DigiD-app voor Android kan nu identiteitsbewijs controleren
Gebruikers van DigiD kunnen nu met de DigiD-app een controle uitvoeren op hun paspoort, rijbewijs of identiteitskaart, wat organisaties meer zekerheid moet geven over wie er inlogt. Dat laat Logius vandaag weten, de digitale dienst van de overheid die DigiD aanbiedt.
De DigiD-app controleert met de nfc-lezer van de telefoon de gegevens op de chip van een identiteitsbewijs. DigiD slaat deze gegevens niet op, maar registreert alleen dat de controle correct is uitgevoerd. De controle is eenmalig. Daarna is de DigiD-app geschikt om in te loggen bij de organisaties die deze extra zekerheid vereisen. De controle kan op dit moment alleen worden uitgevoerd met de DigiD-app op de meest gebruikte Android-telefoons.
"Met een iPhone is het helaas niet mogelijk vanwege beperkingen vanuit Apple. Wij onderzoeken momenteel manieren om de identiteitsbewijzen te controleren voor mensen die geen geschikte telefoon hebben of hulp nodig hebben bij het uitvoeren van de controle", aldus Logius. Op DigiD.nl staat uit een uitleg over de controle van het identiteitsdocument.
Reacties (13)
Ach ja, als je toch al gedwongen wordt altijd zo'n kaart met chip bij je te dragen, waarom dat ding niet ook aan je smartphone voeren, nietwaar? Keuze? "Keuze aan de burger geven is toch alleen maar vervelend," zegt de hele overheid. "Afschaffen dus maar."
Alles wordt opgedrongen zonder keuze. Zelfs Android wordt je opgedrongen. Andere keuze krijgt iemand niet.
De DigiD-app controleert met de nfc-lezer van de telefoon de gegevens op de chip van een identiteitsbewijs. DigiD slaat deze gegevens niet op, maar registreert alleen dat de controle correct is uitgevoerd. De controle is eenmalig. Daarna is de DigiD-app geschikt om in te loggen bij de organisaties die deze extra zekerheid vereisen.
Onbegrijpelijk dit. Daarna loop je dus met een soort "kopie-paspoort" rond in je telefoon waarmee je (deels) jouw identiteit kunt aantonen.Wanneer gaan ontwerpers van authenticatiesystemen zich eindelijk eens realiseren dat het primaire doel van authenticatie is dat een ander niet kan bewijzen dat zij of hij jij is?
En dat "something you have", "something you are" en "something you know" alleen geschikt zijn voor authenticatie als deze en niet simpelweg gekopieerd kunnen worden en elke keer opnieuw worden aangetoond?
De consequenties van dit onzalige systeem zijn:
1) Ongeacht of je een geschikte smartphone hebt en deze "feature" zelf gebruikt: je moet van nu af aan jouw paspoort en rijbewijs NOOIT meer uit handen geven, want iedereen (met een Android device) kan jouw identiteitsbewijs aan haar of zijn DigiD app koppelen en heeft dan (tot in de lengte der dagen) een kennelijk overtuigend middel om jouw identiteit (deels) te spoofen;
2) Als je een Android smartphone gebruikt en je identiteitsbewijs via NFC éénmalig door de DigiD app hebt laten uitlezen, zou ik die smartphone maar van een heel goed lock-screen wachtwoord voorzien. En héél hard hopen dat die lock-screen niet eenvoudig te bypassen blijkt door een dief of oneerlijke vinder. En dat de door de DigiD app opgeslagen data niet zomaar op een andere smartphone werkt - mocht deze via een lek vanaf jouw toestel gekopieerd kunnen worden.
Aangezien iedereen, die ooit mijn paspoort of rijbewijs in handen heeft gehad of nog gaat krijgen, zich nu (deels) voor kan doen als mij, zou ik graag -onuitwisbaar- willen laten vastleggen dat IK nooit van deze stompzinnige authenticatiemethode gebruik zal maken. En dus dat als iemand hiermee claimt mij te zijn, het zeker is dat IK dat niet ben. Weet iemand waar ik dit kan laten registreren?
