Archief
- De topics van lang geleden
Digid zo lek als een mandje...
Gebruikers die zich identificeren via Digid lijken hun
inlogcode aan andere mensen 'uit te lenen'. Om Digid
persoonlijk te houden, worden nu maatregelen genomen.
Vanaf woensdag is het niet meer mogelijk om een mobiel
nummer op te geven dat al in de Digid-database bestaat. Nu
blijkt het voor te komen dat meerdere mensen hetzelfde
mobiele nummer gebruiken om zich aan te melden bij Digid.
"Wij hebben een heel sterk vermoeden dat mensen - te goeder
trouw - hun Digid-inlogcode uitlenen. Dus dat één persoon
voor meerdere mensen een Digid-inlogcode heeft aangevraagd
en bij die code iedere keer zijn eigen nummer opgeeft", legt
Marleen Stolze, woordvoerster van GBO Overheid, uit.
"De 'dubbelgangers' die nu voorkomen zijn mensen die de
inlogcode voor anderen hebben aangevraagd, aldus Stolze. De
woordvoerster benadrukt dat het niet gaat misbruik, maar om
mensen die waarschijnlijk niet beseffen hoe persoonlijk de
code is.
Digid zal alle dubbele nummers nog deze week uit de database
verwijderen. De mensen van wie het mobiele nummer wordt
verwijderd, ontvangen een persoonlijke brief waarin een en
ander wordt uitgelegd.
Vanaf december ontvangen mensen die zich opgeven een
transactiecode per sms toegestuurd. Het mobiele nummer dat
dan wordt opgegeven wordt alleen ingevoerd als iemand de
code per sms bevestigt.
Digid werkt op dit moment alleen bij sommige diensten van de
gemeente Dordrecht en de Informatie Beheer Groep met de
extra beveiliging via sms-authenticatie.
Bron: Webwereld in http://www.webwereld.nl/
inlogcode aan andere mensen 'uit te lenen'. Om Digid
persoonlijk te houden, worden nu maatregelen genomen.
Vanaf woensdag is het niet meer mogelijk om een mobiel
nummer op te geven dat al in de Digid-database bestaat. Nu
blijkt het voor te komen dat meerdere mensen hetzelfde
mobiele nummer gebruiken om zich aan te melden bij Digid.
"Wij hebben een heel sterk vermoeden dat mensen - te goeder
trouw - hun Digid-inlogcode uitlenen. Dus dat één persoon
voor meerdere mensen een Digid-inlogcode heeft aangevraagd
en bij die code iedere keer zijn eigen nummer opgeeft", legt
Marleen Stolze, woordvoerster van GBO Overheid, uit.
"De 'dubbelgangers' die nu voorkomen zijn mensen die de
inlogcode voor anderen hebben aangevraagd, aldus Stolze. De
woordvoerster benadrukt dat het niet gaat misbruik, maar om
mensen die waarschijnlijk niet beseffen hoe persoonlijk de
code is.
Digid zal alle dubbele nummers nog deze week uit de database
verwijderen. De mensen van wie het mobiele nummer wordt
verwijderd, ontvangen een persoonlijke brief waarin een en
ander wordt uitgelegd.
Vanaf december ontvangen mensen die zich opgeven een
transactiecode per sms toegestuurd. Het mobiele nummer dat
dan wordt opgegeven wordt alleen ingevoerd als iemand de
code per sms bevestigt.
Digid werkt op dit moment alleen bij sommige diensten van de
gemeente Dordrecht en de Informatie Beheer Groep met de
extra beveiliging via sms-authenticatie.
Bron: Webwereld in http://www.webwereld.nl/
Reacties (18)
Dit is Security.NL nieuws verzorgd door Peter V....
Enne...het systeem is niet zo lek als een mandje...het zijn de burgers die
het frauduleus gebruiken. Uiteraard moeten daar maatregelen tegen
getroffen worden, maar het ligt eerder aan de gebruikers dan aan DigiD
zelf.
Enne...het systeem is niet zo lek als een mandje...het zijn de burgers die
het frauduleus gebruiken. Uiteraard moeten daar maatregelen tegen
getroffen worden, maar het ligt eerder aan de gebruikers dan aan DigiD
zelf.
Door Anoniem
Dit is Security.NL nieuws verzorgd door Peter V....
Enne...het systeem is niet zo lek als een mandje...het zijn
de burgers die
het frauduleus gebruiken. Uiteraard moeten daar maatregelen
tegen
getroffen worden, maar het ligt eerder aan de gebruikers dan
aan DigiD
zelf.
