DigiD-app voegt in september biometrisch inloggen op Android en iOS toe - Update

De DigiD-app ondersteunt vanaf 16 september de vingerafdruk- en gezichtsscanner van Android- en iOS-telefoons. Deze kunnen dan gebruikt worden in plaats van de huidige vijfcijferige DigiD-pincode die vereist is om de app te gebruiken.

De mogelijkheid om biometrisch in te loggen zit in DigiD-appversie 6.13. Die verschijnt op 16 september, meldt Logius, verantwoordelijk voor de ontwikkeling van DigiD. Een week eerder krijgt het DigiD-systeem zelf een 6.13-update, waarbij overlijdensberichten automatisch worden verwerkt. Een jaar na het overlijden wordt het account van een gebruiker automatisch gedeactiveerd.

Update, 29-8: In een eerdere versie van het artikel stond dat de mogelijkheid om met een gezichtsscan in te loggen enkel werkt op iOS-apparaten. Een woordvoerder van Logius laat aan Tweakers weten dat deze inlogmethode ook op Android-apparaten mogelijk is, mits ze aan de eisen voor Biometric Class 3 voldoen. Dat geldt onder meer voor de Samsung Galaxy S24- en Google Pixel 8-smartphones.

Reacties (99)

LNDN 28 augustus 2024 18:35

EINDELIJK!! Ik vind de huidige implementatie van 2FA van digiD het meest kutte wat er bestaat als ik papierwerk moet regelen. Nu nog mogelijk maken dat je met een hardware security key kan inloggen op je leven en TOTP voor pc.

lenwar

Digid

@LNDN • 28 augustus 2024 19:00

TOTP is in de praktijk minder veilig dan de implementatie DigiD.

TOTP is een shared secret, waar de webdienst en de gebruiker beiden dezelfde string in bezit hebben. (Anders kunnen ze niet beiden dezelfde cijferreeks genereren.)
DigiD is hard gekoppeld aan je telefoon.

Je kunt niet klakkeloos een dump maken van de DigiD app op telefoon 1 en die op telefoon 2 gebruiken. De telefoon zelf is een onderdeel van de beveiliging.

Begrijp me niet verkeerd hè? TOTP is prima voor heel veel zaken. Maar voor een systeem als DigiD of een bank zou ik het niet gebruiken als er iets beters beschikbaar is.
Zelfs de organisatie van TOTP groot heeft gemaakt in ons dagelijks leven (Google) gebruikt ook standaard wat anders. 😊

LNDN @lenwar • 28 augustus 2024 19:16

....

Nog altijd veiliger dan de sms-controle vind ik.

lenwar

Digid

@LNDN • 28 augustus 2024 19:27

Dat is ter discussie.

SMS kun je spoofen. Enzovoorts. Maar dat is in elk geval traceerbaar. Achteraf. Het is bekend waar het SMSje naartoe is gegaan (toestel/SIM/enz)

Met een gekopieerde TOTP string weet je het niet. Als ik vandaag de TOTP-string van Tweakers van jou krijg en daar pas over 9 maanden misbruik van maak, heb jij al tijd geen idee gehad dat ik de string in bezit had.

Ook is het niet traceerbaar dat het is gebeurd. Idealiter zou iedereen eens in de zoveel tijd zo TOTP-strings verversen.

Het heeft dus beiden voor- en nadelen. Wat het beste is, verschilt dus per situatie. Ik denk zelf dat het beter is dat het traceerbaar is voor een systeem als DigiD.

Fermion @lenwar • 28 augustus 2024 22:04

Wat was er mis met OTP?

the_stickie @Fermion • 28 augustus 2024 23:08

Dat er geen extra controle is van het device. Je kan uit de app je keys exporteren, bijvoorbeeld om op een nieuwe/andere telefoon te importeren en gebruiken.
Maw als een kwaadwillende enkele minuutjes toegang heeft tot je unlockte telefoon, heeft die toegang tot al je OTP's.
Dat An zich is een reden om de app zelf nog achter biometrie te steken, wat alle gebruikelijke apps kunnen, maar soms/vaak niet per default doen.

Coffee @the_stickie • 29 augustus 2024 07:26

Als we TOTP uitwisselen met PassKeys, dan zouden die kwetsbaarheden allemaal niet van toepassing zijn, toch?

