Banken starten proef met online identificatiedienst iDIN
Banken zijn een eerste proef van de online identificatiedienst iDIN gestart, waarbij gebruikers zich via de inlogmiddelen van hun bank bij andere organisaties op internet kunnen identificeren. Gedurende de proef kunnen particulieren met iDIN onder meer inloggen op de website van de Belastingdienst.
Klanten van ING en Rabobank kunnen vanaf de start meedoen aan de pilot. Klanten van ABN AMRO, SNS en Triodos volgen in april. IDIN wordt aangeboden naast andere inlogmethodes, zoals DigiD bij de overheid. Bezoekers kunnen zelf kiezen welke inlogmethode ze gebruiken. Het gebruik van iDIN lijkt op dat van iDEAL. Wie een account bij bijvoorbeeld een webwinkel wil aanmaken kan iDIN als online identificatiemethode kiezen. Vervolgens moet de eigen bank worden gekozen en wordt het iDIN-startscherm van de bank geladen. Hier kan de gebruiker via het inlogmiddel van zijn bank inloggen. De gegevens die de webwinkel van de gebruiker wil ontvangen zijn daarbij al ingevuld. De gebruiker moet vervolgens op akkoord klikken en keert terug naar de webwinkel.
Om met iDIN te kunnen inloggen op Mijn Belastingdienst moet de identificatiedienst eenmalig via internet worden geactiveerd voor gebruik bij de overheid. Daarna kan bij volgende bezoeken aan Mijn Belastingdienst direct met iDIN worden ingelogd. De banken zullen in de loop van 2016 ook pilots met webwinkels en verzekeringsmaatschappijen uitvoeren. Na een evaluatie van de proef is de verwachting dat iDIN in de tweede helft van 2016 breder beschikbaar komt. "Consumenten bepalen zelf of ze iDIN willen gebruiken en of ze persoonlijke gegevens aan een bedrijf of instelling willen doorgeven", aldus Betaalvereniging Nederland dat de regie over de proef voert.
Weliswaar heb je voor transacties ook nog een TAN-code nodig, maar die zal ongetwijfeld voor inloggen bij de belastingdienst, zorgverzekering of bijv SVB (tbv bijv. AOW) niet gebruikt worden.
Is het net zo gemaakt dat je voor enkele van die instanties een tweetraps verificatie had (dmv DigiD met SMS), ga je via de inlog van de bank weer terug naar enkelvoudige inlog.
Vind ik een achteruitgang!
En ik wil die inlog bij de bank ook liever uniek houden voor die bank. Niks meer.
Gelukkig kun je zelf (nog) kiezen en kies ik dus voor de toch wat veiliger tweetraps DigiD inlog.
Zolang je nog kunt kiezen, want straks moeten we allemaal aan de vingerafdruk-identificatie en dan heb je niks meer te kiezen.
Helaas
Ik ben er niet helemaal blij mee, trouwens. Bij de eerste lezing valt me op:
[...]
• U logt in met het inlogmiddel van uw bank
• De gegevens die de webshop van u wil ontvangen zijn al ingevuld
• U klikt op akkoord
• Meer zekerheid over de identiteit van de klant
Dat ik die vragen stel wil niet bij voorbaat zeggen dat ik denk dat het fout zit, het kan best zo zijn dat banken alleen NAW-gegevens verstrekken (die een webwinkel gewoon nodig heeft om een bestelling te kunnen afhandelen) en dat ze de klant sowieso de gegevens over de webwinkel geven. Ik wil die informatie gewoon krijgen in plaats van verhaaltjes die van alles weglaten vanuit de aanname dat ik in de categorie "consument" val en dus alleen maar in gebruiksgemak geïnteresseerd kan zijn.
En dan bedoel ik niet:
Controle bij de consument
Consumenten geven opdracht aan hun bank voor het verstrekken van de gegevens die nodig zijn om zich bij een organisatie te identificeren. Ze houden daarmee volledige controle over welke gegevens aan welke partij worden verstrekt. Per organisatie kunnen die gegevens verschillen. Zo kan de bank op verzoek van het ene bedrijf bevestiging vragen voor het leveren van de naam, adres en woonplaats van de klant en namens het andere bedrijf voor het bevestigen van de leeftijd.
Voor mijn gevoel wijst dit op een soort Federated / Claims based authentication. In sommige gevallen kan dat in theorie een uitkomst bieden. Denk aan alcohol, alles wat een winkel hoeft te weten is 18+ of 18-. Daar is een claims based authentication nu juist geschikt voor: Honest broker, is deze persoon 18+? Antwoord: Ja of nee.
Maar het systeem staat of valt met het vertrouwen, en dus minimaal ten dele met de betrouwbaarheid van de betrokken partijen (zowel de eindgebruikers als de brokers), op het moment dat door zeer reële incidenten het vertrouwen lustig aan het dalen is. Je merkt het aan diverse reacties hier: Bij diverse reacties is de schrijver er eerder aan toe de klandizie bij de eerste reële gelegenheid te beëindigen dan nog meer gegevens toe te vertrouwen.
Beoordeel zelf, laat u niet afschrikken door de 126 pagina's.
Privacy niet duidelijk ingekaderd en TNO mocht niet alle data zelf inzien.
Test periode van twee maanden, er zou een tweede in de maak zijn.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
