image

Plasterk onderzoekt veiligere inlogmethodes DigiD

zaterdag 8 november 2014, 14:57 door Redactie, 15 reacties

Om het inloggen op DigiD verder te beveiligen worden verschillende aanvullende maatregelen onderzocht, zo heeft minister Plasterk van Binnenlandse Zaken in een brief aan de Tweede Kamer laten weten. In de brief gaat Plasterk in op maatregelen om de beveiliging en het gebruik van DigiD te verbeteren.

Op dit moment heeft DigiD zo'n 600 aangesloten afnemers en kent ongeveer 11 miljoen gebruikers. Deze genereerden in 2013 zo'n 117 miljoen authenticaties. Volgens Plasterk is de verwachting dat in 2014 het aantal van 170 miljoen authenticaties wordt bereikt. De beschikbaarheid voor DigiD lag tot en met augustus boven de met de leveranciers afgesproken norm van 99,95%.

"Bovenstaande cijfers geven duidelijk het belang weer van DigiD. Het is belangrijk om met vereende kracht het hoofd te blijven bieden aan de steeds toenemende dreigingen voor de betrouwbaarheid en de continuïteit van een goede en veilige elektronische toegang tot de overheid", aldus Plasterk. Om gebruikers te beschermen wordt er bijvoorbeeld opgetreden tegen phishingsites. Dit jaar heeft het Nationaal Cyber Security Center (NCSC) al 40 phishingsites uit de lucht gehaald die het hadden voorzien op inloggegevens van DigiD.

Veiliger inloggen

Daarnaast kunnen burgers er nu ook al voor kiezen om standaard in te loggen op niveau "Midden". Hierbij wordt twee factor-authenticatie via sms gebruikt, waardoor men minder kwetsbaar voor bijvoorbeeld phishing is, gaat Plasterk verder. Het komend jaar wordt er naar alternatieven voor de bestaande twee-factor authenticatie met sms (DigiD Midden) gekeken, die tegen lagere kosten op grote schaal kunnen worden toegepast. Dit kan bijvoorbeeld een app zijn waarmee een extra verificatiecode op smartphone of tablet kan worden ontvangen. De eerste pilots hiermee starten naar verwachting medio 2015.

Om een nog grotere mate van zekerheid over iemands identiteit te verkrijgen bij het inloggen ten opzichte van DigiD Midden met sms, wordt er een aantal mogelijkheden onderzocht waarbij er een extra controle plaatsvindt, nadat iemand is ingelogd met DigiD. Het kan dan gaan om het uitlezen van gegevens op de chip van een wettelijk identiteitsdocument, zoals een identiteitskaart of rijbewijs. Die gegevens worden vervolgens geverifieerd aan de hand van de betreffende documentregisters. Hiermee wordt het mogelijk om digitaal diensten aan te bieden die dat hogere betrouwbaarheidsniveau vereisen.

Drempel

Als laatste schrijft Plasterk dat het gebruik van DigiD voor sommige mensen een drempel vormt om digitaal zaken met de overheid te doen. Om die reden is de Stichting Digisterker gevraagd een oefenmiddel te ontwikkelen: de DigiD oefentool. Mensen die een digivaardigheidscursus volgen kunnen in een veilige omgeving een DigiD leren aanvragen en gebruiken. "Door te oefenen, wordt de drempel lager om DigiD aan te vragen en goed te gebruiken", merkt Plasterk op. De oefentool is naar verwachting in januari 2015 operationeel.

Reacties (15)
08-11-2014, 16:50 door vimes
Ik denk dat je principiele weigeraars niet over de streep trekt met een oefentool. Maar ja, wat kan je verwachten van een minister die zelf digibeet is.
08-11-2014, 17:07 door Anoniem
Dit is wel weer een aardige redenatie. Ze hebben eerst zoveel mogelijk richting dat ding geduwd, en roepen nu dat het wel heel belangrijk is hoor. En dus nog maar weer meer gebruikt moet worden.

Het zou de overheid sieren als ze niet de nadruk zou leggen op de burger hun speledingetje te dwingen te gerbuiken, maar op faciliteren op om het even welke wijze die de burger blieft.

En dus ook op minder afhankelijk zijn van een maximale zekerheid van identiteit, want die is nooit honderd procent en hoe harder je er op hamert hoe groter de terugslag mocht het eens misgaan.