GertMenkel @LNDN • 28 augustus 2024 21:50

Dat is waar, maar SMS wordt dan ook langzaam uitgefaseerd.

Ik zou zelf het liefste een alternatief voor smartphones houden, bijvoorbeeld door inloggen middels een kaartlezer te ondersteunen zoals men in Estland ook doet (deed?). Iedere Nederlander heeft effectief een beveiligde smartcard in zijn portemonnee zitten, dat lijkt me toch niet zo'n hele grote uitdaging om te implementeren voor mensen die geen smartphone hebben of willen.

TOTP is beter dan SMS maar blijft makkelijk te phishen.

the_stickie @GertMenkel • 28 augustus 2024 23:12

In België kan je je ID met kaartlezer en specifieke Middleware gebruiken.
In de praktijk moet je te vaak de Middleware updaten en is het opzetten voor eerste gebruik voor veel mensen een lastige horde. It's me is gewoon veel gebruiksvriendelijker. Bovendien zelfs veiliger omdat met een gestolen ID de enige restende beveiliging een PIN is.

GertMenkel @the_stickie • 29 augustus 2024 08:22

Dat is een kwestie van implementatie, natuurlijk. Je browser kan in principe gewoon met een smartcard authenticeren zonder enige extra software. Waarom hier dan weer middleware voor nodig is, snap ik dan niet helemaal.

Ablaze @lenwar • 28 augustus 2024 21:54

Dat zijn geldige redenen (hoewel TOTP in veel gevallen niet zomaar gedumpt kan worden, want telefoons zijn encrypted en beschermd met biometrie).

Maar hoe publiceren de appontwikkelaars van DigiD updates in de app stores? Ik denk dat dat ook een combinatie van een gebruikersnaam/wachtwoord en een shared secret voor 2FA is, zoals TOTP. De tussenkomst van een app heeft een duidelijk nut, maar maakt ook nieuwe vormen van spoofing mogelijk.

lenwar

Digid

@Ablaze • 28 augustus 2024 22:09

De installatie van de app bevat gebruikersdata. Er zal een private/public keypair zijn in combinatie met de unieke code van je telefoon.

Je kunt op ‘mijn DigiD’ inloggen (website) en dan zie je de unieke installatie van je app. Dat is in mijn geval een code van ik dacht 6 karakters. (Ik vermoed dat het een fingerprint is).
ING gebruikt dit ook. Bij ING kun je de instanties zien van ING-apps die bij je account horen.

Als je een nieuwe telefoon krijgt kun je niet gewoon een back-up terugzetten en dan verder werken. Je moet dan de apps opnieuw activeren.

Ablaze @lenwar • 28 augustus 2024 22:28

Mijn vraag was meer gerelateerd aan de gevaren van het toevoegen van een app in het proces.

Wat als de key waarmee het softwarebedrijf DigiD app-updates publiceert op de platforms van Google en Apple ooit uitlekt? Iemand zou dan ineens miljoenen mensen kunnen spoofen.

vrow @Ablaze • 28 augustus 2024 23:31

Ik denk dat ze dan eerder voor de key van de ING en de Rabo gaan hoor.
Dan bij elke overboeking hun eigen rekeningnummer invullen, onzichtbaar.

lenwar

Digid

@Ablaze • 29 augustus 2024 10:25

Ik heb hier even over zitten nadenken.

Ik wil even meegaan in je gedachtengang:
Dan zou de betreffende crimineel dus:

De Apple-ID van de Digid-mensen moeten hebben (inclusief de bijbehorende MFA) en de bijbehorende sleutel van de app zelf.
Dan gaan ze een malafide versie van de app maken en die opsturen naar Apple.

Dat moet de malafide update onopgemerkt bij Apple naar de App Store gaan (dit is denk ik de zwakste schakel, want volgens mij is die controle van Apple niet heel indrukwekkend heb ik wel is begrepen). En dat zonder dat de mensen achter DigiD dit merken. (ik ga er vanuit dat Apple wel wat communiceert wanneer je een app opstuurt).

