Computerbeveiliging - Hoe je bad guys buiten de deur houdt

DigID: handig of risico?

22-01-2011, 15:12 door 0101, 20 reacties
Hallo iedereen,

Ik zit al een tijdje met het idee te spelen om een DigID aan te vragen (ik ben niet iemand die graag met papier werkt), maar uit alle artikelen daarover komt soms een wel erg negatief beeld naar voren (http://webwereld.nl/nieuws/67453/beveiliging-digid-op-losse-schroeven.html).

Ook de Big Brother-neigingen van onze overheid (https://encrypted.google.com/search?q=webwereld.nl+DPI+overheid) zijn natuurlijk wel iets om je zorgen over te maken, zeker als ze door DigID jouw IP-adres kunnen koppelen aan je BSN.

Daartegenover staat natuurlijk wel het gemakkelijk kunnen regelen van diverse zaken, zoals uitschrijven voor het EPD. Zaken zoals die maken het dan toch wel weer het overwegen waard.

Wat denken jullie, is het veilig genoeg om een DigID aan te vragen of kan ik beter alle zaken op papier regelen?

0101
Reacties (20)
22-01-2011, 18:38 door xy22
Door 0101: Daartegenover staat natuurlijk wel het gemakkelijk kunnen regelen van diverse zaken, zoals uitschrijven voor het EPD. Zaken zoals die maken het dan toch wel weer het overwegen waard.

0101
Mijn ervaring is dat de beveiliging best behoorlijk is geregeld. Je krijgt na het aanvragen via de post een tijdelijk ‘password’. Die stel je vervolgens zelf in, en koppel je vervolgens (hoeft dacht ik niet per se, maar dat kan zijn veranderd) een 06nummer eraan, waarop je elke keer dat je in wilt loggen een sms met een eenmalige inlogcode krijgt.
(ook een email adres is nodig, zelf een aparte Hotmail daarvoor)
Verder gaat elke pagina via https, zowel IE als Firefox ‘kleuren blauw/groen’. Met andere browsers heb ik geen ervaring.

Door 0101:
Ook de Big Brother-neigingen van onze overheid (https://encrypted.google.com/search?q=webwereld.nl+DPI+overheid) zijn natuurlijk wel iets om je zorgen over te maken, zeker als ze door DigID jouw IP-adres kunnen koppelen aan je BSN.
0101
Als je een mening daarover wilt, ik vind onze overheid best ‘lief’, maar ze kent het woord privacy niet altijd even best.
IP-adres en BSN koppelen kun je misschien voorkomen door met iets van een Linux-live usb of Ironkey bij een bibliotheek te surfen. En een (met cash betaalde) prepaid mobiele telefoon.


Door 0101: Wat denken jullie, is het veilig genoeg om een DigID aan te vragen of kan ik beter alle zaken op papier regelen?

0101
Zelf kon ik er, vanwege inschrijven voor een opleiding, niet onderuit. Als je de dingen die je wilt en moet regelen met een papieren envelop af kan, zou ik denken “Waarom niet?”.
23-01-2011, 11:38 door Anoniem
Het is zo beveiligt dat je soms een uur aan het rommelen bent om er in te komen, je krijgt een SMS.
Maar die is maar zoveel seconde/minuten geldig, dus met sommige providers duurt het even voor die uiteindelijk aankomt en is je code inmiddels verlopen :D
23-01-2011, 13:32 door spatieman
ik heb zelf slechte ervaring met digID
als je je inlognaam kwijt bent, ben je het haasje.
dan moetje maar een nieuwe digID aanmaken zeggen ze.
23-01-2011, 16:40 door ej__
Door spatieman: ik heb zelf slechte ervaring met digID
als je je inlognaam kwijt bent, ben je het haasje.
dan moetje maar een nieuwe digID aanmaken zeggen ze.

En waarom is dat een slechte ervaring?
23-01-2011, 20:16 door Securitate
laten we niet doordraven.
dit id is bedoeld voor serieuze zaken.
je wilt niet dat anderen dit doen alsof ze jou zijn.
met het oog hierop is het niet raar dat gekeken wordt naar ip connectie.
grootste risico ligt aan jouw kant.
klinkt misschien raar om te zeggen dat jouw privacy bevorderd wordt.
ook als ze je 06 hebben voor sms.
discussie moet zijn waarvoor dit id gebruikt gaat worden, wie heb inzage.
als het een soort kluis is die jij gedeeltelijk beheert, prima.
van huis uit is handig.
gemeente zaken, belasting, etc.
dit willen we toch, een bereikbare overheid, als het ons uitkomt?
wel moet er altijd een andere mogelijkheid blijven, zoals langsgaan met paspoort.
wil je verder niet gevolgd worden staat niks je in de weg daarvoor maatregelen te nemen zoals tor, met bijbehorend cruijf effect.
zie het als scheiding prive en zakelijk.
23-01-2011, 20:49 door ej__
De zwakke plek (volstrekt ondoordacht in mijn optiek) is dat de gebruiker de keus krijgt tussen wachtwoord authenticatie en een sms met authenticatie code. Als alleen het laatste werd geboden was het een behoorlijk stevig systeem.