Door Bitwiper: De consequenties van dit onzalige systeem zijn:
1) Ongeacht of je een geschikte smartphone hebt en deze "feature" zelf gebruikt: je moet van nu af aan jouw paspoort en rijbewijs NOOIT meer uit handen geven, want iedereen (met een Android device) kan jouw identiteitsbewijs aan haar of zijn DigiD app koppelen en heeft dan (tot in de lengte der dagen) een kennelijk overtuigend middel om jouw identiteit (deels) te spoofen;
Nou, nee. Zowel het activeren van de app als het controleren van je identiteitsbewijs vereisen dat je inlogt op de DigiD-website. Iemand die jouw identiteitsbewijs wil koppelen moet al namens jou kunnen inloggen, anders lukt het niet.1) Ongeacht of je een geschikte smartphone hebt en deze "feature" zelf gebruikt: je moet van nu af aan jouw paspoort en rijbewijs NOOIT meer uit handen geven, want iedereen (met een Android device) kan jouw identiteitsbewijs aan haar of zijn DigiD app koppelen en heeft dan (tot in de lengte der dagen) een kennelijk overtuigend middel om jouw identiteit (deels) te spoofen;
2) Als je een Android smartphone gebruikt en je identiteitsbewijs via NFC éénmalig door de DigiD app hebt laten uitlezen, zou ik die smartphone maar van een heel goed lock-screen wachtwoord voorzien. En héél hard hopen dat die lock-screen niet eenvoudig te bypassen blijkt door een dief of oneerlijke vinder. En dat de door de DigiD app opgeslagen data niet zomaar op een andere smartphone werkt - mocht deze via een lek vanaf jouw toestel gekopieerd kunnen worden.
De app gebruikt zelf een pincode.Het is dus niet zo dramatisch slecht opgezet als Bitwiper denkt (het helpt om even de website te bestuderen voor je je conclusies trekt). Maar ik vind wel dat ze erg karig zijn met informatie. De vraag "hoe werkt het" wordt, zoals zo vaak, beantwoord met "zo gebruik je het"; niet met "zo zit het in elkaar". Wat meer inzicht bieden aan de mensen die meer dan de meest oppervlakkige vragen stellen zou prettig zijn.
Door Anoniem: Alles wordt opgedrongen zonder keuze. Zelfs Android wordt je opgedrongen. Andere keuze krijgt iemand niet.
Niemand verplicht jou om de app te gebruiken. Er zijn ook mensen zonder smartphone en mijn goedkope Android telefoon heeft geen NFC chip en mijn simkaart ook niet.
Dat het met de iPhone niet werkt is de schuld van Apple, zij schermen het gebruik ervan af.
Door Anoniem: Het is dus niet zo dramatisch slecht opgezet als Bitwiper denkt
Mwa, weet ik niet. Wellicht dat dit "app" zich niet zelf onmiddelijk laat misbruiken, maar wellicht dat er met wat geknutsel aan een eigen "app" wel nog het een en ander te regelen is. Andermans kaart scannen en de respons herafspelen als de digid website het horen wil, bijvoorbeeld terwijl je onder een zelfopgegeven emailadres een nieuw account aanmaakt.Het is niet ongewoon dat de overheid structuren opzet die uiterst misbruikbaar zijn. Zie het hele zorgcircus, van verzekeraar tot PGB. Die PGB-fraude, overigens, gaat in het geheel niet bestreden worden met deze "extra" "zekerheid" die logius nu uitrolt. Het eerste wat je daar moet doen is gezellig stoeien met digid en dan de macht over jouw identiteit overgeven aan zo'n "zorgbureau" dat vervolgens ook toegang krijgt tot de rekening waar de gratis poet op binnenkomt. Daar hoorden we net weer in het nieuws wat over.
Dit soort "heel het land is een groot grootbedrijf"-aaa-"oplossingen" worden op- en uitgebouwd door Ambtenaartjes die de techniek maar wat hip vinden, dus of het nou nuttig of wenselijk voor ons als volk is niet de eerste of tweede vraag die in ze opkomt. Wat dat betreft is logius een minder publiekelijk falend TLS. Wellicht dat de techniek prima en correct en veilig en zo verder werkt maar zelfs als, en dat is uit ervaring een hele grote als, dat is niet het hele eieren eten, dat is pas het prille begin. De overheid is nauwlijks tot meer in staat dan de techniek, voorzover dat al.