Vervolgens wordt de 'malafide versie' overal geïnstalleerd en staat hij dus op de telefoons.
Dan zou die app wanneer hij wordt opgestart dus data kunnen opsturen naar iemand die de boel wil misbruiken.

Bedoel je het op die manier?

Vanaf hier weet ik het niet precies. Ik weet niet of de app zelf bij de private key kan die ooit is gegeneert. Mij lijkt dat een zwak moment. Het lijkt mij logischer dat de app alleen nog maar een ondertekend certificaat kan krijgen vanuit het toestel zelf.

Ablaze @lenwar • 29 augustus 2024 17:17

Klopt, dat bedoel ik. En voor Google Play eveneens. De kans lijkt mij klein, maar de gevolgen groot. Accounts van developers zijn doorgaans ook alleen maar met TOTP MFA beveiligd. En een signing key kan in sommige gevallen worden gereset vanuit de cloud.

Een simpele variant is dat iemand een app maakt die grotendeels lijkt op de DigiD app, ook v.w.b. de naam. Er zijn altijd mensen die daar intrappen.

Een andere variant is dat iemand toegang krijgt tot het versiebeheersysteem van de DigiD app, of dat een bestaande developer kwaadaardige bedoelingen heeft (bijvoorbeeld na een ontslag).

gevoelig @LNDN • 28 augustus 2024 19:15

Ik ben persoonlijk erg blij met de huidige opties. Wat mij betreft een goede zaak dat dit er is voor wie er gebruik van wil maken maar ik wil geen biometrie gebruiken en ik wil mijn telefoon niet gebruiken als key of om een app te installeren.

LNDN @gevoelig • 28 augustus 2024 19:18

Dat mag jij prima vinden. Maar de rest van de wereld gaat graag door met inlogopties die én veiliger én/of gemaksvriendelijker zijn dan de manier waarom deze app nu werkt.

icecreamfarmer @LNDN • 28 augustus 2024 19:23

Doe maar eens zaken in andere landen en je bid op je knieën voor de mogelijkheden van digid.

Voor mij persoonlijk ook makkelijker dan totp.

b12e @icecreamfarmer • 28 augustus 2024 19:44

MitId in Denemarken werkt anders zeer goed. Je vult een username in online, opent de app (zonder pushmelding, omdat er geen wachtwoord is en men wil vermijden dat mensen notificaties openen van inlogpogingen die ze zelf niet doen), even richting je mobiel kijken (of vinger op de sensor leggen) en dan verschijnt er een met een "slide to confirm" om te bevestigen of je echt wil doen wat de prompt wil bevestigd hebben (overschrijving bij de bank, inloggen bij de overheid, etc) en klaar. Tegenwoordig moet je meestal nog even een QR code scannen voordat je kan bevestigen (2 opeenvolgende codes, die elke seconde veranderen) zodat je het echt 100% zeker zelf doet.

In Spanje werkt Cl@ve soortgelijk met een QR code en een bevestig knopje.

Itsme in België vul je je mobiel nummer in, krijg je een pushmelding om te bevestigen, en moet je in de app even de vorm aanduiden die ook op het scherm staat - de app geeft aan wat er gebeurt en welke info gedeeld wordt (inloggen bij de online overheid, RRN, bvb).

Al die apps ondersteunen biometrische verificatie als alternatief voor een pincode.

gevoelig @LNDN • 28 augustus 2024 20:44

Dat onderken ik zeker. Vandaar dat ik ook noem dat het een goede zaak is dat deze mogelijkheden er komen. Ik geef alleen aan dat ik ze niet gebruik omdat ik geen biometrie wil gebruiken.

Ik zou overigens misschien voor veiliger kiezen (sms zie ik niet als onveilig) maar dan met een dedicated hardware key oid. Zolang het maar geen app op mijn telefoon is.

[Reactie gewijzigd door gevoelig op 28 augustus 2024 20:45]

emeralda @LNDN • 29 augustus 2024 12:28

Ik gebruik mijn computer tegenwoordig eigenlijk alleen voor gaming. Alle financiën gaan lekker op de bank of in bed op de smartphone.

vrow @gevoelig • 28 augustus 2024 23:31

Mag ik vragen waarom niet?

runnershigh

@gevoelig • 29 augustus 2024 07:37

Waar zit jouw bezwaar tegen het gebruik van biometrie of een app?

gevoelig @runnershigh • 29 augustus 2024 18:08

Biometrie: heel eenvoudig vanwege het risico van lekken.