Noot: ik heb de implementatie niet bekeken en weet niet of daar dommiteiten zitten.
24-01-2011, 08:20 door Anoniem
"DigID: handig of risico?"

Het zou gebruikersvriendelijker kunnen, maar is er een (digitaal) alternatief ? Over misbruik van Digid heb ik tot nog toe weinig gehoord (en daarnaast moet je ook kijjken wat de risico's zijn van een niet-digitale vorm van werken; ook daar kan misbruik plaatsvinden).
24-01-2011, 10:37 door 0101
Door Anoniem: is er een (digitaal) alternatief ?
Het zal er waarschijnlijk nog wel van komen, maar op dit moment is het gebruik van DigID voor mij nog geen noodzaak. Daarom vroeg ik me af of het gebruik van DigID veel risico's met zich meebrengt. Ik denk dat ik met deze comments al behoorlijk opschiet, en ik zal het gebruik van SMS-authenticatie zeker in overweging nemen.
Iedereen bedankt voor het meedenken.
24-01-2011, 12:40 door Anoniem
Door ej__: De zwakke plek (volstrekt ondoordacht in mijn optiek) is dat de gebruiker de keus krijgt tussen wachtwoord authenticatie en een sms met authenticatie code. Als alleen het laatste werd geboden was het een behoorlijk stevig systeem.

Noot: ik heb de implementatie niet bekeken en weet niet of daar dommiteiten zitten.
Afaik is dat een keuze die samenhangt met de gevoeligheid van de te beschermen data dan wel een afweging die de organisatie maakt die de gegevens beheert waar je toegang toe wilt hebben. Voor sommige sites is het verplicht om ook SMS authenticatie te doen, voor de meeste is het een optie voor de gebruiker.
24-01-2011, 12:43 door Dev_Null
1 DigiD voor vele overheids diensten is teven een single-point-of-failure.
Als het DigiD systeem ooit gekraakt word, liggen vele toegangscodes tot JOUW zaken open en bloot voor de hoogste bieders.

Oke hets effu iets meer werk maar ik zou het lekker bij papier houden zolang het nog kan :-)
24-01-2011, 15:46 door Anoniem
Door Dev_Null: 1 DigiD voor vele overheids diensten is teven een single-point-of-failure.
Als het DigiD systeem ooit gekraakt word, liggen vele toegangscodes tot JOUW zaken open en bloot voor de hoogste bieders.

Oke hets effu iets meer werk maar ik zou het lekker bij papier houden zolang het nog kan :-)
En in die redenering is de TNT het single point of failure, want zowel de postbezorging van jou naar de betreffende instantie als vice versa is het straatje van de TNT. En ik vermoed dat ik meer vertrouwen heb in DigiD dan in TNT :)
24-01-2011, 18:30 door Anoniem
Ik zou zeggen als je het nog niet echt nodig hebt wacht dan nog een tijdje.
Als je bijvoorbee
ld werkloos word en je inschrijft bij het UWV dan heb je Digid nodig om met de werkmap online te kunnen werken,nou ik kan je zeggen daar is vaak gedonder mee al ligt dat meer aan de site van het UWV als aan het Digid.
Plus als je zelf of iemand anders je belasting aangifte online laat doen heb je ook een Digid nodig!
Heb jij nog niet met deze zaken te maken dan zou ik zeggen wacht ermee.
Je word / bent tegenwoordig toch al makkelijk te volgen via electronische sporen[internet,bankpas-onlinebankieren]
dus mijn mening is hoe minder sporen hoe beter.
24-01-2011, 19:59 door TD-er
toevallig op een ander forum het volgende tegen gekomen:
"Aaah, DigID, heerlijk faaaaal. Braaf ergens gebruikersnaam en wachtwoord genoteerd na het aanvragen. Lukt inloggen de eerst daaropvolgende keer dus niet...dan hang je meer dan een half uur aan de telefoon om het te fiksen. Blijkt er iemand te zijn met precies dezelfde gebruikersnaam....en dat kan DigID niet aan....Grumpff....veel van 'mijn gegevens' bleken vervangen te zijn door 'de hare'....gedoe"

