Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 138 reacties

Het kabinet overweegt het moeilijker maken om een DigiD aan te vragen of te wijzigen, om te voorkomen dat er fraude wordt gepleegd. Mogelijk moeten gebruikers zich dan aan een balie van de gemeente legitimeren.

DigiD embleemHet kabinet maakt binnenkort bekend hoe het DigiD op korte termijn beter wil beschermen, schrijft minister Ronald Plasterk van Binnenlandse Zaken aan de Tweede Kamer. Op de langere termijn wil het kabinet DigiD geheel vervangen door eID, een systeem met smartcards, maar tot het zover is wil het kabinet voorkomen dat er nog makkelijk fraude wordt gepleegd.

Dat kan betekenen dat Nederlanders die een DigiD-account willen activeren, zichzelf aan een balie van de gemeente moeten identificeren, blijkt uit de brief van Plasterk: de bewindsman houdt de mogelijkheid open dat er met een 'balieprocedure gewerkt moet gaan worden'. Het kabinet moet nog besluiten of een strenger uitgiftebeleid voor heel Nederland gaat gelden, of enkel voor gebieden waar veel wordt gefraudeerd. Volgens Plasterk weegt de hogere bescherming op tegen de extra tijd die burgers kwijt zijn.

Op dit moment moeten DigiD's nog worden geverifieerd met een code die wordt verzonden per post, maar dat die methode fraudegevoelig is, is bekend. Het onderscheppen van de post is genoeg om een DigiD-account van een ander te onderscheppen. Bij mensen die een uitkering of toeslagen krijgen, kan dat ervoor zorgen dat het rekeningnummer wordt gewijzigd en het geld naar een andere rekening wordt overgeschreven.

Dat is precies wat onlangs gebeurde in Amsterdam, zo wist De Volkskrant eerder deze week te melden. Kwaadwillenden hebben eind vorig jaar met 150 tot 400 DigiD-accounts gefraudeerd. Volgens Plasterk hebben de fraudeurs daarbij zes keer een uitkering op hun rekening laten storten. Tegen de fraudeurs is aangifte gedaan.

Moderatie-faq Wijzig weergave

Reacties (138)

Het onderscheppen van de post is genoeg om een DigiD-account van een ander te onderscheppen.
Moet je niet ook nog een wachtwoord hebben dan?
Nee, hier de methode:

- Vraag een nieuw digid aan met de NAW-gegevens en BSN van je slachtoffer
(Het oude DigiD vervalt dan automatisch)
- Hengel de activatiebrief uit de brievenbus van je slachtoffer
- Activeer het nieuwe DigiD, wachtwoord mag je dan zelf verzinnen, evenals een GSM eraan koppelen
- Wijzig het bankrekeningnummer waarop toeslagen, uitkeringen, belastingteruggaves worden gestort.

klaar.
Komt via hetzelfde kanaal; kan dus ook onderschept worden
Dan is het wel slecht ja. Bij het aanmaken van je account moet je dan je wachtwoord per mail/sms toegezonden krijgen, en je activatiecode per post. Dan zou het al een stuk veiliger zijn. Of zelf een wachtwoord kiezen online, dan is het niet eens te onderscheppen.
Wachtwoorden toezenden per mail/sms is al net zo fraudegevoelig. Email is niet versleuteld en dus eenvoudig te onderscheppen, en ook voor het opgeven van een mobiel nummer voor sms wordt gebruik gemaakt van sleutels die per post verstuurd worden.

Overigens kun je ook nu al inloggen met een sms-code; je kunt kiezen of je met alleen een wachtwoord inlogt, of met een wachtwoord én sms-code. Die laatste methode is uiteraard een stuk veiliger, maar zoals gezegd ook lang niet waterdicht. Maar in ieder geval maak je het hackers wat moeilijker.
De overheid weet wel waar de persoon met bsn 1111.11.1111 woont, maar niet wat zijn email adres of mobiele telefoonnummer is.

Dus wat let je om een digid aan te vragen voor een bsn nummer wat niet voor jou is als je een email adres (van google of yahoo bijvoorbeeld) of een prepaid telefoonnummer hebt.

Na veranderen van het wachtwoord kan je het digid gebruiken om toeslagen aan te vragen.

Het initiële paswoord per post toesturen is toch een stuk veiliger.
De overheid weet wel waar de persoon met bsn 1111.11.1111 woont, maar niet wat zijn email adres of mobiele telefoonnummer is.

Dus wat let je om een digid aan te vragen voor een bsn nummer wat niet voor jou is als je een email adres (van google of yahoo bijvoorbeeld) of een prepaid telefoonnummer hebt.

Na veranderen van het wachtwoord kan je het digid gebruiken om toeslagen aan te vragen.

Het initiële paswoord per post toesturen is toch een stuk veiliger.
Tuurlijk wel, kwestie van de afluister databases van de aivd en mivd naast 't gba & justitiële record leggen, maar dan komen wij burgers weer klagen dat onze privacy wordt geschonden :+
Je hebt oo dit moment bij digid de volgende beveiliging niveaus
Basis
Gebruikersnaam en wachtwoord
Midden
Gebruikersnaam, wachtwoord en sms-code
Hoog
Pasje met chip (nog niet beschikbaar)
Dus je moet in de toekomst mogelijk eerst naar de balie in je gemeente om een DigID aan te vragen die je vervolgens moet gebruiken om thuis zaken te regelen die je bij diezelfde balie had kunnen regelen?

Overheid logica......
Eenmalig naar een balie om te activeren, waarna je vervolgens nooit meer langs een balie hoeft, is hetzelfde als voor ieder dingetje langs de balie?

sapphire-logica...
Ik gebruik mijn digid 1x per jaar met de belastingaangifte en misschien een enkele keer voor iets anders (verhuizing ofzo). Voor de overige zaken die ik wil regelen moet ik toch in persoon naar de balie dus ja voor mij heeft het weinig nut.

