image

Banken starten proef met online identificatiedienst iDIN

woensdag 9 maart 2016, 17:31 door Redactie, 8 reacties

Banken zijn een eerste proef van de online identificatiedienst iDIN gestart, waarbij gebruikers zich via de inlogmiddelen van hun bank bij andere organisaties op internet kunnen identificeren. Gedurende de proef kunnen particulieren met iDIN onder meer inloggen op de website van de Belastingdienst.

Klanten van ING en Rabobank kunnen vanaf de start meedoen aan de pilot. Klanten van ABN AMRO, SNS en Triodos volgen in april. IDIN wordt aangeboden naast andere inlogmethodes, zoals DigiD bij de overheid. Bezoekers kunnen zelf kiezen welke inlogmethode ze gebruiken. Het gebruik van iDIN lijkt op dat van iDEAL. Wie een account bij bijvoorbeeld een webwinkel wil aanmaken kan iDIN als online identificatiemethode kiezen. Vervolgens moet de eigen bank worden gekozen en wordt het iDIN-startscherm van de bank geladen. Hier kan de gebruiker via het inlogmiddel van zijn bank inloggen. De gegevens die de webwinkel van de gebruiker wil ontvangen zijn daarbij al ingevuld. De gebruiker moet vervolgens op akkoord klikken en keert terug naar de webwinkel.

Om met iDIN te kunnen inloggen op Mijn Belastingdienst moet de identificatiedienst eenmalig via internet worden geactiveerd voor gebruik bij de overheid. Daarna kan bij volgende bezoeken aan Mijn Belastingdienst direct met iDIN worden ingelogd. De banken zullen in de loop van 2016 ook pilots met webwinkels en verzekeringsmaatschappijen uitvoeren. Na een evaluatie van de proef is de verwachting dat iDIN in de tweede helft van 2016 breder beschikbaar komt. "Consumenten bepalen zelf of ze iDIN willen gebruiken en of ze persoonlijke gegevens aan een bedrijf of instelling willen doorgeven", aldus Betaalvereniging Nederland dat de regie over de proef voert.

Image

Reacties (8)
09-03-2016, 18:21 door [Account Verwijderd] - Bijgewerkt: 09-03-2016, 18:23
[Verwijderd]
09-03-2016, 19:39 door Anoniem
Nieuwe kansen voor identity fraud? De consument heeft al jaren laten zien dat ze eenvoudig zijn te misleiden en daarmee vrij eenvoudig hun inleggegevens van de bank weggeven. Ik heb mijn twijfels of dit wel een goed plan is.
09-03-2016, 20:37 door Anoniem
Bij de ING heb je een minder veilige inlog, want daar wordt alleen met inlognaam en password ingelogd.
Weliswaar heb je voor transacties ook nog een TAN-code nodig, maar die zal ongetwijfeld voor inloggen bij de belastingdienst, zorgverzekering of bijv SVB (tbv bijv. AOW) niet gebruikt worden.

Is het net zo gemaakt dat je voor enkele van die instanties een tweetraps verificatie had (dmv DigiD met SMS), ga je via de inlog van de bank weer terug naar enkelvoudige inlog.

Vind ik een achteruitgang!
En ik wil die inlog bij de bank ook liever uniek houden voor die bank. Niks meer.

Gelukkig kun je zelf (nog) kiezen en kies ik dus voor de toch wat veiliger tweetraps DigiD inlog.
Zolang je nog kunt kiezen, want straks moeten we allemaal aan de vingerafdruk-identificatie en dan heb je niks meer te kiezen.
09-03-2016, 22:24 door Anoniem
Dit is ideaal zeker als je het bankpasje en pincode van een raboklant hebt, er gaat een wereld van bedrog voor je open.
Helaas
09-03-2016, 22:53 door Anoniem
Waarom is er niet gewoon gekozen om een openID connect OP te worden? Dit lijkt op een zoveelste proprietary oplossing voor iets dat al bestaat. Daarbij wordt er geen gebruik gemaakt van homomorphic encryption waardoor de bank altijd precies zal weten met wie jij zaken doet en dat is waarschijnlijk ook precies het business model erachter. Ik pas..
10-03-2016, 01:16 door Anoniem
Ze zijn de overheid met een chip in een identiteitskaart voor hiermee, daar waren toch ook soortgelijke plannen mee?

