image

Binnenlandse Zaken niet eens met DigiD-kritiek CBP

vrijdag 9 oktober 2015, 09:43 door Redactie, 15 reacties

Het ministerie van Binnenlandse Zaken is het niet eens met de kritiek van het College bescherming persoonsgegevens (CBP) dat de beveiliging van DigiD tekort schiet en moet worden aangescherpt, zo laat een woordvoerster van minister Plasterk tegenover Security.NL weten.

Gisteren stelde het CBP dat erin verschillende situaties misbruik van de inloggegevens kan worden gemaakt. Om dit te voorkomen pleitte de privacytoezichthouder voor een extra veiligheidsvoorziening, zoals een code die via sms wordt gestuurd en tijdens het inloggen naast de gebruikelijke inloggegevens als gebruikersnaam en wachtwoord moet worden ingevoerd.

Beeld

"Wij zijn het niet eens met de kritiek van het CBP en herkennen ons ook niet in het geschetste beeld", zo laat de woordvoerster weten. Overheidsorganisaties zouden namelijk zelf een afweging maken op welk niveau mensen kunnen inloggen bij ze. "Dit doen ze op basis van een risicoanalyse. Zo zijn zorgverzekeraars dit jaar overgestapt op DigiD met sms-controle (DigiD-midden)", aldus de woordvoerster.

Ze stelt dat DigiD-basis (gebruikersnaam en wachtwoord) voor veel contact met de overheid voldoende is. Voor een afspraak met de gemeente zou het niet nodig zijn om elke keer via sms-controle in te loggen. Daarnaast kunnen mensen er zelf voor kiezen, ook als de organisatie dat niet eist, om sms-controle in te stellen. Volgens de woordvoerster heeft meer dan de helft van de DigiD-gebruikers dit inmiddels ingesteld. Het ministerie werkt op dit moment aan een app, als extra alternatief voor de sms-controle, met hetzelfde betrouwbaarheidsniveau.

Verantwoordelijkheid

Ondanks de maatregelen moeten burgers zelf ook opletten, zo maakt de woordvoerster duidelijk. "Mensen moeten altijd zorgvuldig zijn met hun persoonlijke gegevens, en hebben daar ook een eigen verantwoordelijkheid in. Zo waarschuwen banken hun klanten hun gegevens niet te delen via phishingmails, maar kun je moeilijk stellen dat banken niet veilig zijn. Zo geldt dat ook voor DigiD. DigiD is veilig, maar als mensen hun wachtwoorden per mail verspreiden dan lopen zij inderdaad een risico."

Reacties (15)
09-10-2015, 09:57 door Anoniem
Wat ze dus zeggen is dat SMS controle eigenlijk noodzakelijk is, maar dat ze er niet aan willen.
Dat is op zich ook logisch, want lang niet iedereen heeft een mobiele telefoon. Verder kan ik me zomaar voorstellen dat een hele hoop mensen er absoluut niet op zitten te wachten om hun telefoonnummer in de zoveelste database opgenomen te zien en hier dus niet aan willen.

De enige acceptabele (dat is wat anders dan 'waterdichte') oplossing is een 'calculator' zoals de banken dat gebruiken. Maar ja, overheid en ICT is bijna per definitie garantie voor een faal, dus zal het wel aanmodderen blijven.

Gelukkig is het hebben van 'internet' (nog) niet verplicht, dus het kan allemaal nog zonder (je weet wel, gewoon op papier).
09-10-2015, 10:17 door Anoniem
Zolang er geen veilige oplossing gebruikt gaat worden zoals bijvoorbeeld een token en de gemiddelde thuis PC met 10 soorten virussen besmet is blijft dit een onzin discussie...Ook met de SMS-token kan een besmette machine geen veiligheid bieden.

Maar er zijn oplossingen van Nederlandse makkelij. Kijk maar eens naar Qkey (https://www.qkeysecurity.com/) bijvoorbeeld. Een volledig Nederlands product (effe geen privacy issues ;) ) wat de authenticatie doet buiten de PC om via je smart phone. Dus malware heeft geen vat meer op het proces. Iets wat de RABO bank probeerde op te lossen met een QR-code die je ontsleuteld op je PC maar dan met een duurdere hardware oplossing.

Misschien helpt het om eens mensen met echte kennis te laten kijken. Wel lachwekkend dat we in onze eigen achtertuin eigenl;ijk al de antwoorden hebben hahaha...
09-10-2015, 11:02 door Anoniem
Wat een sukkels.
In het geval van authenticatie mag een lager niveau van authernticatie niet zorgen voor nieuwe security-issues.

In de huidige opzet waar bij de ene portal wel en de andere géén sms-code nodig is, zullen personen met malicieuze intentie eerst pogen het wachtwoord via de sms-loze portal te ontfutselen, dáárna zal pas een aanval die eventueel ook de tweede factor nodig heeft ingezet worden.

