 22 juli 2024 13:52]

R4gnax @lenwar • 22 februari 2024 23:51

SIM-swapping is inderdaad echt een ding en achteraf toetsbaar en aan te tonen.

En met name die toetsbaarheid en bewijsbaarheid maakt dat je in veel gevallen voor privè-zaken beter SMS 2FA kunt gebruiken als TOTP 2FA, omdat je dan tenminste nog een redelijke kans hebt schadeloos gesteld te gaan worden.

CivLord

@lenwar • 23 februari 2024 08:09

Maar dan moet je wel iemand gericht aanvallen.

lenwar

Digid

@CivLord • 23 februari 2024 08:30

Klopt. Net zoals met SIM swapping. 😊

CivLord

@lenwar • 23 februari 2024 08:44

Maar dan m oet je dus behoorlijk wat moeite doen voor één slachtogffer. Wat is dan de 'beloning' die dat de moeite waard maakt?

lenwar

Digid

@CivLord • 23 februari 2024 09:18

Dat is weer een heel ander verhaal natuurlijk. Maar ik ben het zeker met je eens hoor.

Bovenstaand draadje ging over de zin of onzin van TOTP vs SMS. Op dit platform zijn veel mensen van mening dat SMS 'onveilig' is, en daarom eigenlijk niet gebruikt zou moeten worden, en dat TOTP de betere oplossing is hierin.

Beide systemen (SMS en TOTP) hebben voors en tegens die elkaar, wat mij betreft, redelijk opheffen. Voor beide systemen geldt dat je er alleen wat aan hebt als je 'ook' al de gebruikersnaam en wachtwoord van je potentiële doelwit hebt.

Wat DigiD wat mij betreft beter had kunnen doen in het begin, is aanmoedigen dat mensen een niet-persoonlijke gebruikersnaam maakten. Mijn vermoeden zegt dat heel veel mensen iets hebben als <voornaam>_<achternaam> (of initialen, geboortejaar, enz.) als gebruikersnaam. Het zou beter zijn als iedereen namen gebruikt als BengaalseKat2934857 of Stille123Oceaan en dan bij voorkeur iets waar ze niet echt iets mee hebben. Dan is de gebruikersnaam eigenlijk ook al een beetje een factor

Maar goed. Dat is achteraf en biedt ook weer risico's dat men hun DidiD gebruikernaam vergeet.

Verwijderd @lenwar • 23 februari 2024 17:32

lenwar schreef onder meer:

Beide systemen (SMS en TOTP) hebben voors en tegens die elkaar, wat mij betreft, redelijk opheffen. Voor beide systemen geldt dat je er alleen wat aan hebt als je 'ook' al de gebruikersnaam en wachtwoord van je potentiële doelwit hebt.

Gedeeltelijk mee eens.

In deze uitgebreide reactie (in een draad over passkeys) probeer ik alle voors en tegens van 2FA en andere authenticatiemethodes te benoemen.

Mijn conclusie is dat mensen, in plaats van een TOTP-app (die nieuwe risico's introduceert), het beste een "slimme" {1} wachtwoordmanager kunnen installeren en (die ook risico's introduceert). En als zij dat te moeilijk vinden, 2FA via SMS gebruiken.

Overigens hoeft Logius daar niks voor te veranderen; met een sterk wachtwoord en een "slimme" {1} wachtwoordmanager is een SMS'je natuurlijk hinderlijke ballast, maar m.i. moeten we dat als compromis beschouwen om het mensen met beperkte (digitale- en/of taal-) vaardigeden het leven niet onmogelijk te maken (en als je die SMS écht niet wilt, kun je de DigiD app installeren).

{1} "Slimme" in de zin van dat de wachtwoordmanager (samen met Android, iOS/iPadOS, of -op andere platformen- een webbrowserplugin) de domeinnaam van de website checkt, en users "autofill" gebruiken i.p.v. wachtwoorden via het klembord te kopiëren en plakken.

Voorwaarde is dat mensen hun eigen apparatuur malwarevrij weten te houden, maar effectief is dat bijna overal een voorwaarde voor.

Hopelijk maak ik met de link hierboven (naar mijn reactie gerelateerd aan passkeys) duidelijker wat ik bedoel, dan in een andere relatief korte reactie (op deze pagina) (maar ook nog eerder, deze korte reactie).

ibmpc @Arckedo • 22 februari 2024 16:35

Evilginx. TOTP is misschien veiliger dan SMS, maar TOTP is absoluut niet veilig en zou zo snel mogelijk moeten worden vervangen door phishing resistant. Bijvoorbeeld Yubikeys.