Voer dan één systeem in wat goed werkt en waarbij je alles thuis met je DigID kan regelen, en niet sommige dingen wel en sommige niet. Óf doe alles gewoon via de balie (en versoepel de openingstijden ofzo).
- mijnpensioenoverzicht
- Zorgzaken
- Politiezaken
- SVB
- (oud)Studenten: DUO
- Gemeentezaken
- belasingdienst / toeslagen

Je gebruikt het wellicht niet vaak, maar je zult het steeds vaker gaan zien in combinatie met landelijk geregelde zaken. En wellicht zou je het wel vaker moeten gebruiken. Iedereen heeft immers (als voorbeelden) met de SVB en zijn pensioen te maken. Ik vind het zelf nuttig om er minstens 1 keer per jaar even aandacht aan te besteden.

De lijst wordt langer en langer, voor een compleet overzicht, kijk hier
Inderdaad en wat mij betreft mag digid ook door commerciële partijen gebruikt worden als indentificatie. Er zijn nu al diverse zorgverzekeraars die er gebruik van maken. Ik log inmiddels zo vaak in met digid dat ik het wachtwoord uit mijn hoofd ken, iets dat ik bij de jaarlijkse belastingaangifte altijd vergat.

Wat betreft het aanmelden bij de balie in de gemeente is prima, mits de procedure snel gaat. Wel voorzie ik rond april een enorme piek bij de gemeente omdat dan veel mensen de digid code zijn vergeten, maar dit probleem lost zich vanzelf op, wanneer meer partijen aansluiten.
Dat bestaat al: http://www.eherkenning.nl/

En dat wordt al door veel partijen in de afgelopen jaren gebruikt. De overheid met een eID plan is een beetje raar bezig. Zie o.a. http://blog.connectis.nl/...velingen-eid-stelsel.html
eHerkenning is alleen voor bedrijven en gaat er binnen afzienbare tijd uit, ministerie van EZ is op zoek naar een identificatiemiddel a la random reader van de bank. Bron heb ik even niet paraat maar ik werkte tot voor kort bij EZ en zat er dicht op.

Edit: gevonden, op http://www.eherkenning.nl/faq/: "Momenteel zijn er ontwikkelingen rondom het Stelsel eID NL. Binnen het eID stelsel NL worden bestaande voorzieningen gekoppeld, waaronder eHerkenning en DigiD. Op dit moment zijn beide voorzieningen actief in werking. Dit blijft zo, ook als eID operationeel wordt. Concreet betekent dit dat dienstverleners gewoon kunnen blijven aansluiten. Een investering in DigiD en eHerkenning blijft toekomst vast. U hoeft, wanneer eHerkenning opgaat in eID, eHerkenning niet opnieuw te implementeren."

[Reactie gewijzigd door dr0ptheb0mb op 12 januari 2014 08:29]

Maar punt is dat het digitaal herkennen van bedrijven niet heel anders is dan het digitaal herkennen van personen, en dat de techniek en infrastructuur er dus in feite al is, het moet alleen een beetje uitgebreid worden. Maar men lijkt liever het gehele wiel opnieuw uit te willen vinden...
Ja en nee. In het geval van bedrijven gaat het (in elk geval voor EZ) vaak om aanvraag en toekenning van subsidiegelden en daarbij zijn niet per definitie dezelfde autorisatieniveau's van toepassing als voor burgers.
Inderdaad en wat mij betreft mag digid ook door commerciële partijen gebruikt worden als indentificatie.
Dit is een zeer slecht idee. De eigenaar van de digid service (de overheid dus) kan namelijk precies zien wanneer jij waar ingelogd bent. Dat is precies zo'n stukje metadata waar een geïnteresseerde heel veel uit kan afleiden.

Ik vind het dus al twijfelachtig dat ziektekosten verzekeraars tegenwoordig digid gebruiken voor hun online activiteiten. Het gaat de overheid niks aan hoe vaak ik bij mijn ziektekosten verzekeraar inlog.

Bovendien is het digid systeem een geweldig aantrekkelijk doelwit voor criminele en veiligheidsdiensten. Hetzij om de metadata te bemachtigen, hetzij om het systeem te compromitteren en in 1 klap de online identiteit van alle Nederlanders te kunnen stelen en misbruiken.

[Reactie gewijzigd door locke960 op 11 januari 2014 12:25]

Tevens heeft de Belastingdienst vorig jaar november/december massaal de toeslagenbeschikkingen voor 2014 elektronisch medegedeeld via de berichtenbox van mijnOverheid (inloggen met DigId). Iedereen met een DigId, die een Toeslagenbrief op papier heeft gekregen heeft deze ook elektronisch gekregen. Dat was een eerste massale "proef". Dit jaar volgen als het goed is ook nog andere toeslagenberichten. Ook is het plan om eind dit jaar te starten met de "echte" belastingberichten (waar onder voorlopige aanslag, definitieve aanslag). Tevens is het de bedoeling dat in 2014 de wet EBV (Elektronisch BerichtenVerkeer) aan de kamer wordt aangeboden (2013 is niet gehaald...). Dat betekent voor zover ik nu weet dat iedereen verplicht gaat worden digitaal met de overheid te gaan communiceren i.p.v. papier. Hoe men met uitzonderingsgroepen wil omgaan is nog niet bekend evenmin hoe snel alles gaat... Dat zal wel gefaseerd gaan worden.
Zo vaak gebruik jij 'm misschien niet, maar anderen wel. Ikzelf heb DigiD bijna maandelijks nodig voor een van het volgende:
- Inloggen zorgverzekering, DUO of Studielink
- Toeslagen
- Belastingaangifte

allemaal dingetjes waarvoor ik liever niet naar een balie ga.
Of in mijn geval het straks veranderen van mijn parkeervergunning naar een ander kenteken. Geen gezeur dat je naar een loket moet om weer een paar uur kwijt te zijn.
...WW-uitkering aanvragen. Als je werkloos wordt maak je pas veel gebruik van je DigiD: dagelijks/wekelijks je sollicitaties doorgeven, berichten lezen, tests doen, etc...
Ware het niet dat je maar één keer naar de balie hoeft en vervolgens alles thuis kunt doen. Dus je bespaart nog wel de nodige tripjes, want over het algemeen moet je op dit moment voor het meeste gemeentespul naar de balie.

