Aantal DigiD-gebruikers zonder tweetrapsauthenticatie daalde met 75 procent

@3raser • 31 januari 2025 15:00

Dat is ook exact het probleem. Ieder platform heeft tegenwoordig een goede TOTP integratie, maar met digid is het een gehannes met apps die naar elkaar linken en webpagina’s die openen. Best wel een UX nachtmerrie.

Ik vind het geen probleem zolang de beveiliging in orde is, maar ook het ontbreken van bijvoorbeeld faceID of touchID opties is gewoon een UX ding.

En als men tot voor kort SMS veilig genoeg vond, is TOTP dat ook. Ik snap dat SMS geen optie meer is, maar tot vrij recent was helemaal geen 2FA ook nog een optie.

Sterker nog. Kennelijk is dat voor 25% nog gewoon een ding.

Lever dan op zijn minst ook TOTP zodat het gewoon mooi integreert met veilige wachtwoordmanagers.

lenwar

Digid
Beveiliging en antivirus

@supersnathan94 • 31 januari 2025 15:25

Op die eerste plaats is iedere vorm van 2FA beter dan geen 2FA.

Ter achtergrond:
TOTP is een shared secret. Zowel de 'app' als de server hebben beiden dezelfde string opgeslagen staan.
De 'app' en de server doen een berekening op basis van 'de huidige tijd' en die string en zo persen ze een getalletje uit die aan beide kanten gelijk moet zijn. (Effectief doet de serverkant er meerdere voor als de app een x-aantal seconden/minuten voor of achter loopt.)

Het collosale nadeel hiervan is, is dat als die string gestolen/gekopieerd wordt, dat dit niet zichtbaar en niet traceerbaar is. Iemand kan jouw string stelen/kopiëren en drie maanden later dat misbruiken. Jij bent daar nooit achter gekomen en niemand zal ooit weten hoe en wat.

SMS is bijvoorbeeld wel traceerbaar. De telecomboeren kunnen zien waar een SMSje naartoe is gegaan. Dit is gigantisch veel waard. Het schijnt goed te doen te zijn om jouw mobiele nummer te 'kapen', maar dat is altijd traceerbaar.

Het mechanisme dat DigiD gebruikt gebruikt de beveiligingsmechanismen van de telefoon zelf.
Ofwel. Jij kunt van mijn telefoon een complete dump maken van de DigiD app-installatie, en die op je eigen telefoon zetten, en dan heb je er niets aan.

Ofwel. Om mijn DigiD te misbruiken, moet men:

Mijn fysieke telefoon hebben
Mijn telefoon kunnen deblokkeren
De PIN van mijn Digid-app kennen

N.B. TOTP is prima voor heel veel zaken. Iets als Tweakers.net of een willekeurige andere site/spelletje/app. Maar voor overheidszaken of financiële instellingen kun je beter een ander mechanisme gebruiken dat TOTP.

@lenwar • 31 januari 2025 15:30

Iemand kan jouw string stelen/kopiëren en drie maanden later dat misbruiken.

Iemand met het wachtwoord en geen 2FA (wat in 25% nog zo is) kan dat ook.

De kans dat een TOTP token gestolen wordt is zeer klein.

Mijn fysieke telefoon hebben
Mijn telefoon kunnen deblokkeren
De PIN van mijn Digid-app kennen

Same voor TOTP, maar dan zonder redirect hell.

lenwar

Digid
Beveiliging en antivirus

@supersnathan94 • 31 januari 2025 15:58

De kans dat een TOTP token gestolen wordt is zeer klein.

Maar als het gebeurd, is het niet detecteerbaar of traceerbaar.

Same voor TOTP

Dit is gewoon niet waar. Iemand die de string (van meestal 20 byte (komt vaak voor)) heeft, heeft niet jouw app-installatie of fysieke telefoon meer nodig. Puur de string is voldoende. Bij het mechanisme dat DigiD gebruikt is dit wel het geval.

Iemand met het wachtwoord en geen 2FA (wat in 25% nog zo is) kan dat ook.

Zoals ik al schreef. Iedere vorm van 2FA is beter dan geen 2FA. Dat spreekt niemand tegen. Het feit dat het nog rotter kan, staat daar los van.

TOTP is lang niet altijd de beste methode voor alle zaken. Ik zou persoonlijk liever SMS-verificatie hebben voor overheidszaken/banken gezien de traceerbaarheid, dan iets als TOTP.

En zoals ik ook al schreef: TOTP is gewoon goed genoeg voor veel zaken als websites en dergelijke. In het slechtste geval wordt er namens mij wat gespammed op Tweakers.net. Geen man overboord. Alleen vervelend.

N.B. Ik snap prima dat het onhandig is om 'nog' een aparte app te hebben voor zoiets als dit. Qua gebruiksgemak zijn wachtwoordbeheerders met ingebouwde TOTP-ondersteuning natuurlijk gewoon veel fijner.

@lenwar • 31 januari 2025 16:10

Puur de string is voldoende.

Ho ho. En mijn username+wachtwoord. En daar heb je dus dat riedeltje voor nodig.
De app vervangt username, password en Token nu naar 1 ding: de app.

gezien de traceerbaarheid

Die traceerbaarheid is een wassen neus als men op grote schaal ermee aan de gang gaat en zich inkoopt bij een rogue provider. Dan stopt de tracing namelijk daar. Als er intern geen logging is dan houd het op.
[spoiler]
Die is er niet, en zelfs als ie er wel is, die krijg jij niet.
[/spoiler]

Ik ben momenteel slachtoffer van VOIP fraude (iemand gebruikt mijn nummer) en dr is geen enkele logging in de wereld die daar bij gaat helpen. De hele tracing stopt namelijk bij “het komt daar ergens vandaan”.

Mark87 @supersnathan94 • 1 februari 2025 01:25

Is dat wat jij te horen krijgt of wat de politie te horen krijgt als ze binnen een redelijke tijd met vragen bij de telecom provider komen? Bij een beetje fatsoenlijke provider is na te gaan waar het vandaan komt, mogelijk een andere provider. Indien het een andere provider is kan de politie daar naar toe tot als het ergens stopt. Zeker internationaal kan het vermoedelijk soms wat lastiger worden om de juiste wegen binnen redelijke tijd te volgen.

@Mark87 • 1 februari 2025 14:54

Die rogue providers zitten ergens in Africa, azië of zuid america. Daar gaat ook de Nederlandse politie geen gehoor krijgen tenzij het om giga aantallen gaat en er een samenwerking opgezet kan worden om bijvoorbeeld internationale drugscriminaliteit kan worden aangepakt.

De NL politie doet al geen klap als je aangifte doet van verduistering van een paar duizend euro (dus dat ze alleen even het goed op hoeven te halen eigenlijk)

Die gaan echt geen moeite doen voor een scam waar je zelf niet het slachtoffer bent. Zelfs met identiteitsfraude gaan ze echt niet naar afrika bellen hoor. Nee de Nederlandse provider gaan ze al niet eens langs. Als je denkt dat ze daar tijd voor hebben heb je het echt mis.

Mark87 @supersnathan94 • 2 februari 2025 13:58

Ik zeg niet dat ze het doen, maar ze kunnen het doen. Iemand met voldoende geld kan er ook een advocaat opzetten en het opvragen (eventueel via de rechter). Een deel van de criminelen lijkt overigens gebruik te maken van Europese providers of providers met minimaal een redelijke Europese tak, dan zou het te doen moeten zijn als justitie het wil of iemand geld over heeft voor advocaten (reken er niet op dat je die advocaat kosten terug krijgt).

Jerrythafast @supersnathan94 • 1 februari 2025 09:54

Iemand met het wachtwoord en geen 2FA (wat in 25% nog zo is)

Ik denk dat je hier een rekenfoutje maakt. In het artikel staat "slechts 90.000 gebruikers gebruiken geen 2fa". In dit artikel van 3 maanden geleden stond dat er meer dan 17 miljoen accounts zijn. Dat betekent dat minder dan 0,53% van de gebruikers nog steeds geen 2fa heeft ingesteld.

HansMij @lenwar • 1 februari 2025 16:43

Maar voor gebruikersacceptatie kun je het beter in een bekende vorm gieten en niet zelf iets gaan bedenken.

lenwar

Digid
Beveiliging en antivirus

@HansMij • 1 februari 2025 16:58

In de basis heb je daar helemaal gelijk in.
Ik denk zelf dat DigiD hier een uitzondering in kan zijn, maar het moet inderdaad niet zo zijn dat je voor iedere dienst een andere app moet hebben. (Ik kijk naar jou Valve!! 😡)

Ik ben zelf van mening dat DigiD dusdanig belangrijk/gevoelig is, dat je niet zomaar ieder willekeurige halfbakken TOTP-app goed gevoeg moeten vinden.