Dan ga je toch wel denken aan de veiligheid van DigiD en de ontwerpkeuzes die genomen zijn.
Trouwens dit was een opmerking van iemand die ik geloof dat dit niet uit de nek geluld is.
25-01-2011, 09:27 door Preddie
Door Anoniem:
Door Dev_Null: 1 DigiD voor vele overheids diensten is teven een single-point-of-failure.
Als het DigiD systeem ooit gekraakt word, liggen vele toegangscodes tot JOUW zaken open en bloot voor de hoogste bieders.

Oke hets effu iets meer werk maar ik zou het lekker bij papier houden zolang het nog kan :-)
En in die redenering is de TNT het single point of failure, want zowel de postbezorging van jou naar de betreffende instantie als vice versa is het straatje van de TNT. En ik vermoed dat ik meer vertrouwen heb in DigiD dan in TNT :)

Absoluut onjuist, de TNT is geen object dat kan voldoen aan de definities van een single point of failure. (niet in deze context) De TNT, heeft meerdere bezorgers voor één huisadres. Gegevens worden vaak aangetekend verstuurd waardoor het voor een TNTmedewerker al moeilijk wordt om de boel te manipuleren. Tevens zijn er meerdere post diensten en ben je dus niet altijd afhankelijk van de TNT. Toch geeft ik toe dat de TNT een risico vormt, maar lang geen single point of failure. Het risico dat een TNTer er met jou gegevens vandoor gaat is een stuk kleiner als de kans dat jou DigiD digital wordt gestolen.

Zoals Dev_null zegt is DigiD dat wel, het is een beetje hetzelfde als openIdent. Waar je vroeger voor elk systeem een appart wachtwoord moest kraken, heb je nu maar 1 geldige combinatie voor alles nodig. DigiD is voor de overheid geweldig, voor jou als persoonlijk is het echt super gevaarlijk. (net als je ID-kaart)

Waar vroeger nog naar een balie moest met je ID-kaart en werd gecontroleerd aan de hand van een foto en andere kenmerken en/of vragen of jij de juiste persoon bent, is bij DigiD die totale controle weg. Wanneer ik het DigiD van een andere in handen heb kan ik alles doen en laten zonder dat er één enkele controle tussen zitten.

Daarnaast is het zo dat wanneer het database op straat ligt de burger met een nog veel groter probleem zit, iets wat met een stapel ID-kaarten al moeilijker gebeurd en zoals je misschien al door hebt is in alle gevallen de burger slachtoffer en niet de overheid (mooi heh!)

De makkelijkste weg om identiteitsfraude te plegen, is met een DigiD. Tenzij er met Three-factor authenticatie wordt gewerkt (in sommige gevallen) bijv. met een standaard gebruikersnaam en wachtwoord in combinatie met een OTP op je mobiel. Maargoed dan is nog de vraag hoe makkelijk je deze gegevens kunt wijzigen a.h.v. wijzigingsformulier (dit kan ik niet beoordelen, dit moet je testen)

De veiligheid van DigiD wordt door nog een aspect beïnvloed, dit hebben we kunnen zien bij het DUO (vroegere informatiebeheergroep). De beveiliging van DigiD wordt mede bepaalt hoe deze in een applicatie geïmplementeerd is. Het systeem DigiD is dan op zoon moment best veilig maar de applicatie bevat een fout waardoor de gehele beveiliging van DigiD weer in het water valt. Zo werden bij het DUO de verkeerde gegevens onder de verkeerde accounts weergegeven, waarna het DUO verklaarde dat dit door de drukte kwam. Persoonlijk ben ik van mening dat de verklaring lariekoek is en dat er gewoon een bug in de applicatie heeft gezeten, maar om geen gezichtsverlies te zeggen ze dat het te druk was..... ff logica: op een doodgewone zaterdagmiddag gaan spontaan de helft van alle studenten inloggen op de site van het DUO? Normaal als het TE druk is gaat een site plat, maar die van het DUO niet deze gaat dan spontaan de gegevens van andere mensen in jou profiel laden ...... de kerstman bestaat trouwens ook ECHT ....

Mijn advies: als je om DigiD heen kan doe het dan ook, desnoods op papier, desnoods aangetekend verzonden
25-01-2011, 09:31 door Preddie
Door TD-er:

Dan ga je toch wel denken aan de veiligheid van DigiD en de ontwerpkeuzes die genomen zijn.
Trouwens dit was een opmerking van iemand die ik geloof dat dit niet uit de nek geluld is.