Arckedo @ibmpc • 22 februari 2024 16:39

Absoluut. Ik onderhoud dan zelf ook een WebAuthn library voor PHP apps, en kan niet wachten tot dit de de-factor standaard authenticatiemethode wordt, maar hét ding met beveiliging is dan natuurlijk ook dat je nooit klaar bent, en dat alle kleine beetjes helpen

[Reactie gewijzigd door Arckedo op 22 juli 2024 13:52]

ibmpc @Arckedo • 22 februari 2024 16:47

Ik ben er voorstander van dat iedere Nederlander gewoon een Yubikey of andere phishing resistant krijgt als ze een DigiD aanvraag doen. Daarvoor hoef je de belastingen niet te verhogen, het verdient zichzelf terug.

PhilipsFan @ibmpc • 22 februari 2024 16:57

Dat gaat verschrikkelijk veel geld kosten. Want niemand (behalve een paar tech freaks die er waarschijnlijk al een hebben) gaat dat ding gebruiken. Ze zijn ook hopeloos gebruikersonvriendelijk. Ik wil geen losse niet-backupbare stick om cruciale taken te kunnen doen. Die raak ik kwijt of neem ik niet mee als ik die zaken wil doen.

En van de mensen die 'm wel gaan gebruiken, gaan mensen 'm kwijtraken. En die mensen gaan dan bellen met de Belastingdienst, DUO of CJIB als ze daar niet meer kunnen inloggen. Daar zitten die organisaties echt niet op te wachten.

De oplossing is simpel. Laat Logius verplicht een off-the-shelf oplossing ondersteunen voor 2FA, zoals TOTP. Het gaat er niet om of het 'veiliger is dan sms' of niet, het gaat erom dat het veiliger is dan alleen met een wachtwoord inloggen. Daar is nog zoveel winst te behalen. Typisch Tweakers-users om te gaan jammeren dat 'TOTP niet veilig' is. Het gaat erom dat DigiD niet massaal gescamd kan worden, niet dat het 100% veilig is.

ibmpc @PhilipsFan • 22 februari 2024 18:24

DigiD geeft toegang tot persoonsgegevens. Dat moet 90% veilig zijn. TOTP is net zo onveilig als password only: Evilginx.
Ik mag hopen dat DigiD absoluut geen TOTP gaat implementeren.

[Reactie gewijzigd door ibmpc op 22 juli 2024 13:52]

Verwijderd @Arckedo • 22 februari 2024 17:20

Arckedo schreef:

TOTP is vele malen veiliger dan SMS, want realistisch gezien is elke moderne SMS-ontvanger is ook gewoon een "slim" apparaat tegenwoordig.

Ik redeneerde vanuit het dreigingsmodel dat Logius ongetwijfeld heeft opgesteld voor DigiD.

Daarbij ga je (voor lezers hier vanzelfsprekend hoop ik) uit van "worst case" situaties - en dat is beslist niet een cybersecurity-aware Tweaker met de nieuwste apparatuur die zich inleest voordat zij of hij allerlei software installeert.

Logius gaat uit van Henk en Ingrid die wél een smartphone hebben (gebruik dan de DigiD app), of die géén smartphone hebben (gebruik dan SMS).

Je moet niet onderschatten hoeveel menskracht je extra voor ondersteuning nodig hebt indien je daarnaast bijv. TOTP gaat ondersteunen. Er zullen mensen zijn die dat überhaupt niet snappen, of die geen back-up blijken te hebben als hun foon in de plee is gevallen (lees eens enkele uit het grote aantal 1-ster reviews in de Play Store).

Het risico dat mensen hun telefoonnummer wijzigen en dat niet aan elke partij doorgeven, is ook allesbehalve verwaarloosbaar, maar de frequentie daarvan lijkt mij kleiner dan dat nitwits een nieuwe smartphone (moeten) kopen en hun TOTP-secrets niet kunnen overzetten (geen backup hebben of niet begrijpen hoe dat moet).

Nb. Google heeft pas vorig jaar hun Authenticator app zó gewijzigd dat TOTP-secrets wel meegaan met reguliere backups - dat je dan natuurlijk niet moet hebben uitgezet. En vziw kan elke aanvaller, die toegang krijgt tot jouw Google cloud account, bij die TOTP secrets (daar zit dus geen aanvullende versleuteling overheen).

Zie ook (van 20-12-2022) TOTP Authenticators drama en de wetenschappelijke publicatie waar ik naar verwijs.

Arckedo @Verwijderd • 22 februari 2024 17:31

Goede, weldoordachte punten die ik inderdaad niet had overwogen!

