image

D66 en VVD: Voor elke burger digitale kluis met persoonsdata

vrijdag 13 juli 2018, 09:57 door Redactie, 63 reacties

D66 en VVD willen voor elke burger een digitale kluis met persoonsgegevens die burgers zelf beheren. Daarvoor hebben D66-Kamerlid Verhoeven en VVD-Kamerlid Middendorp een initiatiefnota ingediend. Op dit moment bevinden de gegevens van burgers zich op allerlei plekken binnen de overheid en kan het voorkomen dat verschillende overheidsinstanties verschillende gegevens van mensen hebben.

De "kluis" moet deze versnippering tegengaan en fouten voorkomen. "Die beheer je namelijk zelf. Dus je weet zeker dat de gegevens die daarin staan kloppen. Dat betekent dat ook de overheidsinstanties die jouw gegevens nodig hebben, de discipline moeten hebben altijd in de kluis te kijken. Elke instantie krijgt gegevens van het individu niet van een andere overheid", zegt Middendorp tegen RTL.

Op dit moment willen Middendorp en Verhoeven dat er een beperkte hoeveelheid persoonsgegevens in de kluis wordt opgeslagen. Op den duur zou dit kunnen worden uitgebreid met bijvoorbeeld gegevens over diploma’s, verzekeringen en openstaande boetes. De Kamerleden vinden DigiD in zijn huidige vorm niet veilig genoeg om op de kluis in te loggen en stellen dat de inlogmethode moet worden verbeterd.

"Er loopt al een traject om DigiD veiliger te maken", zegt Middendorp tegenover het AD. "Ik kan me voorstellen dat we straks ons paspoort gebruiken om - door met behulp van je telefoon daarvan een scan te maken - in te loggen in de digitale kluis." Het wordt niet verplicht om van de kluis gebruik te maken. "Voor wie dat wil, blijft de overheid communiceren per post", aldus Middendorp.

Reacties (63)
13-07-2018, 10:05 door Anoniem
Ik heb geen smartphone om in te loggen in de digitale kluis van de overheid,krijg ik die smartphone dan van de overheid.
13-07-2018, 10:07 door Anoniem
Ja! Laten we nog meer data gaan verzamelen zonder doel.

Als je iets kluis noemt wat geen kluis is, wordt het daarmee nog geen kluis. In een kluis kan niet iedereen graaien.
13-07-2018, 10:11 door Anoniem
De "kluis" moet deze versnippering tegengaan en fouten voorkomen. "Die beheer je namelijk zelf. Dus je weet zeker dat de gegevens die daarin staan kloppen. Dat betekent dat ook de overheidsinstanties die jouw gegevens nodig hebben, de discipline moeten hebben altijd in de kluis te kijken. Elke instantie krijgt gegevens van het individu niet van een andere overheid", zegt Middendorp tegen RTL.

De kluis beheer je zelf ? Grappenmakers. Als ik de kluis zelf beheer, dan kan ik overheidsdiensten toegang ontzeggen. Deze kluis is juist bedoelt om uitwisseling van gegevens over burgers gemakkelijker te maken. Het wordt wel op een mooie manier verpakt, zodat gepretendeerd kan worden dat dit allemaal in ons eigen belang is.

Op dit moment willen Middendorp en Verhoeven dat er een beperkte hoeveelheid persoonsgegevens in de kluis wordt opgeslagen. Op den duur zou dit kunnen worden uitgebreid met bijvoorbeeld gegevens over diploma’s, verzekeringen en openstaande boetes.

Degene die bepaalt wat er wordt opgeslagen in een kluis, welke ik beheer, dat ben ik zelf. Dus hoezo ''de kluis beheer je zelf''.
13-07-2018, 10:11 door Anoniem
"Het wordt niet verplicht om van de kluis gebruik te maken. "Voor wie dat wil, blijft de overheid communiceren per post", aldus Middendorp."
Maar dan zal er wel betaald moeten worden en vragen ze zich af of je iets te verbergen hebt.
D66 en VVD die samen optrekken ? Ach sinds het afschaffen van het eigen referendum is D66 flink naar rechts opgeschoven.
13-07-2018, 10:12 door Anoniem
Digid is totaal niet veilig, als ik de sms twee factor authenticatie aanzet werkt dit totaal niet. Krijg die sms niet, kan inloggen met alleen wachtwoord. Frustrerend, is al jaren zo, wordt niks aan gedaan. Als ze iets veiligers hebben gemaakt (kost de overheid kennende een paar miljard) dan mogen ze de post van mij WEL afschaffen (om te besparen:)
13-07-2018, 10:12 door Anoniem
"Voor wie dat wil, blijft de overheid communiceren per post", aldus Middendorp.