Maargoed, "we bouwen een website" is tot nu toe het ne plus ultra van de overheidsautomatisering naar de burger toe, dus moet de burger maar naar de overheid buigen. In alle opzichten.
09-11-2014, 08:36 door Anoniem
Ik denk dat dat checken van de identiteitskaart een goed idee is. Dat doen ze in Belgie ook zo.
Het bezit van de identiteitskaart is voor een hacker toch een stuk lastiger te regelen dan het verkrijgen van het wachtwoord.
Systemen via 3e partijen zoals SMS of een APP dat vind ik een slechtere oplossing, je maakt je dan toch weer afhankelijk
van hoe goed anderen hun zaakjes voor elkaar hebben (bijvoorbeeld of een SMS op de een of andere manier geredirect
of opgevangen kan worden).

Echter nog belangrijker vind ik dat de diensten die verder gaan dan het opvragen van gegevens, zoals die grappen waarbij
er een ander bankrekening nummer kan worden ingesteld of een toeslag kan worden aangevraagd, eens wat meer controle
gaan inbouwen naast de identificatie. Wat er nu gebeurt dat is gewoon lamlendigheid bij de betreffende instanties. Je mag
best een handmatige verificatie doen als er ineens een hele serie aanvragen van dezelfde ID binnenkomt die er toe leiden
dat er geld wordt uitbetaald naar een andere rekening dan normaal.
09-11-2014, 08:44 door Anoniem
Door vimes: Ik denk dat je principiele weigeraars niet over de streep trekt met een oefentool. Maar ja, wat kan je verwachten van een minister die zelf digibeet is.
Ik snap werkelijk niet dat het nivo van de reaguurders hier zo laag is dat men denkt dat als een minister met iets komt,
hij dat dan allemaal zelf op zijn studeerkamer bedacht heeft. Keer op keer als er een uitspraak van een minister is dan
gaat men dat relateren aan het vermeende kennisnivo van deze minister zelf.
Jongens, gaan jullie nou eens opletten bij de les op school! Zo'n minister is alleen een eindverantwoordelijke, die staat aan
de top van een hele piramide waaronder duizenden mensen werken en wat hij zegt is het eindresultaat daarvan.
Net zoals de topman van Apple of Microsoft ook niet al die software zit te ontwikkelen waar jullie mee werken.
Is dat nou zo moeilijk? Nee? Zet je dan niet iedere keer zo voor gek met dat soort opmerkingen!
09-11-2014, 09:50 door potshot
Door Anoniem:
Door vimes: Ik denk dat je principiele weigeraars niet over de streep trekt met een oefentool. Maar ja, wat kan je verwachten van een minister die zelf digibeet is.
Ik snap werkelijk niet dat het nivo van de reaguurders hier zo laag is dat men denkt dat als een minister met iets komt,
hij dat dan allemaal zelf op zijn studeerkamer bedacht heeft. Keer op keer als er een uitspraak van een minister is dan
gaat men dat relateren aan het vermeende kennisnivo van deze minister zelf.
Jongens, gaan jullie nou eens opletten bij de les op school! Zo'n minister is alleen een eindverantwoordelijke, die staat aan
de top van een hele piramide waaronder duizenden mensen werken en wat hij zegt is het eindresultaat daarvan.
Net zoals de topman van Apple of Microsoft ook niet al die software zit te ontwikkelen waar jullie mee werken.
Is dat nou zo moeilijk? Nee? Zet je dan niet iedere keer zo voor gek met dat soort opmerkingen!
hear hear..
09-11-2014, 12:02 door Anoniem
Door Anoniem:
Door vimes: Ik denk dat je principiele weigeraars niet over de streep trekt met een oefentool. Maar ja, wat kan je verwachten van een minister die zelf digibeet is.
Ik snap werkelijk niet dat het nivo van de reaguurders hier zo laag is dat men denkt dat als een minister met iets komt,
hij dat dan allemaal zelf op zijn studeerkamer bedacht heeft. Keer op keer als er een uitspraak van een minister is dan
gaat men dat relateren aan het vermeende kennisnivo van deze minister zelf.
Jongens, gaan jullie nou eens opletten bij de les op school! Zo'n minister is alleen een eindverantwoordelijke, die staat aan
de top van een hele piramide waaronder duizenden mensen werken en wat hij zegt is het eindresultaat daarvan.
Net zoals de topman van Apple of Microsoft ook niet al die software zit te ontwikkelen waar jullie mee werken.
Is dat nou zo moeilijk? Nee? Zet je dan niet iedere keer zo voor gek met dat soort opmerkingen!

