80% DigiD-gebruikers heeft mobiel nummer ingevoerd
Tachtig procent van de DigiD-gebruikers heeft vorig jaar een mobiel nummer opgegeven, waardoor deze gebruikers met een combinatie van wachtwoord en sms-code kunnen inloggen, wat veiliger is dan alleen het gebruik van een wachtwoord. Dat laat minister Plasterk van Binnenlandse Zaken in een brief aan de Eerste Kamer weten. Plasterk had afgesproken om de Kamer over de voortgang bij het verbeteren van en het ontwikkelen van alternatieven voor DigiD in te lichten.
Op dit moment kent DigiD de niveaus Basis en Midden. Voor Basis identificeren gebruikers zich met een gebruikersnaam en een wachtwoord; voor Midden identificeren gebruikers zich met een gebruikersnaam, een wachtwoord en een sms-code. Burgers kunnen er zelf voor kiezen om standaard in te loggen op niveau Midden. Dat maakt hen, vanwege de tweede authenticatie door middel van sms, minder kwetsbaar voor bijvoorbeeld phishing, aldus de minister.
Inmiddels heeft 80% van de DigiD-gebruikers een mobiel nummer ingevoerd. In 2014 was een stijging van 32,7% te zien op het gebruik van DigiD Midden ten opzichte van 2013. Zo vonden er in 2013 9,1 miljoen transacties op DigiD Midden plaats, terwijl dit er vorig jaar 12,1 miljoen waren, een stijging van 3 miljoen. De meeste transacties vinden echter nog met alleen gebruikersnaam en wachtwoord plaats. In totaal werden er vorig jaar namelijk 158 miljoen authenticaties geregistreerd, afkomstig van zo'n 11 miljoen gebruikers.
E-mails
Vorig jaar zijn er ook nog andere maatregelen getroffen om de veiligheid van DigiD te verbeteren. Zo worden er voortaan e-mails verstuurd aan burgers bij belangrijke wijzigingen aan hun DigiD, zoals bij het wijzigen van een wachtwoord. Op die manier wordt het volgens Plasterk makkelijker voor burgers om misbruik van hun DigiD te herkennen.
Daarnaast worden DigiD-activeringscodes in kwetsbare postcodegebieden thuisbezorgd. In risicogebieden zijn er signalen bekend over criminelen die uit de post persoonlijke gegevens zoals een geboortedatum en Burgerservicenummer (BSN) achterhalen en uiteindelijk activeringscodes van DigiD onderscheppen. In totaal zijn er vorig jaar zo'n 7500 brieven per koerier thuisbezorgd.
EID Stelsel
Inmiddels wordt er ook aan de opvolger van DigiD gewerkt, het eID Stelsel. Daarover laat Plasterk weten dat dit jaar het doel is om een Introductieplateau eID te realiseren, zodat pilots met het nieuwe identificatiemiddel kunnen worden uitgevoerd. In deze eerste fase zal nadrukkelijk aandacht worden gegeven aan aspecten van veiligheid, betrouwbaarheid en privacy. Daarbij worden de best beschikbare technologieën als uitgangspunt genomen, zo laat de minister weten.
Op basis van de ervaringen met deze eerste fase zal in de loop van 2016 worden bepaald of en op welke wijze aanvullende maatregelen of voorzieningen opgenomen dienen te worden. Ook kan hierna een nieuwe functionaliteit in het stelsel worden opgenomen. Parallel aan de uitvoering van het Introductieplateau eID zal samen met maatschappelijke organisaties een visie worden ontwikkeld voor een vervolg op het Introductieplateau eID. Deze visie kan dan worden vertaald in een nieuw plateau van het eID Stelsel dat in 2017 vorm moet hebben gekregen.
Je geeft het al allemaal zelf op aan de overheid, onder de zogenaamde noemer van functioneel en veilig.
Combinatie van Ip adres, naw gegevens, email adres, telefoonnummer en over een tijdje je bestedingspatroon en daarmee een deel van je interesses en je leefwijze.
Geen providers meer voor nodig, geen publieke ophef meer over het opvragen van opgegeven eet voorkeuren in het vliegtuig etc.
