image

DigiD-app 2,2 miljoen keer gebruikt om bij overheid in te loggen

woensdag 6 december 2017, 09:44 door Redactie, 12 reacties

De DigiD-app die halverwege juli van dit jaar werd gelanceerd is 2,2 miljoen keer gebruikt om bij de overheid in te loggen, wat een veiligere manier is dan alleen het gebruik van een gebruikersnaam en wachtwoord, zo meldt staatssecretaris Knops van Binnenlandse Zaken in een brief aan de Tweede Kamer.

Knops gaf de cijfers naar aanleiding van een motie waarin de overheid wordt opgeroepen om het inloggen via tweestapsidentificatie binnen het eID-stelsel actief te bevorderen. Veel publieke diensten vragen namelijk alleen een gebruikersnaam en wachtwoord. "In veel gevallen levert dat een lager dan gewenst betrouwbaarheidsniveau op voor de gegevens waartoe toegang wordt verkregen", aldus Knops (pdf).

De lancering van de DigiD-app is één van de manieren waarmee de overheid invulling aan de motie geeft. De app is sinds 17 juli 1,2 miljoen keer gedownload en er is 2,2 miljoen keer mee ingelogd. Sinds 1 november van dit jaar is het daarnaast mogelijk gebruik te maken van DigiD op een hoger betrouwbaarheidsniveau, waarbij iemand zijn DigiD-app versterkt door een extra controle met een identiteitsdocument uit te voeren. Deze verificatie geeft organisaties volgens Knops nog meer zekerheid over wie er inlogt.

Eind dit jaar gaat de RDW deze manier van inloggen verplichten voor het online overschrijven van het kentekenbewijs. En daarna voor het voorgenomen experiment digitaal aanvragen rijbewijs. Met organisaties in de zorgsector wordt afgestemd hoe dit hogere betrouwbaarheidsniveau stapsgewijs in gebruik kan worden genomen. Het kabinet heeft verder wetgeving in voorbereiding (Wet Digitale Overheid) op grond waarvan met ingang van 1 januari 2019 wettelijke regels gelden voor het niveau van betrouwbaarheid dat overheidsorganisaties moeten hanteren.

Reacties (12)
06-12-2017, 10:03 door Anoniem
Veel publieke diensten vragen namelijk alleen een gebruikersnaam en wachtwoord

En is het bieden van een app een oplossing daarvoor ? Deze publieke diensten zouden verplicht moeten worden 2FA (multi factor authenticatie) te gebruiken. Het is lachwekkend dat dit bij DigiD veelal optioneel is. Waardoor het volslagen nutteloos is.

Een legitieme gebruiker hoeft immers niet aan zichzelf te bewijzen dat hij legitiem is. Waardoor aanvullende SMS verificatie onzinnig is. Een niet legitieme gebruiker kiest gewoon voor inloggen zonder SMS, met gestolen credentials.

Ondertussen betalen we, via de belastingdienst, voor de kosten van miljoenen nutteloze SMSjes.
06-12-2017, 10:33 door Anoniem
Door Anoniem:
Veel publieke diensten vragen namelijk alleen een gebruikersnaam en wachtwoord

En is het bieden van een app een oplossing daarvoor ? Deze publieke diensten zouden verplicht moeten worden 2FA (multi factor authenticatie) te gebruiken. Het is lachwekkend dat dit bij DigiD veelal optioneel is. Waardoor het volslagen nutteloos is.

Een legitieme gebruiker hoeft immers niet aan zichzelf te bewijzen dat hij legitiem is. Waardoor aanvullende SMS verificatie onzinnig is. Een niet legitieme gebruiker kiest gewoon voor inloggen zonder SMS, met gestolen credentials.

Ondertussen betalen we, via de belastingdienst, voor de kosten van miljoenen nutteloze SMSjes.

Je kunt zelf aangeven bij DigiD dat je ALLE aanvragen met 2FA wilt uit laten voeren. Dan kan een aanvaller proberen het bij een aanbieder uit te zetten, maar dat werkt niet.

De bedoeling is dat uit de risico-analyse en gegevensclassificatie bij de aanbieder zou moeten komen dat 2FA verplicht is. Dan kan het daarvoor ook niet meer uitgezet worden. Als een organisatie gevoelige gegevens via DigiD beschikbaar stelt en geen 2FA verplicht stelt, handelen ze in strijd met de AVG en is een klacht bij de AP gerechtvaardigd.

Peter
06-12-2017, 10:36 door [Account Verwijderd]
Het zou getuigen van slechts gemiddeld benodigd intelligentieniveau als heer Knops zich realiseerde, èn van daaruit implementeerde, extra mogelijkheden tot onder àlle omstandigheden mogelijke communicatie met de overheid.
Dit alles eenvoudig te bedenken omdat niet iedereen een telefoon heeft die kan worden voorzien van een app, noch iedereen een computer heeft - beiden ongelukkigerwijze - als enige voorwaarde om te communiceren met de overheid.
06-12-2017, 11:10 door Anoniem
Je kunt zelf aangeven bij DigiD dat je ALLE aanvragen met 2FA wilt uit laten voeren. Dan kan een aanvaller proberen het bij een aanbieder uit te zetten, maar dat werkt niet.