Hoewel ongelukkig verwoord zie ik er wel een kern van waarheid in. Des te ongelooflijker is het soms hoe ongelukkig het eindresultaat van de duizenden mensen dan ook blijkt te zijn.

Maar terug naar het onderhavige onderwerp. DigID Midden lijkt me een stap in de goede richting, hoewel ik voor financiële situaties en zaken die mijn kwaliteit van leven nogal direct beïnvloeden voor contact met de overheid graag een DigID High zou hebben (vergelijkbaar met PIN en Chip). Dat kost een kaartlezer, een contactchip op een smartcard en een certificaat en is dus wel wat prijzig, maar lijkt het me wel waard.

Maar het allerbelangrijkste: Alles waar contact met overheid en/of bedrijfsleven direct invloed heeft op mijn kwaliteit van leven heeft moet eerst en vooral fail-safe zijn. Met een knipoog naar een karakter uit Kelly's Heroes: "You see, man, we like to feel we can get out of trouble, quicker than they got us into it."
09-11-2014, 14:35 door Anoniem
Wat een hoop dom gelul van die plasterk zeg ,
met de hierboven genoemde cijfers toon het belang aan , whahahhahaaha
je MOET wel anders kom je nergens meer ingelogd zelf al niet bij je zorgverzekeraar ( die nota bene alles via internet WIL afhandelen )
DUS het toont aan dat het je , je stort door wordt geperst , met de woorden het is veilig ( whahaahahha ) nog nooit is er een site veilig geweest op internet dus deze sites al zeker niet , het gaat immers om geld , en daar is de cybercrimineel het om te doen .
09-11-2014, 16:32 door Anoniem
Door Anoniem: Ik snap werkelijk niet dat het nivo van de reaguurders hier zo laag is dat men denkt dat als een minister met iets komt,
hij dat dan allemaal zelf op zijn studeerkamer bedacht heeft.
Hij is eindverantwoordelijk* en mag er dus op aangesproken worden als ambtenaren onder zijn zogenaamde verantwoordelijkheid en in zijn naam met de meest waardeloze plannetjes komen. Hij had ook het inzicht kunnen hebben dat hem vertelde dat het plannetje nooit kan werken en als hij dat niet heeft en daarom zo'n keutel toch doorlaat dan is dat nog steeds zijn schuld, onkunde of niet. Dat wist elkaar niet uit, dat stapelt op: Dan is hij én eindverantwoordelijk én onkundig.

Maargoed, kennelijk zie jij dat eindverantwoordelijk zijn toch wat anders. Vertel dan dus maar hoe je anders een minister op slechte plannetjes wil aanspreken. "Het is uw pakkie an niet, exellentie, maar..." mischien? Het punt is nou net dat het zijn pakkie an wel is. Hij is namelijk eindverantwoordelijk.


* Voorzover "verantwoordelijk" nog iets betekent onder de ivoren kaasstolp.
09-11-2014, 19:27 door Anoniem
SMS? Dus ik moet een mobiele telefoon hebben? Nou niet dus.
09-11-2014, 20:35 door Anoniem
Door Anoniem:
Door Anoniem: Ik snap werkelijk niet dat het nivo van de reaguurders hier zo laag is dat men denkt dat als een minister met iets komt,
hij dat dan allemaal zelf op zijn studeerkamer bedacht heeft.
Hij is eindverantwoordelijk* en mag er dus op aangesproken worden als ambtenaren onder zijn zogenaamde verantwoordelijkheid en in zijn naam met de meest waardeloze plannetjes komen.

Ik zie hier geen waardeloos plannetje hoor, ik vind het een heel goed plan.
Er zullen ongetwijfeld weer aluhoedjes zijn die overal iets slechts in weten te vinden maar ik hoor daar niet bij.
Ik ageer er tegen dat mensen hier plannen afbreken omdat ze gebracht worden door een minister waarvan ze denken
dat ie minder van IT afweet dan zijzelf. Dat is gewoon niet relevant.

Het enige probleem wat ik zelf met DigiD heb, maar dat zelfde probleem heb ik ook met zaken die aan een zogenaamd
geheim BSN gehangen worden, is dat ik vind dat er de nodige rationele controle ontbreekt. Als je een BSN weet dan zou
je vanalles kunnen, nou dat vind ik dan slecht. Ik vind dat iedereens BSN net zo publiek zou moeten zijn als een
bankrekeningnummer (wellicht nog net niet zoals een telefoonnummer). M.a.w. heel veel mensen, instellingen, bedrijven
weten je BSN en toch kunnen ze er niks mee. Kunnen ze er wel wat mee dan deugt dat niet want je BSN is daarvoor
niet geheim genoeg, en dat krijg je ook niet goed.