Dit is Security.NL nieuws verzorgd door Peter V....
Enne...het systeem is niet zo lek als een mandje...het zijn
de burgers die
het frauduleus gebruiken. Uiteraard moeten daar maatregelen
tegen
getroffen worden, maar het ligt eerder aan de gebruikers dan
aan DigiD
zelf.
De uitgevoerde controles zijn heel slecht!
Je kan zelf username en pasword kiezen zonder restricties.
Met een combinatie naw gegevens/sofinummer kan je voor
iemand anders een DigiD aanvragen.
De gedefinieerde beveiligingniveau's slaan nergens op, zeker
niet gezien de gevoeligheid van gegevens. Een aantal
voorbeelden:
- Uitkeringsaanvragen
- Belastingen
- ......
Al met al een slechte implementatie, zowel security
technisch als procedureeel.
Security gaat erom dat de mogelijkheid van fraude wordt
uitgesloten, door procedurele en technische maatregelen.
Heb jij meegewerkt aan de implementatie van DigiD :-( Dat
zou je reactie kunnen verklaren :-)
PS: De overheid bewijst hiermee zijn afstand tot de burger,
want echt niet iedereen heeft internnet en een mobiele
telefoon. Mijn arme oma...
Is de definitie van "lek" niet "het op een andere manier dan bedoeld
kunnen gebruiken van een systeem" ?
Dus toch lek dan. Of spreken we hier over te weinig controle routines.
kunnen gebruiken van een systeem" ?
Dus toch lek dan. Of spreken we hier over te weinig controle routines.
Door Anoniem
Is de definitie van "lek" niet "het op een andere manier
dan bedoeld
kunnen gebruiken van een systeem" ?
Dus toch lek dan. Of spreken we hier over te weinig controle routines.
Is de definitie van "lek" niet "het op een andere manier
dan bedoeld
kunnen gebruiken van een systeem" ?
Dus toch lek dan. Of spreken we hier over te weinig controle routines.
Laten we het niet over de definitie van lek hebben. Het is gewoon slecht.
Geef mij de oude belasting handtekening maar!
En dan te weten dat ondernemers alleen nog electronisch hun
aangifte kunnen doen en verplicht worden om DigiD te gebruiken.
M.a.w. het lijkt meer op een "inkijk operatie" dan een implementatie
van een electronisch ID / beveiliging..!
TT
aangifte kunnen doen en verplicht worden om DigiD te gebruiken.
M.a.w. het lijkt meer op een "inkijk operatie" dan een implementatie
van een electronisch ID / beveiliging..!
TT
24-11-2006, 14:55 door
Sebastian
Bij https://www.digid.nl kleurt de adresbalk waarschuwend rood.
Het ondersteunt welliswaar AES256 (over TLSv1 en SSLv3) maar bevatten de pagina's zowel onencrypted en encrypted content, wat de rode waarschuwing triggert.
Bij https://applicaties.digid.nl/aanvragen kan de browser geen
contact maken vanwege het ontbreken van een gemeenschappelijk encryptie algoritme. Het blijkt dat je op dat adres verplicht bent te downgraden naar bijvoorbeeld RC4. Evident is dat men daar eveneens AES256 zou moeten kunnen verwachten. Dat adres kent geen TLSv1 ondersteuning maar wel SSLv3.
Correct is zeker wèl dat het op beide adressen niet mogelijk is door middel van oudere SSL versies te verbinden.
Voornoemde twee punten maken DigiD niet direct zo lek als
een mandje, maar heeft het beslist een wat onhandig voorkomen.
Het ondersteunt welliswaar AES256 (over TLSv1 en SSLv3) maar bevatten de pagina's zowel onencrypted en encrypted content, wat de rode waarschuwing triggert.
Bij https://applicaties.digid.nl/aanvragen kan de browser geen
contact maken vanwege het ontbreken van een gemeenschappelijk encryptie algoritme. Het blijkt dat je op dat adres verplicht bent te downgraden naar bijvoorbeeld RC4. Evident is dat men daar eveneens AES256 zou moeten kunnen verwachten. Dat adres kent geen TLSv1 ondersteuning maar wel SSLv3.
Correct is zeker wèl dat het op beide adressen niet mogelijk is door middel van oudere SSL versies te verbinden.