Dat is mij geheel duidelijk. 95% van de bevolking kijkt *nooit* naar dergelijke configuratie items. En blijft dus gewoon onveilig wat dat betreft. Het gaat mij niet om de vraag of IT-ers die security aware zijn hun account veiliger kunnen instellen. Het gaat mij erom dat de basis veilig behoort te zijn. Ook voor digibeten.
06-12-2017, 11:13 door Anoniem
De bedoeling is dat uit de risico-analyse en gegevensclassificatie bij de aanbieder zou moeten komen dat 2FA verplicht is. Dan kan het daarvoor ook niet meer uitgezet worden. Als een organisatie gevoelige gegevens via DigiD beschikbaar stelt en geen 2FA verplicht stelt, handelen ze in strijd met de AVG en is een klacht bij de AP gerechtvaardigd.

De inbox van mijn overheid, waar je communiceert met overheidsdiensten is een mooi voorbeeld. Geen 2FA verplicht, terwijl er wel allerlij privacy gevoelige informatie wordt uitgewisseld. Hoe risico analyse werken, en hoe gegevens classificatie werkt weet ik, en weet jij. Dat wil niet zeggen dat de overheid haar zaken op orde heeft m.b.t. een fatsoenlijke bescherming van dit soort omgevingen.
06-12-2017, 11:13 door Anoniem
doe maar liever totp via freeotp
06-12-2017, 11:51 door Anoniem
Nu ik niet in het bezit van mobiele ben zijn er andere manieren om 2FA te kunnen doen? Vaste telefoon heb ik wel.
06-12-2017, 12:04 door Anoniem
Het zou getuigen van slechts gemiddeld benodigd intelligentieniveau als heer Knops zich realiseerde

Het getuigt van respect om niet altijd zo hooghartig te zijn, en wat minder op de man te spelen. Nergens voor nodig namelijk.
06-12-2017, 12:25 door Anoniem
Door Anoniem: Nu ik niet in het bezit van mobiele ben zijn er andere manieren om 2FA te kunnen doen? Vaste telefoon heb ik wel.
ligt eraan wat voor 2fa je wilt, sms zou moeten werken maar het is niet bestand tegen ervaren adversaries. een token zou misschien ook een optie zijn, maar ik weet niet of digid dit ondersteunt
06-12-2017, 17:32 door karma4
Door Anoniem:
De inbox van mijn overheid, waar je communiceert met overheidsdiensten is een mooi voorbeeld. Geen 2FA verplicht, terwijl er wel allerlij privacy gevoelige informatie wordt uitgewisseld. Hoe risico analyse werken, en hoe gegevens classificatie werkt weet ik, en weet jij. Dat wil niet zeggen dat de overheid haar zaken op orde heeft m.b.t. een fatsoenlijke bescherming van dit soort omgevingen.
Als je weet hoe risico analyse werkt dan weet je ook wie de controller en verwerkersrol invullen en wie de uiteindelijke beslissing neemt.
Die gegevens in de mailbox wie beslist daar over? Volgens mij is dat de persoon zelf.
Bij de argumentatie over het verdwijnen van blauwe envelop stelde de regering zich duidelijk op dat het ook die persoon zijn probleem was bij het niet in staat zijn het af te handelen.
Gewoon uitbesteden aan familie of hulpverlening het maakte ze niets uit. Het belangrijkste argument ... kosten.
06-12-2017, 17:51 door Anoniem
Door Anoniem:
Door Anoniem: Nu ik niet in het bezit van mobiele ben zijn er andere manieren om 2FA te kunnen doen? Vaste telefoon heb ik wel.
ligt eraan wat voor 2fa je wilt, sms zou moeten werken maar het is niet bestand tegen ervaren adversaries. een token zou misschien ook een optie zijn, maar ik weet niet of digid dit ondersteunt

Mijn buurvrouw heeft een SMS gezonden naar mijn vaste telefoon maar die is nooit aangekomen en ik zag het menu van mijn DECT toestel ook geen mogelijkheid om SMS te lezen/verzenden.
06-12-2017, 22:33 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Nu ik niet in het bezit van mobiele ben zijn er andere manieren om 2FA te kunnen doen? Vaste telefoon heb ik wel.
ligt eraan wat voor 2fa je wilt, sms zou moeten werken maar het is niet bestand tegen ervaren adversaries. een token zou misschien ook een optie zijn, maar ik weet niet of digid dit ondersteunt

Mijn buurvrouw heeft een SMS gezonden naar mijn vaste telefoon maar die is nooit aangekomen en ik zag het menu van mijn DECT toestel ook geen mogelijkheid om SMS te lezen/verzenden.

Bij de Kijkshop koop je voor 20 euro een prepaid mobieltje. Je kunt ook gewoon een beetje met je tijd meegaan. Tenslotte heb je ook ooit je T65 (grijze PTT telefoon met draaischijf) moeten inruilen omdat de centrale er niet meer mee overweg kon. Toen had je ook van die zeurpieten die daar problemen mee hadden. Het feit dat je hier reageert betekent ook dat je een pc en internet verbinding hebt dus waarom geen mobieltje?

2FA via SMS is natuurlijk niet echt de veiligste methode maar het is tenminste iets.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.