Met DigiD is er iets vergelijkbaars aan de hand. Ik heb alleen een DigiD genomen omdat dit op een gegeven moment
verplicht was om mijn belastingaangifte te kunnen insturen. Daarvoor had ik daar een belasting PIN voor, maar dat mocht
niet meer op een gegeven moment. Dus DigiD aangevraagd en daar voor gebruikt. Prima.
Maar nu is het ineens zo dat anderen met mijn DigiD schijnen te kunnen frauderen. Daar heb ik niet om gevraagd, dus
ik acht het ook niet mijn probleem.

Als men hier iets aan wil doen vind ik dat prima. Dat mag door mijn inlog te koppelen aan mijn ID kaart, dat mag door
een fijnmazigere autorisatie (ik wil dat mijn DigiD goed is voor belastingaangifte, maar NIET voor het wijzigen van mijn
rekeningnummer of voor het aanvragen van toeslagen, die heb ik toch niet), dat mag door de verantwoordelijkheid op zich
te nemen voor misbruik van mijn DigiD door anderen, dat mag NIET door het koppelen van DigiD aan een SMS of APP
want ik vertrouw er niet op dat die veiliger zijn dan wat ik nu al heb.

Ik vind het heel goed dat daar aan gewerkt wordt en ik onthoud me van flauwe grappen over digibeet zijn van de minister.
Want de minister bedenkt dit helemaal niet.
09-11-2014, 22:48 door Briolet
Door Anoniem: Hij is eindverantwoordelijk* en mag er dus op aangesproken worden als ambtenaren onder zijn zogenaamde verantwoordelijkheid…

Jij reageert op een discussie de Plasterk niet als eindverantwoordelijke aanvalt, maar juist als persoon die zelf een digibeet zou zijn. En het is natuurlijk een onzinnige stelling dat de plannen van zijn ambtenaren slecht zouden zijn omdat hun minister geen beveiligingsdeskundige is.
10-11-2014, 09:33 door Anoniem
Door Anoniem: Ik ageer er tegen dat mensen hier plannen afbreken omdat ze gebracht worden door een minister waarvan ze denken
dat ie minder van IT afweet dan zijzelf. Dat is gewoon niet relevant.
Dan presideert'ie over iets waarvan hij niet kan zien of het een goed idee is. Dan kan'ie dus ook niet zelf zien als'ie eclatante onzin staat te verkopen. Iets wat zijn verantwoordelijkheid dragen niet ten goede komt.

Buiten dat weten we dat de ambtenaren zelf net zo verrekte weinig weten van ICT want ze moeten het veel te duur inkopen, bij consultants die maar wat graag nog wat extra uurtjes schrijven en natuurlijk netjes de vragen beantwoorden. Ook als de vragen de verkeerde zijn. Daarmee raakt een project maar al te makkelijk op een dood spoor maar blijft geld vreten. We weten wat de reputatie van overheidsICT is.

Dus een beetje verstand hier en inzicht daar zou best wel eens kunnen helpen.

Het enige probleem wat ik zelf met DigiD heb, maar dat zelfde probleem heb ik ook met zaken die aan een zogenaamd
geheim BSN gehangen worden, is dat ik vind dat er de nodige rationele controle ontbreekt. Als je een BSN weet dan zou
je vanalles kunnen, nou dat vind ik dan slecht. Ik vind dat iedereens BSN net zo publiek zou moeten zijn als een
bankrekeningnummer (wellicht nog net niet zoals een telefoonnummer). M.a.w. heel veel mensen, instellingen, bedrijven
weten je BSN en toch kunnen ze er niks mee. Kunnen ze er wel wat mee dan deugt dat niet want je BSN is daarvoor
niet geheim genoeg, en dat krijg je ook niet goed.
Een bankrekeningnummer doen we wel van of het gewoon publiek gemaakt kan worden, maar technisch gezien kun je er prima misbruik van maken door alleen het nummer te kennen. En dat gebeurt ook wel. Het is dat het met kredietkaartnummers nog makkelijker is en daar gebeurt het dus ook veel vaker mee.

Het probleem hier is dat het in de systemen ingebouwd en dat dit zo diep zit dat je dit nooit echt op kan lossen.

