Je kiest voor "inloggen met alleen gebruikersnaam en wachtwoord" als je controle via sms niet hebt geactiveerd.
Je kiest voor "inloggen met een extra controle via sms" als je dit wel hebt geactiveerd.

En ik vermoed dat als je probeert in te loggen met alleen gebruikersnaam en wachtwoord, terwijl je de controle via sms hebt ingesteld, je een foutmelding krijgt.
Wel eens uitgeprobeerd?

Als je de optie geactiveerd hebt dat er altijd voor een extra sms verificatie moet worden gevraagd ook te kunnen heb ik tot nu toe ervaren dat dit ook gebeurd ook als je "Ik wil inloggen met alleen gebruikersnaam en wachtwoord" kiest. Als ik meen mij te herinneren (ik weet het niet zeker) is het zo dat wanneer je niet hebt ingesteld dat er altijd op een sms code gevraagd moet worden, en je vervolgens bij het inloggen voor de optie gaat "Ik wil inloggen met een extra controle via sms" je meer opties beschikbaar hebt op de website dan wanneer je alleen inlogt met een gebruikersnaam en wachtwoord. Mogelijk kan iemand dit verifiëren.

Wat betreft het veilig en logisch overzicht van deze site een paar extra quizz-vragen voor je :

1) Hoeveel inlogpunten (links/buttons) heeft die site alleen al op de frontpage en op welke plaatsen?

2) Hoeveel soorten inloglinks zijn er te vinden op die website?
Verspreid over hoeveel aparte pagina's *

3) Is dat een slimme en logische indeling?
Om het overzichtelijk en veilig te houden?


* We kunnen het ook omdraaien, dan zoek je de links bij de plek.

- /inloggen
- /activeren
- /herstellen/persoonsgegevens
- //machtigen.digid.nl/LOGIN?3
.... zie je er nog meer??...

Hele verhaal klopt.

Reden waarom niet altijd sms: Kosten.

Extra, keuze 3 factor (Oracle Java factor) : "Ik wil inloggen met een kaartlezer"

Het zou er best wel eens op kunnen uitdraaien dat de eerste optie het meest veilig gaat worden, geen gebruik geen gebruik van Java en ook geen gebruik van sms.

- Welk percentage van de Nederlandse gebruikers heeft haar Java installatie niet up to date denk je?

- Welk percentage van de Nederlandse gebruikers weet überhaupt niet wat Java is en dat het op hun computer staat geïnstalleerd?

- Als boeven in de gaten krijgen dat met bepaalde crossplatform software toegang verkregen kan worden tot alle belangrijke persoonsdata die je je maar kan wensen.
Zou het dan zo kunnen zijn dat die sms functie niet zozeer misbruikt gaat worden maar de crossplatform software (die in het verleden al voor heel veel problemen heeft gezorgd en elk kwartaal weer een enorme gatenkaas blijkt te zijn) weer helemaal terug is van misbruikweggeweest?

Hoeveel Java based gemeenteportals heeft Nederland?
Worden dat er nog steeds meer of minder?
Security staat niet voorop lijkt het, eerder de (lage) prijs met de bijbehorende (tunnel) ervaring van een vaste club bijbehorende programmeurs waardoor je altijd automatisch uitkomt bij .. OJ
(ojeee!).

Als je kiest voor SMS wordt er een extra code naar de instantie gestuurd dat deze validatie grondiger geweest is dan
alleen een wachtwoord, en het kan zijn dat die instantie een bepaalde toegang alleen maar geeft als je dat ook inderdaad
gedaan hebt. Bijvoorbeeld met alleen wachtwoord mag je alleen gegevens lezen en met SMS erbij mag je ook iets
aanpassen of indienen.

Bedoel je misschien: als ik zo'n inlogscherm krijg voorgeschoteld, dan begin ik er aan te twijfelen
of ik de optie "verplicht altijd een extra SMS-code sturen" wel goed had begrepen en goed had ingesteld?

Dit lijkt mij namelijk een hele terechte vraag. Ik heb me dit destijds ook even afgevraagd.
Volgens mij heb ik het toen getest door een keertje te proberen om in te loggen "zonder SMS".
Maar kreeg ik wél een SMS, dus had alles gelukkig goed begrepen en goed gedaan.
Maar was dus wel enige ergernis/inspanning/kosten die vermeden kan worden.
Je zou zeggen: laat ze er op zijn minst even een commentaar-regel bijzetten dat deze keuze er niet meer toe doet
in geval dat je "altijd verplicht extra SMS ontvangen" had ingesteld.