Het probleem is; op het moment dat een van je factoren vervalt op deze wijze, heb je nog maar 1 resterende factor op 1 van de twee authenticatiemethoden... ofwel; overal of nergens 2-factoraal.
09-10-2015, 11:21 door Anoniem
Door Anoniem:De enige acceptabele (dat is wat anders dan 'waterdichte') oplossing is een 'calculator' zoals de banken dat gebruiken.
Ze zijn toch ook bezig met een app? Ik mag hopen dat die niet per se op een mobiele telefoon moet worden geinstalleerd, maar bijvoorbeeld ook op tablets kan worden gebruikt.
Gelukkig is het hebben van 'internet' (nog) niet verplicht, dus het kan allemaal nog zonder (je weet wel, gewoon op papier).
Vraag is dan ook allang niet meer of, maar wanneer het daadwerkelijk verplicht is.
09-10-2015, 11:25 door Anoniem
Zoals gewoonlijk is dit vast een centen kwestie..
Denk een SMS kost geld dus we doen het niet. Ministers zijn totaal maar dan ook totaal NIET geschikt om zich te buigen over veiligheidsinstellingen.

Grappige is dat commerciële bedrijven wel het advies geven (Denk Apple, Microsoft, banken etc.) juist 2 factor door te voeren.

Gaarne elke hack-poging die geld kost op het salaris van de Minister doorberekenen. Dit helpt als dan "ineens" de dodo-minister geen geld op zijn bankrekening krijgt. Dan gaan zo'n dodo pas hollen.
09-10-2015, 11:48 door Rolfieo
Door Anoniem:
Maar er zijn oplossingen van Nederlandse makkelij. Kijk maar eens naar Qkey (https://www.qkeysecurity.com/) bijvoorbeeld. Een volledig Nederlands product (effe geen privacy issues ;) ) wat de authenticatie doet buiten de PC om via je smart phone. Dus malware heeft geen vat meer op het proces.
Dan ga je er vanuit af men een smartphone heeft, en dat de smartphone een veilig device is. Iets waar je juist steeds meer je twijfels over moet hebben.
Persoonlijk beschouw ik een telefoon niet meer als veilig. Zeker niet een (oude) android telefoon.


Iets wat de RABO bank probeerde op te lossen met een QR-code die je ontsleuteld op je PC maar dan met een duurdere hardware oplossing.
Dure hardware valt mee. Immers niet iedereen heeft een smartphone of een telefoon bij de hand. Een goedkope manier is dan een los device wat de authenticatie doet.
En juist een QR vind ik persoonlijk een goede gedachte. Is niet te even te misbruiken over de telefoon. Het is een stuk veiliger als hun vorige authenticatie methode.

Misschien helpt het om eens mensen met echte kennis te laten kijken. Wel lachwekkend dat we in onze eigen achtertuin eigenl;ijk al de antwoorden hebben hahaha...
Ben ik helemaal met je eens. Maar vergeet niet de beste stuurlui staan ook altijd aan wal.....
09-10-2015, 11:52 door Anoniem
"Daarnaast kunnen mensen er zelf voor kiezen, ook als de organisatie dat niet eist, om sms-controle in te stellen."

En dan heb je dat zo ingesteld en dan mag je op de inlogpagina van DigiD iedere keer weer kiezen of je gebruik wilt maken van sms-controle:

Inlogmethode*

o Ik wil inloggen met alleen gebruikersnaam en wachtwoord

o Ik wil inloggen met een extra controle via sms

Dit is al jaren zo. Heb er zelfs eens met Logius over gebeld omdat je hiermee 2FA ondermijnt. Heb ze uitgelegd dat als ik dit als gebruiker instel ook verwacht dat het wordt afgedwongen, ook bij instanties die dat niet verplichten. Zo hadden ze het nog niet bekeken. Tja.
09-10-2015, 12:00 door Mozes.Kriebel
Kwestie van centjes:
https://www.security.nl/posting/420440/Plasterk%3A+extra+beveiliging+DigiD+zou+miljoenen+kosten
09-10-2015, 12:08 door Anoniem
Overheidsorganisaties zouden namelijk zelf een afweging maken op welk niveau mensen kunnen inloggen bij ze. "Dit doen ze op basis van een risicoanalyse.
Zijn al die afzonderlijke instanties goed in dit soort risicoanalyses?
Mensen moeten altijd zorgvuldig zijn met hun persoonlijke gegevens, en hebben daar ook een eigen verantwoordelijkheid in.
Beschikken die mensen allemaal over de kennis en inzicht die nodig zijn om dat goed in te schatten?