(het helpt om even de website te bestuderen voor je je conclusies trekt). Maar ik vind wel dat ze erg karig zijn met informatie. De vraag "hoe werkt het" wordt, zoals zo vaak, beantwoord met "zo gebruik je het"; niet met "zo zit het in elkaar". Wat meer inzicht bieden aan de mensen die meer dan de meest oppervlakkige vragen stellen zou prettig zijn.
Dat nodigt alleen maar uit tot kritische vragen, en dan moeten de Ambtenaartjes gaan nadenken en zinnige antwoorden verzinnen. Veel makkelijker om de burger maar gewoon met een kluitje het riet in te sturen. Iets wat zo ongeveer alle andere organisaties ook doen, banken bijvoorbeeld ("ja het is echt veilig hoor"), maar ook supermarkten en andere retailers. Immers, een onwetende consument is een blije consument. En een blije consument koopt meer.Apropos, ook een interessante vraag is waarom die chip er al 12 jaar verplicht inzit (vanwege de VSvA, ja echt, maar dit terzijde), maar nu pas gebruikt gaat worden. Heeft logius hier echt 12 jaar noest aan zitten werken? Ik denk eerder dat het een stukje is van wachten op acceptatie en dan gezellig naarbinnenschuiven. Een al dan niet moedwillige oefening kikkerkoken. Duidelijk is maar weer eens dat logius leker hun speleding doet. Daar zijn ze voor. Of wij er ook wat aan hebben is niet interessant, we moeten gewoon meedoen want logius en hun speleding. Dus, burger.
Als je dit soort applicaties van de Nederlandse staat installeert, verdien je het om gehackt te worden.
03-11-2017, 04:44 door
Bitwiper
Door Anoniem: Zowel het activeren van de app als het controleren van je identiteitsbewijs vereisen dat je inlogt op de DigiD-website. Iemand die jouw identiteitsbewijs wil koppelen moet al namens jou kunnen inloggen, anders lukt het niet.
Exact. Als een oplichter de inloggegevens van mijn moeder heeft weten te bemachtigen, hoeft hij alleen nog maar bij haar aan te bellen en vragen of hij haar identiteitsbewijs even mag controleren. Daarna kan hij "onomstotelijk" aantonen dat hij mijn moeder is. Met 2FA heeft dit, "something you had", natuurlijk helemaal niets te maken.Door Anoniem: De app gebruikt zelf een pincode.
Poging 1: zoek de geboortedatum op smartphone (appje met "gefeliciteerd" = dag+maand) of op internet (staat vaak bij uitslagen van sportevenementen zoals hardloopwedstrijden, of zie Facebook of Linkedin) en voer in: ddmm1 (of ddm19)Poging 2: zoek de postcode en huisnummer en voer in: pppph
Poging 3: gebdat van partner, bij geen partner van moeder
Wordt de app geblokkeer na n pogingen, en zo ja, hoe groot is n? Hoe kan de dief de app weer aan de praat krijgen, door het ontvangen van een verificatie-SMS op de telefoon die hij in handen heeft wellicht?
Uit [1]:
Waarom moet ik extra controle via sms aanzetten om de DigiD app te kunnen gebruiken?
De DigiD app is een alternatief voor de extra controle via sms. Voorwaarde om de Digid app te kunnen gebruiken is een DigiD account waarbij extra controle via sms actief is.
Die "extra controle via SMS" was al waardeloos omdat een crimineel een telefoonmaatschappij er eenvoudig van kan overtuigen dat hij de eigenaar was van een toestel dat hij nu kwijt is, en dat daarom "zijn" nummer aan zijn nieuwe telefoon gekoppeld moet worden (zie bijv. [2] - uit 2012; bron: [3]). Het gezaghebbende NIST voert 2 andere redenen aan [4] om SMS niet langer als betrouwbare tweede authenticatiefactor te gebruiken.De DigiD app is een alternatief voor de extra controle via sms. Voorwaarde om de Digid app te kunnen gebruiken is een DigiD account waarbij extra controle via sms actief is.
Kortom, authenticatie met de DigiD app is in de praktijk niet of nauwelijks betrouwbaarder dan een gebruikersnaam en een wachtwoord, en tegelijkertijd ook niet betrouwbaarder dan een gestolen smartphone en een (waarschijnlijk te raden) pincode. En daar gaan we nu eenmalig "een identiteitsbewijs tegen aan houden" waardoor de verwachting wordt gewekt dat identiteitsfraude onmogelijk of veel moeilijker wordt - wat m.i. complete larie is.