Voornoemde twee punten maken DigiD niet direct zo lek als
een mandje, maar heeft het beslist een wat onhandig voorkomen.
Ik voel niets voor digid.
Wéér een inlogcode en password onthouden, en dan nota bene eentje, die
bij diefstal van de gegevens overal gebruikt kan worden. Ik ben al wat
ouder, dat kan ik allemaal niet meer onthouden.
Postbank inlog, andere bank inlog, internet inlog, pincode 1, pincode2, en
je moet het allemaal geheim houden, elke keer een andere inlognaam en
password, je mag het nergens opschrijven.
Nou weer digid, het is wel goed!
Jammer dat de belastingdienst me wil dwingen om aan digid mee te
doen. Ik laat me niet dwingen.
De oude identificatie bij de elektronische aangifte was heel wat
makkelijker en vooral doeltreffend! Kon ik gewoon, omdat het alleen voor
mijn belastingaangifte was, bij mijn belastinggevens bewaren.
Dan ga ik mijn belastingformulier maar weer met de hand invullen.
Wéér een inlogcode en password onthouden, en dan nota bene eentje, die
bij diefstal van de gegevens overal gebruikt kan worden. Ik ben al wat
ouder, dat kan ik allemaal niet meer onthouden.
Postbank inlog, andere bank inlog, internet inlog, pincode 1, pincode2, en
je moet het allemaal geheim houden, elke keer een andere inlognaam en
password, je mag het nergens opschrijven.
Nou weer digid, het is wel goed!
Jammer dat de belastingdienst me wil dwingen om aan digid mee te
doen. Ik laat me niet dwingen.
De oude identificatie bij de elektronische aangifte was heel wat
makkelijker en vooral doeltreffend! Kon ik gewoon, omdat het alleen voor
mijn belastingaangifte was, bij mijn belastinggevens bewaren.
Dan ga ik mijn belastingformulier maar weer met de hand invullen.
Door Anoniem
Ik voel niets voor digid.
Wéér een inlogcode en password onthouden, en dan nota bene eentje,
die
bij diefstal van de gegevens overal gebruikt kan worden. Ik ben al wat
ouder, dat kan ik allemaal niet meer onthouden.
Postbank inlog, andere bank inlog, internet inlog, pincode 1, pincode2, en
je moet het allemaal geheim houden, elke keer een andere inlognaam en
password, je mag het nergens opschrijven.
Nou weer digid, het is wel goed!
Jammer dat de belastingdienst me wil dwingen om aan digid mee te
doen. Ik laat me niet dwingen.
De oude identificatie bij de elektronische aangifte was heel wat
makkelijker en vooral doeltreffend! Kon ik gewoon, omdat het alleen voor
mijn belastingaangifte was, bij mijn belastinggevens bewaren.
Dan ga ik mijn belastingformulier maar weer met de hand invullen.
Ik voel niets voor digid.
Wéér een inlogcode en password onthouden, en dan nota bene eentje,
die
bij diefstal van de gegevens overal gebruikt kan worden. Ik ben al wat
ouder, dat kan ik allemaal niet meer onthouden.
Postbank inlog, andere bank inlog, internet inlog, pincode 1, pincode2, en
je moet het allemaal geheim houden, elke keer een andere inlognaam en
password, je mag het nergens opschrijven.
Nou weer digid, het is wel goed!
Jammer dat de belastingdienst me wil dwingen om aan digid mee te
doen. Ik laat me niet dwingen.
De oude identificatie bij de elektronische aangifte was heel wat
makkelijker en vooral doeltreffend! Kon ik gewoon, omdat het alleen voor
mijn belastingaangifte was, bij mijn belastinggevens bewaren.
Dan ga ik mijn belastingformulier maar weer met de hand invullen.
Kan dat nog?
08-01-2007, 14:36 door
root
"De 'dubbelgangers' die nu voorkomen zijn mensen die de inlogcode
voor anderen hebben aangevraagd, aldus Stolze."
Heb ik ook gedaan voor de buren. Is helemaal niet gek, want iemand moet
het toch hun belastingformulier invullen? Zelf snappen ze er geen jota van.
Gelukkig bestaat er ook nog zoiets als vertrouwen.
voor anderen hebben aangevraagd, aldus Stolze."
Heb ik ook gedaan voor de buren. Is helemaal niet gek, want iemand moet
het toch hun belastingformulier invullen? Zelf snappen ze er geen jota van.
Gelukkig bestaat er ook nog zoiets als vertrouwen.
Mijn vrouw en ik vinden het onnodig elk een mobieltje te
nemen. Eén is genoeg. Meestal draagt zij hem bij zich. Soms
ik. Nu willen we tóch elk een DigID. En dus hebben we voor
elk van ons zo'n DigID aangevraagd en dus inderdaad met
hetzelfde mobiele nummer.
Ik zie niet in hoe we dat in dit geval anders hadden moeten
doen.
Een tweede mobiel kopen omwille van de DigID-registratie?
nemen. Eén is genoeg. Meestal draagt zij hem bij zich. Soms
ik. Nu willen we tóch elk een DigID. En dus hebben we voor
elk van ons zo'n DigID aangevraagd en dus inderdaad met
hetzelfde mobiele nummer.
Ik zie niet in hoe we dat in dit geval anders hadden moeten
doen.
Een tweede mobiel kopen omwille van de DigID-registratie?
Door Anoniem
Ik voel niets voor digid.
Wéér een inlogcode en password onthouden, en dan nota bene eentje,
die
bij diefstal van de gegevens overal gebruikt kan worden. Ik ben al wat
ouder, dat kan ik allemaal niet meer onthouden.
Postbank inlog, andere bank inlog, internet inlog, pincode 1, pincode2, en
je moet het allemaal geheim houden, elke keer een andere inlognaam en
password, je mag het nergens opschrijven.
Nou weer digid, het is wel goed!
Jammer dat de belastingdienst me wil dwingen om aan digid mee te
doen. Ik laat me niet dwingen.
De oude identificatie bij de elektronische aangifte was heel wat
makkelijker en vooral doeltreffend! Kon ik gewoon, omdat het alleen voor
mijn belastingaangifte was, bij mijn belastinggevens bewaren.
Dan ga ik mijn belastingformulier maar weer met de hand invullen.
Hallo Annoniem.Ik voel niets voor digid.
Wéér een inlogcode en password onthouden, en dan nota bene eentje,
die
bij diefstal van de gegevens overal gebruikt kan worden. Ik ben al wat
ouder, dat kan ik allemaal niet meer onthouden.
Postbank inlog, andere bank inlog, internet inlog, pincode 1, pincode2, en
je moet het allemaal geheim houden, elke keer een andere inlognaam en
password, je mag het nergens opschrijven.
Nou weer digid, het is wel goed!
Jammer dat de belastingdienst me wil dwingen om aan digid mee te
doen. Ik laat me niet dwingen.
De oude identificatie bij de elektronische aangifte was heel wat
makkelijker en vooral doeltreffend! Kon ik gewoon, omdat het alleen voor
mijn belastingaangifte was, bij mijn belastinggevens bewaren.
Dan ga ik mijn belastingformulier maar weer met de hand invullen.
Ik wil hierbij zeggen dat ik het volledig met je eens ben, en wil er nog iets
aan toevoegen. Met name stel die digid worden samen gevoegd met de
ipadressen, hebben ze dan niet meteen een leuke databank met wie wie
is hoeven ze toch niets meer op te vragen bij de providers wie wie is, het is
maar een idee maar gezonde achterdocht is toch geen probleem denk ik.
Wat een wahlhala voor de overheid denk ik.
Groeten Jan
Ik wil hierbij zeggen dat ik het volledig met je eens ben, en wil er nog iets
aan toevoegen. Met name stel die digid worden samen gevoegd met de
ipadressen, hebben ze dan niet meteen een leuke databank met wie wie
is hoeven ze toch niets meer op te vragen bij de providers wie wie is, het is
maar een idee maar gezonde achterdocht is toch geen probleem denk ik.
Wat een wahlhala voor de overheid denk ik.
Groeten Jan
ouderwets met pen en formulier heb gedaan/ga doen.
01-02-2007, 16:50 door
dim
Hier kun je het papieren aangifteformulier voor
particulieren (P-biljet) bestellen:
http://www.belastingdienst.nl/download/order6205_nl.html
Ik kreeg het formulier zo ongeveer de volgende dag in huis.
particulieren (P-biljet) bestellen:
http://www.belastingdienst.nl/download/order6205_nl.html
Ik kreeg het formulier zo ongeveer de volgende dag in huis.
Ik heb zojuist een DigID aangevraagd en kon deze direct gebruiken op in te
loggen op denhaag.nl.