Valt dus wel mee lijkt me. Ik vind dit zo slecht nog niet, als dit fraude moeilijke maakt is een éénmalig bezoek aan een balie toch niet zo'n probleem lijkt me?
Nou ja je kunt niet alles doen wat je aan die balie had moeten doen en alles wat je met een DigiD kunt doen kun je over het algemeen niet aan die balie doen, omdat het 9 van de 10 keer geen gemeentezaken zijn.....
En als je je wachtwoord eens per jaar wil wijzigen uit veiligheidsoverwegingen?

Het gevaar wordt dat mensen aldoor maar hetzelfde wachtwoord blijven gebruiken, ook dat is niet heel slim.

En wat...een smartcard??? Een overheid en een smartcard....
En als je je wachtwoord eens per jaar wil wijzigen uit veiligheidsoverwegingen?
Dat kan gewoon op hun site hoor (https://mijn.digid.nl/mijn_digid/wijzig_wachtwoord), daar hoef je echt niet een nieuw account oid voor aan te vragen ;)
Ik weet niet of dat dan nog kan. Waar lees je dat?
Het artikel gaat over het aanvragen van een DigiD en jij vraagt je af waar wildhagen leest dat je het wachtwoord dan nog steeds op de site kunt wijzigen. Ik zie niet waarom dat expliciet vermeld had moeten worden als de aanvraagprocedure ter discussie staat :)

Het gevaar zit momenteel in het onderscheppen van de post, een wachtwoord online aanpassen gaat niet via de post, dat is direct gewijzigd. Een balieprocedure maakt het ook niet veiliger :)
Het kabinet overweegt het moeilijker maken om een DigiD aan te vragen of te wijzigen, om te voorkomen dat er fraude wordt gepleegd.

Eerste zin van het artikel staat dat het wijzigen ook moeilijker gemaakt wordt. Dus ik vraag me het zelfde af. Moet ik als ik mijn password wil wijzigen, of als ik hem vergeten ben, ook naar het gemeentehuis.....
Goede vraag, maar aangezien soms best wel belangrijke zaken worden geregeld via DigiD denk ik dat dit nog niet eens echt erg is. Beter een tripje naar de balie, dan een behoorlijke smak geld mislopen over een periode omdat iemand iets heeft onderschept en veranderd.

Over de veiligheid van DigiD heb ik mij al eerder vraagtekens bij gezet. Ook aangezien mijn accountant gewoon ineens een andere DigiD voor mij had aangevraagd. Sindsdien kan ik mijn username niet meer onthouden, omdat die stukken onlogischer is dan die ik zelf had bedacht en had daarvoor. Vreemd dat het al die tijd al zo kan, voor iets waar je juist privacy en voldoende veiligheid zou moeten verwachten. Dat Piet of Klaas, die via via iets meer basic info over je heeft, gewoon een nieuwe kan aanvragen, like WTF?!?! :X
wat een gedoe bij jullie ...

bij ons (belgie) zit er gewoon een chip op de id-kaart; wij hebben dus een eID; met signed certificaten op onze eid (een auth en een sign certificaat).

de pincode KIEZEN we wanneer we onze eid gaan afhalen op het gemeentehuis... vergeten we de code kunnen we deze gaan resetten op het gemeentehuis.
als er 3x foute code wordt ingegeven met de kaart, moet je ook naar het gemeentehuis want dan is de kaart geblokkeerd (chip registreert dat)
het systeem is ondertussen al een aantal jaar in gebruik en is echt fantastisch ... ik snap niet dat jullie nog met papieren codes werken... dat is zo 1993 (toen hadden wij ook zo'n lijstjes met 25 bruikbare codes; en als er gebruikt waren moesten we er nieuwe vragen.

de eid is echt superhandig; bepaalde dingen op die kaart zijn public, anderen private; het adres staat bv in public; iedereen kan dat uitlezen... maar het staat dan wel weer niet op de kaart gedrukt (wat in 't begin in 't buitenland problemen gaf.. nu drukken we ons public profile af als we 'weg' gaan en bewaren dit bij onze id-kaart; de nummer van de kaart enzo staat ook op dat papier, inclu foto enzo)
Bij ons een gedoe? Als ik het zo goed lees heb je in België een kaartlezer nodig om je e-ID uit te lezen. Je moet dus hardware gaan aanschaffen (hoe goedkoop dat ook mag wezen) om gebruik te maken van de overheidsdiensten? Je kunt dus ook niet elders je zaken regelen (tenzij die persoon ook een kaartlezer heeft), en ook niet op je mobiele apparaat (iOS, Android, Windows Phone etc staan niet bij de supported OS'en).

Het is weliswaar anders geregeld, maar ik zie eigenlijk alleen maar voordelen in het Nederlandse systeem ten opzichte van wat jij opnoemt:
- Beide moeten afgehaald worden op het gemeentehuis (even uitgaande van de nieuwe situatie in NL zoals in het artikel omschreven)
- Bij beide kun je je code kiezen (in BE je pincode, in NL krijg je een password wat je daarna kunt wijzigen in wat je maar wilt)
- Als je het 3x invoert wordt het in beide gevallen (NL en BE) geblokkeerd en moet je dus weer naar het gemeentehuis

Ik weet dus niet goed waar je "papieren codes" vandaan haalt, want dat is hier niet het geval, puur voor de eerste login of bij een password reset (en dat gaat dus nu naar het gemeentehuis toe volgens het voorstel uit het artikel).
Maar de beID certificaten hebben veel meer toepassingen, je kunt ze gebruiken voor alles wat PKI snapt (authenticatie en authorizatie). Je kunt het oneens zijn over de interface (full format contact SIM), maar de nederlands overheid heeft de plank weer eens volledig gemist met de NFC chip het paspoort, die is voor de burger volkomen onbruikbaar als smartcard.

En die hardware, als iedereen een smartcard heeft en iedereen waarmee je communiceerd/zaken doet zou er gebruik van maken dan heeft iedereen ook een reader. Hetzelfde als voor de random readers van banken.
en ook niet op je mobiele apparaat (iOS, Android, Windows Phone etc staan niet bij de supported OS'en).
Hoezo zou zoiets daar niet kunnen werken, uiteindelijk moet je toch gewoon een code overtypen in een browser?

edit: ah, ze gebruiken een tethered apparaat. Wat een superdomme oplossing, zo'n apparaat moet standalone werken, zoals het systeem van de Rabobank bv. werkt met hun Digipass 800 kastjes.

[Reactie gewijzigd door Sfynx op 12 januari 2014 15:31]

Wij hebben geen papieren codes. Gewoon gebruikersnaam + wachtwoord. Je krijgt bij aanvraag wel wat spul per post, daarna alles digitaal.

2 factor authentication kan met SMS. Het is jammer dat ze er niet op wijzen dat dit standaard aangezet kan worden voor alle DigiD inlogacties (of zelfs standaard aan gaat zodra je het gebruikt bij één dienst).
Gelukkig is in België alles zó veel beter geregeld...
Op sociaal en dergelijk vlak wel degelijk.

In België kan je al veel langer in de "machine" je betalingen regelen, al dan niet met contanten afstorten.

In elk gehucht of dorp is minimaal één filiaal te vinden van de betreffende ( grote) banken, en geen flauwe grappen dat een filliaal sluit, omdat er te weinig omzet is, en de klanten "maar" 14KM verder moeten om hun zaken te regelen.

* onze lokale ABN zag zijn klantenbestand met 75% verminderen door bovenstaande grap, en de Rabobank 'stijgen'
< het terugkomen van een "skelet" filiaal mocht niet baten ... >
In België kan je al veel langer in de "machine" je betalingen regelen, al dan niet met contanten afstorten.
True, maar staat weer tegenover dat er (veel) minder ATMs zijn en dat je op veel minder plekken met je debit card kan betalen. Dat laatste wordt wel beter, maar het is nog niet zoals in NL waar je zelfs op de markt met debit/pin pas kan betalen en in de kleinste cafe's waar ze met een portable reader bij je tafeltje komen.
Je persoonlijke gegevens wîjzigen is wat anders dan je wachtwoord wijzigen. Dat je voor een wijziging van rekeningnummer of adres langs de balie moet lijkt me geen verkeerde zaak. Nergens staat dat dat ook voor je wachtwoord geldt (en dat lijkt me ook een beetje nutteloos want daar valt verder niet mee te frauderen), dat is een aanname die je nu zelf maakt.

[Reactie gewijzigd door .oisyn op 11 januari 2014 12:46]

Grappig, doet de overheid een keer iets om dingen veiliger te maken, is het weer niet goed. Als er fraude met digid wordt gepleegd roept men dat de overheid incompetent is, en nu ze dat gedeelte een stuk veiliger maken wordt er alweer geklaagd dat men een keer het huis uit moet.

Ik vraag me wel nog steeds af of een simpel, zelf in te stellen wachtwoord nou wel zo'n goed idee is. Ik verbaas me er altijd over hoe makkelijk je eigenlijk in kan loggen op toch wel belangrijke overheidssites ed.
De meer gevoelige dingen werken vaak met DigiD icm een sms-code.
Helemaal makkelijk als je in het buitenland woont. (niet dus(
Ik kan zelf geen DigiD aanschaffen om zelfs maar mijn stufie afbetalingen te veranderen in hoogte.
Als ik het op mijn ouders adres doe sta ik daar ineens weer ingeschreven, en dan gaat hun belasting weer omhoog.

Ik sta niet meer ingeschreven in een NL gemeente, en het is sowiezo al niet te regelen vanuit buitenland.

Maar met al dat nieuws over kraken en zo, vind ik het op de een-of-andere-manier wel best dat ik geen DigiD heb.

Edit: Ja, boost me maar omlaag, maar je zal maar in het buitenland wonen en dan niet meer bij IBG (DUO) kunnen komen. Duffe kleine landje, mat al z'n regeltjes. Ik kan niet even naar het stadhuis lopen.

[Reactie gewijzigd door HMC op 11 januari 2014 16:45]

offtopic: als een in het buitenland wonende Nederlander sta je ingeschreven bij de gemeente Den Haag.
Niet meer dus. Ik heb mijzelf uitgeschreven (toen wonend en ingeschreven in Den Haag zelfs) om van de waterschapsbelastingen af te zijn.
Dat is zo'n 11 jaar geleden. Ik kan geen DigiD aanvragen.
En waarom zou je een Digid nodig hebben als je toch niet meer in Nederland woont? Het is jouw keuze geweest je uit te schrijven, om geen belasting te hoeven betalen (de lusten) en nu heb je problemen met een Digid aanvragen (de lasten).
Ik zou zeggen, laat je in het land waar je woont nationaliseren en maak gebruik van de diensten daar...
Het feit dat je niet meer ingeschreven bent in Nederland wil dus helemaal niet zeggen dat je geen belasting meer betaald in Nederland. Het hangt allemaal helemaal af van de constructie waaronder je en hoe lang je al in het buitenland verblijft. Ik woon zelf in de VS, en ik schrok wel een beetje van het nieuws dat je naar de balie zou moeten. Op nu.nl bevatte het bericht zelfs een vage paragraaf over hoe buitenlandse gebruikers met name een doelgroep waren de ze graag aan de balie wilden hebben. Dus ik hoop dat dit alleen gaat gelden voor nieuwe aanvragen. (Blijkbaar nog niet geschrokken genoeg om me er voldoende in te verdiepen.)
Het feit dat je niet meer ingeschreven bent in Nederland wil dus helemaal niet zeggen dat je geen belasting meer betaald in Nederland.
Dat klopt, maar HMC zegt specifiek zich uitgeschreven te hebben om bepaalde belastingen niet te hoeven betalen.