Er zijn zat hele goede apps, maar omdat het een open protocol is, kan iedere hobbyist het systeem inbouwen en de rest van z’n app heel brak implementeren. En daar ligt het net iets te gevoelig voor, voor overheidszaken.

Yucko @supersnathan94 • 31 januari 2025 15:21

Ik vind het geen probleem zolang de beveiliging in orde is, maar ook het ontbreken van bijvoorbeeld faceID of touchID opties is gewoon een UX ding.

DigiD is toch te gebruiken met FaceID

(en ik gok dat TouchID dan ook zal werken)

[Reactie gewijzigd door Yucko op 31 januari 2025 15:24]

@Yucko • 31 januari 2025 15:26

Ah dat scheelt weer. Laatste keer dat ik inlogde is al weer ff terug.

Mazeinies @supersnathan94 • 1 februari 2025 08:23

Ook "is gewoon een ux ding" is overigens totale onzin. Het had nogal wat voeten in aarde om biometrics toe te staan ivm de Europese wetgeving er omheen. Verbaas me toch altijd weer over de stelligheid van sommige Tweakers terwijl ze in werkelijkheid nergens vanaf weten.

@Mazeinies • 1 februari 2025 14:56

Ook "is gewoon een ux ding" is overigens totale onzin

Nee dat is het niet. Het is UX technisch een nachtmerrie met al die redirects en apps en geen biometrics. Dat er eisen aan liggen vanuit de EU waardoor het op deze manier moet betekent niet dat het geen UX issue is.

Jij maakt er van dat ik zeg dat het door een UX designer zo ontworpen is van meet af aan, maar dat zeg ik niet.

RobVI @Yucko • 31 januari 2025 17:18

FaceID en TouchID werken inderdaad op iOS toestellen sinds 16 sep 2024. Om gezichtsherkenning op Android toestellen te kunnen gebruiken, moet het apparaat voldoen aan Biometric Class 3.

Inloggen met de DigiD app via gezichtsherkenning en vingerafdruk

[Reactie gewijzigd door RobVI op 31 januari 2025 17:19]

gooos @supersnathan94 • 31 januari 2025 15:34

Die SMS is eigenlijk gewoon en TOTP via SMS.

Maar inderdaad, zou zelf ook graag mijn eigen 2FA app willen kiezen. Gewoon eentje die de standaard TOTP gebruikt zodat je niet aan weer een extra (overbodige) app zit. Is ook makkelijker mbt het maken van backups en in het geval van migratie naar een nieuwe telefoon.

Hagdos @supersnathan94 • 31 januari 2025 18:00

De 25% klopt niet, lees het artikel iets beter. Inloggen zonder 2fa is met 75% gedaald, maw het aantal inloggen zonder 2fa is nog maar 25% van wat het een jaar eerder was.

Op 500 miljoen inloggen waren er 90k zonder 2fa. Dat is ongeveer 0.02%

rbr320 @Hagdos • 1 februari 2025 00:48

Zowel jij als @supersnathan94 zitten er naast. De daling van 340k naar 90k gaat over gebruikers zonder 2fa. De 500 miljoen gaat over inlogpogingen, die kan je dus niet met elkaar vergelijken.

Volgens dit bericht op Tweakers van oktober vorig jaar heeft DigiD ongeveer 17 miljoen unieke gebruikers. Als 340 duizend daarvan geen gebruik maken van 2-factor authenticatie is dat ongeveer 2%. Een daling van 75% van deze gebruikersgroep naar 90 duizend betekend dat nu nog maar 0,5% van de DigiD-gebruikers zonder 2e factor inlogt.

@rbr320 • 1 februari 2025 14:50

Ja precies. Daar kwam ik can acht om 3 uur ook ongeveer achter, maar toen had ik geen zin meer om t aan te passen.

Aldy @supersnathan94 • 1 februari 2025 13:44

Ik vind het geen probleem zolang de beveiliging in orde is, maar ook het ontbreken van bijvoorbeeld faceID of touchID opties is gewoon een UX ding.

De mogelijkheid om met je vingerafdruk in te loggen is inmiddels al een tijdje ingebouwd.

mutley69 @Aldy • 1 februari 2025 14:08

Biometrie als beveiliging is niet zo veilig als velen beschouwen. Het hangt al af van de kwaliteit van de scanners - sommigen zijn vrij goed, velen (vooral low-end) zijn zwak. Zelf weiger ik elk gebruik, opslag en nazicht op mijn biometrische kenmerken - gewoon omdat iets wat waarneembaar is, nagebootst kan worden. Dat is logisch verstand en ik begrijp dan ook niet dat heel de wereld met biometrie wil werken als beveiligingsmethodiek! Ik weiger dat tot ik er bij neerval - gewoon omdat het idee op zich me al niet bevalt.

Aldy @mutley69 • 1 februari 2025 16:24

Mijn reactie betrof de opmerking dat er geen was. Maar je hebt volkomen gelijk met je opmerking dat sommige scanner ronduit zwak zijn. Zo is de scanner op mijn telefoon niet zo goed als op mijn laptop, deze is ronduit top.

Ik weiger dat tot ik er bij neerval - gewoon omdat het idee op zich me al niet bevalt.

Maar wat ga je doen als biometrie de enige mogelijkheid is?

RuudAnders

@3raser • 3 februari 2025 09:18

Welk beveiligingsprincipe zit er dan achter DigID? Ik kan er zelf zo niets over vinden.

Memori @marc574 • 31 januari 2025 14:35

Alleen moeten ze stoppen met zeuren om e-mailadres. Als ze me per sé willen bereiken, kan dat via een notificatie in de app, en anders via de post. E-mail is te laagdrempelig en ontvang je vrijwel veel meer berichten dan dat ze dat anders via de post zouden doen. Idem met de bank; e-mailadres krijgen ze niet van mij.

barefoot @Memori • 31 januari 2025 16:48

Notificaties in de app zijn minder laagdrempelig dan een email denk je?
Ik denk dat je je overtuigingen eens wat kunt checken, want ik heb nog nooit een email of notificatie van DigiD gehad.

Memori @barefoot • 31 januari 2025 16:52

E-mail zie je altijd, met een notificatie op het moment dat het binnnenkomt. Een notificatie in de app zie je alleen als je de app opent.

Aldy @Memori • 1 februari 2025 16:29

Maar DigiD doet helemaal niets met e-mail. En er wordt ook geen gebruik gemaakt van een pushnotificatie. Alleen als je de app niet gebruikt en er wordt gebruik gemaakt van 2FA, dan sturen ze je een sms, maar daarvoor hebben ze je telefoonnummer nodig.

Memori @Aldy • 1 februari 2025 17:27

Dan kan je je afvragen waarom ze uberhaupt om e-mail vragen.

Aldy @Memori • 1 februari 2025 17:51

DigiD heeft mij nog nooit om een e-mailadres gevraagd. Ben je niet in de war met iets anders?

Edit: Als je bij welke instantie of site je e-mailadres niet wilt geven, dan zijn er mogelijkheden genoeg om een eenmalig adres aan te maken. Dus ik snap het probleem helemaal niet.

[Reactie gewijzigd door Aldy op 1 februari 2025 17:54]

Memori @Aldy • 1 februari 2025 18:28

DigiD heeft mij meerdere malen gevraagd om e-mailadres bij het opstarten van de app. Als je in de app naar Menu > My DigiD > Email adres gaat kan je het ook invoeren.

dan zijn er mogelijkheden genoeg om een eenmalig adres aan te maken

Dat klopt. Maar bij zaken als DigiD is het toch iets officieler. Ten eerste wil ik niet dat enig info bij een eenmalige e-mail service belandt. Ten tweede ben je zelf verantwoordelijk voor het updaten van je e-mailadres gegevens bij alle diensten als je van e-mailadres veranderd.

Triblade_8472 @vespino • 31 januari 2025 13:58

Want dat werkt super met mensen zonder smartphone. (of mensen zonder telefoon)

Ik vindt het juist erg bizar dat de overheid geen offline alternatief heeft, via gemeentes, zoals een "reader" of een hardware token met display.

Er zij genoeg gevallen te verzinnen dat je juist geen app wil.

Sterker nog, ik vraag je ondertussen af of het niet gemakkelijker en/of goedkoper is een telefoon te hacken en remote de digid app te bedienen dan op een heel specifieke locatie een cell toren neer te zetten om sms'jes van een specifiek persoon te lezen.