De app: ik vind het geen probleem om een otp oplossing te gebruiken via een gestandaardiseerde app naar mijn keus. Voor die otp oplossing wil ik geen specifieke app gebruiken. Vooral omdat het nergens voor nodig is.

Zilla

@LNDN • 29 augustus 2024 00:20

Ja, dit is handig, echter wanneer iemand mijn code afkijkt en vervolgens mijn telefoon steelt kan diegene ook als mij bij digid inloggen. Hopelijk blijft de huidige manier werken en wordt dit niet verplicht.

LNDN @Zilla • 29 augustus 2024 00:31

Ik weet zeker dat jij niet doorhebt hoe TOTP werkt en ook niet helemaal hoe de app momenteel werkt voor mobiel inloggen. maw. Iemand heeft meer success door de pincode van je DIGID app af te kijken en dan je mobiel te jatten en unlocked te houden. Want voor inloggen op een mobiele browser vraagt je digid alleen maar om de pin in te voeren in de digid app.

Zilla

@LNDN • 29 augustus 2024 01:00

Wanneer je je digid alleen op lokaties unlockt waar niemand meekijkt en dit een andere code is dan die van je telefoon dan is de losse code van digid veiliger. Wanneer je digid en telefoon code gelijk zijn dan kan je beter biometrisch inloggen.

Ascathon @LNDN • 28 augustus 2024 19:36

Doe nog veel op de PC en zo lang SMS login blijft bestaan gebruik ik die. Kan ook de codes van notificatie op het PC scherm aflezen. In plaats van weer door een stuk of 4 schermpjes van die DigiD app gaan.
Het mag van mij nog iets sneller zodat je ook de moeite wilt doen om dat systeem te gebruiken.

Iedjee 28 augustus 2024 19:44

Waarom zou face-id niet werken op Android? Op mijn Google Pixel 9 werkt dat gewoon.

Tomatoman @Iedjee • 28 augustus 2024 19:53

Klopt, dat is een fout in het Tweakers-artikel. Logius meldt in het originele bericht dat je een vingerafdrukscanner of face ID kunt gebruiken, zowel in Android als in iOS:

quote: https://www.logius.nl/dom...updates/digid-release-613
Het is mogelijk biometrische toegang (vingerafdruk en face-id) tot de DigiD app in te stellen en te gebruiken, in plaats van de DigiD app pincode. Dit geldt voor iOS toestellen en Android toestellen die daartoe de mogelijkheid hebben.

racao @Iedjee • 29 augustus 2024 03:34

Face ID is volgens mij een iOS-benaming, Android noemt het Face Unlock. Maar goed, om het simpel te houden hadden Tweakers en Logius zich beter kunnen beperken tot het benoemen van de vingerafdruk- en gelaatsscan in plaats van de benamingen van commerciële implementaties te gebruiken. Gevalletje Walkman, Xerox'en, Photoshoppen etc denk ik, het moge duidelijk zijn waar men op doelt. En klaarblijkelijk was redacteur Hugo niet bekend met het bestaan van de gelaatsscan als biometrische identificatie op Android-toestellen, waardoor Tweakers hier de schijn wekt dat op Android enkel de vingerafdrukscanner ondersteunt zal worden; iets wat niet in het bericht van Logius staat. Beetje jammer inderdaad.

Mazeinies @racao • 1 september 2024 10:12

Alleen de Face Unlock van Pixel 8 en hoger wordt ondersteund. En die face unlock werkt alleen als de gebruiker ook een vingerafdruk heeft ingesteld. Face unlock op Pixel 8 is namelijk de enige op Android die Class 3 is en dus veilig genoeg om in te loggen bij dit soort diensten.

thePiett

@Iedjee • 28 augustus 2024 22:45

Heb je al een Pixel 9?

pOZOR jED 28 augustus 2024 17:53

Na al die jaren! Toch nog!
Nooit begrepen waarom dit er niet in zat, zeker in de corona tijd toen we hem vaak nodig hadden miste ik deze optie!
Mooi dat hij nu eindelijk komt!