Dat men in het buitenland verblijvende Nederlanders graag aan de balie wil krijgen kan ik wel begrijpen, in sommige landen wordt nu eenmaal meer gefraudeerd en is controle moeilijker, en daarnaast is het een mooie gelegenheid bepaalde figuren in de kraag te vatten..
Eh, logisch toch dat je als niet-inwoner geen gemeentebelasting wilt betalen? Ik kan daar niets tegenstrijdigs in zien. Systeem van DigiD is gewoon nogal... suf. Altijd geweest ook, want al de haken en ogen (inclusief de nadelen voor Nederlanders in het buitenland) zijn al jaaaaren bekend alleen is er niks aan gedaan.

Een hele groep normale Nederlanders duperen omdat je enkelen 'in de kraag wilt vatten' is natuurlijk volslagen onzinnig.
Normale Nederlanders wonen niet in het buitenland, en van Nederlanders in het buitenland mag je best verwachten dat ze af en toe weer eens naar hier komen. Doen of willen ze dat niet dan kunnen ze wat mij betreft de Nederlandse nationaliteit beter opgeven.
Wat een eh... interessant statement. Volslagen oneens in elk geval.

Nederlandse nationaliteit opgeven helpt trouwens niets: met een aantal zaken heb je nog steeds te maken. Dat gaat namelijk niet om nationaliteit maar om zaken die gerelateerd zijn aan het ooit hier gewoond / gewerkt / gestudeerd hebben.
Dude. Omdat ik graag mijn maandelijkse studieschuldaflossingen bv zou willen aanpassen.
Lezen is ook een vak.

Dat kan ik dus niet, want IBG (nu dus DUO) gaat alleen via DigiD. Zeker als je in het buitenland woont. Lekker tegenstrijdig ook, want die kan ik dus niet maken vanuit het buitenland.
Je kan een digid gaan halen bij de gemeente den haag, gemeente haarlemmermeer (ie, schiphol), en bij het consulaat in antwerpen (als je daar toevallig dichterbij bent). Genoeg mogelijkheden dus. Als het allemaal goed blijkt te werken gaan ze dit ook doen op andere ambassades en consulaten.

Veiligheidstechnisch is het nu eenmaal een heeeeeel slecht idee om toe te laten dat digid activatiecodes naar het buitenland gestuurd worden.
Offtopic, maar je kunt je maandelijkse aflossing aan DUO niet aanpassen, ook niet als je wel een DigID hebt. Je kunt een eenmalige aflossing doen, waarbij dan eventueel je maandbedrag aangepast wordt, of gewoon zelf bij je bank een periodieke overschrijving naar de rekening van DUO instellen. Maar het bedrag zelf wat ze bij je afschrijven via de automatische incaso (of waarvoor ze je een incasso opsturen) is niet aan te passen. Dus als het daarom gaat, dan heb je toch niets aan je DigID :)
Er zijn sinds mei 2013 DigiD-balies voor als je in het buitenland woont. Betreft nog een proef, de enige in het buitenland is in Antwerpen.
Als je weet hoeveel miljarden naar het buitenland zijn gegaan, vind ik het een goede zaak dat je daadwerkelijk in nederland aan de balie moet legitimeren.
Maar daarna hoef je ook niet meer naar die balie terug als ze een voorbeeld aan belgie nemen. Zitten vele voordelen aan. Je kan veel informatie over jezelf nakijken die je anders op moet vragen .
Dus je moet in de toekomst mogelijk eerst naar de balie in je gemeente om een DigID aan te vragen die je vervolgens moet gebruiken om thuis zaken te regelen die je bij diezelfde balie had kunnen regelen?

Overheid logica......
Enkel een valide argument als je maar 1x in je leven iets zou regelen via die balie, immers anders moet 2 of meer keren terug naar die balie. Door een digid aan te vragen bij die balie hoef je dat dus niet meer te doen: de rest regel je gewoon vanaf thuis.

Bedenk daarbij ook dat die gemeenteloketten een groot probleem hebben om open te blijven na kantooruren(al is er tegenwoordig vaak een avondloket) , zodat de mensen die daadwerkelijk een baan hebben om hun leges bij elkaar te verdienen veel makkelijker vanaf huis dingen kunnen regelen.
En dat terwijl ze je liever helaal net meer aan de Balie willen zienen dat alsof iedereen in bezit is van een computer met internet verbinding.

Sommig bedrijven kun je alleen nog via internet benaderen om iets te bestellen of info te vragen.
Tsja..., en ik durf te wedden dat de burger hier ook weer voor moet gaan betalen want zo'n pasje krijg je natuurlijk niet gratis.
de DigiD veiliger maken was geen optie ?
Een zoveelste melk koe.
je maakt nu verwarring met de fraude door valse identiteit en kwetsbaarheid van DigiD.
Leukste is nog: Wanneer moet je naar de gemeentebalie? Onze gemeente is alleen op woensdag tot 5 uur open. de rest van de werkdagen gaat hij om 1 uur dicht. Ik zou het fijn vinden als ook mensen met een baan/studie deze kunnen aanvragen zonder vrij te moeten nemen.
@sapphire
Ik had het niet neter kunnen verwoorden, maar
logica en overheid zijn twee tegenstrijdige woorden!
Zelfde princiepe als UWV dus.. Dat functioneert ook bagger slecht zeker als oudere mensen ontslagen worden.die niet van het modernere/digi tijdperk zijn..
vervelend voor de mensen die niet zo mobiel zijn. die worden weer afhankelijk van een ander.😞
Maar slechts voor één keer, je vraagt immers maar één keer een DigiD aan waar je vervolgens vele jaren mee kunt doen.