Het zelfstandigheidsdenken dat sinds de jaren '80 onze samenleving beheerst komt me zo langzamerhand grondig de strot uit. Het is op zich een prachtig streven, het is goed als mensen maximaal in staat zijn om hun eigen boontjes te doppen, dat geeft een hoop bewegingsvrijheid. Maar streven naar iets is iets heel anders dan doen of het zo is, en in werkelijkheid hebben mensen geen onbeperkte capaciteit om verstand van de meest uiteenlopende onderwerpen te hebben. Ook niet de mensen die bij overheidsinstanties werken die over heel andere onderwerpen dan IT-beveiliging gaan.

En dan kan je echt beter centraal een veilige instelling regelen, bij de huidige DigID heel simpel een code per SMS voor elke authenticatie (tenzij iemand geen mobiele telefoon heeft), in plaats van varianten te introduceren waar veel mensen moeilijk de juiste keuze tussen weten te maken, omdat er zo nodig gedaan moet worden alsof mensen daar zo zelfstandig in zijn dat ze dat wel kunnen.
09-10-2015, 12:19 door Anoniem
Tja centjes. Omdat het goedkoop moet stellen we de hele bevolking bloot aan een zeer heftig risico.

Sms codes zijn dan ook niet de oplossing, daar je iedereen verplicht een mobiele telefoon te bezitten en bij zich te hebben. Dan is een oplossing met tokens ( met een hardware token voor iedereen die geen smartphone heeft of veiligheid belangrijk vind ) een vele betere oplossing. Het gaat tenslotte om je identiteit die op het spel staat.

SMS codes... Ha, ha, ha.... Goed bedoeld, dat wel. En als we gaan stoppen met sms te ondersteunen dan moeten de codes zeker via Whatsapp of Facebook messenger...?

Een dedicated hardware oplossing voor elke burger of een dark fiber naar de overheid is de enige, maar dan ook de enige manier om een (piep)kleine garantie te krijgen dat het veilig is.
09-10-2015, 13:46 door Anoniem
Beste Rolfieo,

Even een reactie op jouw reactie. :)

Geen enkele mobiele telefoon is veilig te noemen... Maar als je enigszins verdiept in het voorbeeld van QKey zul je zien dat daar geloofwaardige maatregelen getroffen zijn. Ook in de wereld van de software tokens worden de hacks op de verschillende mobiele platformen nauwgezet gevolgd en worden behoorlijke tegenmaatregelen bedacht. Ik heb van de verschillende leveranciers op dit vlak onder NDA wat zaken kunnen bestuderen voor mijn opdrachtgever. Hieruit bleek dat er inderdaad geloofwaardige maatregelen zijn te bedenken waarmee het "rooten" van devices alsmede memory acces niet automatisch een volledige compromitatie tot gevolg heeft. Omdat dit patent pending technieken zijn van deze leveranciers kan er nog niet over gepubliceerd worden. Maar wat ik heb gezien tot nu toe zag er wel heel erg doordacht uit.

Dus helemaal aan wal sta ik niet. ;)

Vergeet trouwens niet dat we 100% security nooit kunnen bereiken op dergelijke multi purpose devices. Maar wel genoeg security is om de business case rond te krijgen tegen kosten die acceptabel zijn voor bedrijven. Zolang we ettelijke miljoenen aan schade en hetzelfde aan kosten kunnen reduceren hebben we een business case. Daar waar partijen echt grote sommen geld in hoge frequentie verwerken zijn uiteraard veel zwaardere maatregelen genomen. Maar die kosten dan ook aanzienlijk meer en dat is bij veel klanten niet het geval van een gemiddelde bank bijvoorbeeld.


Door Rolfieo:
Door Anoniem:
Maar er zijn oplossingen van Nederlandse makkelij. Kijk maar eens naar Qkey (https://www.qkeysecurity.com/) bijvoorbeeld. Een volledig Nederlands product (effe geen privacy issues ;) ) wat de authenticatie doet buiten de PC om via je smart phone. Dus malware heeft geen vat meer op het proces.
Dan ga je er vanuit af men een smartphone heeft, en dat de smartphone een veilig device is. Iets waar je juist steeds meer je twijfels over moet hebben.
Persoonlijk beschouw ik een telefoon niet meer als veilig. Zeker niet een (oude) android telefoon.


Iets wat de RABO bank probeerde op te lossen met een QR-code die je ontsleuteld op je PC maar dan met een duurdere hardware oplossing.
Dure hardware valt mee. Immers niet iedereen heeft een smartphone of een telefoon bij de hand. Een goedkope manier is dan een los device wat de authenticatie doet.
En juist een QR vind ik persoonlijk een goede gedachte. Is niet te even te misbruiken over de telefoon. Het is een stuk veiliger als hun vorige authenticatie methode.