TommieW @pOZOR jED • 28 augustus 2024 18:08

Ik denk dat hier voornamelijk bureaucratie bij komt kijken. Veel mensen moeten er wat van vinden, bewijzen dat het geen achteruitgang is in veiligheid, etc. Natuurlijk niet onlogisch voor een app die best wat gebruikt wordt in Nederland.

pOZOR jED @TommieW • 28 augustus 2024 18:12

Och, DigiD en veiligheid? Ik weet nog dat in het begin de two factor authenticatie optioneel was!
Je kon sms-verificatie aanzetten, maar als je even geen zin had om het in te vullen, zette je bij inloggen de vink uit en kwam je er gewoon in zonder

m_snel @pOZOR jED • 28 augustus 2024 19:49

Er zijn genoeg instanties die er nu pas aan beginnen, zo kreeg ik vorige week nog een verzoek van en beleggers site om het te gaan gebruiken.

Raymond Deen @pOZOR jED • 28 augustus 2024 20:32

Ik die tijd betaalde je ook nog met eurocheques 🤪

nst6ldr 28 augustus 2024 18:10

Oké, maar wanneer gaan ze DigID nu ècht eens opensource maken zodat een F-Droid versie gebouwd kan worden?

lenwar

Digid

@nst6ldr • 28 augustus 2024 19:03

https://github.com/MinBZK...id/tree/master/components

Is dit wat anders dan?

JackBol @lenwar • 28 augustus 2024 20:02

Onder de WOO was de overheid (i.e. Logius) gedwongen om de source code van DigiD vrij te geven. Ze hebben 4 maanden geleden 1 snapshot op GitHub gezet en deze meteen gearchiveerd. Dit is geen open source om verschillende redenen:
1) Logius gebruikt niet deze branch voor actieve development
2) Er is geen documentatie
3) Er zijn geen build instructies

Het is letterlijk de meeste luie manier om aan het WOO te kunnen voldoen.

lenwar

Digid

@JackBol • 28 augustus 2024 20:17

Klopt als een bus.
Ze hebben de broncode beschikbaar gemaakt en meer niet.

Het is gepubliceerd onder de EUPL-licentie dus strict genomen gewoon open source. Het feit dat ze niet open source ontwikkelen in de klassieke vorm staat daar los van toch? Daar is geen vereiste voor.

kdekker @JackBol • 28 augustus 2024 20:55

Ik denk dat het doel helemaal niet is dat een ander DigiD kan bouwen, alleen maar een check op algoritmes, waar ze hier dus mee aan voldoen.

Het lijkt me ook onwaarschijnlijk dat ze publiek github als hun versiebeheersysteem gebruiken, dus als deze plaatsing op basis van een WOO verzoek is, komt een volgende plaatsing pas bij een volgend verzoek. Het is maar net waar dat WOO verzoek voor bedoeld was. Waarschijnlijk niet perse om een andere partij DigiD te kunnen laten maken. Dat laatste is een gok van mijn kant, omdat ik het WOO verzoek niet ken.

Je krijgt een +2 maar je reactie is m.i. niet eens on-topic (het gaat over een andere vorm van authenticatie, niet over of de source code beschikbaar is).

xoniq @lenwar • 28 augustus 2024 19:47

This repository has been archived by the owner on May 14, 2024. It is now read-only.

4 maanden niet meer geupdate. Zal dus niet de laatste versie zijn.

johanneslol @nst6ldr • 28 augustus 2024 20:01

Opensource maakt het niet veiliger dus om die reden zou dat niet zo snel gebeuren. Daarbij is de groep mensen die een custom rom draaien in nederland niet heel erg groot. Niet groot genoeg voor al dat extra werk.

Teun! @johanneslol • 28 augustus 2024 21:00

Ik denk dat het inderdaad een tradeoff is. Aan de ene kant maakt het het inderdaad niet per definitie veiliger (al kan dit wel helpen als ze "iedereen" de app laten testen), aan de andere kant, zou dit er misschien voor zorgen dat mensen de app kiezen ipv sms. Zolang de app niet open source is komt die er bij mij per definitie niet op (als sms wegvalt weet ik niet wat ik zal doen, Digid op een apart profiel met zo min mogelijk andere apps, of, en dit is waarschijnlijk mijn route, een oude android telefoon speciaal voor Digid. Of misschien een android vm oid opzetten om het zo te doen.
Ik snap dat sommigen dit extreem zullen vinden, en dat is prima, maar ik kan me ook voorstellen dat er misschien meer mensen denken zoals ik.