Lijkt me niet écht een serieus probleem als ze maar één keer wellicht enige assistentie nodig hebben van anderen. Als het nu elke maand ofzo was, was het een ander verhaal.
Moet je wel je wachtwoord onthouden/weten waar je het gelaten hebt. Ikzelf gebruik DigiD alleen bij aangifte belasting en vraag elk jaar een nieuw wachtwoord aan, omdat ik na een jaar het niet meer weet. :(
Moet je wel je wachtwoord onthouden/weten waar je het gelaten hebt.
Dat is gewoon een kwestie van een fatsoenlijke administratie bijhouden, als het goed is heb je al je wachtwoorden in een database staan (denk aan LastPass, KeePass etc) :)

Vind ik niet echt een valide argument tegen DigiD, het bijhouden van wachtwoorden is je eigen taak en verantwoordelijkheid immers.

Heb mijn DigiD al 8+ jaar volgens mij, maar één keer hoeven te vervangen omdat er een probleem was met mijn account waardoor dat werd geblokkeerd.
Nou ben eens eerlijk, hoe veilig is het bijhouden van je wachtwoorden in een database en dat vervolgens beveiligen met één wachtwoord...
Deze databases werken op 2 manieren beter:

De veiligheid is afhankelijk van de sterkte van dat die ene passphrase en de tijd die het kost om de transforatie uit te voeren

De meeste wachtwoord controles werken als:
hash(storedsalt+userprovidedpass)==storedhash

Keepass werkt zo. Het aantal iteraties zorgt ervoor dat het wat meer werk kost (in mijn geval 5609920 iteraties).

Het bruteforcen van keepassx duurt dus iets langer (op deze machine ongeveer 3s per poging) dan het bruteforcen van mijn bv mijn linux login (eeen sha-512 hash) waar elke poging minderd van 1ms kost.

Het is makkelijker om 1 uniek sterk wachtwoord te onthouden dan meerdere unieke sterke wachtwoorden.

Het wachtwoord voor een zinnige vault mag een oneindig lange passphrase zijn als het goed is. Iets wat makkelijk te onthouden is, wellicht nog een simpele substitutie code bevat en niet vulnerable is voor dictionary attacks.

De wacthwoorden in de database zijn sterke wachtwoorden die de limieten van de diensten respecteren. x aantal characters en een bepaalde set characters. Deze wachtwoorden kunnen dus van relatief zwak (bol.com accpeteert volgens mij niet meer van 14 chars) tot heel stek zijn.
Ik lees hier enkele super-sceptische reacties maar welke, veiligere, oplossing stel je dan voor? Die uiteraard praktisch uitvoerbaar en betaalbaar blijft.

Welk systeem je ook neemt, zolang er mensen bij betrokken blijven, zal je altijd af en toe een fraude krijgen. Denk maar aan peperdure autosleutels die al in de fabriek gekopieerd werden en dergelijke.
Ik weet ook geen beter systeem, daar heb ik helemaal geen verstand van. Maar ik zie in mijn omgeving (en ook hier) mensen die dit een waterdicht systeem vinden.

Vervolgens gebruiken ze voor een dergelijk systeem wel een wachtwoord van 6 à 7 karakters of komen zeuren dat ze ál hun wachtwoorden kwijt zijn omdat ze hun ene wachtwoord tóch niet konden onthouden of de schijf met de database is gecrasht.

Mijn punt is dus gewoon dat het in de praktijk vaak toch niet zo'n mooi systeem is als dat mensen het vaak vinden.
Ik weet ook geen beter systeem, daar heb ik helemaal geen verstand van. Maar ik zie in mijn omgeving (en ook hier) mensen die dit een waterdicht systeem vinden.

Vervolgens gebruiken ze voor een dergelijk systeem wel een wachtwoord van 6 à 7 karakters of komen zeuren dat ze ál hun wachtwoorden kwijt zijn omdat ze hun ene wachtwoord tóch niet konden onthouden of de schijf met de database is gecrasht.

Mijn punt is dus gewoon dat het in de praktijk vaak toch niet zo'n mooi systeem is als dat mensen het vaak vinden.
8 karakter wachtwoord, en één of meer foto's uit een map met 30 of 40 ( bijna op elkaar lijkende ) foto's
evt. een extra file die je in de één of andere cloud kan bewaren.

Het hoeven geen 100én MB's te zijn, mijn keyfiles zijn gezamelijk zo'n 2 MB, dus je kan ze zelfs op je providerspace / hotmail whatevers hosten als backup

Het wordt een leuke puzzel om de combinatie te raden, met zoveel mogelijkheden
( keepass geeft niet aan WAT hij wil weten om te openen, alleen dat het niet correct is )
Ja, zo kún je het doen. Echter geeft dit soort software de meeste mensen gewoon schijnveiligheid en dat is dan ook het punt wat ik wilde maken. Veel mensen zien dit soort tools als de heilige graal, maar zijn zich niet bewust van de risico's (hacks, beveiligingslekken, etc) en gaan er daardoor vaak nóg slordiger meer om dan dat ze voorheen met hun daadwerkelijke passwords deden.
Voordeel dat je niet 'de meeste' hoeft te voorzien van info
Alleen jezelf en je naasten.