Authenticatie, bewijzen dat jij jij bent, zou -strikt genomen- hetzelfde moeten zijn als voorkomen dat een ander kan bewijzen dat hij jij is. Dat laatste is absoluut noodzakelijk zodra criminelen middels identiteitsfraude zich ten koste van burgers kunnen verrijken, en vereist een andere mindset - die ik hier niet terugzie. M.i. heeft de organisatie achter DigiD primair de plicht om burgers tegen identiteitsfraude te beschermen. Dat zij organisaties tegen burgers, die bijv. onterecht subsidie aanvragen, wil helpen beschermen door te weten bij wie precies dat geld teruggehaald kan worden, is ook logisch. Maar dat gaat vanzelf goed als je dat primaire doel voor ogen houdt.
Nb. omdat ik benieuwd was hoe lezers van security.nl hier tegenaan kijken, heb ik de "poll" in [5] gestart.
[1] https://www.digid.nl/nl/vraag-en-antwoord/waarom-moet-ik-extra-controle-via-sms-aanzetten-om-de-digid-app-te-kunnen-gebruiken/
[2] https://www.itnews.com.au/news/comms-alliance-says-sms-unsafe-for-bank-transactions-322586
[3] https://www.theregister.co.uk/2016/12/06/2fa_missed_warning/
[4] https://www.security.nl/posting/479564/NIST+verklaart+ongeschiktheid+sms+voor+2-factor+authenticatie
[5] https://www.security.nl/posting/537692/Poll%3A+waarom+wachtwoord%3F
Door Bitwiper:
Dat vereist een SMS-controle die via haar telefoon loopt. En ja, ik heb gelezen wat je daarover schreef.Door Anoniem: Zowel het activeren van de app als het controleren van je identiteitsbewijs vereisen dat je inlogt op de DigiD-website. Iemand die jouw identiteitsbewijs wil koppelen moet al namens jou kunnen inloggen, anders lukt het niet.
Exact. Als een oplichter de inloggegevens van mijn moeder heeft weten te bemachtigen, hoeft hij alleen nog maar bij haar aan te bellen en vragen of hij haar identiteitsbewijs even mag controleren. Daarna kan hij "onomstotelijk" aantonen dat hij mijn moeder is. Met 2FA heeft dit, "something you had", natuurlijk helemaal niets te maken.Waar het hier om gaat is dat de aanvaller meerdere stappen moet nemen om een identiteit over te nemen, en elk van die stappen brengt een risico op mislukking en ontdekking met zich mee. Er is inderdaad geen absolute zekerheid dat een identiteit klopt, maar het is wel zo dat de kans op slagen van identiteitsfraude afneemt naarmate er meer drempels genomen moeten worden door de fraudeur. Ik denk dat het daarom klopt (als de implementatie verder deugt) dat dit meer zekerheid geeft dan een opzet met alleen SMS.
Bedenk dat ouderwetse vormen van authenticatie ook niet waterdicht zijn. Handtekeningen zijn te vervalsen, echt niet elk identiteitsbewijs dat op het oog wordt gecontroleerd wordt ook goed gecontroleerd. Het is helemaal niet mogelijk om risico's tot absoluut nul te reduceren. Als er onvermijdelijk een restrisico overblijft is het doel om dat volledig te elimineren niet haalbaar maar kan je wel proberen het lager te maken. Als deze maatregel het restrisico verlaagt is het een verbetering.
Ik zeg hiermee niet dat er geen veel betere benaderingen mogelijk zijn, overigens, ik zeg alleen dat ik denk dat dit inderdaad een extra drempel opwerpt voor aanvallers, aangenomen dat de implementatie deugt.
Door Bitwiper:
Poging 2: zoek de postcode en huisnummer en voer in: pppph
Poging 3: gebdat van partner, bij geen partner van moeder
Wordt de app geblokkeer na n pogingen, en zo ja, hoe groot is n? Hoe kan de dief de app weer aan de praat krijgen, door het ontvangen van een verificatie-SMS op de telefoon die hij in handen heeft wellicht?