Ik ben er niet helemaal blij mee, trouwens. Bij de eerste lezing valt me op:
Ze [consumenten] houden daarmee volledige controle over welke gegevens aan welke partij worden verstrekt.
[...]
• U logt in met het inlogmiddel van uw bank
• De gegevens die de webshop van u wil ontvangen zijn al ingevuld
• U klikt op akkoord
Kan ik daar nog in wijzigen? Niet dat ik valse gegevens wil kunnen opgeven, maar als bijvoorbeeld een webshop behalve mijn naam en adres mijn leeftijd wil weten kan ik dan aangeven dat dat moet worden overgeslagen? Ik weet niet of een bank überhaupt meer dan NAW-gegevens geeft, maar als een webwinkel meer kan vragen dan nodig is om een bestelling te doen en het is alles of niets dan vind ik niet dat ik als consument volledige controle heb.
Voordelen iDIN voor een acceptant:
• Meer zekerheid over de identiteit van de klant
Welke zekerheid krijg ik als klant eigenlijk over de identiteit van de acceptant (de webwinkel)? Mag ik net als die webwinkels aangeven wat ik over hun wil weten?

Dat ik die vragen stel wil niet bij voorbaat zeggen dat ik denk dat het fout zit, het kan best zo zijn dat banken alleen NAW-gegevens verstrekken (die een webwinkel gewoon nodig heeft om een bestelling te kunnen afhandelen) en dat ze de klant sowieso de gegevens over de webwinkel geven. Ik wil die informatie gewoon krijgen in plaats van verhaaltjes die van alles weglaten vanuit de aanname dat ik in de categorie "consument" val en dus alleen maar in gebruiksgemak geïnteresseerd kan zijn.
10-03-2016, 20:57 door Anoniem
Door Buran: Nu nog even zoeken in de krochten van de websites om proberen te achterhalen wat er allemaal gedeeld gaat worden.

En dan bedoel ik niet:

Controle bij de consument

Consumenten geven opdracht aan hun bank voor het verstrekken van de gegevens die nodig zijn om zich bij een organisatie te identificeren. Ze houden daarmee volledige controle over welke gegevens aan welke partij worden verstrekt. Per organisatie kunnen die gegevens verschillen. Zo kan de bank op verzoek van het ene bedrijf bevestiging vragen voor het leveren van de naam, adres en woonplaats van de klant en namens het andere bedrijf voor het bevestigen van de leeftijd.

Voor mijn gevoel wijst dit op een soort Federated / Claims based authentication. In sommige gevallen kan dat in theorie een uitkomst bieden. Denk aan alcohol, alles wat een winkel hoeft te weten is 18+ of 18-. Daar is een claims based authentication nu juist geschikt voor: Honest broker, is deze persoon 18+? Antwoord: Ja of nee.

Maar het systeem staat of valt met het vertrouwen, en dus minimaal ten dele met de betrouwbaarheid van de betrokken partijen (zowel de eindgebruikers als de brokers), op het moment dat door zeer reële incidenten het vertrouwen lustig aan het dalen is. Je merkt het aan diverse reacties hier: Bij diverse reacties is de schrijver er eerder aan toe de klandizie bij de eerste reële gelegenheid te beëindigen dan nog meer gegevens toe te vertrouwen.
02-11-2016, 10:40 door Anoniem
https://www.rijksoverheid.nl/binaries/rijksoverheid/documenten/rapporten/2016/08/25/bijlage-iv-4-eindrapport-onderzoek-tno-versie-1-1/bijlage-iv-4-eindrapport-onderzoek-tno-versie-1-1.pdf

Beoordeel zelf, laat u niet afschrikken door de 126 pagina's.
Privacy niet duidelijk ingekaderd en TNO mocht niet alle data zelf inzien.

Test periode van twee maanden, er zou een tweede in de maak zijn.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.