Ohja ? Voor tal van zaken is dit *niet* meer mogelijk. Wat een slap geouwehoer. Boeit het politici iets of wat ze zeggen inhoudelijk ook klopt ?
13-07-2018, 10:13 door Anoniem
"Er loopt al een traject om DigiD veiliger te maken", zegt Middendorp tegenover het AD. "Ik kan me voorstellen dat we straks ons paspoort gebruiken om - door met behulp van je telefoon daarvan een scan te maken - in te loggen in de digitale kluis."
Lijkt me geen veilige methode. Iemand heeft een goede scan van het paspoort, zoals gebruikt wordt bij het inloggen, en heeft daarmee al de helft van de logon in handen. Laat politici zich nu eens niet bemoeien met hoe beveiliging gebeurt, maar alleen met de eisen waaraan die beveiliging hoort te voldoen. De kamer moet beleid bepalen, geen expliciete uitwerkingen, dat is aan specialisten.

Verder klinkt die kluis leuk, maar wie voert welke gegevens in> De burger altijd? Lijkt me ook niet goed, want dan ontstaat er altijd een discussie en is de burger altijd het haasje als er iets foutief in staat. Wanneer een instantie gegevens nodig heeft, kan die door de burger of een andere bron worden aangeleverd en komt in de kluis. Gegevens die de burger aanlevert, daar heeft hij ook de mogelijkheid om ze zelf te wijzigen. Gegevens uit andere bronnen, daar heeft de inbrenger de verantwoordelijkheid en kan de burger met een simpele procedure de aanpassing/verwijdering verzoeken. Maar zelf wijzigen betekent, dat wanneer cruciale gegevens uit het systeem worden verwijderd, b.v. over een strafblad, dat altijd de burger het gedaan heeft (of dat nu klopt of niet) en deze daar op wordt aangesproken.
13-07-2018, 10:26 door Anoniem
Ik wil ook wel een kluis met mijn diploma's. Maar waarom ik daar ook mijn verkeersboetes in zou bewaren.. Niet mijn probleem wanneer dat zoek raakt!
13-07-2018, 10:29 door Anoniem
De "kluis" moet deze versnippering tegengaan en fouten voorkomen. "Die beheer je namelijk zelf. Dus je weet zeker dat de gegevens die daarin staan kloppen.
Ja dat is leuk maar dan weten de gebruikers van die gegevens weer niet of ze kloppen!
Immers als iedereen zijn eigen gegevens kan beheren dan kan hij die ook zodanig beheren dat het voordelig voor hem is.
(niet welgevallige gegevens verwijderen of "niet kloppende" gegevens "verbeteren")

Tuuurlijk het lijkt heel mooi, je voorkomt daarmee dat overheden onderling gegevens die op een fout berusten blijven rondpompen, en dit idee zal vast ook een reactie daarop zijn, maar de praktijk is helaas dat je niet van het individu mag verwachten dat hij/zij zijn eigen gegevens op een neutrale manier beheert.
13-07-2018, 10:30 door MathFox
Mijn suggestie is om die data in een flash chip op rijbewijs of identiteitskaart op te slaan en de burger die zelf te laten beheren met een (open source) app via zijn computer en een chipkaartlezer van een tientje.
13-07-2018, 10:30 door Bitwiper
Fantastisch! Tante Truus kan dan ook haar bankrekeningnummer voor belastingteruggave, subsidie voor zonnepanelen etc. wijzigen als ze bank verandert, ideaal!

What could possibly go wrong?
13-07-2018, 10:35 door Anoniem
Mijn suggestie is om die data in een flash chip op rijbewijs of identiteitskaart op te slaan en de burger die zelf te laten beheren met een (open source) app via zijn computer en een chipkaartlezer van een tientje.

Tja, je dacht toch niet dat je de controle krijgt over deze kluis (waar iedere overheidsorganisatie een ''sleutel'' voor krijgt) ? Of dacht je dat het er echt om ging om ons controle te geven, i.p.v. om het centraliseren van data om uitwisseling van gegevens tussen overheidsdiensten te faciliteren ? ;)

Mooi verpakt, dit voorstel. Je zou bijna denken dat het gericht is op het belang van de burger.
13-07-2018, 10:36 door Anoniem
Dat betekent dat ook de overheidsinstanties die jouw gegevens nodig hebben, de discipline moeten hebben altijd in de kluis te kijken

Een kluis is iets wat op slot zit, en waar derden (zoals overheidsorganisaties) niet zomaar bij zouden moeten komen. Rare woordkeuze, ''kluis'', bij een voorstel wat gericht is om meer data te ontsluiten.
13-07-2018, 11:04 door Anoniem
De Kamerleden vinden DigiD in zijn huidige vorm niet veilig genoeg om op de kluis in te loggen en stellen dat de inlogmethode moet worden verbeterd.