[Reactie gewijzigd door Teun! op 28 augustus 2024 21:01]

johanneslol @Teun! • 28 augustus 2024 21:08

Ik denk echt dat 99,999% van de mensen dit echt geen issue is. De meeste mensen denken daar echt niet overna. Die vinden 2 factor enz sowieso alleen maar lastig. Ik denk echt dat je zwaar in de minderheid bent met zo'n gedachte.

Teun! @johanneslol • 28 augustus 2024 21:19

Dat ben ik zeer zeker met je eens, en ik denk dat het percentage wat je noemt behoorlijk accuraat is. Desalniettemin vind ik het jammer dat de overheid geen gewone TOTP ondersteund, juist omdat dit een universele standaard is, en je niet gebonden zit aan wat dan ook. Net zoals dat deze app alleen te downloaden is via Gplay of Apple's store. Dit is voor mij overkomelijk, maar ik zou het liever direct via github (of nog beter, een publieke git server van de overheid) downloaden, zodat de overheid er echt absolute controle over heeft (als extra mogelijkheid, uiteraard)

Dit alles niet om DigiD te dissen, ik heb gehoord dat deze app relatief oke in elkaar zit mbt security.

[Reactie gewijzigd door Teun! op 28 augustus 2024 21:20]

vrow @Teun! • 28 augustus 2024 23:37

Ik ben dan altijd wel benieuwd, wat voor auto rij je en ga je die dan ook helemaal met een monteur uit- en inelkaar halen zodat je zeker weet dat er niks raars in zit?
Ik snap dat je veilig wilt zijn en alles, maar ik zie niet helemaal in waarom je het jezelf zo ontzettend lastig zou willen maken.

Teun! @vrow • 29 augustus 2024 00:27

Ik snap niet hoe het relevant is maar ik rij een peugeot 206 uit 2007. En ik heb niet de kennis om deze helemaal uit elkaar te halen. Aan de andere kant, als ze tegen mij zeggen "dit is een magisch apparaat wat je voortbeweegt, maar alleen ik kan onder de motorkap kijken, geloof me op mn blauwe ogen" dan zou ik daar ook zeker twijfels over hebben.
Ik zal overigens niet ontkennen dat het af en toe lastig is.

vrow @Teun! • 29 augustus 2024 02:01

Maar dat is bij zo’n app toch eigenlijk hetzelfde?
Alleen de programmeurs snappen hoe het werkt. Testen doet overheid ook zelf (of laat dat doen iig). De achterliggende systemen heb je ook geen weet van verder, dus je moet er wel op vertrouwen. Idem bij je bank, de energiemaatschappij, de gemeente…
En van de DigiD is dan nog wel een bepaalde broncode openbaar gemaakt trouwens.

Je kunt simpelweg niet alles zelf controleren, dat is wat ik ermee wil zeggen.
Als je auto kapot is en je laat ‘m maken, moet je er ook op vertrouwen dat dat goed gedaan is. Dan ga je ook niet naar nog zes andere garages om de reparatie te laten checken, hoewel iedereen onder de motorkap kan kijken dus het zo theoretisch kunnen. Maar je doet het niet. Dan begrijp ik niet goed dat het dan geen probleem is, maar bij een app wel. Een verkeerde gerepareerde auto kan je een ernstig ongeval opleveren. Een bug in de app kan ook verstrekkende gevolgen hebben, maar je zult er geen letsel aan overhouden.
Dat bedoel ik te zeggen.
Soms moet je ook gewoon vertrouwen in iets hebben, denk ik. Niet naïef zijn natuurlijk en alles klakkeloos geloven, maar soms wel :-)

nst6ldr @vrow • 29 augustus 2024 03:26

Wat een ontzettend misplaatste dooddoener. Ten eerste is een auto niet vereist om in Nederland te leven, DigID is daarentegen hard op weg om vereist te worden. Ten tweede zijn er naast een groot aantal uiteenlopende merken ook voldoende alternatieven voor de auto an sich, bij DigID ben je beperkt tot een commerciële inlichtingendienst (Google} en één hardwareboer (Apple, met overigens ook een eigen advertentienetwerk).