Function creep heet dat.
Doen alsof de data voor het ene doel is en het ondertussen stiekem veel belangrijker vinden om het voor andere doeleinden te kunnen gebruiken.
Die tweede factor is er maar een heel klein beetje voor jou en des te veel meer voor hen!
Van DigiD naar eID?
Nog een stapje verder?
Weet je het echt wel heel zeker?
Als dat nieuwe uitgebreidere systeem er eenmaal is, als je daarin meegaat, kan je waarschijnlijk lastig meer terug.
Daarna komt weer het volgende stapje verder met datagraaien, onder de noemer van wat extra veilige service natuurlijk.
Dit soort technische service en vooruitgang is vooral function creep to the Max!
"We wisten het niet" ?
Wat een geraaskal zeg...
Het is een manier om in te loggen, met dataretentie heeft dat niks te maken!
Oh wacht hee, zelfs nu al kun je hele leuke dingen, als overheid zijnde. Kijk maar: mobiele telefoon en digid samen, en vervolgens vorder je de locatiedata van die gsm. Kan je precies volgen wie waar wanneer geweest is, en de data heeft die stomme burger nog "geheel vrijwillig" afgegeven ook. Handig!
En zo combineren we langzaamaan steeds meer informatie, zoals NAW, geboortedatum, SoFi/BSN, digid/eid, mobiele telefoon, bankrekeningnummer, en zo verder. Medische gegevens? Waarom niet, toch BSN en via een landelijk centraal punt te benaderen. Kleine stap om ov-chipkaart (via bankrekening want gepind en dus heeft de belastingdienst die gegevens), ANPR (staat op naam, bewaart de belastingdienst ondertussen voor de politie want mag daar langer opgeslagen), en dus ook je gsmhistorie bijelkaar te vegen. Goed schudden, en er komen hele leuke pakketjes goed geintegreerde data uit.
En daar gaat natuurlijk superveilig gegarandeerd geheel integer en totaal competent mee omgegaan worden. Dat zien we elke dag in de krant, en jaarlijks bij de CIOT- en vergelijkbare rapportjes. De overheid is er namelijk echt alleen maar voor het volk en niet voor zichzelf en ook al niet voor de eigen vrindjes, heus niet.
"We wisten het niet" ?
Ja leuk is dat, overheid verplicht het gewoon om mobiel nummer af te staan, anders kun je sommige dingen niet doen.
Opgegeven omdat het gewoon niet anders kon. Dit lijkt net op google, en microsoft tegenwoordig ook. Je moet je mobiele nummer afstaan anders kun je niet eens meer een account aanmaken. En voor zogenaamde meer beveiliging ook meteen linken aan een account van vriend. Een wachtwoord is voor mij genoeg, die van mij wordt niet gejat via mijn pc. De kans dat die via mijn pc wordt gejat is kleiner dan dat de server de boel zelf lekt.
Ja leuk is dat, overheid verplicht het gewoon om mobiel nummer af te staan, anders kun je sommige dingen niet doen.
Opgegeven omdat het gewoon niet anders kon. Dit lijkt net op google, en microsoft tegenwoordig ook. Je moet je mobiele nummer afstaan anders kun je niet eens meer een account aanmaken. En voor zogenaamde meer beveiliging ook meteen linken aan een account van vriend. Een wachtwoord is voor mij genoeg, die van mij wordt niet gejat via mijn pc. De kans dat die via mijn pc wordt gejat is kleiner dan dat de server de boel zelf lekt.
Tja, zeuren over privacy is één maar er zelf iets aan doen is een tweede. Niet altijd makkelijk maar je kunt het ook als een sport zien, toch?
Maar niemand zegt dat je daarvoor alleen een telefoon mag gebruiken die op jouw naam staat. Een pre-paid die je alleen daarvoor gebruikt werkt ook.
"Gelukkig" wordt er ondertussen aan gewerkt om niet-geregistreerde prepaid telefoons te verbieden.
https://www.security.nl/posting/407177/%22Politie+wil+niet-geregistreerde+prepaidtelefoons+verbieden%22
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