Tja, begin dan met 2-factor authenticatie verplicht te maken, i.p.v. optioneel. Optionele 2FA is immers volstrekte onzin :

1) Legitieme gebruiker heeft niets aan optioneel gebruik van 2FA om te bewijzen dat hij/zij zichzelf is
2) Niet-legitieme gebruiker zal 2FA niet optioneel gebruiken, om zichzelf toegang te verschaffen

Optionele 2-factor authenticatie is volstrekt lachwekkend en onzinnig.
13-07-2018, 11:11 door Anoniem
De Penthouse-partij moet het Referendum weer teruggeven aan de bevolking.
Anders, no deal.
13-07-2018, 11:12 door Anoniem
Het ruikt hier naar centralisatie van gegevens.

Men dient zich wel te realiseren dat men het dan ook heerlijk compleet organiseert voor eventuele hackers,
zodat deze a) weet waar hij moet zijn, en b) de buit in 1 keer binnen heeft.
De geschiedenis leert dat men meestal heel enthousiast en intensief begint met bewaken maar dat het na verloop van tijd verslapt door bijv. wisseling van de wacht, en het niet voldoende aanpassen aan de lopende stand van de techniek.

Ooit was Equifax ook heel veilig en gecentraliseerd.
Totdat er een stomme fout werd gemaakt.
13-07-2018, 11:25 door Anoniem
Door Bitwiper: Fantastisch! Tante Truus kan dan ook haar bankrekeningnummer voor belastingteruggave, subsidie voor zonnepanelen etc. wijzigen als ze bank verandert, ideaal!

What could possibly go wrong?
\

Wat er mis kan gaan? Helemaal niks. Dit zou ook een mooie vervanging kunnen zijn voor DigiD
13-07-2018, 11:36 door Anoniem
Door MathFox: Mijn suggestie is om die data in een flash chip op rijbewijs of identiteitskaart op te slaan en de burger die zelf te laten beheren met een (open source) app via zijn computer en een chipkaartlezer van een tientje.

Want flash chips op een kaart gaan noooit kapot. En als ze kapot is, wat dan?

Kijk eens hoe mensen met hun rijbewijs omgaan. In de papierentijd was dat regelmatig niet meer te herkennen als rijbewijs. Als plastic kaart gaat het iets beter, maar ook dan heb je nog heldere lichten ertussen, die alles kapot weten te maken.
13-07-2018, 11:42 door Anoniem
zegt Middendorp tegenover het AD. "Ik kan me voorstellen dat we straks ons paspoort gebruiken om - door met behulp van je telefoon daarvan een scan te maken - in te loggen in de digitale kluis.

Hoe had dhr. Middenkoop zich dit voorgesteld. Mbt een qr-code? Of een rfid-chip?
Beiden kunnen natuurlijk niet misbruikt worden door anderen, dan de eigenaar van het paspoort. :-) (kopietjes worden nooit gemaakt).

En voor die mensen die geen paspoort hebben: dan maar het rijbewijs, de ID-kaart of iets dergelijks?
Of gaan we het paspoort verplicht stellen aan alle burgers in Nederland. (Dus ook de pasgeborenen en opa die niet meer zijn huis uit komt)


" Het wordt niet verplicht om van de kluis gebruik te maken. "Voor wie dat wil, blijft de overheid communiceren per post", aldus Middendorp.

Dus mag ik uit de woorden van dhr. Middnkoop opmaken de verplichting om electronsich (via de berichtenbox) met de overheid te "communcieren" (met bv de Belastingdienst) wordt terug gedraaid?


Zijn uitleg levert meer vragen op dan antwoorden.
13-07-2018, 11:46 door Anoniem
Krijg ik dan ook een overzicht wie wanneer welke gegevens heeft bekeken?