Uit [1]:
Kortom, authenticatie met de DigiD app is in de praktijk niet of nauwelijks betrouwbaarder dan een gebruikersnaam en een wachtwoord, en tegelijkertijd ook niet betrouwbaarder dan een gestolen smartphone en een (waarschijnlijk te raden) pincode. En daar gaan we nu eenmalig "een identiteitsbewijs tegen aan houden" waardoor de verwachting wordt gewekt dat identiteitsfraude onmogelijk of veel moeilijker wordt - wat m.i. complete larie is.
Authenticatie, bewijzen dat jij jij bent, zou -strikt genomen- hetzelfde moeten zijn als voorkomen dat een ander kan bewijzen dat hij jij is. Dat laatste is absoluut noodzakelijk zodra criminelen middels identiteitsfraude zich ten koste van burgers kunnen verrijken, en vereist een andere mindset - die ik hier niet terugzie. M.i. heeft de organisatie achter DigiD primair de plicht om burgers tegen identiteitsfraude te beschermen. Dat zij organisaties tegen burgers, die bijv. onterecht subsidie aanvragen, wil helpen beschermen door te weten bij wie precies dat geld teruggehaald kan worden, is ook logisch. Maar dat gaat vanzelf goed als je dat primaire doel voor ogen houdt.
Nb. omdat ik benieuwd was hoe lezers van security.nl hier tegenaan kijken, heb ik de "poll" in [5] gestart.
[1] https://www.digid.nl/nl/vraag-en-antwoord/waarom-moet-ik-extra-controle-via-sms-aanzetten-om-de-digid-app-te-kunnen-gebruiken/
[2] https://www.itnews.com.au/news/comms-alliance-says-sms-unsafe-for-bank-transactions-322586
[3] https://www.theregister.co.uk/2016/12/06/2fa_missed_warning/
[4] https://www.security.nl/posting/479564/NIST+verklaart+ongeschiktheid+sms+voor+2-factor+authenticatie
[5] https://www.security.nl/posting/537692/Poll%3A+waarom+wachtwoord%3F
Alles kan gekraakt worden als er genoeg tijd & moeite in wordt gestoken.Door Anoniem: Zowel het activeren van de app als het controleren van je identiteitsbewijs vereisen dat je inlogt op de DigiD-website. Iemand die jouw identiteitsbewijs wil koppelen moet al namens jou kunnen inloggen, anders lukt het niet.
Exact. Als een oplichter de inloggegevens van mijn moeder heeft weten te bemachtigen, hoeft hij alleen nog maar bij haar aan te bellen en vragen of hij haar identiteitsbewijs even mag controleren. Daarna kan hij "onomstotelijk" aantonen dat hij mijn moeder is. Met 2FA heeft dit, "something you had", natuurlijk helemaal niets te maken.Door Anoniem: De app gebruikt zelf een pincode.
Poging 1: zoek de geboortedatum op smartphone (appje met "gefeliciteerd" = dag+maand) of op internet (staat vaak bij uitslagen van sportevenementen zoals hardloopwedstrijden, of zie Facebook of Linkedin) en voer in: ddmm1 (of ddm19)Poging 2: zoek de postcode en huisnummer en voer in: pppph
Poging 3: gebdat van partner, bij geen partner van moeder
Wordt de app geblokkeer na n pogingen, en zo ja, hoe groot is n? Hoe kan de dief de app weer aan de praat krijgen, door het ontvangen van een verificatie-SMS op de telefoon die hij in handen heeft wellicht?
Uit [1]:
Waarom moet ik extra controle via sms aanzetten om de DigiD app te kunnen gebruiken?
De DigiD app is een alternatief voor de extra controle via sms. Voorwaarde om de Digid app te kunnen gebruiken is een DigiD account waarbij extra controle via sms actief is.
Die "extra controle via SMS" was al waardeloos omdat een crimineel een telefoonmaatschappij er eenvoudig van kan overtuigen dat hij de eigenaar was van een toestel dat hij nu kwijt is, en dat daarom "zijn" nummer aan zijn nieuwe telefoon gekoppeld moet worden (zie bijv. [2] - uit 2012; bron: [3]). Het gezaghebbende NIST voert 2 andere redenen aan [4] om SMS niet langer als betrouwbare tweede authenticatiefactor te gebruiken.De DigiD app is een alternatief voor de extra controle via sms. Voorwaarde om de Digid app te kunnen gebruiken is een DigiD account waarbij extra controle via sms actief is.