We zullen zien hoe de navolger van DigiD het gaat doen, eHerkenning ....
27-01-2011, 16:41 door Anoniem
Predjuh

eHerkenning is niet de 'na' volger van DigID, maar DigID voor bedrijven. Opvolger DigID is DigID X
http://www.ictu.nl/index.php?option=com_content&task=view&id=690&Itemid=76
31-01-2011, 10:20 door Dev_Null
die redenering is de TNT het single point of failure, want zowel de postbezorging van jou naar de betreffende instantie als vice versa is het straatje van de TNT. En ik vermoed dat ik meer vertrouwen heb in DigiD dan in TNT :)
Het is maar de je het jezelf bewust bent.. Anomien 24-1-2011

Gelukkig zijn er ook regionale (regiopost..) en globale (upc, dhl) postbezorg-diensten die je pakket OOK kunnen vervoeren. Dat kun je dus niet zeggen van DidiG.. Dus blijft DigiD het een single-point-of-failure :-P
06-03-2011, 23:34 door Anoniem
even een vraagje, wat kunnen fraudeurs nou precies met digi-d? Ik ben zelf student dus heb er 1 moeten aan vragen en na het lezen van deze treat ben ik toch wat verontrust. Ik heb hem zelf dan nodig voor het inloggen bij duo en studielink en ik heb ook even op de website van digid zelf gekeken maar alleen mijn bsn nummer is dan te zien.
en tja het is nou niet bepaald moeilijk om bsn nummers van personen te komen maar wat kunnen ze hier dan verder mee?

Ik zelf heb zoals gezegd alleen te maken met duo en studielink maar wat zou een fraudeur dan verder nog met mijn digid kunnen?(Twee keer op dezelfde naam stuffie aan vragen lijkt me uit den boze) en jullie hebben het over belastingaangiftes overheidsinstanties etc. Maar ik maak daar geen gebruik van dus hoef ik me nergens zorgen over te maken (of is dat te kort door de bocht)?
07-03-2011, 13:53 door cjkos
Door Anoniem: even een vraagje, wat kunnen fraudeurs nou precies met digi-d? Ik ben zelf student dus heb er 1 moeten aan vragen en na het lezen van deze treat ben ik toch wat verontrust. Ik heb hem zelf dan nodig voor het inloggen bij duo en studielink en ik heb ook even op de website van digid zelf gekeken maar alleen mijn bsn nummer is dan te zien.
en tja het is nou niet bepaald moeilijk om bsn nummers van personen te komen maar wat kunnen ze hier dan verder mee?

Als ze je DigiD EN inlogcode hebben kunnen ze je gegevens inzien / wijzigingen doorgeven / afspraken maken bij

uitkeringsinstanties en (semi-)overheidsinstellingen zoals het UWV, CWI en de belastingdienst.
de overheid
de gemeente
de provincie
de politie
je zorgverzekering

en kennelijk ook bij de studielink van je school, dat wist ik nog niet, dat was nieuw voor me.

Dus kwaadwillenden kunnen er 'aardig wat' mee als ze die gegevens hebben.
Identiteitsfraude is een mogelijkheid.
07-03-2011, 15:52 door Anoniem
Door 0101: Hallo iedereen,

[..]
Ook de Big Brother-neigingen van onze overheid (https://encrypted.google.com/search?q=webwereld.nl+DPI+overheid) zijn natuurlijk wel iets om je zorgen over te maken, zeker als ze door DigID jouw IP-adres kunnen koppelen aan je BSN.

Daartegenover staat natuurlijk wel het gemakkelijk kunnen regelen van diverse zaken, zoals uitschrijven voor het EPD. Zaken zoals die maken het dan toch wel weer het overwegen waard.

Wat denken jullie, is het veilig genoeg om een DigID aan te vragen of kan ik beter alle zaken op papier regelen?

0101

Al een aantal jaren moeten ISPs verplicht de koppeling IP adres/ abonnee gegevens leveren aan het CIOT
https://rejo.zenger.nl/inzicht/het-functioneren-van-het-ciot
Wel of geen DigiD maakt voor dat aspect dus al niets meer uit.

Uitschrijven uit het EPD kan prima op papier.
Hoe vaak je nu 'gemak' hebt van DigiD hangt af van hoeveel je van doen hebt met de instanties die het gebruiken.
Als je geen DigiD hebt, heb je ook geen set toegangsgegevens met veel mogelijkheden die je veilig moet houden.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.