Het idee kluis is leuk, maar dit is een kluis met een open achterkant. Ik moet moeite doen om er in te komen, maar instanties hebben volop toegang. Hoe aantrekkelijk is het voor inbrekers om via de open achterkant alle gegevens van iedereen te benaderen.
13-07-2018, 11:49 door Anoniem
Door Anoniem: Digid is totaal niet veilig, als ik de sms twee factor authenticatie aanzet werkt dit totaal niet. Krijg die sms niet, kan inloggen met alleen wachtwoord. Frustrerend, is al jaren zo, wordt niks aan gedaan. Als ze iets veiligers hebben gemaakt (kost de overheid kennende een paar miljard) dan mogen ze de post van mij WEL afschaffen (om te besparen:)
Vreemd. Bij mij werkt het allemaal. Het was al zo dat ik voor controle met SMS koos ik die SMS ook kreeg, en sinds ik mijn voorkeursbeveiligingsniveau op "middel" heb gezet krijg ik die SMS ook als ik hem niet aanvink. Dat suggereert dat bij jou iets geks aan de hand is dat normaal gesproken niet optreedt.

Wat betekent "wordt niks aan gedaan"? Hoe reageren ze als je contact opneemt? Helpt het om een compleet nieuwe DigID aan te vragen (dat kan gewoon)?
13-07-2018, 12:33 door Anoniem
Je kan soms niet eens inloggen op bepaalde websites omdat er 'problemen zijn met de data' en 'dit wordt binnenkort opgelost'. Onder andere 'mijn werkmap' op UWV blijft mijn DigiD logins eruit gooien, en het maakt niet uit op welke browser of welke OS ik het probeer. Gewoon toegang tot een systeem wat ik verplicht dien te gebruiken ontzegd en niemand is hier schuldig aan, natuurlijk.

Gecentraliseerd gegevens bewaren in deze wereld van stomme overheidsmedewerkers die constant inloggegevens te grabbel gooien (of recentelijk nog een Amerikaanse militair die zijn USB in een onbeveiligde router dropte en daarmee de plannen voor een drone voor iedereen beschikbaar maakte) is je reinste onzin.
Wie dat bedacht heeft mag van mij in een inrichting voor zwakzinnigen gaan zitten.
13-07-2018, 13:00 door Anoniem
In het concept zie ik wel iets, waarbij opgemerkt dat diverse bezwaren die hier al genoemd zijn volkomen terecht zijn. Daarom zouden de beide heren eens uitgebreid moeten praten met een beveiligingsdeskundige van het kaliber Professor Bart Jacobs or Rob Gongrijp voor een uitgebreide reality check. Hun eigen niveau (en ijver om zich in te lezen) blijkt uit het idee om een scan van een paspoort te gebruiken als authenticatiefactor. Bruce Schneier zei het ooit in een rake one-liner: "Demanding an easy-to-forge copy of a hard-to-forge document isn't a good solution." Als je met de beveiliging van de persoonsgegevens (en al helemaal identiteitsfraude gevoelige persoonsgegevens waar we hier over praten) praat, mag je dit soort beginnersfouten gewoon niet maken.
13-07-2018, 13:13 door Anoniem
Door Anoniem: Ik heb geen smartphone om in te loggen in de digitale kluis van de overheid,krijg ik die smartphone dan van de overheid.
Het wordt niet verplicht om van de kluis gebruik te maken. "Voor wie dat wil, blijft de overheid communiceren per post", aldus Middendorp.""
13-07-2018, 13:15 door Anoniem
en vervolgens alle gegevens misbruiken en bespioneren


Wat mag u niet weten?
U mag niet weten wat u een risico maakt

De risicomodellen waarmee SyRI bepaalt of u in het Register Risicomeldingen wordt opgenomen zijn geheim, zo laat het ministerie ons weten in haar reactie op ons Wob-verzoek. De reden daarvoor is het belang van opsporing en vervolging van strafbare feiten en overtredingen en het belang van inspectie, controle en toezicht door bestuursorganen. Een redenering waaruit blijkt hoe SyRI de grenzen van de rechtsstaat oprekt.

De duizenden burgers die SyRI doorlicht, worden namelijk niet verdacht van een strafbaar feit of overtreding. Er bestaat geen concrete aanleiding om hun doopceel te lichten. Toch eigent de overheid zich met SyRI de bevoegdheid toe om alle informatie die er bij verschillende instanties over burgers bekend is, zonder hun medeweten of toestemming te samen te voegen en op heimelijke wijze tegen hen te gebruiken.

Zelfs wanneer u na opname in het Register Risicomeldingen bij overheidsinstanties te boek staat als risicoburger, betekent dat nog steeds niet dat u officieel verdacht of onderwerp van onderzoek bent en daarmee aanspraak maakt op de daarbij horende rechtsbescherming. Daarvan is eventueel pas sprake als een overheidsinstantie op basis van een risicomelding uit SyRI besluit een onderzoek naar u in te stellen.