Kortom, authenticatie met de DigiD app is in de praktijk niet of nauwelijks betrouwbaarder dan een gebruikersnaam en een wachtwoord, en tegelijkertijd ook niet betrouwbaarder dan een gestolen smartphone en een (waarschijnlijk te raden) pincode. En daar gaan we nu eenmalig "een identiteitsbewijs tegen aan houden" waardoor de verwachting wordt gewekt dat identiteitsfraude onmogelijk of veel moeilijker wordt - wat m.i. complete larie is.
Authenticatie, bewijzen dat jij jij bent, zou -strikt genomen- hetzelfde moeten zijn als voorkomen dat een ander kan bewijzen dat hij jij is. Dat laatste is absoluut noodzakelijk zodra criminelen middels identiteitsfraude zich ten koste van burgers kunnen verrijken, en vereist een andere mindset - die ik hier niet terugzie. M.i. heeft de organisatie achter DigiD primair de plicht om burgers tegen identiteitsfraude te beschermen. Dat zij organisaties tegen burgers, die bijv. onterecht subsidie aanvragen, wil helpen beschermen door te weten bij wie precies dat geld teruggehaald kan worden, is ook logisch. Maar dat gaat vanzelf goed als je dat primaire doel voor ogen houdt.
Nb. omdat ik benieuwd was hoe lezers van security.nl hier tegenaan kijken, heb ik de "poll" in [5] gestart.
[1] https://www.digid.nl/nl/vraag-en-antwoord/waarom-moet-ik-extra-controle-via-sms-aanzetten-om-de-digid-app-te-kunnen-gebruiken/
[2] https://www.itnews.com.au/news/comms-alliance-says-sms-unsafe-for-bank-transactions-322586
[3] https://www.theregister.co.uk/2016/12/06/2fa_missed_warning/
[4] https://www.security.nl/posting/479564/NIST+verklaart+ongeschiktheid+sms+voor+2-factor+authenticatie
[5] https://www.security.nl/posting/537692/Poll%3A+waarom+wachtwoord%3F
Er moeten heel wat stappen ondernomen worden om het account van jouw moeder te kraken.
De vraag is of iemand er de tijd & moeite in wil stoppen ?
Door Anoniem: Alles kan gekraakt worden als er genoeg tijd & moeite in wordt gestoken.
[...]
De vraag is of iemand er de tijd & moeite in wil stoppen ?
Wie draait er op voor de kosten als een crimineel, door DigiD geauthenticeerd als mijn moeder, een subsidie aanvraagt onder vermelding van het bankrekeningnummer van een geldezel en de uitkerende instantie later ontdekt dat deze onterecht is uitgekeerd en het bedrag "terug" vordert?[...]
De vraag is of iemand er de tijd & moeite in wil stoppen ?
Logius heeft wellicht een risicoanalyse gedaan, maar is daarbij op de stoel van mijn moeder (van ons allemaal dus) gaan zitten. Zonder dat Logius zelf risico loopt in zo'n situatie.
Door Anoniem: [...]
Er moeten heel wat stappen ondernomen worden om het account van jouw moeder te kraken.
[...]
Als ze zelf gebruik maakt van de app (wat ze niet doet, ze heeft geen idee) en daarmee ooit haar paspoort heeft gescand:Er moeten heel wat stappen ondernomen worden om het account van jouw moeder te kraken.
[...]
1) Haar smartphone moet gestolen worden - lekker moeilijk (not)
2) Haar lock-screen code moet "gekraakt" worden - lekker moeilijk (not)
3) Haar DigiD app pincode moet geraden worden - lekker moeilijk (not)
Als ze zelf GEEN gebruik maakt van de app zijn "heel wat" slechts 2 stappen:
1) Een aanvaller moet haar overhalen om haar DigiD inloggegevens af te staan - lekker moeilijk (not)
2) De aanvaller vraagt haar aan de deur haar identiteitsbewijs even te laten zien - lekker moeilijk (not)
Maar laten we vooral wachten tot de rekeningen van gewone mensen, die helemaal niet om dit soort systemen vragen, worden geplunderd en zij zelf opdraaien voor de schade. Waarna de meeste annoniemen op security.nl ogenblikkelijk weer intelligent weten te melden "als je zo stom zijn bent om hier in te trappen, is dat je eigen schuld".