Dus om jouw vergelijking maar even door te trekken: stel je voor dat je alleen fysiek op locatie je belastingaangifte kon doen, en alleen via de parkeergarage het pand in kan - die overigens alleen open gaat voor Tesla en Mercedes. Ja, de ene auto kan je principeel wat tegen hebben en de ander is wat duurder dus je zou ook over de slagboom kunnen klimmen maar waarom zou je het jezelf zo moeilijk maken? Koop nou gewoon een Tesla of Mercedes.

vrow @nst6ldr • 29 augustus 2024 23:36

Tja, we zijn nu eenmaal op dat punt aanbeland dat er 2 grote soorten smartphones over zijn gebleven: Android en Apple.

Volgens mij stond er in Teuns reactie eerst ook nog iets anders waarop ik reageerde. Volgens mij stond er nog iets over dat hij ook de broncode wilde kunnen bekijken en dergelijke. Vandaar mijn reactie dat je bij een auto ook niet precies weet wat er onder de motorkap zit.
Daar reageerde hij dan weer op en ik ook weer.

Verder is het inderdaad niet per se handig dat de overheid alleen maar de app nog eigenlijk ondersteunt. SMS-controle wordt uitgefaseerd dus die tel ik al niet meer mee.
Op z'n minst zou je ook je ID-kaart als smartcard moeten kunnen gebruiken in een PC met kaartlezen. Dat is helaas even iets ingewikkelder in te stellen (kom op, Microsoft!) maar dan kun je in elk geval een Windows-PC gebruiken.
Op Linux zal dat dan ongetwijfeld weer iets ingewikkelder worden, ben ik bang, maar op zich is de standaard voor smartcards wel universeel en gedocumenteerd.

Maar als je wel gewoon een telefoon hebt, zoals 99% van de mensen, dan kun je die heus gebruiken voor de DigiD-app. En wil je per se Lineage/AOSP zonder Google Services vanwege tracking en dergelijke, koop dan een goedkope Android van 100 euro erbij en zet daar enkel en alleen DigiD op.
Maar: ik vind nog steeds ook dat de overheid gratis iets anders (kaartlezer, 'random reader' of iets) beschikbaar moet stellen voor mensen die de app niet kunnen of willen gebruiken.

Mijn reactie ging er alleen over dat helaas niet alles te controleren is. Niet de broncode van Windows, niet de reparaties van je auto. Je kunt er naar kijken, zeker, maar controleren? Je moet dus ook wel iets van vertrouwen hebben.
Daar ging het om, Teun! wilde de app niet gebruiken omdat hij het (totaalplaatje) niet vertrouwde.

nst6ldr @johanneslol • 28 augustus 2024 21:25

Opensource maakt het absoluut veiliger, alleen al omdat het de potentie heeft om veiliger te zijn (met meer ogen gaan er minder issues onopgemerkt door).

Tevens beredeneer je vanuit een commercieel perspectief: weinig adoptie dus fuck it. Probleem is echter dat dit een overheidsdienst is en we naar een situatie bewegen waar DigID vereist gaat worden om bijvoorbeeld belasting te regelen. Dan kan je als overheid niet mensen opdringen zich aan Google of Apple te liëren. Dat is ronduit onethisch.

CivLord

@nst6ldr • 29 augustus 2024 12:24

Opensource heeft de potentie om veiliger te zijn, wanneer die meerdere ogen alle issues ook opmerken én die gevonden issues ook meteen doorgeven aan de ontwikkelaar.
Opensource maakt het ook voor kwaadwillenden makkelijker om issues te vinden en die te misbruiken.
Dat maakt closed-source niet per definitie veiliger, maar opensource ook niet.

nst6ldr @CivLord • 29 augustus 2024 17:04

Opensource heeft de potentie om veiliger te zijn, wanneer die meerdere ogen alle issues ook opmerken én die gevonden issues ook meteen doorgeven aan de ontwikkelaar.