[Reactie gewijzigd door Triblade_8472 op 31 januari 2025 13:58]

Beveiliging en antivirus

@Triblade_8472 • 31 januari 2025 14:01

Want dat werkt super met mensen zonder smartphone. (of mensen zonder telefoon)

Ook zonder mobiele telefoon kan je DigiD met 2FA via SMS gebruiken. DigiD bied namelijk ook een gesproken SMS aan, die kan dus ook met een vaste (of buitenlandse) telefoon gebruikt worden.

Zie https://www.digid.nl/inlogmethodes/sms-controle/

Natuurlijk zullen er ook mensen zijn die ook geen vaste telefoon hebben, naast geen mobiele telefoon, maar ik denk realistisch gezien dat je het dan wel over een héél kleine fractie van de mensen hebt.

Je kan je dan afvragen of de mensen die én geen mobiel én geen vaste telefoon hebben, dan wel een PC hebben, en dus DigiD wellicht helemaal niet nodig hebben.

En zelfs daar is nog aan gedacht, want je kan ook iemand machtigen. Dan doe je dat eenmalig bij die iemand via DigiD en heb je het zelf in principe nooit meer nodig.

[Reactie gewijzigd door wildhagen op 31 januari 2025 14:02]

The Zep Man

Beveiliging en antivirus

@wildhagen • 31 januari 2025 14:04

En zelfs daar is nog aan gedacht, want je kan ook iemand machtigen. Dan doe je dat eenmalig bij die iemand via DigiD en heb je het zelf in principe nooit meer nodig.

Dus je moet DigiD hebben om geen DigiD nodig te hebben?

Aldy @wildhagen • 1 februari 2025 16:35

Je kan je dan afvragen of de mensen die én geen mobiel én geen vaste telefoon hebben

De mensen die daaraan voldoen, die liggen volgens mij nog in de wieg of in hun graf.

En zelfs daar is nog aan gedacht, want je kan ook iemand machtigen. Dan doe je dat eenmalig bij die iemand via DigiD en heb je het zelf in principe nooit meer nodig.

Via een notariële machtiging heb je zelfs geen DigiD nodig om iemand anders te machtigen.

emeralda @Triblade_8472 • 31 januari 2025 17:03

Daar heb je de bibliotheek voor. Tegenwoordig werken daar mensen die je kunnen helpen met DigiD en MijnOverheid.

CrashOne @vespino • 31 januari 2025 13:54

Gewoon de standaard OTP implementeren graag. Wiel hoeft niet opnieuw uitgevonden te worden en dan kan iedereen z'n eigen app gebruiken.

The Zep Man

Beveiliging en antivirus

@CrashOne • 31 januari 2025 13:59

TOTP en passkey/WebAuthn-ondersteuning, graag. Beide open standaarden die het mogelijk maken dat men eigen applicaties gebruikt. Graag ook een webinterface bij de overheid waar iemand (na DigiD-authenticatie) kan inloggen om een PGP public key te uploaden, zodat berichten van de overheid veilig direct in de mailbox van de ontvanger afgeleverd kunnen worden.

Ach ja, dromen mag altijd, ook al zie ik dit nooit gebeuren.

[Reactie gewijzigd door The Zep Man op 31 januari 2025 18:42]

Carlos0_0 @The Zep Man • 31 januari 2025 14:58

Nou precies daarom gebruik ik gewoon nog met sms, werkt voor mij net zo prima.
Ik log 2 keer per jaar in ofzo met Digi ID, ga ik echt geen app voor installeren(Ook de berichtenbox niet).

gooos @Carlos0_0 • 31 januari 2025 15:36

Same.

Helaas de afgelopen maanden wel wat vaker DigiD moeten gebruiken, maar dat is tijdelijke aard.

Carlos0_0 @gooos • 31 januari 2025 15:44

Ja als ze nou eens ook normale 2fa gaan ondersteunen, zoals die van Microsoft of google wil ik best van de sms af.
Of in de tussentijd passkey zou ook nog kunnen, dus zolang dat niet zo is. blijf ik gewoon op sms zolang het kan.

Beveiliging en antivirus

@vespino • 31 januari 2025 13:55

DigiD heeft toch ook een eigen app voor iig Android en iOS? Dus 2FA via die app is al mogelijk, zonder SMS te hoeven gebruiken.

Of bedoel je een 2fa-app van een derde partij (Authy etc)? Want zover ik weet wordt dat door DigiD (nog?) niet ondersteund.

thomas_n @wildhagen • 31 januari 2025 14:17

Ik zou vooral hopen dat de app van DigiD via andere kanalen dan de appstores van Google en Apple verspreid gaat worden, zodat hij te gebruiken is als je niet akkoord gaat met de gebruiksvoorwaarden van deze bedrijven.

Ablaze @thomas_n • 31 januari 2025 19:50

Voor Android kun je volgens mij de DigiD app sinds kort gebruiken zonder Google. Maar waar de app dan gedownload en geüpdatet moet worden, weet ik zelf niet.

thomas_n @Ablaze • 31 januari 2025 22:05

Dat is toch wel een belangrijke vraag en het antwoord daarop wordt in elk geval niet duidelijk naar voren gebracht door DigiD, als er al een bevredigend antwoord is. (Dus niet iets als apkmirror o.i.d.)

emphy

@vespino • 31 januari 2025 13:56

Liever een apart kastje (of fido2) dan een app op de telefoon.

Bij mijn moeder zie ik, als ze met de bankzaken bezig is, dat ze 100keer beter om kan springen met zo een enkel-doel apparaatje dan altijd dat gehannes met een smafo applicatie.

Llopigat

Beveiliging en antivirus

@emphy • 31 januari 2025 15:04

Ja wat ik ook zie met die 2fa appjes is dat ze er continu aan lopen te rommelen. Steeds verandert de layout, branding en dat soort onzin. Veel oudere mensen snappen dat niet. Die 'calculator' blijft hetzelfde en ze kunnen de stappen gewoon opschrijven en volgen. Met die app updates wordt steeds de stoel onder ze vandaan getrokken.

rko4u @emphy • 31 januari 2025 15:23

U bedoelt zo‘n apparaatje dat altijd kwijt is als je het nodig hebt?

emphy

@rko4u • 31 januari 2025 15:25

Die kastjes hebben bij ons hun vaste plek, dus de mobiele telefoon raakt eerder kwijt.

gooos @emphy • 31 januari 2025 15:38

Hmm... nee liever niet, die moet je dan toevallig weer bij je hebben en het is altijd een gehannes als die batterijen (altijd op een ongelukkig moment) na een aantal jaar leeg zijn.

Ik heb mijn ouders juist de voordelen van een centrale app voor die tokens aangeleerd, ze weten waar ze moeten zijn voor 2FA codes en duidelijker dan dat wordt het niet voor ze.

Llopigat

Beveiliging en antivirus

@vespino • 31 januari 2025 15:02

Ja of gewoon Fido2/Webauthn/passkeys (Alle 3 dezelfde techniek maar andere naam)

R4gnax @vespino • 1 februari 2025 15:12

Nu nog 2fa met een eigen app ipv SMS.

Dat zou mensen verplichten de beschikking te hebben over een smartphone om van essentiële overheidsdiensten gebruik te maken, en zou hen verplichten in bed te gaan met Google of Apple om akkoord te gaan met de platform- en accountvoorwaarden om via de respectievelijke standaard app-store deze 2FA-app te installeren.

En dat moet dus gewoon niet gebeuren. Nooit niet.
Punt. Einde discussie.

Liever dan om van SMS naar een los kastje over te stappen zoals diverse banken gebruiken.
En anders stelt men maar aan alle burgers een hardwaresleutel beschikbaar.

[Reactie gewijzigd door R4gnax op 1 februari 2025 15:13]

Martijntjeh @vespino • 2 februari 2025 15:02

Helemaal mee eens!

31 januari 2025 14:19

Ben blij dat de overheid haar eigen 2FA app methodes gebruikt in deze (hetzij SMS of de DigiD-app).
Daarmee dwing je af dat mensen 2FA gebruiken, en zeker met het veiligheidsrisico van DigiD vind ik dat goed.

TOTP is enorm leuk, maar niets weerhoudt iemand ervan om deze TOTP codes te laten exposen door dezelfde applicatie die het wachtwoord van het account zelf opslaat. Dat is het feitelijk geen 2FA want de enigste "factor" is dan je wachtwoordmanager.

SgtElPotato @lodu • 31 januari 2025 14:34

Zie het steeds meer. Gebruikers die hun wachtwoorden dus netjes opslaan en laten genereren door een Password Manager, maar daar vervolgens ook de TOTP codes in opslaan........