Misschien helpt het om eens mensen met echte kennis te laten kijken. Wel lachwekkend dat we in onze eigen achtertuin eigenl;ijk al de antwoorden hebben hahaha...
Ben ik helemaal met je eens. Maar vergeet niet de beste stuurlui staan ook altijd aan wal.....
09-10-2015, 15:34 door Anoniem
Door Anoniem: "Daarnaast kunnen mensen er zelf voor kiezen, ook als de organisatie dat niet eist, om sms-controle in te stellen."

En dan heb je dat zo ingesteld en dan mag je op de inlogpagina van DigiD iedere keer weer kiezen of je gebruik wilt maken van sms-controle:

Inlogmethode*

o Ik wil inloggen met alleen gebruikersnaam en wachtwoord

o Ik wil inloggen met een extra controle via sms

Dit is al jaren zo. Heb er zelfs eens met Logius over gebeld omdat je hiermee 2FA ondermijnt. Heb ze uitgelegd dat als ik dit als gebruiker instel ook verwacht dat het wordt afgedwongen, ook bij instanties die dat niet verplichten. Zo hadden ze het nog niet bekeken. Tja.

Dat is inderdaad verwarrend ja.
Maar als je eerder "altijd verplicht 2 factor" had ingesteld, en in zo'n standaard inlogscherm dan toch weer kiest "o Ik wil inloggen met alleen gebruikersnaam en wachtwoord", pikt het systeem dit dan, en wordt dus de eerder gemaakte instelling domweg overruled? Het zou wel heel zot zijn als dit zo werkte. Ik kan het me bijna niet voorstellen.
Heeft iemand dit toevallig al eens uitgeprobeerd?
09-10-2015, 15:57 door Anoniem
Door Anoniem: "Daarnaast kunnen mensen er zelf voor kiezen, ook als de organisatie dat niet eist, om sms-controle in te stellen."

En dan heb je dat zo ingesteld en dan mag je op de inlogpagina van DigiD iedere keer weer kiezen of je gebruik wilt maken van sms-controle:

Inlogmethode*

o Ik wil inloggen met alleen gebruikersnaam en wachtwoord

o Ik wil inloggen met een extra controle via sms

Dit is al jaren zo. Heb er zelfs eens met Logius over gebeld omdat je hiermee 2FA ondermijnt. Heb ze uitgelegd dat als ik dit als gebruiker instel ook verwacht dat het wordt afgedwongen, ook bij instanties die dat niet verplichten. Zo hadden ze het nog niet bekeken. Tja.

Nee dit is juist prima geregeld!
Je kunt kiezen welk veiligheidsnivo je wilt en dit nivo wordt mee gestuurd naar de site die je gebruikt.
Dus een site die weinig veiligheid nodig heeft kan ook met een lager nivo toe.
Je zou hooguit kunnen wensen dat er per gebruiker kan worden ingesteld welk nivo moet worden afgedwongen, in
plaats van alleen per site.
09-10-2015, 17:33 door Anoniem
Door Anoniem: Gelukkig is het hebben van 'internet' (nog) niet verplicht, dus het kan allemaal nog zonder (je weet wel, gewoon op papier).

Helaas wordt dat al snel anders https://www.elseviernextens.nl/nieuws/aangifte-inkomstenbelasting-volledig-digitaal-per-2017/
Wordt helemaal leuk als de beveiliging van zaken als DigiD niet goed voor elkaar is.
09-10-2015, 17:54 door Anoniem
Door Anoniem:
Door Anoniem: "Daarnaast kunnen mensen er zelf voor kiezen, ook als de organisatie dat niet eist, om sms-controle in te stellen."

En dan heb je dat zo ingesteld en dan mag je op de inlogpagina van DigiD iedere keer weer kiezen of je gebruik wilt maken van sms-controle:

Inlogmethode*

o Ik wil inloggen met alleen gebruikersnaam en wachtwoord

o Ik wil inloggen met een extra controle via sms

Dit is al jaren zo. Heb er zelfs eens met Logius over gebeld omdat je hiermee 2FA ondermijnt. Heb ze uitgelegd dat als ik dit als gebruiker instel ook verwacht dat het wordt afgedwongen, ook bij instanties die dat niet verplichten. Zo hadden ze het nog niet bekeken. Tja.

Nee dit is juist prima geregeld!
Je kunt kiezen welk veiligheidsnivo je wilt en dit nivo wordt mee gestuurd naar de site die je gebruikt.
Dus een site die weinig veiligheid nodig heeft kan ook met een lager nivo toe.
Je zou hooguit kunnen wensen dat er per gebruiker kan worden ingesteld welk nivo moet worden afgedwongen, in
plaats van alleen per site.

Die hele functionaliteit is het gehele nut achter het instellen van 2fa...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.