Staat letterlijk in die bewoording in mijn post.

Opensource maakt het ook voor kwaadwillenden makkelijker om issues te vinden en die te misbruiken.
Dat maakt closed-source niet per definitie veiliger, maar opensource ook niet.

Android apps zijn notoir eenvoudig te decompilen, dus dat is in dit geval niet echt een valide reden om closed source veiliger dan open source te noemen. FOSS kent in deze context (mobiele app overheid) alleen maar voordelen, zoals we hebben gezien met de corona app.

CivLord

@nst6ldr • 30 augustus 2024 09:01

Staat letterlijk in die bewoording in mijn post.

Klopt. Ik benadruk het woord potentie.

[/quote]Android apps zijn notoir eenvoudig te decompilen, dus dat is in dit geval niet echt een valide reden om closed source veiliger dan open source te noemen. FOSS kent in deze context (mobiele app overheid) alleen maar voordelen, zoals we hebben gezien met de corona app.[/quote]

Nergens noem ik closed-source veiliger, maar het is ook niet onveiliger.

pOZOR jED @nst6ldr • 28 augustus 2024 18:14

Gokje: nooit

aegis 28 augustus 2024 17:53

zo zou tijd worden dat ze biometrisch inloggen gaan ondersteunen dit is al meerdere jaren een gevraagde feature.

jcbvm

28 augustus 2024 19:12

Zolang de Face ID dan maar niet terugvalt op de pincode van je apparaat. Dat zou het weer onveiliger maken

killercow 28 augustus 2024 19:47

biometrische 2fa is en zal altijd een bijzonder slecht idee blijven, al was het maar omdat ik die zaken niet kan resetten, en nm leven niet doorkom zonder ze overal en nerges te lekken.
M'n vingerafdrukken? Letterlijk overal te vinden. M'n ogen? Liever laat je die in mn hoofd zitten.

Ja, biometrische data is *soms* moeilijker te stelen, of na te maken, maar als het eenmaal gelukt is, is het oneindig veel moeilijker / onwenselijker om een nieuwe 2e factor te generen dan bij een sms of OTP factor.

Een paniek-pincode afstaan zodat je account geblokkeerd wordt en de politie naar de pin-automaat komt is een keuze. Die keuze heb je niet als de "klant" je ogen even voor de scanner houdt onder dwang.

* https://www.wired.com/2008/03/hackers-publish/

Roel1966

28 augustus 2024 19:48

Hoop wel dat je evenzogoed nog kan kiezen want bij mij werkt die vingerafdrukscanner niet altijd even goed. Zal deels wel aan de screenprotector liggen maar deels had ik dat ook zonder screenprotector ondanks dat ik een S23 Ultra heb.

Svrooij86 28 augustus 2024 21:17

Ik vind dit echt absurd, in de app van Digidentity dit gebruik wordt voor eHerkenning (Digid voor bedrijven), moest dit er juist uit gehaald worden. Want iets met een gekke wet die zegt dat er echt een code gebruikt moet worden. En dan vingerafdruk of Face ID niet veilig is.

Nu gaan ze in de consumenten versie wel biometrische dingen toestaan. Dat kan toch niet, hoezo is dat zoveel anders?

Niet om te verzanden in een “eHerkenning is slecht”, discussie, hier geef ik precies geen mening over. Ik zeg alleen dat het beide een inlogmiddel is dat gebruikt wordt bij de overheid en dat ik niet in zie hoe daar andere regels voor gelden.

Daarnaast, waarom is die code niet helemaal open-source, het is gebouwd door Logius en die worden volledig betaald van Nederlands belasting geld. Zouden we met digid niet samen kunnen werken met andere landen?

joldemans 28 augustus 2024 21:30

Zozo na 7jaar dat er faceID bestaat komen ze ook een keer met support ervoor.
Nu nog de 2de grote tekortkoming fixen: meerdere accounts. Beetje debiel dat ik een extra telefoon nodig heb als ik wat moet regelen voor de kinderen.

Op dit item kan niet meer gereageerd worden.

DigiD-app voegt in september biometrisch inloggen op Android en iOS toe - Update

Lees meer

Reacties (99)

Sorteer op:

Weergave: