Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 56 reacties
Bron: Planet.nl, submitter: MRic3

Vanaf 1 januari 2005 kunnen burgers zich bij een groot aantal overheidsdiensten aanmelden met één inlogcode, zo meldt Planet.nl. De Nieuwe Authenticatievoorziening (NAV), ofwel 'Burgerpin' is begonnen aan een proefperiode in Enschede, maar zal weldra ook in de rest van het land beschikbaar zijn. Deelnemende instanties zijn de Belastingdienst, het Centrum voor Werk en Inkomen (CWI) en sociale verzekeraars SVB en UWV. Uitvoerende organisatie is de BKWI, onderdeel van het CWI, en de zogenaamde Egem zal door voorlichting proberen zoveel mogelijk gemeenten te helpen bij de invoering van het systeem. Dat laatste zou onder meer moeten gebeuren door middel van een groot congres op 5 oktober; een 'onmisbaar evenement' voor elke gemeente die 'elektronische dienstverlening een flinke impuls wil geven', aldus een woordvoerder.Burgerpin / NAV

Aanmelden voor de NAV is voor burgers vrijwillig en kan tezijnertijd plaatsvinden via een speciaal opgezette website. Daar moeten naam, geboortedatum, postcode, huisnummer, sofi-nummer en eventueel een e-mailadres achtergelaten worden, en moet akkoord gegaan worden met een disclaimer en een privacyverklaring. De eerste stelt grofweg dat de BKWI niet verantwoordelijk is voor misbruik of diefstal van persoonlijke gegevens, waarbij wel opgemerkt moet worden dat er volgens de website grote zorg besteed is aan de veiligheid van het systeem. De privacyverklaring stelt op zijn beurt dat de BKWI ook geen verantwoordelijkheid op zich neemt voor hoe deelnemende instanties omgaan met de aan de NAV verstrekte gegevens, en wijst erop dat er automatisch 'beperkte informatie' verzameld wordt over individueel gebruik van de NAV.

Moderatie-faq Wijzig weergave

Reacties (56)

Vanaf 1 januari 2005 kunnen burgers zich bij een groot aantal overheidsdiensten aanmelden met één inlogcode
Ik heb nu voor alle zaken een ander wachtwoord, juist m.b.t. veiligheid. Ga je toch niet overal hetzelfde wachtwoord gebruiken zeg, dat is alleen voor mensen met een slecht geheugen handig, verder niet.
ik zou het aantal mensen met een slecht geheugen niet onderschatten, eerlijk gezegd...
Je eigen geheugen zou ik overigens ook niet overschatten. Als je ouder wordt, wordt hij toch echt ongemerkt minder hoor :+. En je merkt het pas wanneer je iets uit je geheugen probeert op te diepen en alleen nog maar weet dat je het ooit wist :D.

Of erger nog: dat je niet meer weet dat je het ooit wist en daardoor overtuigd bent dat je het nooit geweten hebt.

Als dat je gebeurt, dan weet je dat je oud aan het worden bent. En als je dan OOK nog eens niemand vertrouwt, wordt je zo'n paranoide ouwe lul :7.
Ga je toch niet overal hetzelfde wachtwoord gebruiken zeg, dat is alleen voor mensen met een slecht geheugen handig, verder niet.
Kun jij twintig verschillende 8 karakter random passwords onthouden dan?
Ik niet.
En een password dat (deels) systematisch is af te leiden van de site die je bezoekt is ook niet veilig.
Hoe doe jij dat dan?
Gebruik gewoon een password safe. Zit gewoon in Mozillla en er zijn zat open source plug-ins. Deze houden gewoon al je passwords bij en onthouden al je login gegevens bij een bepaalde webpagina. Het enige extra dat deze dienst mogelijk toevoegd is dat je iets meer zekerheid dat iemand is wie hij/zij beweert te zijn.
De site bevat weinig informatie over hoe ze denken te kunnen garanderen dat een centrale authenticatie beter is. Bij de meeste instanties moet je toch ook in persoon langs, dan kunnen ze je net zo goed gelijk de relevante info geven voor online toegang.
als ze ook gebruik maken van 1 (type) authenticatie server dan is dit best veilig... zolang verschillende organisaties deze servers zelf niet gaan draaien :)
Geeft een lekker veilig gevoel al je persoonlijke gegevens online op 1 plek bij de overheid...

Ook fijn dat ze op de webserver meteen een visitekaartje zetten welke versies ze voor alles gebruiken...
Apache/1.3.22 (Unix) (Red-Hat/Linux) mod_perl/1.24_01 PHP/4.2.2 FrontPage/5.0.2 mod_ssl/2.8.5 OpenSSL/0.9.6b
Beveiliging
De NAV gebruikt krachtige versleutelingtechnologie om de op onze server verzamelde persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking.
ik zou bijna weer vertrouwen in telebankieren krijgen :'(

maar hebben ze het nu gefixt want ik zie de error niet op een 404 staan?

onder tussen ff aan het googlen geweest:
Volgens dit document van Surfnet draait de authenticatie site dus op een A-Select, Java en SSL, oplossing.

En hier de auteurs zelf.

Je eigen Burgerpin site maken? Het kan allemaal! Een mooie handleiding in het OpenDir Protocol... (dit zou toch eigenlijk naar geenstijl moeten...)
http://www.burgerpin.nl/Templates/Backup%20Burgerpin_templates/documen tatie.txt
http://www.alfa-ariss.com/nl/pers/index.htm

Het is nog open source ook, zullen we es kijken of dat gaat werken hier, gezien het gemiddeld IT amateurisme bij de overheid ben ik bang dat hier onnodig open source een slechte naam van gaat oplopen.
Ik heb liever 1 plek die goed beveiligd is/wordt voor alle overheidsdiensten samen dan dat alle diensten onafhankelijk van elkaar iets dergelijks proberen aan te bieden waar het beveiligingsbudget per site stukken kleiner is.
Misschien is een combinatie mogelijk: een portal waar je voor moet inloggen, en vanaf daar kun je dan inloggen op de sites van alle overheidsdiensten?
"Misschien is een combinatie mogelijk: een portal waar je voor moet inloggen, en vanaf daar kun je dan inloggen op de sites van alle overheidsdiensten?"

Dat is precies het idee van de NAV. Je probeert op een overheidssite een beveiligd gedeelte te betreden (bijvoorbeeld om een vergunning aan te vragen ofzo), en dan wordt je automagisch doorgestuurd naar de NAV. Je logt in bij de NAV, en die stuurt jou weer door naar de website waar je vandaan kwam, die dan jouw identiteit (je sofinummer) kan opvragen.
Jouw account-gegevens liggen dus alleen vast bij de NAV, de deelnemende website krijgt alleen jouw sofinummer. Jouw gemeente zou jou via de Gemeentelijke Basis-Administratie terug kunnen vinden via je sofinummer, en jou je kapvergunning kunnen toesturen.
Aha, ook http://uptime.netcraft.com/up/graph/?host=www.burgerpin.nl gekeken zag ik (8>
29-Sep-2003 66.70.159.65
Zo, daar is men lang mee bezig geweest, als er nu pas een proefperiode begint... ;)
Pleuren ze eerst een paar miljoen in PKI-Overheid, en dan gaan ze er niet eens gebruik van maken om veilige, op Smart-Card teechnologie gebaseerde hardware tokens mee te vullen.. Tja....
Tjees, inderdaad. Het feit dat er al geen gebruik gemaakt wordt van eerder gedane investeringen vertelt mij al wel hoe amateuristisch dit allemaal geregeld is. Zeker weer één of andere erezaak van één of andere ambtenaar. Je zou toch verwachten dat in het informatietijdperk er één ministerie is die alle coordineert waardoor er geen wildgroei plaats kan vinden.

Wacht maar af, dit gaat een hoop geld kosten en er komt niks van terecht. Zo gauw je er belangrijke dingen mee kunt doen, dingen waarmee je geld kunt besparen (belasting, uitkering), is het lonend om het systeem te hacken. En dan is dat binnen een maandje gebeurd en is het hele systeem in één klap waardeloos geworden en het geld weg.

En dat terwijl een goed geimplementeerde PKI aantoonbaar veilig is! Een pincode is te moeilijk om te onthouden voor veel mensen, maar omdat hij zo kort is, schrijven veel mensen hem dus ergens op. Een opgeschreven geheim IS geen geheim.

Een digitale handtekening is te moeilijk om op te schrijven, dus de kans dat mensen het ergens laten slingeren is, zeg maar, 0. Wat je daarentegen wel weer moet hebben is een goede opslag van je sleutels, want onthouden is ook te moeilijk. Doe dat dan met een chipkaart of een USB key ofzo. Oplossingen genoeg. Een USB key met persoonlijke gegevens laat je niet zomaar rondslingeren. En desnoods zet je een pincode op de USB key. Die schrijven mensen dan wel weer op, maar als je die dan kwijt raakt heeft de dief nog niet je sleutels, want daar heeft hij dan je USB key voor nodig.

Vergeleken met de miljoenen die je toch al hebt uitgegeven, en de honderdduizenden die dit tot mislukken gedoemde project gaan kosten, is die paar tienduizend euro voor USB keys een schijntje.

De overheid zou een voorbeeld moeten nemen aan Rabobank Internetbankieren. Daar wordt een reader gebruikt waar een unieke sleutel in zit die met een pincode beschermd is. Vervang die reader door een makkelijker uit te lezen USB ding en wat software en je bent klaar.

Sterker nog, de software is er allemaal al.
De overheid zou een voorbeeld moeten nemen aan Rabobank Internetbankieren. Daar wordt een reader gebruikt waar een unieke sleutel in zit die met een pincode beschermd is. Vervang die reader door een makkelijker uit te lezen USB ding en wat software en je bent klaar.
Die rabo reader is 'Security Through Obscurity', die dame van de Rabobank die mij probeerde over te halen om te gaan telebankieren wilde het maar al te graag demonstreren.
Nou goed dan, ik tik m'n pincode expres verkeerd in -> geval zegt: verkeerde pincode.

Hoe weet dat ding wat mijn pincode is? Staat dat toevallig op mijn pasje? Is mijn pasje dus veilig bij een criminele organisatie? Is telebankieren via een reader dus veilig(er)?

edit: het schijnt dat de rabo/abn beide in zee zijn gegaan voor het online bankieren met het zelfde bedrijf dat deze burgerpin heeft gemaakt ;) dus ze nemen zelfs een voorbeeld.
Ze kunnen toch een hash van je PIN opslaan, net zoals met wachtwoorden in computer systemen gebeurd? Kan je ook alleen maar zeggen of-ie goed of fout is, maar niet achterhalen wàt de PIN is.
Ik ben het helemaal met je eens. Als dit systeem alleen op een pincode gebaseerd is zonder dat je ook een fysiek middel (pasje of hardware key) krijgt dat jou uniek identificeert is het intrinsiek onveilig en dus m.i. een zeer slechte investering :(

Maar de miljoenen die Nederland in PKI gestopt heeft zijn volgens mij alleen uitgegeven omdat we gedwongen waren het te doen door de veel strakkere Europese regelgeving op dit gebied.

Iig moet de Nederlandse overheid zich schamen met dit halfslachtige zwabberende beleid. Op dit punt doen de Belgen het veel beter (en slimmer ;)) dan wij.
"Als dit systeem alleen op een pincode gebaseerd is zonder dat je ook een fysiek middel (pasje of hardware key) krijgt dat jou uniek identificeert is het intrinsiek onveilig en dus m.i. een zeer slechte investering"

De NAV is geen failsafe systeem. Maar dat is ook niet het doel: het doel is om met 'redelijke zekerheid' vast te stellen dat jij bent wie je zegt dat je bent. Je zult dus ook niet alle zaken via de NAV-authenticatie kunnen gaan regelen, omdat daar meer zekerheid voor nodig is dan de NAV kan bieden.
De NAV zal in gemeente-land vooral ingezet gaan worden voor het aanvragen van gemeentelijke producten, zoals bijvoorbeeld kapvergunningen en uittreksels uit het bevolkingsregister. Aan dat soort producten zijn ook kosten verbonden die je online moet voldoen. De kans dat iemand jouw NAV-account hackt en vervolgens gaat betalen om jou een kapvergunning toe te laten zenden die je niet hebt aangevraagd, lijkt mij redelijk klein -- en gezien de aard van het product lijkt mij dat risico zeker aanvaardbaar.

De NAV is in ieder geval goedkoper dan dat je iedere burger met zo'n pasjes-ding gaat uitrusten: daar heb je dan ook een hele support-organisatie voor nodig als die dingen stuk gaan enzovoorts. En dat terwijl je voor de meeste producten die je online zou willen aanbieden een dergelijke mate van zekerheid niets toevoegd.

Uiteindelijk zal de NAV ons (de burgers) dus geld besparen, omdat de duurdere authenticatie-methodes niet aangeschaft hoeven te worden!
Daar moeten naam, geboortedatum, postcode, huisnummer, sofi-nummer en eventueel een e-mailadres.
Dat is toch geen geheime info?
Kun je je dan niet zo aanmelden als iemand anders?
Maar als ze per post een (aangetekende) brief naar je huis-adres sturen met daarin je wachtwoord dan valt het wel mee.
Of ze laten hem gewoon ophalen op het gemeentehuis waar je je moet legitimeren. Is nog iets veiliger..
Ohja, want post wordt tenslotte nooit gestolen :Z Ik kan me nog een grootschalige creditcard fraude zaak herinneren waarbij de creditcards werden aangevraagd en uit de post werden gevist zonder dat de persoon op wiens naam ze werden aangevraagd daar ooit wat van gemerkt had.

Ik vind dit een slechte zaak. "Wij zijn niet verantwoordelijk voor diefstal van informatie", "wij zijn niet verantwoordelijk voor misbruik van informatie", "wij zullen zelf informatie verzamelen". Ik doe hier niet aan mee. Ten eerste waag ik te betwijfelen dat het voldoende veilig is, ten tweede waag ik te betwijfelen dat ik voldoende beschermd wordt tegen identity theft (wat dus ook inhoud dat _ik_ niet verantwoordelijk kan worden gesteld) en ten derde zie ik absoluut niet in wat voor voordeel ik hier _zelf_ uit kan halen...
Ze sturen je pincode toch ook op naar je pstadres?
Inderdaad... maar ik moest de pas persoonlijk bij mijn bank activeren waarbij ik me ook moest legitimeren. Of dit bij alle banken zo is, weet ik niet, maar er zijn dus wel banken die daar al rekening mee houden.
Ik snap niet dat iedereen weer een nieuw nummer krijgt.

Daar hadden we het sofinummer toch voor.

Overbodig??? Toen het sofinummer in het leven geroepen werd, was dit het nummer waarmee je je kon indendificeren bij alle overheids instellingen, waarvan de belasting dienst voor de overheid de belanrijkste was....

Waarom moeten er nu weer nieuwe nummers gemaakt worden als er al zo iets is.... Kost ook weer het nodige...
Het probleem is dat sofi-nummers niet altijd uniek aan een persoon gekoppeld kan worden. Het is voorgekomen dat massa's asielzoekers hetzelfde nummer gebruikten...
\[bron: computable <1 jaar geleden]
dat was dan een foutje, een SOFI nummer moet per persoon uniek zijn maar jah de nederlandse overheid doet toch altijd dubbel werk
Een sofi-nummer is bedoelt zodat de overheid makkelijk gegevens aan een persoon kan koppelen (nl door het nummer), maar jouw sofinummer is bekend bij jouw werkgevers en voormalige werkgevers, staat op je identiteitsbewijs ed en is dus niet geschikt om je ook te authenticeren als die persoon: een heleboel mensen weten jouw sofi-nummer of kunnen daar makkelijk achterkomen.
Er zitten nogal wat problemen aan een centrale authenticatie database ruwweg zij die hetzelfde als aan een centraal electronisch identiteitsbewijs. Kortweg, database is nooit veilig te krijgen, het blijft altijd mogelijk om een valse identiteit geregistreerd te krijgen (via omkoping, diefstal, etc.), het geeft overheid veel meer controle over de burger, het lost geen probleem op dat niet al anders op te lossen is, etc.
Een slecht idee dus om hier als burger aan mee te werken.
Is dit de tegenhanger van de 'token' (een kaartje met allerlei codes voor bijkomende veiligheid naast een zelfgekozen gebruikersnaam en wachtwoord) voor de e-Gov-portaal van de Belgische overheidsdiensten? Of moet ik dit eerder zien als een tegenhanger voor de digitale identiteitskaart die bij ons (zijnde België) er aan zit te komen?
Want hoe ver zit Nederland eigenlijk op e-Gov-gebied?
Ongeveer in de steentijd :Y)
In de steentijd was het veeeel veiliger!
Had je dit soort dingen niet eens nodig ;)
daarom was 40 jaar toen ook oud voor een mens.
ze gingen allemaal dood van verveling omdat het zo saai was.
@punk

Alleen de minder intillegente mensen, slimme mensen blijven der vanaf ;).
Natturlijke selectie!!!
Heh, de hele dag achter de hertjes aan rennen is inderdaad ook niet alles :P
nu gaan ze op hun 18e dood aan een pilletje of een lijntje teveel. ook leuk
Ik vraag me ook af waar de overheid mee bezig is. Dit SingleSignOn principe wat de overheid nu introduceerd heb ik al kennis mee mogen maken tijdens een Fastlane (mini-seminar) over opensource op TINE 2004.

Een ambtenaar van binnenlandsezaken genaamd Jan Moelker vertelde over het gebruik van OpenSource binnen de overheid en ook over burgerpin. Over de veiligheid van een dergelijk systeem was ik redelijk sceptisch en ik heb hem naar afloop de exact volgende vraag gesteld:
Zorgt het singlesign on principe wat de overheid nastreeft, waarbij iemand zich identificeert met een enkele gebruikersId, wachtwoord of andere authenticatie methode er niet voor dat identiteitsfraude en diefstal veel makkelijk wordt doordat een aanvaller enkel toegang tot een systeem te krijgen en daarmee de idenitteit van het slachtoffer zonder problemen compleet overnemen?"
Het antwoord wat ik daar op kreeg was het volgende:
En toen ging de heer Moelker antwoord geven ik kreeg echt een monoloog van 5 minuten naar mijn hoofdgeslingerd en dat eindigde uiteindelijk over het feit dat de overheid zelfs actief met virus bestreiding bezig was en hiervoor de CERT had opgericht, niet echt een bevredigend antwoord dus, maar ik nam er genoegen mee, al was het alleen maar omdat ik niet nog zo'n enorm verhaal naar me hoofd geslingerd wilde krijgen.
Destijds deden ze er al vaag over, ik heb er helemaal geen vertrouwen in!

Ik heb die stukjes van mijn weblog gekopieerd trouwens.. vandaar dat ik dat nog zo goed weet ;)
Best een goeie taktiek, niet? Net zo lang lullen totdat iedereen murw is geworden en iedereen zijn vragen vergeet. :D

Het zal wel als volgt ingevoerd gaan worden:

1. Men voere het in, maar in eerste instantie zal het alleen gebruikt worden voor niet-kritieke dingen als het opvragen van je burgergegevens en het verkrijgen van nieuws. Mogelijk een mailing list waar toch niemand op zit te wachten omdat ze het ook in het lokale zeikertje kunnen lezen.

2. Na verloop van tijd blijkt het 'veilig' te zijn. De eerste iets kritiekere dingen worden toegevoegd, zoals het in- en uitschrijven in de gemeente. In eerste instantie komt er nog een controleur langs.

3. Na verloop van tijd blijkt dat het nooit misbruikt wordt en 'dus' is het veilig en dus zijn de controleurs ook niet meer nodig. De volgende stap is het regelen van gemeentezaken als het opgeven van je onroerende zaken voor bijvoorbeeld de gemeentebelastingen. Ook hier wordt in het begin nog gecontroleerd, maar later niet meer.