De overigen vinden het wel, of blijven hetzelfde qw123456 password veilig vinden, en overal gebruiken
digid afschaffen en gewoon vervangen door Eid...

je hebt dan gewoon je identiteitskaart met een chip erop ... die moet je sowieso op het gemeentehuis afhalen en daar zit dan een pincode op; geen gezever met een extra digid ofzo ...

tevens kan je die eid ook nog eens gebruiken om zelf documenten te ondertekenen/beveiligen

zo gebruik ik mijn eid ook om bepaalde mails/documenten/pdf's te signeren; dat spaart mij dan een brief met handtekening uit (en postzegels)
Vééél veiliger dan op iedere site (min of meer) hetzelfde wachtwoord gebruiken.
Het voordeel daarvan is dat je dat ene wachtwoord erg ingewikkeld kan maken. Een ingewikkeld wachtwoord is makkelijker te onthouden dan meerdere makkelijke wachtwoorden. En het is zoiezo nog steeds vele malen veiliger dan op iedere website hetzelfde wachtwoord.
Nou ben eens eerlijk, hoe veilig is het bijhouden van je wachtwoorden in een database en dat vervolgens beveiligen met één wachtwoord...
Niet, als je huis affikt ben je je database kwijt...
cloud .... iig offsite backup ( in een mailtje naar jezelf )
Mijn Keepas dbase is net over de 20kb, de hele programma folder, portable, is 4,5MB

en zo vaak wisselen die database's niet ( in het geheel )
Mijn pa heeft er elk jaar ellende mee, wachtwoord opgeschreven, maar toch doet Digid het niet. Weer bellen etc.etc. , krijgt die het wel weer voor elkaar maar elk jaar frustaties.
Hij weet zeker dat hij alles goed doet en toch lukt het niet. Lees dit soort klachten vaker.
Ik heb ook al de situatie gehad dat mijn belastingaangiftes meer uit elkaar lagen dan de tijd die het kostte om het wachtwoord te laten verlopen. (Yep, ben niet elk jaar op 1 april klaar met m'n aangifte, dus het komt soms een heel stuk later.)
Zoals hierboven al is aangehaald. Die personen die eerst voor alle zaken die nu met digid kan naar de balie moesten, hoeven nu nog maar 1 keer naar de balie. Het is dus nog altijd een vooruit gang. Zo vervelend is 1 zo'n tripje nu ook weer niet, zeker als je daardoor meer zekerheid krijgt dat er niet gefraudeerd wordt met jouw gegevens. Je kan zelf wel gokken hoeveel tripjes je nog moet maken om zo'n fraude geval op te lossen.

Het is alleen maar beter dat de overheid wat doet aan de beveiliging.
Dat is iedere dag/week boodschappen doen ook....so what's new?
En dan wordt het nog moeilijker om een DigiD te krijgen voor Nederlanders in het buitenland. Nu hebben ze volgens mij eindelijk de eis van een Nederlands telefoonnummer gewijzigd, komen ze met zo'n idee.
Volgens mij is dat sowieso al onmogelijk. Ik heb vorig jaar geprobeerd een DigID aan te vragen en dat kon niet omdat ik niet in Nederland woon. Je moet een adres in Nederland hebben en er ook ingeschreven staan.

Als ik er een keertje voor naar de balie moet vind ik dat prima. Alleen heb ik natuurlijk geen 'eigen' gemeente. Dat is eventueel op te lossen op dezelfde manier als stemmen vanuit het buitenland, dat wordt allemaal geregeld door de Gemeente Den Haag.
Voor de mensen die geen Nederlandse huidige GBA-entry hebben is er bijvoorbeeld op Schiphol een balie waar mensen een DigiD aan kunnen vragen en direct activeren. Zie: https://www.digid.nl/over-digid/digid-via-balieuitgifte/
gba-ENTRY is per 6 januari BRP entry geworden, Basiregistratie personen. Hierin kunnen sedert die dag ook niet ingezetenen worden opgenomen. Bijv belgen die in Nederland komen werken. Zij kunnen dan dus ook een Digid aanvragen.

[Reactie gewijzigd door niki_lauda op 11 januari 2014 20:01]

Je moet dan wel daadwerkelijk nog eens naar Nederland vliegen, en niet voor 1994 vertrokken zijn (want dan heb je geen BSN en mag je niet meedoen aan de proef) en het is dus een proef. Leuk, een proef, maar het schreeuwt dus allemaal niet: laten we zorgen dat de expats ook mee mogen doen ;)
Top! Vreemd dat ze me dat bij DigiD niet zelf konden vertellen. Ga ik binnenkort maar eens regelen dan. Dank!
Het is wel een nieuw iets, als je het vroeg in 2013 geprobeerd hebt dan was je net te vroeg :)
Ja, moet je dus wel op Schiphol langsgaan. Mijn familie woont in Noord-Brabant, ik kom eigenlijk nooit op Schiphol. ALS ik al vlieg, is het op Eindhoven, maar meestal pak ik de bus of trein.
En dan wordt het nog moeilijker om een DigiD te krijgen voor Nederlanders in het buitenland. Nu hebben ze volgens mij eindelijk de eis van een Nederlands telefoonnummer gewijzigd, komen ze met zo'n idee.
Nog steeds beteer je 1x aan de balie te moeten melden dan 3x per jaar terug vliegen uit een random land om even 't eea bij de gemeete te regelen...
Ein .. de .. lijk.

Je met je DigiD bij de overheid legitimeren zonder dat je je daar ooit gelegitimeerd hebt is toch ook bezopen. (helemaal als je het dan ook nog onaangetekend gaat verzenden).

En laat die maffe banken dat ook gelijk weer eens doen, want daar geldt hetzelfde voor, terwijl een eventuele schuldvraag wel wordt afgeschoven richting mij als klant.
Ik heb die bezopen "gemaks"procedures niet bedacht ...
Aangetekende post kan je ook onderscheppen lijkt me, er is mij nooit naar een legitimatiebewijs gevraagd ofzo.
Ik weet niet over welke banken je het hebt maar bij de ING moet je ook persoonlijk naar een postkantoor om je brief met inloggegevens op te halen voor internetbankieren.
Klopt .. leek me toch wel duidelijk dat ik daar ook geen voorstander van ben ... maar aangetekend is nog iets meer dan niets.