Activeren was helemaal niet nodig. Dit betekent dat wanneer je over de naw
gegevens + sofinummer van iemand beschikt je je eenvoudig als die persoon
kan voordoen.
Ik heb dit gemeld bij DigID helpdesk en kreeg het volgende (onzinnige)
antwoord:
Bedankt voor uw reactie.
Totdat uw inlogcode geactiveerd is, kunt u alleen ter controle de door uzelf
opgegeven gegevens inzien. Het is niet mogelijk om op uw naam andere
handelingen te verrichten
loggen op denhaag.nl.
Activeren was helemaal niet nodig. Dit betekent dat wanneer je over de naw
gegevens + sofinummer van iemand beschikt je je eenvoudig als die persoon
kan voordoen.
Ik heb dit gemeld bij DigID helpdesk en kreeg het volgende (onzinnige)
antwoord:
Bedankt voor uw reactie.
Totdat uw inlogcode geactiveerd is, kunt u alleen ter controle de door uzelf
opgegeven gegevens inzien. Het is niet mogelijk om op uw naam andere
handelingen te verrichten
Door Anoniem
Ik heb zojuist een DigID aangevraagd en kon deze direct gebruiken op in te
loggen op denhaag.nl.
Activeren was helemaal niet nodig. Dit betekent dat wanneer je over de naw
gegevens + sofinummer van iemand beschikt je je eenvoudig als die persoon
kan voordoen.
Ik heb dit gemeld bij DigID helpdesk en kreeg het volgende (onzinnige)
antwoord:
Bedankt voor uw reactie.
Totdat uw inlogcode geactiveerd is, kunt u alleen ter controle de door uzelf
opgegeven gegevens inzien. Het is niet mogelijk om op uw naam andere
handelingen te verrichten
Je verhaal klopt niet. Je hebt een aanvraag gedaan en thuis je gegevens voor Ik heb zojuist een DigID aangevraagd en kon deze direct gebruiken op in te
loggen op denhaag.nl.
Activeren was helemaal niet nodig. Dit betekent dat wanneer je over de naw
gegevens + sofinummer van iemand beschikt je je eenvoudig als die persoon
kan voordoen.
Ik heb dit gemeld bij DigID helpdesk en kreeg het volgende (onzinnige)
antwoord:
Bedankt voor uw reactie.
Totdat uw inlogcode geactiveerd is, kunt u alleen ter controle de door uzelf
opgegeven gegevens inzien. Het is niet mogelijk om op uw naam andere
handelingen te verrichten
DigiD ontvangen. Om er misbruik van te maken zou iemand dit moeten
onderscheppen of toegang tot je computer moeten hebben. Of heb ik het mis?
Dus met een DigiD hebben ze je IP-adres en je 06-nummer ? Afgezien van de
financiele gegevens en andere data die je bewust of onbewust meegeeft ?
Dat is toch van de zotte ?
financiele gegevens en andere data die je bewust of onbewust meegeeft ?
Dat is toch van de zotte ?
Door Anoniem
Dus met een DigiD hebben ze je IP-adres en je 06-nummer ? Afgezien van de
financiele gegevens en andere data die je bewust of onbewust meegeeft ?
Dat is toch van de zotte ?
Wacht even... jij wilt anonieme transacties met de overheid?Dus met een DigiD hebben ze je IP-adres en je 06-nummer ? Afgezien van de
financiele gegevens en andere data die je bewust of onbewust meegeeft ?
Dat is toch van de zotte ?
Wie is er nou zot?!
Hallo zeg,
je HOEFT geen mobiel nummer op te geven bij de aanvraag van Digid..! Je
kunt ook kiezen voor authenticatie op basis van username/wachtwoord.
Account kun je pas activeren na invoering van de activeringscode die je per
post (naar het adres dat bij je Burgerservicenummer/sofinummer hoort).
Als je dus een Digid aanvraagt op een Burgerservicenummer van een ander
krijg je de activeringscode dus niet eens (tenzij je postbode bent die brieven
openstoomt ;)
je HOEFT geen mobiel nummer op te geven bij de aanvraag van Digid..! Je
kunt ook kiezen voor authenticatie op basis van username/wachtwoord.
Account kun je pas activeren na invoering van de activeringscode die je per
post (naar het adres dat bij je Burgerservicenummer/sofinummer hoort).
Als je dus een Digid aanvraagt op een Burgerservicenummer van een ander
krijg je de activeringscode dus niet eens (tenzij je postbode bent die brieven
openstoomt ;)
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