https://www.rtlnieuws.nl/nieuws/binnenland/fraude-met-digid-kinderlijk-eenvoudig
https://www.ad.nl/binnenland/stel-verdient-50-000-euro-met-digid-fraude~acfa1355/
https://opgelicht.avrotros.nl/dossiers/item/5952/
https://tweakers.net/nieuws/76975/duizenden-mensen-werden-dit-jaar-slachtoffer-digid-fraude.html
Door Bitwiper:
Logius heeft wellicht een risicoanalyse gedaan, maar is daarbij op de stoel van mijn moeder (van ons allemaal dus) gaan zitten. Zonder dat Logius zelf risico loopt in zo'n situatie.
1) Haar smartphone moet gestolen worden - lekker moeilijk (not)
2) Haar lock-screen code moet "gekraakt" worden - lekker moeilijk (not)
3) Haar DigiD app pincode moet geraden worden - lekker moeilijk (not)
Als ze zelf GEEN gebruik maakt van de app zijn "heel wat" slechts 2 stappen:
1) Een aanvaller moet haar overhalen om haar DigiD inloggegevens af te staan - lekker moeilijk (not)
2) De aanvaller vraagt haar aan de deur haar identiteitsbewijs even te laten zien - lekker moeilijk (not)
Maar laten we vooral wachten tot de rekeningen van gewone mensen, die helemaal niet om dit soort systemen vragen, worden geplunderd en zij zelf opdraaien voor de schade. Waarna de meeste annoniemen op security.nl ogenblikkelijk weer intelligent weten te melden "als je zo stom zijn bent om hier in te trappen, is dat je eigen schuld".
https://www.rtlnieuws.nl/nieuws/binnenland/fraude-met-digid-kinderlijk-eenvoudig
https://www.ad.nl/binnenland/stel-verdient-50-000-euro-met-digid-fraude~acfa1355/
https://opgelicht.avrotros.nl/dossiers/item/5952/
https://tweakers.net/nieuws/76975/duizenden-mensen-werden-dit-jaar-slachtoffer-digid-fraude.html
Door Anoniem: Alles kan gekraakt worden als er genoeg tijd & moeite in wordt gestoken.
[...]
De vraag is of iemand er de tijd & moeite in wil stoppen ?
Wie draait er op voor de kosten als een crimineel, door DigiD geauthenticeerd als mijn moeder, een subsidie aanvraagt onder vermelding van het bankrekeningnummer van een geldezel en de uitkerende instantie later ontdekt dat deze onterecht is uitgekeerd en het bedrag "terug" vordert?[...]
De vraag is of iemand er de tijd & moeite in wil stoppen ?
Logius heeft wellicht een risicoanalyse gedaan, maar is daarbij op de stoel van mijn moeder (van ons allemaal dus) gaan zitten. Zonder dat Logius zelf risico loopt in zo'n situatie.
Door Anoniem: [...]
Er moeten heel wat stappen ondernomen worden om het account van jouw moeder te kraken.
[...]
Als ze zelf gebruik maakt van de app (wat ze niet doet, ze heeft geen idee) en daarmee ooit haar paspoort heeft gescand:Er moeten heel wat stappen ondernomen worden om het account van jouw moeder te kraken.
[...]
1) Haar smartphone moet gestolen worden - lekker moeilijk (not)
2) Haar lock-screen code moet "gekraakt" worden - lekker moeilijk (not)
3) Haar DigiD app pincode moet geraden worden - lekker moeilijk (not)
Als ze zelf GEEN gebruik maakt van de app zijn "heel wat" slechts 2 stappen:
1) Een aanvaller moet haar overhalen om haar DigiD inloggegevens af te staan - lekker moeilijk (not)
2) De aanvaller vraagt haar aan de deur haar identiteitsbewijs even te laten zien - lekker moeilijk (not)
Maar laten we vooral wachten tot de rekeningen van gewone mensen, die helemaal niet om dit soort systemen vragen, worden geplunderd en zij zelf opdraaien voor de schade. Waarna de meeste annoniemen op security.nl ogenblikkelijk weer intelligent weten te melden "als je zo stom zijn bent om hier in te trappen, is dat je eigen schuld".