MAARRRRRR..... door dit probleem bij security.nl forum neer te leggen, zal dit heus niet worden verbeterd hoor.
Ga daarom naar https://www.digid.nl/contact/ en formuleer daar zo duidelijk mogelijk wat precies je probleem is.
Als maar genoeg mensen dit doen, zal de inlogpagina op den duur misschien worden aangepast.

Forums als uitlaatklep gebruiken over dergelijke zaken heeft in dit geval nauwelijks zin,
aangezien DigiD zelf al goede hulplijnen biedt, en bovendien bij uitstek het kanaal is dat in kennis moet worden gesteld
van alle eventuele DigiD-problemen, klachten en ergernis.

Wat heeft Java hier mee te maken?

Je hebt geen Java nodig om op DigiD in te loggen.

Niet waar.

Wat wel waar is:
Je krijgt een hogere 'vertrouwelijkheid' categorie als je met SMS inlogt.
Soms heeft dat geen enkele meerwaarde, maar soms krijg je daardoor meer te zien in de omgeving waar je inlogt.

Overigens kan b.v. een zorgverzekeraar de optie om zonder SMS in te loggen uitschakelen.

Begrijp ik goed dat je het raar vindt dat je de optie voorgeschoteld krijgt om zonder sms in te loggen als je hebt ingesteld dat je alleen met sms in wilt loggen?

Simpel. Op die pagina moet je je gebruikersnaam nog invullen. DigiD weet bij het opbouwen van die pagina dus nog niet wie je bent en dus ook nog niet welke voorkeuren je hebt ingesteld. Ze kunnen de optie om geen sms te gebruiken daarom moeilijk weglaten. Als je hebt ingesteld dat je de extra controle via sms altijd wilt dan zal die instelling de keuze op het inlogscherm overrulen (hebben we daar een goed Nederlands woord voor eigenlijk?).

Overheersen?

Of misschien in wat gebruikelijker Nederlands:
"Dan heeft die instelling voorrang"
"dan heeft (of "krijgt") die instelling voorrang boven (of "op") de andere instelling"

Volgens mij heb je in digid twee opties namelijk altijd inloggen met sms, of alleen voor belangrijke zaken.
Ik heb dit op " altijd met sms ingesteld,"ik moet dan ook altijd met sms inloggen ook als ik kies voor "inloggen met alleen gebruikersnaam en wachtwoord"
Maar ik weet dit niet voor 100% .


Kan zijjn maar het kan ook voor het gemak.

Inloggen bij DigiD is volgens het College Bescherming Persoonsgegevens (CBP) niet veilig genoeg en daarom zijn extra maatregelen nodig.

'Stel een tweetrapsautenticatie in', luidt het advies van het CBP. (Bij tweetrapsautenticatie wordt niet alleen om je gebruikersnaam en wachtwoord gevraagd, maar moet je ook een sms-code invullen. Deze code wordt naar je mobiele telefoon verstuurd.)

Inloggen met alleen gebruikersnaam en wachtwoord is dus eigenlijk geen optie.

een half minuutje werk in Google Translate toont weer aan dat het Nederlands oneindig veel rijker is dan het Engels. Een keuze uit de gevonden mogelijkheden:
verwerpen, overstemmen, afstemmen, afwimpelen, terugsturen, terugwijzen, wegstemmen, vetoën, veteren, van de hand wijzen, van de hand slaan.
Dit is minder dan de helft van de mogelijkheden.
Hebben we in Nederland nog mensen die de moeite willen/kunnen nemen om zich correct in hun eigen taal uit te drukken?

Hebben we op security.nl nog mensen die de moeite willen/kunnen nemen om ontopic te willen blijven en niet alleen maar op de laatste reactie, een deelquootje of slechts een titel willen reageren?

Niet iedereen heeft de skills en toegang tot internet en SMS-Phones. Als je digid toepassing beperkt blijft tot "ja"klikken op de jaarlijkse belastingaangifte. Wat is dan het risico?.
Het belangrijkste hierbij is altijd de vraag beantwoorden: risico / impact

Zodra het wachtwoord is ingesteld (liefst moeilijk) ga dan niet een 3 maandelijkse wijziging eisen voor dat jaarlijks "ja" klikken. Verlies je niet meteen in de techniek met wat "regeltjes" dat het zo hoort.
Als de digid eenmaal staat wordt hij gebruikt via andere diensten, jij bent niet meer die contact met digid maakt het is die dienst. Dan wordt de risico / impact analyse ook anders.