Met DigiD is er iets vergelijkbaars aan de hand. Ik heb alleen een DigiD genomen omdat dit op een gegeven moment
verplicht was om mijn belastingaangifte te kunnen insturen.
Die verplichting had wat mij betreft nooit ingevoerd mogen worden. Maak een systeem, prima, en zorg dan ook dat het goed gebouwd wordt. Maar zorg ook dat het niet de enige wijze is waarop er met de overheid gecommuniceerd kan worden. Een vrij belangrijk punt in mijn betoog dat je hier ongezien wegwimpelt.

Maar nu is het ineens zo dat anderen met mijn DigiD schijnen te kunnen frauderen. Daar heb ik niet om gevraagd, dus
ik acht het ook niet mijn probleem.
Het is nooit anders geweest, het begint alleen interessant te worden en dus gebeurt het vaker. En de resultaten mag je rechtzetten door te bewijzen dat het misbruik van jouw SoFi/BSN geweest is en niet jouw eigen keuze dat te doen, waarmee je gedwongen wordt je onschuld te bewijzen. Een omkering van de rechtsstaat.

Je kan dus wel zeggen "niet mijn probleem", maar in de praktijk blijkt het wél jouw probleem, en hardnekking en geniepig en een boel praten als Brugman ook nog.

Je hebt gelijk dat het niet jouw probleem zou moeten zijn maar het probleem is precies dat het dat wel degelijk zal zijn.

Want de minister bedenkt dit helemaal niet.
Het gebeurt wel onder zijn auspices en als er iets mis gaat zijn dan gaat hij ter verantwoording geroepen worden. Ministers zitten er niet voor het lekkere pluche en het aanzien en de leuke vervolgbaan, weet je. Het is geen sinecure. Nouja, dat was zo. Ooit.


Door Briolet:
Door Anoniem: Hij is eindverantwoordelijk* en mag er dus op aangesproken worden als ambtenaren onder zijn zogenaamde verantwoordelijkheid…
Jij reageert op een discussie de Plasterk niet als eindverantwoordelijke aanvalt, maar juist als persoon die zelf een digibeet zou zijn. En het is natuurlijk een onzinnige stelling dat de plannen van zijn ambtenaren slecht zouden zijn omdat hun minister geen beveiligingsdeskundige is.
Het is geen onzinnige stelling te beweren dat hij als digibeet niet kan zien of zijn ambtenaren met digitale onzin komen of niet. Het is daarmee ook geen onzin te stellen dat hij niet effectief zijn ambtenaren kan overzien zonder relevante dieptekennis. En dat op zo'n manier zijn ministerieele verantwoordelijkheid ondermijnd en uitgehold wordt. Dat hij dus zijn taak niet naar behoren kan uitvoeren. Ik denk dat dit toch wel degelijk zijn geloofwaardigheid als minister aantast.


Wellicht dat we een minister van ICT nodig hebben, die alle digitale plannen eerst doorlicht en als ze te licht bevonden worden, terug naar de tekentafel moeten. Net zo lang tot er iets werkbaars uitkomt. Met een duidelijk mandaat dat er geen digitale lock-in mag verrijzen. Een minister van privacy met dezelfde macht zou ook niet misstaan. Met een vergelijkbaar mandaat dat er niet alleen binnen de kaders van het plannetje gekeken moet worden, maar dat als er door buiten de kaders te kijken grote privacywinsten geboekt kunnen worden dat er dan nog veel harder terug naar de tekentafel gegaan moet worden. En voor deze posten nou eens geen chronische plucheklevers maar mensen die er echt wat van snappen, graag.
10-11-2014, 10:08 door Anoniem
SMS en een App kunnen niet echt beschouwd worden als two-factor authentications, aangezien ze op hetzelfde apparaat toegepast worden. Een optie door gebruik te maken van de chip in je ID bewijs is wel two factor, immers je hebt dan echt iets fysiek in handen, dat via een ander kanaal uitgegeven is.
Overigens, de overheid kan en mag DigiD niet verplichten en heeft altijd de zorg om een ander veilig alternatief aan te bieden.
10-11-2014, 10:44 door Anoniem
Gewoon gebruik maken van bestaande infrastructuur van de banken.
1 systeem met goede authenticatie.
10-11-2014, 16:01 door Te4sheeh
Door Anoniem: SMS en een App kunnen niet echt beschouwd worden als two-factor authentications, aangezien ze op hetzelfde apparaat toegepast worden.
Hoezo? Je zit toch niet met je mobiel op Digid in te loggen?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.