4. Na een jaar blijkt dat niemand er misbruik van heeft gemaakt en dus wordt er weer geconcludeerd dat het veilig is. Fase 4 gaat in: het regelen van je uitkering, ook uitkeringstrekkers hebben inmiddels computers en een modem. In het begin wordt er nog gecontroleerd.

5. Ook nu wordt er geen fraude gepleegd en 'dus' is het veilig. De controles worden dus verminderd of zelfs stopgezet, alles is toch veilig.

6. Het systeem stort in omdat hackers/fraudeurs al twee jaar lang aan het wachten zijn totdat de controles verminderd of zelfs stopgezet worden.

Het probleem is dat je gewoon niet empyrisch kunt bewijzen dat iets veilig is. Er hoeft maar één ding niet te kloppen en het hele systeem valt om. Absolute veiligheid heb je alleen als je absoluut 100% wiskundig kunt bewijzen dat het systeem veilig is. En daarvoor moet je alle parameters kennen. De chaos-theorie vertelt ons dat het onmogelijk is om alle parameters te kennen.

Als je empyrisch gaat 'bewijzen' dat iets veilig is zeg je in feite van te voren al dat je niet alle parameters kent. Anders had je de veiligheid dus wel wiskundig kunnen bewijzen.

Edit:

Overigens schrijf je 'bestreiding' niet met 'ei' maar met 'ij' :+.
Handig al die informatie op 1 plek en notabene ook nog op het internet aangesloten, is wat minder werk voor personen die hier misbruik van willen maken :)
Wauw, wat nieuw.

Ik werk op een ROC en wij hebben sinds 2 jaar al een Identity Management programma lopen. Afgelopen zomer een major update gehad, leraren kunnen nu thuis cijfers invoeren, leerlingen krijgen een SMS als hun cijfer bekend is, en dat allemaal met reverse proxies en 128 bits SSL, draaiend op Novell NetWare 6.5. Stuk veiliger dan wat de overheid zelf in elkaar heeft geprutst.
En hoeveel miljoen gebruikers ondersteund het?
Hoeveel verschillende gebruikersgroepen kunnen hoeveel verschillende handelingen doen?

Dit soort kleinschalige (ja, ja de ROC zal best een paar duizend leerlingen hebben, maar geen duizenden leraren) projecten zijn natuurlijk niet te vergelijken met het koppelen van systemen van de sociale diensten in Nederland, diensten burgerzaken enz enz.

Maar dat ik ook wel graag een token gezien had lijkt mij duidelijk.
Miljoenen? eDirectory (en als het op NW draait zal het daar wel gebruik van maken) ondersteunt er zo een miljard. ;) Qua schaalbaarheid en rechtenstructuur bestaat er weinig beters dan dat.

Ik snap ook niet helemaal wat het grote voordeel van dat A-Select boven een directory service met iets als kerberos erbovenop is. Klinkt als duplicatie van bestaande functionaliteit. :)
eDirectory 8.7.3 (wat wij gebruiken als directory) ondersteunt miljarden gebruikers. Er is nog geen directory op aarde die groot genoeg is om de eDirectory tot op de limiet te testen.

Wij draaien het met z'n 10.000 leerlingen en 1.000 docenten, op een 1 gbit surfnet connectie waar ook nog al het internetverkeer van alle locaties overheen gaat. Servers staan uit hun neus te eten, en de gbit connectie is voor zo'n 15-20% belast.
Wat is hier nieuw aan? Ik gebruik al een tijdje bugMeNot.com en het bevalt me prima. Ik heb daarnet nog wat inlogcodes voor belastingdienst.nl toegevoegd.
Briljand idee om daar al je wachtwoorden op die bugMeNot.com site te zetten. Ziet er uit als een stelletje hackers en ze zijn pasgeleden bij hun laatste provider weggetrapt. Maar ze gaan vast heel voorzichtig met jouw wachtwoorden om hoor :+
Bugmenot is ook niet bedoeld om wachtwoorden geheim te houden. Het werkt precies andersom. Al die sites waarvoor je je eerst even moet aanmelden zoals Volkskrant, AD, etc. zijn bij Bugmenot op te vragen. Zo heb je snel en zonder gedoe toegang tot de site.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True