@SgtElPotato • 31 januari 2025 15:55

Klopt, vind persoonlijk ook dat wachtwoordmanagers hun gebruikers wat meer mogen informeren hierover.

Overigens wordt dit probleem met passkeys ook niet opgelost helaas.

@lodu • 31 januari 2025 15:04

Het is wel degelijk een 2e factor, want die code is tijdsgebonden.

Je zult dus altijd toegang moeten hebben tot de wachtwoordmanager om erbij te kunnen.

Terwijl je met 1 keer het wachtwoord overschrijven wel altijd in kan loggen zonder 2fa.

De code an sich is niet de tweede factor, tijd is de tweede factor.

@supersnathan94 • 31 januari 2025 15:51

Dat is wanneer je wachtwoordmanager niet gehackt is inderdaad zo.
Maar dit is precies mijn punt: als je wachtwoordmanager wordt gehackt hebben ze EN je wachtwoord EN je TOTP, dan is het geen 2FA.

Vandaar dat ik blij ben dat de overheid dit doet, want je forceert dus dat het altijd 2FA is.

MadEgg @lodu • 31 januari 2025 16:08

Het is wel 2FA. Het is iets dat je hebt: je wachtwoordkluis, en iets dat je kent: het master password voor die kluis. Je kunt daar ook nog weer een fysieke USB key aan toevoegen.

Als ik de telefoon van mijn vrouw jat kan ik ook overal bij: ik heb haar telefoon en daar zitten alle wachtwoorden in, komt mail op binnen en sms, en bovendien weet ik haar wachtwoord. Is het dan geen 2FA meer? Natuurlijk wel.

@MadEgg • 31 januari 2025 16:17

Maar je hebt ook internet nodig, dat maakt het 3FA (/s)

Als je gewoon bitwarden gebruikt kan ik "je wachtwoordkluis" publiekelijk downloaden via https://bitwarden.com/download/ .

MadEgg @lodu • 31 januari 2025 17:30

Je hebt een wachtwoordkluis nodig. Als bitwarden die publiekelijk aanbied is dat een kwetsbare 2FA implementatie, uiteraard.

Als jij wachtwoord "1234" gebruikt dan is dat een onveilig wachtwoord. Maar het is nog steeds een wachtwoord.

Onveilige 2FA is nog steeds 2FA.

Ik heb ook mijn TOTP shared secrets in mijn keepass staan. Maar voordat je daarbij kunt moet je dus aan mij ontfutselen:

* Het wachtwoord (plus adres?) van mijn owncloud waar de kluis opstaat
* Het masterpassword van mijn keepass kluis
* Mijn hardware FIDO2 key-id

Kan het beter? Vast. Maar je bent er niet zomaar aan, en naar mijn mening is het zeker niet onveilig. En absoluut 2FA.

R4gnax @MadEgg • 1 februari 2025 15:27

Het is wel 2FA. Het is iets dat je hebt: je wachtwoordkluis, en iets dat je kent: het master password voor die kluis.

Als die kluis online staat, is het niet iets wat je hebt. Dan is het een online beschikbare resource die iedereen 'heeft' en is er daarmee dus ook geen sprake meer van een tweede factor.

@lodu • 31 januari 2025 16:17

Vandaar dat ik blij ben dat de overheid dit doet, want je forceert dus dat het altijd 2FA is.

Maar dat forceren ze nu pas. Tot 2022 kon je je belastingaangifte nog doen zonder 2FA. Dat de belastingdienst dat nu afdwingt zorgt er pas voor dat het daadwerkelijk wat doet. Nu moet je wel (en zelfs dan zijn er nog gebruikers zonder).

Maar dit is precies mijn punt: als je wachtwoordmanager wordt gehackt hebben ze EN je wachtwoord EN je TOTP, dan is het geen 2FA.

De default password manager die komt bij een willekeurige iPhone heeft minimaal 4 factoren nodig voordat jij daar ongeautoriseerd in kunt komen zonder toegang tot het toestel. Met toegang tot het toestel boeit het al niet meer, want dan is het net zoveel factoren als toegang tot de app.

Of het dan toegang tot de digid app is of toegang tot de manager maakt niet uit.

Als je app wordt “gehackt” (en laten we eerlijk zijn, hacken is gewoon social engineering tegenwoordig en geen technische hack) heb je username en password niet meer nodig, want dan voldoet de code voor de app.

@supersnathan94 • 31 januari 2025 16:24

Het maakt niet uit dat bij setup xyz je vier factoren nodig hebt.

Het gaat erom dat standaard TOTP's het mogelijk maken om je DigiD "2FA" zo in te stellen dat als de gegevens van je passwordmanager op straat liggen er maar één keer geauthenticeerd dient te worden om in te loggen.
Dat dat bij een Tweakers account kan, oké. Maar bij iets zo sensitief als een DigiD vind ik dat een kwalijke zaak.

@lodu • 31 januari 2025 23:27

Dat dat bij een Tweakers account kan, oké. Maar bij iets zo sensitief als een DigiD vind ik dat een kwalijke zaak.

Dan gebruik je het toch niet?

Het is niet sat je het moet gebruiken, het is een optie naast de app. Een optie die veiliger is dan helemaal niet en veel minder marge nodig heeft dan SMS (wat fire and forget is).

Het gaat erom dat standaard TOTP's het mogelijk maken om je DigiD "2FA" zo in te stellen dat als de gegevens van je passwordmanager op straat liggen er maar één keer geauthenticeerd dient te worden om in te loggen.

Er dient altijd geauthenticeerd te worden, alleen wat jij zegt is dus dat dat dan ook herhaalbaar te doen is op een ander device.

N8w8 @supersnathan94 • 31 januari 2025 16:01

De codes worden gemaakt door een gedeeld geheim, icm de tijd.
Dat _geheim_ is wat je dan in de beheerder zou opslaan.
Als je dat doet, naast het gewone wachtwoord, is de wachtwoordbeheerder de enige factor.
Als iemand 1x toegang daartoe heeft, kan ie dat wachtwoord en dat geheim kopieren en klaar.
De tijd heeft ie natuurlijk al beschikbaar, dus dan heeft ie alles dat nodig is om in te loggen.

gooos @lodu • 31 januari 2025 15:41

Het zou niet uit moeten maken (mits je een standaard wilt volgen) in welke app je tijd gebaseerde codes genereert. Ze verlopen immers toch vrijwel direct.

Dus liever een enkele app voor al mijn TOTP codes dan een losse erbij voor DigiD (vandaar dat ik DigiD nog via SMS laat lopen).

Visgek82 31 januari 2025 13:49

@gooos • 31 januari 2025 15:53

Het maakt nou juist uit in welke app je het doet.
Als je de TOTP's naast je wachtwoord in je wachtwoordmanager neerzet en je wachtwoordmanager wordt gehackt dan maakt het niet uit dat die codes verlopen.

Ze moeten gewoon 2fa verplichten , probleem opgelost. Sowieso voor alles wat "belangrijk" is , gewoon verplicht stellen.

Triblade_8472 @Visgek82 • 31 januari 2025 14:00

En wie gaat alle ouderen helpen met geen of verweg familie terwijl ze nog te goed zijn waardoor ze thuis moeten blijven wonen?

Bibliotheken zijn vaak onbereikbaar of duur om te komen. Daarnaast is het bij de beesten af dat je met je hele hebben en houden naar vreemden/vrijwilligers in een openbare ruimte toe moet voor iets waar digid bij nodig is.

Visgek82 @Triblade_8472 • 31 januari 2025 14:20

Er is altijd vanuit de gemeente of instanties zoals Salut (en consorten) voor die mensen een oplossing te vinden. deze mensen komen ook vaak gewoon thuis langs , je moet geen problemen bedenken die er niet zijn.

[Reactie gewijzigd door Visgek82 op 31 januari 2025 14:22]

poktor @Visgek82 • 31 januari 2025 15:17

Aan zulke mensen is een gigantisch tekort. Dus nee, die mensen zijn er bijna niet. Het is gewoon een groot probleem. Ongeveer eenderde van de bevolking is momenteel bejaard en er zijn gewoon te weinig mensen die voor ze kunnen zorgen. de andere eenderde is te jong en de laatste eenderde moet werken, dus heeft geen tijd. Kortom: mantelzorgers. Dat is de oplossing die onze regering toen bedacht heeft, nadat ze de verzorgingstehuizen hadden wegbezuinigd. Leuk bedacht, maar zonder familie ben je als bejaarde in deze tijd flink de pineut en mag je het zelf uitzoeken, ook als je dat niet meer kunt.

Visgek82 @poktor • 31 januari 2025 16:07

Tja, ik heb meerdere oude mensen aan computer hulp gekregen zonder enig probleem. dus het is echt niet overal een probleem - sommige moeten mss iets beter zoeken voor ze het afdoen als "het bestaat niet" of "men is te druk" . En ja, dus ook met digi-D etc.

[Reactie gewijzigd door Visgek82 op 31 januari 2025 16:08]

poktor @Visgek82 • 3 februari 2025 02:37

Jij helpt ze dus, hartelijk dank daarvoor! $_/-\o_$

SunnieNL

@Triblade_8472 • 31 januari 2025 16:48

Wie heeft die ouderen geholpen met het aanmaken van een digid account. Want dat is ook al een heel proces wat ouderen niet makkelijk kunnen doorlopen.

Dan is het op zich wel in te stellen dat ze een telefoontje krijgen op het moment dat ze proberen in te loggen en een stem alle nummers/letters noemt. Hoeven ze niet eens te leren hoe het werkt met de app. Gewoon telefoon opnemen luisteren en intypen.

RobVI @Visgek82 • 31 januari 2025 17:27

Dat doen ze ook, staat in het artikel.

WybrenPC 31 januari 2025 13:57

Ik vind het bijna nog verbazingwekkend dat je überhaupt nog in kan loggen zonder tweetraps authenticatie. Ik vind tweetraps authenticatie met sms al vrij discutabel, maar kan opzich inzien dat dit voor een oudere generatie die zich toch liever zonder smartphone door het leven begeeft wat toegankelijker is.

Eigenlijk zou het gewoon tijd worden dat voor die laatste 90.000 mensen bij de eerstvolgende inlog wordt verplicht om tweetraps authenticatie in twee stellen. Ben je gelijk van dat probleem af, en vooral omdat het ook gaat om een relatief kleine groep mensen waarvan het misschien zelfs beter is als ze in beeld komen om eventuele te helpen met dit soort digitale zaken.

Carlos0_0 @WybrenPC • 31 januari 2025 15:00

Nou ja voor die 2 keer per jaar gebruik ik ook gewoon sms, ik ga geen aparte app van de overheid installeren er voor.
Waarom kunnen ze geen passkey of de normale 2fa ondersteunen.

Dus kunnen mensen hun eigen app gebruiken van Microsoft of Google bijv.

synoniem 31 januari 2025 13:48

Ga er maar vanuit dat die 250.000 gebruikers van de Belastingdienst zijn die gedwongen waren 2FA in te stellen voordat ze aangifte konden doen. Ik heb er wel een paar moeten helpen om het ingesteld te krijgen.

Marctraider 31 januari 2025 14:30

SMS blijft het handigst.

Icm. KDE Connect komen alle berichten direct ook binnen op mijn PC / Surface tablet.

Ipv. onhandig elke keer de telefoon moeten pakken en QR codes scannen e.d.

FrostyPeet @Marctraider • 31 januari 2025 14:45

Als je een 4G router gebruikt, kan je met de webbrouwser de ingekomen sms-jes lezen en met copy/paste naar de DigID app overzetten. Dit werkt zelfs met een 40 euro 4G travel router. Als je full-Tweakers gaat, met twee van die 4G travel routers kan je een VPN opzetten van vakantieplek naar thuis. Via de "thuisrouter" handel je dan de sms-jes af.

@FrostyPeet • 1 februari 2025 14:59

But why? Je hebt al de digid app in je verhaal zitten.

FrostyPeet @supersnathan94 • 1 februari 2025 15:24

De DigID website. De webapp.

@Marctraider • 31 januari 2025 15:06

SMS blijft het handigst.

Ook het minst veilig. (Na geen 2Fa)

Japie api @supersnathan94 • 31 januari 2025 15:52

Heb je daar gegevens voor? Hoe vaak is er in Nederland misbruik gemeld?

@Japie api • 31 januari 2025 16:20

Moet je even de video van veritasium en LTT gaan bekijken. Misbruik daarvan gaat niet gemeld worden, want je hebt het niet door. Tenzij er op jouw naam iets is aangevraagd wat niet had gemoeten.

Ongeautoriseerde data inzage (medisch dossier oid) is niet traceerbaar op dat niveau, en de kans is groter dat dit gewoon via het ziekenhuis loopt.

mr_evil08 @supersnathan94 • 31 januari 2025 16:24

Je kan gewoon zien wanneer je voor de laatste keer hebt ingelogd.

@mr_evil08 • 31 januari 2025 23:27

En dat ga jij doen als je geen misbruik verdenkt?

Nee dus.

mr_evil08 @supersnathan94 • 1 februari 2025 09:36

Grootste probleem zit in dat mensen overal hetzelfde wachtwoord gebruiken.

@mr_evil08 • 1 februari 2025 14:59

Ja. Maar helpt ook niet als websites het gebruik van wachtwoordmanagers niet goed ondersteunen.

Hoe vaak je niet een website tegenkomt waar de default iOS wactwoordmanager geen password kan genereren omdag het geen correct wachtwoordveld paar is … vet irritant.

Hoe hard moet je het dan stuk ontwikkelen wil dat zelfs niet eens meer werken.

Ook partijen zoals Leaseplan heb en gewoon jaren een kapotte login gehad waarbij je als je wilde inloggen je wachtwoord moest resetten, want leaseplan wist het niet meer. Kwam ne er gewoon niet in met het opgeslagen wachtwoord.

Japie api @supersnathan94 • 31 januari 2025 16:43

Dus je hebt geen gegevens en geen aantallen.

@Japie api • 31 januari 2025 23:29

Nou en? We weten al jaren dat er actief misbruikte exploits zijn voor 2FA, met sms. Echt heel dom om daar nu nog om bewijs te gaan lopen vragen. T internet staat vol met voorbeelden. Van kleinschalige, targetted attacks, tot grotere issues met tientallen tot honderden targets.

En dan ga je mij nu specifiek vragen om getallen? Ja doei. Kijk ff rond op het internet. 2FA via SMS is niet velig. Punt.

@Japie api • 1 februari 2025 14:48

Ja als je dat niet hebt meegekregen heb je echt onder een steen geleefd on heel eerlijk te zijn.

Bekende youtubers zoals Linus Tech Tips en anderen hebben hier gewoon hard last van gehad enkele jaren geleden al.

R4gnax @supersnathan94 • 1 februari 2025 15:34

Bekende youtubers zoals Linus Tech Tips

Omdat zij specifiek doelwit waren als person of interest.

Iemand aanvallen via SMS is een precies werkje waarbij je communicatie tussen mast en mobiel af moet vangen en dus fysiek in de buurt moet zijn; waarbij je toegang moet hebben tot de juiste serie masten in het netwerk van de mobiele provider waar de SMSjes in kwestie over getransporteerd worden; of waarbij je via social engineering een alternatieve SIM moet weten te bemachtigen.

Aanvallen op smart phones middels malware daarentegen...

Wist je bijv. dat het jarenlang mogelijk was dat je malware op je Android telefoon had die via de accessibility APIs van het OS alle TOTP one-time codes mee kon lezen? En in voorkomend geval het opvragen van een code zelfs in de achtergrond kon automatiseren? Of de secret key kon exporteren en daarmee de TOTP generator kon klonen?

Daar door getroffen worden behoefde niet dat je een 'interessant persoon' zou zijn die uitgelicht aangevallen werd. Alleen maar dat je op het foute moment een app draaide met een geinfecteerde advertentie-SDK.

[Reactie gewijzigd door R4gnax op 1 februari 2025 15:36]

@R4gnax • 2 februari 2025 16:34

Iemand aanvallen via SMS is een precies werkje waarbij je communicatie tussen mast en mobiel af moet vangen en dus fysiek in de buurt moet zijn; waarbij je toegang moet hebben tot de juiste serie masten in het netwerk van de mobiele provider waar de SMSjes in kwestie over getransporteerd worden; of waarbij je via social engineering een alternatieve SIM moet weten te bemachtigen.

Nope. Kan allemaal remote, op grote schaal en volledig geautomatiseerd.
YouTube: Exposing The Flaw In Our Phone System

SMS is echt een stuk slechter gemaakt dan je denkt hoor. Het hele systeem berust op vertrouwen. Nog voordat het internet door slechte mensen werd bezocht.

R4gnax @supersnathan94 • 3 februari 2025 20:34

4G draait vziw niet meer op SS7. Kwestie van de 'home' telcos die een verzoek om een IMSI op te vragen voor een nummer dat geregistreerd is als een normale consumenten mobiele telefoon, niet meer zouden moeten honoreren. Geen manier meer om arbitrair een IMSI op te vragen? Geen manier meer om je op het netwerk te begeven en je voor te doen als de ander.

Je kunt inderdaad remote inbreken en als je het nummer van iemand kent, met wat geluk de IMSI lospeuteren en aan de gang gaan. Maar volledig geautomatiseerd en op grote schaal kan het niet.
Je moet nog steeds telefoonnummers hebben die al gecorreleerd zijn a/h persoon, en vervolgens moet je daar de IMSI bij op lepelen. Wat ook niet altijd lukt. Dat is een kat-en-muis spel waar zaken zoals zwakke verdediging bij sommige providers; en weigeren tot toegang bij teveel herhalende requests om de hoek komen kijken. Volledig automatiseren lukt daarom (gelukkig) niet echt.

Als je het filmpje er op na kijkt (ik kende hem trouwens; maar was me ontschoten dat je inderdaad remote aanvallen hiermee kon doen), dan zie je op het einde ook dat er gezegd wordt: het wordt alsnog veruit het meeste toegepast in gevallen van specifieke persons of interest.

[Reactie gewijzigd door R4gnax op 3 februari 2025 20:46]

@R4gnax • 3 februari 2025 21:45

4G draait vziw niet meer op SS7.

Dat klopt. Maar totdat alles tot 4G volledig is uitgefaseerd (wat echt nog wel even gaat duren aangezien dat dus fallback is) is het nog gewoon actief en kun je het niet tegengaan.

in gevallen van specifieke persons of interest.

Als het om een aanval gaat ja, maar Voip Scams gebruiken dit soort trucjes ook en dat is op massa schaal.

Daarnaast zijn die token hijack dingen ook op basis van PoI, want je gaat niet geautomatiseerd van 1 set devices ineens op 1 miljoen digid accounts inloggen. Misschien de ling term storage en dat je dan in een DB terecht komt oid, maar er zal wel degelijk veel moeite gestoken moeten worden in het verkrijgen van jouw creds en token.

Japie api @supersnathan94 • 1 februari 2025 15:21

Och hemel, een YouTuber heeft er last van gehad.

spep 31 januari 2025 13:58

@Japie api • 2 februari 2025 16:35

Niet een Youtuber, een aantal. Best wel veel en met behoorlijke impact.

De verhalen van Joe Schmoe ga je niet horen/vinden in 2 tellen, maar dit is echt het topje van de ijsberg hoor.

Wanneer gaat de overheid , apparaten gratis uitgeven , die al die "aps" kunnen draaien ?

Lekker makkelijk , verplicht upgraden van me swing 500

Beveiliging en antivirus

@spep • 31 januari 2025 14:03

Je hebt helemaal geen app (en dus smartphone) of mobiele telefoon nodig voor 2FA.

SMS-en kan ook op een traditionele feature phone, en als zelfs die niet aanwezig is, kan je ook via je vaste telefoonlijn werken, door de gesproken SMS dienst die DigiD aanbied. Zie https://www.digid.nl/inlogmethodes/sms-controle/

Die werkt op zowel mobiele telefoon, vaste telefoon, en zelfs op buitenlandse telefoons.

[Reactie gewijzigd door wildhagen op 31 januari 2025 14:04]

Beveiliging en antivirus

@wildhagen • 31 januari 2025 14:19

Hoewel SMS inderdaad werkt, is het plan wel om daar van af te stappen.

Op zich zijn er in theorie prima mogelijkheden om veilige 2FA te doen met moderne ID-kaarten en goedkope USB-scanners, dus zo'n drama hoeft het niet te zijn, maar ik zou er niet van uitgaan dat SMS-verificatie over een paar jaar nog werkt.

Carlos0_0 @GertMenkel • 31 januari 2025 15:03

Als ze dan eens normaal doen bij de Overheid, oke ik zeg al iets geks op zich nu(Overheid en normaal).
Ik heb ook sms omdat ik geen app van de overheid wil, die 2 keer per jaar hoef en wil ik geen aparte app voor.

Laat mij gewoon authentication van Microsoft gebruiken(Of google etc),zelfs nu zou passkey ook nog kunnen.

Beveiliging en antivirus

@Carlos0_0 • 31 januari 2025 18:16

Zo gek vind ik het ook weer niet. Alleen gebruikersnaam en wachtwoord gaat in de praktijk zo vaak fout dat het praktisch waardeloos is. De klassieke TOTP authenticator mag van mij ook wel weer op de schop, daarmee is phishing veel te makkelijk. Die codes worden net zo makkelijk gephisht als gebruikersnaam en wachtwoord, dat voegt bescherming toe tegen credential stuffing maar meer ook niet.

Niet voor niets dwingt Microsoft tegenwoordig af dat je zo'n getal in moet voeren in het 2FA-prompt. Tegen phishing doet de Digid-app tenminste nog een goede poging (je moet verifiëren dat je inlogt op de sociale dienst waarop je denkt in te loggen op de app, al is dat nog steeds niet volledig phishingresistent). Met TOTP krijg je dat simpelweg niet voor elkaar.

Passkeys zouden phishing effectief onmogelijk maken zonder XSS, dus dat lijkt me een prima alternatief voor de app. Aan de andere kant lijken browsermakers er een sport van te maken passkeys zo moeilijk mogelijk te maken voor leken (helemaal de browsers die hun eigen passkeys synchroniseren, zoals Chrome/Edge/Safari, die gebruikers zo hard mogelijk proberen om te leiden naar hún superspeciale passkeys).

Ook zijn er voor de app makkelijke en snelle herstelopties door de NFC-chip van je ID-bewijs te scannen en voor passkeys niet. Eén keer je laptop laten vallen en je kunt je belastingaangifte niet meer doen, ook niet heel erg fijn. Zolang je minstens twee sleutels (waaronder bijvoorbeeld een Yubikey) hebt is herstel nog eenvoudig, maar daarna wordt het ineens heel lastig.

pheppy @GertMenkel • 1 februari 2025 00:50

Precies. Inloggen me slechts TOTP als 2FA is niet voldoende om de voldoen aan europeese afspraken voor een hogere betrouwbaarheid. TOTP biedt weinig bescherming tegen geavanceerde aanvallen. Daarvoor is het nodig dat je in het inlogproces de naam van de website via een onafhankelijk 2de kanaal kan controleren. Een app is daar heel geschikt voor. Een losse token met scherm en toetsen kan ook, maar 14milj van die tokens is best kostbaar.
Het zou trouwens ook mooi zijn om bij ondertekenen van een belangrijk bericht naar de overheid, net als bij mijn bank in de app, bijvoorbeeld te zien welk bankrekeningnummer is dat ik zojuist heb geregistreerd bij de Belastingdienst voor teruggave van omzetbelasting.

Tenslotte is het niet toevallig dat een bank ook niet slechts TOTP gebruikt voor veiligheid maar meestal een app met een onafhankelijk 2de kanaal. Ik begrijp wel dat mensen liever geen app van de overheid op hun telefoon willen hebben. Maar voor de betrouwbaarheid van inloggen zijn er volgens mij op dit moment niet veel goede alternatieven.

Beveiliging en antivirus

@pheppy • 1 februari 2025 13:25

Ik denk dat hier een grote kans ligt voor open source systemen als OpenID Connect. Er is duidelijk behoefte aan betere authenticatie. Passkeys beginnen langzaam toch op te komen. TOTP wordt niet meer vertrouwd door de grote spelers die daar ooit in voorop liepen.

Het is tijd voor een nieuwe 2FA-standaard, die de trucs van Apple/Google/Microsoft met hun pop-ups en interactieve verificatie kan evenaren, zonder vendor-lock-in. In principe is de hele flow niet meer dan een (optionele) pushnotificatie en twee of drie HTTP-calls nadat de gebruiker gegevens gecheckt heeft. In theorie kun je zelfs verder gaan (zoals het scannen van een QR-code na het invoeren van een PIN zoals bij Steam en Discord en WhatsApp en Signal en Digid).

Ik zou niets liever willen dan een onafhankelijke app gebruiken voor algemene 2FA met de overheid, maar er is op het moment niets dat daar veilig genoeg voor is. Misschien tijd voor een open specificatie?

R4gnax @GertMenkel • 1 februari 2025 15:24

Die standaard is er al. Dat is FIDO, icm WebAuthn.

Beveiliging en antivirus

@R4gnax • 1 februari 2025 15:36

FIDO voldoet niet aan de Europese eisen zolang je geen bevestiging moet geven dat je inderdaad wilt inloggen op de dienst waar je een token voor genereert (die bevestiging mag niet komen van de website waar je op inlogt om overduidelijke phishingredenen). Ook is de implementatie ervan nogal matig.

Ik heb liever een "bevestig dat jij probeert in te loggen door een getal over te typen" popup dan de "digid.overheid.nl wil inloggen. Klik op één van de drie onderstaande opties om een sleutel te kiezen (als je de verkeerde kiest krijg je een foutmelding)" flow. Daarnaast is het niet mogelijk je eigen CTAP2-implementatie op je telefoon te zetten zonder de ROM van je telefoon te saboteren, iets wat met een pushgebaseerde app geen enkel probleem zou zijn.

R4gnax @GertMenkel • 1 februari 2025 15:39

FIDO voldoet niet aan de Europese eisen zolang je geen bevestiging moet geven dat je inderdaad wilt inloggen op de dienst waar je een token voor genereert (die bevestiging mag niet komen van de website waar je op inlogt om overduidelijke phishingredenen). Ook is de implementatie ervan nogal matig.

FIDO voldoet omdat FIDO protocolmatig niet eens het verzoek zal inwilligen als de verzoekende website niet overeenkomt met een geregistreerd origin in de authenticator, zoals aangelegd bij registratie van je account - of achteraf bij het koppelen van de authenticator als alternatieve tweede factor.

Je hoeft niet te vragen "weet je zeker dat [..]?" waar het fysiek onmogelijk is om in de situatie "dat niet [..]" te eindigen.

[Reactie gewijzigd door R4gnax op 1 februari 2025 15:40]

Beveiliging en antivirus

@R4gnax • 1 februari 2025 15:45

Met "de dienst" bedoel ik "de belastingdienst" of "je gemeente". Wat FIDO2 aanbiedt is "https://digid.overheid.nl" (en in theorie een public key, maar Ik ken geen implementaties die die laat zien).

De enige oplossing die ik kan bedenken om met de huidige standaard zo'n bevestiging te verzekeren zou zijn om een FIDO-token te genereren per overheidsdienst, maar dan kun je net zo goed Digid helemaal afschaffen, want dan zit je effectief met duizend overheidsaccounts.

R4gnax @GertMenkel • 1 februari 2025 15:50

De FIDO protocollen bevatten gewoon ondersteuning voor metadata, waar ook de aanvrager voor een login in kan staan. Het is enkel een kwestie dat niet alle authenticators ondersteuning hebben om deze metadata aan eindgebuikers te kunnen tonen. Omdat FIDO generiek is, en dus ook voor simpele hardwaresleutels met USB-key vormfactor moet kunnen werken.

FIDO bevat echter ook attestation-APIs waarmee aanvragers kunnen checken of de authenticator geschikt is om dit soort metadata te tonen, en dus specifiek authenticators die dit niet kunnen, kan weigeren.

Beveiliging en antivirus

@R4gnax • 1 februari 2025 16:16

Interessant, ik heb die optie nog nergens voorbij zien komen en ik probeer toch al een tijdje waar dat kan passkeys te gebruiken. Ik kan het ook niet zo snel vinden in de specs of voorbeelden (ik zie wel specs voor metadata maar dat gaat vooral over remote attestation).

Weet je toevallig een demo of een screenshot te vinden van hoe zulke metadata tijdens het inloggen wordt getoond?

R4gnax @GertMenkel • 1 februari 2025 16:21

Helaas; ik heb ze ook niet voorradig. Ergens een jaar, mogelijk twee, geleden eens ingedoken en door specificaties heen a/h lezen gegaan. Maar geen concrete referenties van bewaard.

Beveiliging en antivirus

@R4gnax • 1 februari 2025 17:37

Jammer. Toch fijn om te weten dat er zo'n mechanisme beschikbaar zou moeten zijn, ook al lijkt het in de praktijk nog niet zo veel gebruikt te worden.

Beveiliging en antivirus
Digid

@wildhagen • 31 januari 2025 14:16

SMS-en kan ook op een traditionele feature phone

Maar alle experts raden af om dat te doen omdat SMS tegenwoordig vrij makkelijk onderschept kan worden. Ik snap waarom het systeem is zoals het is, de overheid moet immers ook rekening houden met mensen die geen moderne smartphone hebben, maar het blijft een hekel punt.

Ik vind het geen gekke suggestie van @spep dat de overheid zou moeten zorgen voor een goedkoop maar veilig en modern apparaat om apps op te draaien die haast noodzakelijk zijn. Dat kost natuurlijk een hoop geld en moeite maar daar staat tegenover dat die veiligheid op termijn ook een hoop geld en ellende zou moeten schelen.

Nu staat SMS by default aan voor miljoenen gebruikers die het niet nodig hebben, dat heeft ook z'n prijs. Banken hebben jarenlang authenticatie-tokens en -kastjes verstrekt aan hun klanten, dit is niet anders.

Beveiliging en antivirus

@CAPSLOCK2000 • 31 januari 2025 14:19

[...]

Maar alle experts raden af om dat te doen omdat SMS tegenwoordig vrij makkelijk onderschept kan worden. Ik snap waarom het systeem is zoals het is, de overheid moet immers ook rekening houden met mensen die geen moderne smartphone hebben, maar het blijft een hekel punt.

Helemaal mee eens dat 2FA via SMS niet veilig is, maar het alternatief is momenteel dus alleen username+password. Ik denk dat we het er allemaal wel over eens kunnen zijn dat dat nóg onveiliger en onwenselijker is.

2fa via SMS is dus inderdaad niet ideaal, maar het is nog altijd beter dan helemaal géén 2fa.

De optie 2FA met SMS schrappen gaat niet snel/korte-termijn gebeuren vermoed ik, juist door de vele mensen die geen smartphone hebben, of een smartphone met een ander OS dan Android of iOS (zover ik weet is de DigiD-app alleen op die 2 OS-en ondersteund).

Beveiliging en antivirus
Digid

@wildhagen • 31 januari 2025 14:22

De optie 2FA met SMS schrappen gaat niet snel gebeuren vermoed ik, juist door de vele mensen die geen smartphone hebben, of een smartphone met een ander OS dan Android of iOS (zover ik weet is de DigiD-app alleen op die 2 OS-en ondersteund).

Dan snap ik je reactie op @spep niet want die wil daar iets aan doen en jij zegt dat het niet nodig. Niemand heeft voorgesteld om 2FA uit te schakelen.

comecme @CAPSLOCK2000 • 31 januari 2025 19:28

Nu staat SMS by default aan voor miljoenen gebruikers die het niet nodig hebben

Wat bedoel je?

Gaag het je om de (on)veiligheid? Of denk je dat het geld kost dat de mogelijkheid aanwezig is?

Je kunt in ieder geval bij DigiD instellen dat je de optie voor SMS niet wilt krijgen

Beveiliging en antivirus
Digid

@comecme • 1 februari 2025 14:36

Gaag het je om de (on)veiligheid? Of denk je dat het geld kost dat de mogelijkheid aanwezig is?
Je kunt in ieder geval bij DigiD instellen dat je de optie voor SMS niet wilt krijgen

SMS is inderdaad onveilig. Je kan het anders instellen maar de meeste mensen zullen dat nooit doen.

Pieter3318 @CAPSLOCK2000 • 1 februari 2025 01:51

Want elke feature phone is oud en onbetrouwbaar. Er zijn miljoenen feature phones in de omloop bij bijvoorbeeld personeel in de zorg, en heel veel ouderen, maar ook jongere mindervaliden, hebben er één, omdat ze lichamelijk beperkt zijn, en simpelweg niet met een smartphone om kunnen gaan, door die beperking. Ik neem als voorbeeld mijn partner, kan alles met een pc, dertig plus jaar commerciële functies, maar nu, dankzij artrose, is typen lastig en vermoeiend en een smartphone iets wat ze niet vast kan houden, maar haar CAT feature phone, is modern, veilig, en maakt gebruik van VoLTE om te bellen. Laten we de Nokia van Rutte lekker bij Rutte houden, er zijn ook mensen met een feature phone, die gewoon midden in het leven staan.

[Reactie gewijzigd door Pieter3318 op 1 februari 2025 01:53]

Beveiliging en antivirus
Digid

@Pieter3318 • 1 februari 2025 14:57

Want elke feature phone is oud en onbetrouwbaar.

Het probleem is niet de telefoon maar het netwerk. SMS is niet veilig en kan relatief eenvoudig worden onderschept en dat gebeurt ook echt.

Er zijn miljoenen feature phones in de omloop bij bijvoorbeeld personeel in de zorg, en heel veel ouderen, maar ook jongere mindervaliden, hebben er één, omdat ze lichamelijk beperkt zijn, en simpelweg niet met een smartphone om kunnen gaan, door die beperking. Ik neem als voorbeeld mijn partner, kan alles met een pc, dertig plus jaar commerciële functies, maar nu, dankzij artrose, is typen lastig en vermoeiend en een smartphone iets wat ze niet vast kan houden, maar haar CAT feature phone, is modern, veilig, en maakt gebruik van VoLTE om te bellen.

Ik wil niemand buitensluiten en voor iedereen moet er een werkbaar alternatief zijn maar de default keuze moet wel relatief veilig zijn. SMS is dat niet. Je zou kunnen zeggen dat het alleen maar pesterij is om mensen die het toch al moeilijk hebben te dwingen en onveilig authenticatiemiddel te gebruiken.
Er zijn tegenwoordig een hoop alternatieven zoals hardware security tokens.

Ik kan er mee leven dat SMS als optie beschikbaar blijft voor wie geen alternatief heeft, maar het zou niet de default moeten zijn voor heel Nederland.

Laten we de Nokia van Rutte lekker bij Rutte houden, er zijn ook mensen met een feature phone, die gewoon midden in het leven staan.

Ik snap werkelijk niet dat die man is weggekomen met zo'n grove schending van de nationale veiligheid. Ik vrees dat het betekent dat ze in Den Haag massaal de regels rond telefoons schenden. Ergens begrijpelijk, want de regels zijn enorm streng en lastig uitvoerbaar, maar tegelijkerijd volledig onacceptabel.

R4gnax @CAPSLOCK2000 • 1 februari 2025 15:20

Maar alle experts raden af om dat te doen omdat SMS tegenwoordig vrij makkelijk onderschept kan worden

Dat vereist nog steeds dat men in de omgeving is van de telefoon of een mast binnen het netwerk van de provider, waar de SMS overheen loopt. SMS is een risico als je ihb een doelwit bent -- een expliciet person of interest.

Daarentegen is 2FA middels een smartphone minstens zo gevaarlijk. Want die smartphone is een apparaat voor dagelijks gebruik dat ongehinderd aan internet verbonden is en waar aan de lopende band allerlei security problemen mee gevonden worden die door malware ge-exploiteerd kunnen worden.

Op Android is het bijv. lange tijd mogelijk geweest voor malware om covert de accessibility APIs aan te zetten en mee te lezen met TOTP one-time codes.

En dat soort aanvallen kan gewoon in bulk plaatsvinden van overal over de hele wereld. Daarvoor hoef jij niet ihb uitgezocht te zijn.

Het veiligste -- en eigenlijk het enige wat daadwerkelijk een compleet gescheiden tweede factor is -- is wat een aantal banken jarenlang deed: een los kastje, niet verbonden met internet.

[Reactie gewijzigd door R4gnax op 1 februari 2025 15:21]

Pieter3318 @R4gnax • 12 februari 2025 19:45

Er was een programma om je met DigiD aan te melden met id check, onder windows, ideal voor mensen met een beperking, want grote schermen ed. Dat programma staat schijnbaar in de windows store ijskast, want ik kan het wel installeren, omdat ik het ooit gehad heb, maar nieuw is het niet meer te vinden. Daar spreekt een "ons zal het niet overkomen" houding uit in de Haag, digitaal levensgevaarlijk.

MadEgg @wildhagen • 31 januari 2025 16:04

Vaak wel, niet altijd. Voor het verlengen van mijn rijbewijs was het “veiligheidsniveau” van SMS niet voldoende. Ik werd gedwongen de app daarvoor te installeren, anders geen rijbewijs aanvragen. Dit ondanks dat ik in persoon naar het gemeentehuis moet om mijn nieuwe rijbewijs op te halen…

Die app is er na de aanvraag direct weer afgegaan, ik hoef niet voor alles een app. Maar je ontkomt er soms dus niet aan.

SirBlade @spep • 31 januari 2025 14:54

Op zich zou dat helemaal geen slecht idee zijn. Een dichtgetimmerde smartphone met een speciale appstore waarin alleen apps van overheid, banken, verzekeraars en dergelijke staan. Sim met een kleine databundel erin. En geef voor minime kosten (niet gratis, want dan gaan mensen er waardeloos mee om) aan iedere volwassen Nederlander die geen geschikt device voor digid heeft.

Pieter3318 @SirBlade • 1 februari 2025 01:57

Voor heel veel mensen, is een smartphone simpelweg geen keuze, door grijp problemen, of, zoals ook mijn partner, weigerende touch schermen, door vingers die door een aandoening steenkoud blijven. Niet alles is maakbaar.

@Pieter3318 • 4 februari 2025 15:58

ik pak nu de eerste random even, maar daar heb je dus hulpmiddelen voor zoals deze: uitvoering: Doro Stylus

Niet alles is maakbaar.

hoe bedoel je dat?

Pieter3318 @supersnathan94 • 12 februari 2025 19:39

Ik bedoel dat zoals ik het zeg. Ik zie zeker het belang van 2FA, hè,ik ben ict er, maar op een gegeven moment moet je beseffen dat dat voor mensen met fysieke problemen niet werkbaar is. Je geeft als voorbeeld de stylus, dat geeft al aan, dat je totaal het probleem niet begrijpt. De smartphone op zich is voor sommige mensen al een uitdaging, het vasthouden ervan bedoel ik. Er zou een oplossing komen in de vorm van een digitale id check, maar het programma dat dat zou moeten doen, is officieel op windows niet meer vindbaar, om over andere os maar te zwijgen. Als je fysieke niets mankeert, is het prima te doen, natuurlijk, doe ik ook, mankeer je wel iets, dan is het houtje touwtje.

x280 31 januari 2025 15:54

@Pieter3318 • 12 februari 2025 22:36

De smartphone op zich is voor sommige mensen al een uitdaging, het vasthouden ervan bedoel ik.

Fair, maar ook daarvoor geldt dat er oplossingen voor zijn.

Ik bedoel dat zoals ik het zeg.

tsja, Ik ben het eens met je eerdere stelling, maar alleen met de kanttekening dat het afhankelijk is van context en vooral budget/baten. Is het het waard om te maken? Voor iets simpels als DigID waarvan ik ook vind dat de overheid het accessibility vraagstuk maar op moet lossen is dat het denk ik niet, maar voor andere zaken denk ik het wel. Ik denk dat er wel degelijk oplossingen zijn voor de issues die je aanhaalt, maar dat het ook een groot deel maatwerk gaat zijn wat niet per se de eerste keer gelijk goed gaat zijn.

Ook dat is research en development natuurlijk.

Je noemt 2 dingen die naar mijn mening (Laten we even zeggen, de situatie dat ik mijn smartphone niet vast mag houden) op zichzelf, prima oplosbaar zijn en gecombineerd op zich ook. En dat hoeft niet eens per se houtje touwtje. Er zijn heel wat bedrijven die specifieke oplossingen maken juist voor dit soort problemen. In samenwerking met partijen zoals Apple die ook gigantisch veel onderzoek en ontwikkeling hier in doen. Je kunt ieder iOS apparaat bedienen met allerlei soorten externe input. Van standaard muis en toetsenbord tot losse buttons en joysticks. In combinatie met partijen zoals SmallRig die allerlei montage oplossingen maken (met standaard afmetingen voor allerlei custom bouwsels)

Kijk, ik heb geen idee van jullie situatie en weinig idee van hoe een fysiek issue iemand in het dagelijks leven kan belemmeren dus ik wil jullie daarin ook niet wegzetten dat het allemaal wel meevalt ofzo, maar ik denk echt wel dat er serieus veel meer maakbaar is in deze wereld dan je nu doet voorkomen. Ook op dat vlak.

2FA schiet inmiddels zijn doel voorbij, wij zijn thuis met zijn 5en. En hebben 2 telefoons, hoe moeten de kids nou een DIGID app hebben ? Vroeger was het genoeg om een telefoon nummer op te geven en kreeg je een sms. Nu ben je bij sommige diensten verplicht om de app te gebruiken en dat kan niet op dezelfde telefoon.

@x280 • 31 januari 2025 16:21

Je moet dan ook voor kids onder de 18 eenmalig een machtiging afgeven dat jij het mag doen met jouw account.

x280 @supersnathan94 • 2 februari 2025 17:41

Die verloopt elk jaar toch ?

Japie api @x280 • 31 januari 2025 16:45

Wel eens van meerdere gebruikers op een telefoon gehoord? Met Android super makkelijk.

x280 @Japie api • 2 februari 2025 17:42

Apple hier … geen android.