Ja maar ING bonjourt je passen ook gewoon op de onaangetekende post.
Probleem is dat de gemiddelde baliemuts waarschijnlijk ook niet echt goed naar je legitimatie kijkt, dus ook dat is nog niet bepaald failsafe helaas.
Met een pas zonder pincode kan je ook niet veel, dus dat kan best op de post denk ik.
Verder vind ik de term baliemuts niet echt aardig, ik denk ook dat je de kwaliteitseisen een beetje onderschat van die mensen, als ze een fout maken kunnen ze hun baan verliezen.
Is er ooit aan een balie grondig naar je legitimatiebewijs gekeken ?

Tsja je pincode kan ook opgestuurd worden .. zonder pas hebben ze er toch niets aan.

Ze zijn allebei onderdeel van een veiligheidssysteem en dat ga je versturen via een inherent onveilig systeem (de post .. remember alle schuurtjes met een hangslotje (als dat er al op zat) als "postdepot") en waarom ....

Behalve dan omdat we graag van alle (post)kantoren afwillen ... en dat mensen kennelijk te beroerd zijn om er langs te gaan .. druk druk druk ofzo
Als ik me moet legitimeren op een postkantoor of bij een ing kantoor wordt er daadwerkelijk goed gekeken naar mijn foto op de ID kaart, en de gegevens van de ID kaart worden overgenomen electronisch.

Beter dan bij grenscontroles vroeger toen ze nog bestonden.
Dat doet de Rabobank ook. Best raar voor een van de veiligste banken op het gebied van telebankieren.
Naar mijn weten heb je als DigiD-gebruiker de optie om bij elke keer dat je inlogt een SMS-code te vereisen (ook op websites waar dit normaal niet nodig is). Zou het DigiD-systeem al niet een stuk veiliger worden als deze optie verplicht zou worden? Om je te hacken zou iemand dan je wachtwoord en een verificatiebericht via SMS moeten onderscheppen. Dit lijkt me alles behalve eenvoudig voor de hacker.
Ik krijg elke keer de vraag om ik alleen met pwd of pwd en SMS wil authenticeren. Nogal dom dus! Geen idee of het mogelijk is om in te stellen dat SMS verplicht is
Dat is inderdaad vrij onnozel.

Als je inlogt bij digid zelf (dus niet DUO/UWV/...) kan je bij de instellingen aangeven dat elke dienst sms auth moet doen. Ik heb dat ook gedaan, en als ik nu ergens 'alleen pwd' kies, zegt het systeem doodleuk dat ik toch een sms krijg en die code moet invoeren 8)7 Dus het werkt wel
Mijn ervaring ook. En soms hapert de sms even... maar het is in elk geval wel wat veiliger.
waarom hadden we dit soort problemen niet voor de komst van het hele DigiD gebeuren en het regelen van zaken via internet?

Was het toen echt slechter???
Het was misschien minder gevoelig voor fraude, maar het kostte natuurlijk ook veel meer tijd om zaken bij bijvoorbeeld de gemeente te regelen. Waar je nu een formuliertje op de website van de gemeente (via DigiD) invult, moest je vroeger een bezoekje brengen aan de balie van de gemeente. Daar kon je dan ook nog wel eens een niet al te korte wachtrij of een niet zo vlotte baliemedewerker aantreffen.

Dus nee, het was niet slechter, maar wel minder efficiënt.
Ik denk niet dat het toen echt minder gevoelig was voor fraude. Ik heb ook wel eens verhalen uit de oude doos gehoord over hoe ze de gezagsdragers voor de gek hielden. Het was misschien allemaal per stuk wat kleiner en zeker ook analoger, en als je die verhalen nu hoort heeft het misschien ook een romantische klank (de belhamels!) maar daarom niet minder fout en strafbaar. De overheid is tegenwoordig slimmer (dan ze toen waren), maar de belhamels zijn ook slimmer geworden, dus dit is gewoon een soort wapenwedloop :)
kunnen ze niet zo iets als bij bank zoals een bank pas maken want pincode verander je ook
nooit
Ik denk dat dat lijkt op het eID, zoals genoemd in het artikel. Dit zou met een smartcard moeten en zou dus best wel eens kunnen lijken op wat jij noemt.
Dit probleem wordt veroorzaak door het versturen van post, misschien moeten ze een gedeelte van de info via de post en een gedeelte per mail verzenden, twee wachtwoirden voor de eerste inlog. En post en email onderscheppen is al een stuk moeilijker. En met deze oplossing hoeft niemand speciaal naar het gemeentehuis!
Het probleem is dat mail en SMS niets toevoegt. Je mailadres en 06 nummer is namelijk geen onderdeel van de GBA, en die kan dus bij een aanvraag per definitie random ingevuld worden op iets dat Claartje onder controle heeft.

Voor een *bestaande* digid klant is dat anders, die hebben wel een mailadres en/of 06 nummer on file, en kunnen daarmee wel extra veiligheid toevoegen bij aanvragen van een nieuwe (wegens verlies wachtwoord bijvoorbeeld). Daar wordt echter geen rekening mee gehouden (kortom, je bent niet veiliger voor identiteitsdiefstal door hem vast zelf aan te vragen ook als je hem niet nodig hebt).
Kom ik tenminste ook eens op het gemeentehuis, waar ik maandelijks een leuk bedrag aan overmaak middels de gemeentebelasting. Doch dat terzijde.

Zoals ook eerder aangegeven door anderen. Prima zaak dat je tenminste ergens nog je gezicht moet laten zien om zoiets belangrijks als de DigiD te ontvangen. En hoe moeilijk is het om even je paspoort of rijbewijs te tonen bij afhalen.
erg moeilijk aangezien sommigen niet in Nederland wonen(ik moet bijvoorbeeld 1100 km rijden om "even" mijn paspoort of rijbewijs te late zien)

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True