Door Anoniem: Zowel het activeren van de app als het controleren van je identiteitsbewijs vereisen dat je inlogt op de DigiD-website. Iemand die jouw identiteitsbewijs wil koppelen moet al namens jou kunnen inloggen, anders lukt het niet.
Exact. Als een oplichter de inloggegevens van mijn moeder heeft weten te bemachtigen, hoeft hij alleen nog maar bij haar aan te bellen en vragen of hij haar identiteitsbewijs even mag controleren. Daarna kan hij "onomstotelijk" aantonen dat hij mijn moeder is. Met 2FA heeft dit, "something you
had", natuurlijk helemaal niets te maken.
Door Anoniem: De app gebruikt zelf een pincode.
Poging 1: zoek de geboortedatum op smartphone (appje met "gefeliciteerd" = dag+maand) of op internet (staat vaak bij uitslagen van sportevenementen zoals hardloopwedstrijden, of zie Facebook of Linkedin) en voer in: ddmm1 (of ddm19)
Poging 2: zoek de postcode en huisnummer en voer in: pppph
Poging 3: gebdat van partner, bij geen partner van moeder
Wordt de app geblokkeer na n pogingen, en zo ja, hoe groot is n? Hoe kan de dief de app weer aan de praat krijgen, door het ontvangen van een verificatie-SMS op de telefoon die hij in handen heeft wellicht?
Uit [1]:
Waarom moet ik extra controle via sms aanzetten om de DigiD app te kunnen gebruiken?
De DigiD app is een alternatief voor de extra controle via sms. Voorwaarde om de Digid app te kunnen gebruiken is een DigiD account waarbij extra controle via sms actief is.
Die "extra controle via SMS" was al waardeloos omdat een crimineel een telefoonmaatschappij er eenvoudig van kan overtuigen dat
hij de eigenaar was van een toestel dat hij nu kwijt is, en dat daarom "zijn" nummer aan zijn nieuwe telefoon gekoppeld moet worden (zie bijv. [2] - uit 2012; bron: [3]). Het gezaghebbende NIST voert 2 andere redenen aan [4] om SMS niet langer als betrouwbare tweede authenticatiefactor te gebruiken.
Kortom, authenticatie met de DigiD app is in de praktijk niet of nauwelijks betrouwbaarder dan een gebruikersnaam en een wachtwoord,
en tegelijkertijd ook niet betrouwbaarder dan een gestolen smartphone en een (waarschijnlijk te raden) pincode. En daar gaan we nu eenmalig "een identiteitsbewijs tegen aan houden" waardoor de verwachting wordt gewekt dat identiteitsfraude onmogelijk of veel moeilijker wordt - wat m.i. complete larie is.
Authenticatie, bewijzen dat jij jij bent, zou -strikt genomen- hetzelfde moeten zijn als voorkomen dat
een ander kan bewijzen dat hij jij is. Dat laatste is absoluut noodzakelijk zodra criminelen middels identiteitsfraude zich ten koste van burgers kunnen verrijken, en vereist een andere mindset - die ik hier niet terugzie. M.i. heeft de organisatie achter DigiD
primair de plicht om burgers tegen identiteitsfraude te beschermen. Dat zij organisaties tegen burgers, die bijv. onterecht subsidie aanvragen, wil helpen beschermen door te weten bij wie precies dat geld teruggehaald kan worden, is ook logisch. Maar
dat gaat vanzelf goed als je dat primaire doel voor ogen houdt.
Nb. omdat ik benieuwd was hoe lezers van security.nl hier tegenaan kijken, heb ik de "poll" in [5] gestart.
[1]
https://www.digid.nl/nl/vraag-en-antwoord/waarom-moet-ik-extra-controle-via-sms-aanzetten-om-de-digid-app-te-kunnen-gebruiken/[2]
https://www.itnews.com.au/news/comms-alliance-says-sms-unsafe-for-bank-transactions-322586[3]
https://www.theregister.co.uk/2016/12/06/2fa_missed_warning/[4]
https://www.security.nl/posting/479564/NIST+verklaart+ongeschiktheid+sms+voor+2-factor+authenticatie[5]
https://www.security.nl/posting/537692/Poll%3A+waarom+wachtwoord%3F