https://www.rtlnieuws.nl/nieuws/binnenland/fraude-met-digid-kinderlijk-eenvoudig
https://www.ad.nl/binnenland/stel-verdient-50-000-euro-met-digid-fraude~acfa1355/
https://opgelicht.avrotros.nl/dossiers/item/5952/
https://tweakers.net/nieuws/76975/duizenden-mensen-werden-dit-jaar-slachtoffer-digid-fraude.html
1) Haar smartphone moet gestolen worden - lekker moeilijk (not)
2) Haar lock-screen code moet "gekraakt" worden - lekker moeilijk (not)
3) Haar DigiD app pincode moet geraden worden - lekker moeilijk (not)
Als ze zelf GEEN gebruik maakt van de app zijn "heel wat" slechts 2 stappen:
1) Een aanvaller moet haar overhalen om haar DigiD inloggegevens af te staan - lekker moeilijk (not)
2) De aanvaller vraagt haar aan de deur haar identiteitsbewijs even te laten zien - lekker moeilijk (not)
Dit zijn 5 stappen op verschillende onderdelen om haar digid te kraken
Dit is dan een GERICHTE actie om het account van jouw moeder te kraken.
Bij een gerichte actie maakt het niet uit wat voor beveiliging je hebt het gaat gekraakt worden
kan het ja
Gaat een hacker er tijd in stoppen om het account van 1 gebruiker te kraken ?
07-11-2017, 02:59 door
Bitwiper
Door Anoniem:
Ik tel er 2Door Bitwiper: Als ze zelf GEEN gebruik maakt van de app zijn "heel wat" slechts 2 stappen:
1) Een aanvaller moet haar overhalen om haar DigiD inloggegevens af te staan - lekker moeilijk (not)
2) De aanvaller vraagt haar aan de deur haar identiteitsbewijs even te laten zien - lekker moeilijk (not)
Dit zijn 5 stappen op verschillende onderdelen om haar digid te kraken1) Een aanvaller moet haar overhalen om haar DigiD inloggegevens af te staan - lekker moeilijk (not)
2) De aanvaller vraagt haar aan de deur haar identiteitsbewijs even te laten zien - lekker moeilijk (not)
Door Anoniem: Dit is dan een GERICHTE actie om het account van jouw moeder te kraken.
Oh dat gebeurt nooit?Door Bitwiper: https://www.rtlnieuws.nl/nieuws/binnenland/fraude-met-digid-kinderlijk-eenvoudig
https://www.ad.nl/binnenland/stel-verdient-50-000-euro-met-digid-fraude~acfa1355/
https://opgelicht.avrotros.nl/dossiers/item/5952/
https://tweakers.net/nieuws/76975/duizenden-mensen-werden-dit-jaar-slachtoffer-digid-fraude.html
https://www.ad.nl/binnenland/stel-verdient-50-000-euro-met-digid-fraude~acfa1355/
https://opgelicht.avrotros.nl/dossiers/item/5952/
https://tweakers.net/nieuws/76975/duizenden-mensen-werden-dit-jaar-slachtoffer-digid-fraude.html
Door Anoniem: Bij een gerichte actie maakt het niet uit wat voor beveiliging je hebt het gaat gekraakt worden
Laten we dan maar ophouden met authenticeren en alleen onze naam invullen.Door Anoniem: kan het ja
Gaat een hacker er tijd in stoppen om het account van 1 gebruiker te kraken ?
Kennelijk wel...Gaat een hacker er tijd in stoppen om het account van 1 gebruiker te kraken ?
Door Bitwiper: https://www.rtlnieuws.nl/nieuws/binnenland/fraude-met-digid-kinderlijk-eenvoudig
https://www.ad.nl/binnenland/stel-verdient-50-000-euro-met-digid-fraude~acfa1355/
https://opgelicht.avrotros.nl/dossiers/item/5952/
https://tweakers.net/nieuws/76975/duizenden-mensen-werden-dit-jaar-slachtoffer-digid-fraude.html
https://www.ad.nl/binnenland/stel-verdient-50-000-euro-met-digid-fraude~acfa1355/
https://opgelicht.avrotros.nl/dossiers/item/5952/
https://tweakers.net/nieuws/76975/duizenden-mensen-werden-dit-jaar-slachtoffer-digid-fraude.html
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
