DigiD is een soort federatief systeem. Je moet inloggen op een website en wordt, om in te kunnen loggen, doorgestuurd naar de DigiD website. Vergelijkbaar dus met Ideal. In principe krijgt de website waarvoor je je moet authentiseren alleen een GOED of FOUT terug. De verantwoordelijkheid voor de beveiliging rond DigiD ligt bij de beheerder van de DigiD website. De verantwoordelijkheid voor de juiste interpretatie van GOED of FOUT ligt bij de andere website. Die moet ervoor zorgen dat de redirect e.d. niet is te misbruiken. Maar dan is het nog alleen zijn website die kwetsbaar is en niet het hele DigiD systeem.

Peter

Had je die ook niet nodig om bij je 'veilige' EPD te kunnen?

De humor ligt op straat. Mijn gegevens ook.

Als je je DigiD naam en/of wachtwoord vergeet, moet je een nieuwe DigiD aanvragen.
Hiervoor is nodig "burgerservicenummer (BSN), geboortedatum en postcode" (zie http://www.digid.nl/vraag-en-antwoord/?nodeid=1962).

Geboortedatum kan je op sociale media wel vinden. Je postcode is ook niet zo geheim als je uit brievenbussen gaat vissen. Maar het BSN zou toch niet algemeen bekend moeten zijn?

Dus hoe is deze fraude van de ombudsman dan gepleegd? Ik begrijp dat deze in bepaalde steden zijn gepleegd, dus met een gemeenschappelijk postcode gebied? Wie (behalve de overheid) heeft allemaal toegang tot je BSN?

BSN staat o.a. op je "zorgverzekeringspas"

BSN staat op alle soorten van identiteitsdocumenten. Dus als je iemand vraagt zicht te identificeren voor iets...
Er is niets geheim aan je BSN.
Je postcode en geboortedatum zijn ook op veel meer plekken bekend dan je je maar kunt voorstellen. Als je ergens aanmeld worden die gegevens vrijwel altijd gevraagd.

En dat het BSN door allerlei instanties wordt opgevraagd (en vermeld in de administratie of op pasjes) is niet zo lang geleden ook al fel bekritiseerd, want strijdig met de wet.

Vanwege de financiele wetgeving zijn banken ook kopieen van identiteitspapieren van hun klanten gaan verzamelen. Drie maal raden wat daar op staat. Juist, je bsn nummer (vroeger okmwel sofinummer genoemd)

De benodigde combinatie aan gegevens om een wachtwoord voor digi-d te krijgen of te wijzigen liggen zijn met de huidige technologie (of een beetje social enginering) makkelijke te verzamelen.
Bel maar wat willekeurige mensen op en geef aan dat ze een grote prijs gewonnen hebben, maar dat je ter controle wat (persoonlijke) gegevens van ze nodig hebt. Dan heb je zo wel wat controle gegevens voor digi-d verrzameld.

Ik heb een onderzoekje gedaan naar die gevallen waar zorg en huurtoeslagen naar andere rekeningen werden overgemaakt. Er was in hoofdzaak sprake van interne fraude door mensen van een gemeentelijke belastingdienst die rekeningnummers konden veranderen in de centrale administratie van de belastingdienst, dat deden ze trouwens OOK bij mensen die geen DigID hadden en nu nog steeds niet hebben.

In geen enkel geval was er sprake van DigID misbruik, dat was slechts de logische en spannende conclusie van een aantal partijen om te denken dat het wel aan onveiligheid van de DigID of de post bezorging zou liggen.

Het is bij de belastingdienst trouwens de standaard cultuur om alle interne fraude (mogelijkheden) te ontkennen en zelfs niet over te spreken of melding van te doen, want dat is slecht voor je carrière en die van je chef,.Ook dat is waarschijnlijk mede oorzaak dat men "voor het gemak" naar de DigID heeft gewezen en dat het veel te lang heeft geduurd voordat een intern onderzoek bij de belastingdienst succesvol kon worden afgesloten.

Jammer dat de ontkennings culttuur bij de belastingdienst ook heeft geleid tot een slecht geinformeerde Ombudsman en daarmee de afhandeling van klachten door burgers, dat was niet nodig geweest.

Bij DigID vinden ze ook dat hun systeem niet veilig genoeg is, en ze gaan dus ook volgend jaar maar waarschijnlijk nog voor het einde van dit jaar een nieuwe versie van lanceren, maar dat staat los van de gevallen van fraude met huur en zorgtoeslag.

Echt waar? Ik dacht dat DigiD na 3x verkeerd wachtwoord een dag lang de toegang blokkeerde (dat was vroeger in elk geval zo, mogelijk is dat later uitgeschakeld om gebruiksgemak te vergroten?)

Maar aan die gegevens heb je niet genoeg, want de activatiecode wordt vervolgens per post naar het geregistreerde huisadres gestuurd. Fraude op dat punt is dus alleen mogelijk als je fysieke toegang tot de post/brievenbus hebt (huisgenoot, brievenbus hengelen, corrupte postbezorger). Maar via keylogger/phishing site is het ws. een stuk makkelijker om aan iemand's gebruikersnaam + passwordcombinatie te komen.


Bron? Een hoger niveau van DigiD (met behulp van SMS authenticatie) bestaat al heel lang, alleen maken heel weinig overheidsdiensten hier dwingend gebruik van. Een nog hoger niveau op basis van chip op de identiteitskaart werd overwogen maar is in de ijskast gezet (en gaat heel lang duren om alsnog te realiseren want je moet iedereen voorzien van een pasje + cardreader).

Voor een alternatief zie bijvoorbeeld eHerkenning (http://eherkenning.nl/) wat ontwikkeld is voor identificatie van bedrijven richting overheid.