DigiD-app 2,2 miljoen keer gebruikt om bij overheid in te loggen
De DigiD-app die halverwege juli van dit jaar werd gelanceerd is 2,2 miljoen keer gebruikt om bij de overheid in te loggen, wat een veiligere manier is dan alleen het gebruik van een gebruikersnaam en wachtwoord, zo meldt staatssecretaris Knops van Binnenlandse Zaken in een brief aan de Tweede Kamer.
Knops gaf de cijfers naar aanleiding van een motie waarin de overheid wordt opgeroepen om het inloggen via tweestapsidentificatie binnen het eID-stelsel actief te bevorderen. Veel publieke diensten vragen namelijk alleen een gebruikersnaam en wachtwoord. "In veel gevallen levert dat een lager dan gewenst betrouwbaarheidsniveau op voor de gegevens waartoe toegang wordt verkregen", aldus Knops (pdf).
De lancering van de DigiD-app is één van de manieren waarmee de overheid invulling aan de motie geeft. De app is sinds 17 juli 1,2 miljoen keer gedownload en er is 2,2 miljoen keer mee ingelogd. Sinds 1 november van dit jaar is het daarnaast mogelijk gebruik te maken van DigiD op een hoger betrouwbaarheidsniveau, waarbij iemand zijn DigiD-app versterkt door een extra controle met een identiteitsdocument uit te voeren. Deze verificatie geeft organisaties volgens Knops nog meer zekerheid over wie er inlogt.
Eind dit jaar gaat de RDW deze manier van inloggen verplichten voor het online overschrijven van het kentekenbewijs. En daarna voor het voorgenomen experiment digitaal aanvragen rijbewijs. Met organisaties in de zorgsector wordt afgestemd hoe dit hogere betrouwbaarheidsniveau stapsgewijs in gebruik kan worden genomen. Het kabinet heeft verder wetgeving in voorbereiding (Wet Digitale Overheid) op grond waarvan met ingang van 1 januari 2019 wettelijke regels gelden voor het niveau van betrouwbaarheid dat overheidsorganisaties moeten hanteren.
En is het bieden van een app een oplossing daarvoor ? Deze publieke diensten zouden verplicht moeten worden 2FA (multi factor authenticatie) te gebruiken. Het is lachwekkend dat dit bij DigiD veelal optioneel is. Waardoor het volslagen nutteloos is.
Een legitieme gebruiker hoeft immers niet aan zichzelf te bewijzen dat hij legitiem is. Waardoor aanvullende SMS verificatie onzinnig is. Een niet legitieme gebruiker kiest gewoon voor inloggen zonder SMS, met gestolen credentials.
Ondertussen betalen we, via de belastingdienst, voor de kosten van miljoenen nutteloze SMSjes.
En is het bieden van een app een oplossing daarvoor ? Deze publieke diensten zouden verplicht moeten worden 2FA (multi factor authenticatie) te gebruiken. Het is lachwekkend dat dit bij DigiD veelal optioneel is. Waardoor het volslagen nutteloos is.
Een legitieme gebruiker hoeft immers niet aan zichzelf te bewijzen dat hij legitiem is. Waardoor aanvullende SMS verificatie onzinnig is. Een niet legitieme gebruiker kiest gewoon voor inloggen zonder SMS, met gestolen credentials.
Ondertussen betalen we, via de belastingdienst, voor de kosten van miljoenen nutteloze SMSjes.
Je kunt zelf aangeven bij DigiD dat je ALLE aanvragen met 2FA wilt uit laten voeren. Dan kan een aanvaller proberen het bij een aanbieder uit te zetten, maar dat werkt niet.
De bedoeling is dat uit de risico-analyse en gegevensclassificatie bij de aanbieder zou moeten komen dat 2FA verplicht is. Dan kan het daarvoor ook niet meer uitgezet worden. Als een organisatie gevoelige gegevens via DigiD beschikbaar stelt en geen 2FA verplicht stelt, handelen ze in strijd met de AVG en is een klacht bij de AP gerechtvaardigd.
Peter
Dit alles eenvoudig te bedenken omdat niet iedereen een telefoon heeft die kan worden voorzien van een app, noch iedereen een computer heeft - beiden ongelukkigerwijze - als enige voorwaarde om te communiceren met de overheid.
Dat is mij geheel duidelijk. 95% van de bevolking kijkt *nooit* naar dergelijke configuratie items. En blijft dus gewoon onveilig wat dat betreft. Het gaat mij niet om de vraag of IT-ers die security aware zijn hun account veiliger kunnen instellen. Het gaat mij erom dat de basis veilig behoort te zijn. Ook voor digibeten.
De inbox van mijn overheid, waar je communiceert met overheidsdiensten is een mooi voorbeeld. Geen 2FA verplicht, terwijl er wel allerlij privacy gevoelige informatie wordt uitgewisseld. Hoe risico analyse werken, en hoe gegevens classificatie werkt weet ik, en weet jij. Dat wil niet zeggen dat de overheid haar zaken op orde heeft m.b.t. een fatsoenlijke bescherming van dit soort omgevingen.
Het getuigt van respect om niet altijd zo hooghartig te zijn, en wat minder op de man te spelen. Nergens voor nodig namelijk.
De inbox van mijn overheid, waar je communiceert met overheidsdiensten is een mooi voorbeeld. Geen 2FA verplicht, terwijl er wel allerlij privacy gevoelige informatie wordt uitgewisseld. Hoe risico analyse werken, en hoe gegevens classificatie werkt weet ik, en weet jij. Dat wil niet zeggen dat de overheid haar zaken op orde heeft m.b.t. een fatsoenlijke bescherming van dit soort omgevingen.
Die gegevens in de mailbox wie beslist daar over? Volgens mij is dat de persoon zelf.
Bij de argumentatie over het verdwijnen van blauwe envelop stelde de regering zich duidelijk op dat het ook die persoon zijn probleem was bij het niet in staat zijn het af te handelen.
Gewoon uitbesteden aan familie of hulpverlening het maakte ze niets uit. Het belangrijkste argument ... kosten.
Mijn buurvrouw heeft een SMS gezonden naar mijn vaste telefoon maar die is nooit aangekomen en ik zag het menu van mijn DECT toestel ook geen mogelijkheid om SMS te lezen/verzenden.
Mijn buurvrouw heeft een SMS gezonden naar mijn vaste telefoon maar die is nooit aangekomen en ik zag het menu van mijn DECT toestel ook geen mogelijkheid om SMS te lezen/verzenden.
Bij de Kijkshop koop je voor 20 euro een prepaid mobieltje. Je kunt ook gewoon een beetje met je tijd meegaan. Tenslotte heb je ook ooit je T65 (grijze PTT telefoon met draaischijf) moeten inruilen omdat de centrale er niet meer mee overweg kon. Toen had je ook van die zeurpieten die daar problemen mee hadden. Het feit dat je hier reageert betekent ook dat je een pc en internet verbinding hebt dus waarom geen mobieltje?
2FA via SMS is natuurlijk niet echt de veiligste methode maar het is tenminste iets.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