Verwijderd @Arckedo • 22 februari 2024 18:00

Dank voor jouw oprechte reactie!

R4gnax @Arckedo • 24 februari 2024 12:50

TOTP is vele malen veiliger dan SMS, want realistisch gezien is elke moderne SMS-ontvanger is ook gewoon een "slim" apparaat tegenwoordig.

Ten eerste is dat een non-sequitur. Dat TOTP als techniek veiliger zou zijn dan SMS, volgt op geen enkele manier niet uit het ratio dumb phones vs smart phones.

Ten tweede is er al een aantal jaren een onderbeweging aan de gang van mensen die specifiek terug gaan naar dump phones omdat ze smart phones beu zijn. Soms omwille van privacy; soms omwille van de milieu-footprint van een smartphone; en soms gewoon botweg vanwege de kosten. Zelfs Hollywood sterren zijn een tijdje met regelmaat met dumb phones op zak gespot en gebruikten het als een soort van counter-culture mode-statement.

Dus dat elke SMS-ontvanger een 'slim' apparaat zou zijn?
Nou- nee. Gewoon, nee.

Johandmc 22 februari 2024 15:33

Ik heb even geen bron, maar ik dacht ergens gelezen te hebben dat de de dienst Toeslagen niet meer onder de belastingdienst viel.

wildhagen

@Johandmc • 22 februari 2024 15:38

Dat klopt, is een aparte dienst tegenwoordig, zie bijvoorbeeld https://werkenbij.diensttoeslagen.nl/ of https://werken.belastingdienst.nl/organisatieonderdelen

Door de ontvlechting maken Dienst Toeslagen en de Douane geen onderdeel meer uit van de Belastingdienst. Dit zijn nu zelfstandige onderdelen binnen het ministerie van Financiën.

Vroeger viel die onder de Belastingdienst, maar die is dus losgetrokken en verzelfstandigd sinds relatief kort.

Ook de Douane is dus verzelfstandigd op soortgelijke manier.

[Reactie gewijzigd door wildhagen op 22 juli 2024 13:52]

JWouter 22 februari 2024 19:46

Voor wie niet aan DigiD (app) vast wil zitten kan straks onder de Wet Digitale Overheid ook gebruikmaken van eventuele nieuwe erkende private inlogmiddelen. Dat zou dus ook een middel met 2fa met SMS of andere techniek kunnen zijn.

Airw0lf 23 februari 2024 08:01

Je hebt ook losse apparaatjes die totp codes genereren - bijvoorbeeld deze:
https://shop.reiner-sct.c...er-sct-authenticator-mini

Deze zijn universeel en hebben geen afhankelijkheden in welke vorm dan ook - afgezien dan een opgeladen batterij en altijd bij je moeten hebben...

HansvDr 22 februari 2024 17:23

Vervelend gedoe altijd dat 2fa. Nu snap ik het nog bij DigiD maar ik moet het tegenwoordig bij zoveel diensten doen.

ImperatorTiber @HansvDr • 22 februari 2024 17:40

Dit is omdat een wachtwoord niet zo veilig is. 2fa veiliger. Tokens nog veiliger.

Ik ben er ondertussen wel aan gewend, na weet ik veel hoeveel jaren dit al zo is.

HansvDr @ImperatorTiber • 23 februari 2024 10:20

Het moet wat mij betreft op veel te veel plaatsen. De bank en digi-d snap ik ook wel. Maar het begint nu bij een simpele webshop al.

Handelingen 22 februari 2024 17:02

Ik wil f2a zonder gebonden te zijn aan een mobiele telefoon.

CPV @Handelingen • 22 februari 2024 21:45

Zie artikel:

Mensen zonder smartphone kunnen ook een gesproken sms op hun vaste telefoon ontvangen.

Ablaze @CPV • 24 februari 2024 15:48

Rare verwoording is het wel. SMS ondersteunt helemaal geen spraak. En ik verwacht ook niet dat men een SMS stuurt, om het vervolgens voor te gaan lezen. Hier wordt gewoon een telefoongesprek bedoeld.

CPV @Ablaze • 26 februari 2024 13:46

Nee hoor, op een gewone telefoon wordt een SMS bericht voorgelezen. Volgens mij als een voicemail bericht.

ImperatorTiber 22 februari 2024 17:39

Idin. Dat gaat hiervoor vast ingevoerd worden.

Noxious @ImperatorTiber • 22 februari 2024 19:36

iDin is geen overheidsdienst maar een dienst van de banken net als iDeal. De overheid heeft met DigiD een prima eigen oplossing.

ImperatorTiber @Noxious • 5 maart 2024 12:51

Weet ik. Maar gaat wel komen.