In feite behandelt SyRI de duizenden burgers die ze doorlicht als verdachte, enkel om te voorspellen of ze in aanmerking komen om in de toekomst ergens van verdacht te worden. De onschuldpresumptie op zijn kop.

Wanneer de overheid een onderzoek naar een burger instelt omdat deze verdacht wordt van fraude of een ander misdrijf, gelden daar strikte regels voor. Deze regels beschermen burgers tegen overheidsmacht en garanderen dat de overheid niet willekeurig in het privé-leven van haar burgers kan inbreken. Daarvoor dient namelijk altijd een concrete aanleiding te zijn. Van deze zaken is bij SyRI echter geen sprake: iedere burger kan zonder gegronde reden worden doorgelicht door SyRI.

Het ontbreken van die eisen bij het instellen van een SyRI-onderzoek is nog problematischer omdat de wet waarin SyRI is vastgelegd, geen eisen stelt aan de nauwkeurigheid van het onderzoek en daardoor niet voorkomt dat burgers ten onrechte als risico worden bestempeld. Er zijn in Nederland meerdere rechterlijke uitspraken geweest die constateerden dat de risicoprofielen die de overheid hanteert, ten onrechte discrimineren. Dit gebeurde zowel op basis van geslacht als op basis van nationaliteit. Door de risicomodellen die SyRI hanteert geheim te houden, is er geen manier om hier op te controleren of er tegen in verweer te komen.

Voor een burger die door SyRI wordt doorgelicht en aangemerkt als risico, is het onmogelijk om te achterhalen waarom dit zo is, of hij of zij ten onrechte wordt geregistreerd en of dit gebeurt op basis van onrechtmatige gronden zoals geslacht of afkomst.
U mag niets weten over de voorgeschiedenis van SyRI

Het Systeem Risico Indicatie heeft een lange voorgeschiedenis, waarbij in pilots en voorgangers van SyRI zonder wettelijke basis al jarenlang persoonsgegevens van burgers werden gekoppeld volgens de methode van SyRI. De onderzoeken die plaatsvonden vóór de wettelijke vastlegging van SyRI in 2014 zijn, ondanks dat we daar expliciet om vroegen in ons Wob-verzoek, niet in de vrijgegeven documenten opgenomen. Daarmee hebben we slechts inzage gekregen in twee SyRI-projecten, één in Eindhoven en één in Capelle aan den IJssel.

Dat is het topje van de ijsberg. Vóór de wettelijke vastlegging van SyRI zijn in 2008 en 2009 in ieder geval 25 bestandskoppelingsprojecten uitgevoerd, zo meldde NRC in 2014 in een artikel over de vele SyRI-projecten die de overheid zonder wettelijke basis uitvoerde – volgens het ministerie zelf werd er “geoefend”. Tussen 2010 en 2014 vonden nog eens 21 SyRI-projecten plaats, zo weten we uit het WRR-rapport Big Data voor Fraudebestrijding uit 2016.

De geheimhouding van deze tientallen projecten waarbij in totaal tienduizenden Nederlandse burgers moeten zijn doorgelicht, betekent dat we ook niets te weten komen over hoe de werkwijze van SyRI tot stand is gekomen. Op basis van welke kennis voorspelt SyRI bijvoorbeeld of iemand een risicoburger is? Is er tijdens de voorlopers van SyRI jarenlang illegaal geëxperimenteerd met persoonsgegevens van burgers om tot voorspellende algoritmes te komen? Of zijn de risicofactoren die SyRI hanteert gebaseerd op ervaring, bestaande vermoedens en nattevingerwerk bij handhavingsdiensten? Dit alles maakt de titel “Project Black Box” die één van de SyRI-voorgangers draagt wel erg toepasselijk: de informatie over het aanvliegtraject naar SyRI is immers spoorloos.

Kortom, u mag niet weten wat u een risico maakt, maar evenmin mag u weten op basis van welk onderzoek of kennis tot deze manier van profileren is gekomen. Dit maakt SyRI een compleet ondoorzichtig machtsinstrument: van zowel de huidige werking als de totstandkoming van SyRI is nauwelijks iets bekend.
13-07-2018, 13:21 door Anoniem
Door MathFox: Mijn suggestie is om die data in een flash chip op rijbewijs of identiteitskaart op te slaan en de burger die zelf te laten beheren met een (open source) app via zijn computer en een chipkaartlezer van een tientje.
Nee, nee, nee, nee, deze informatie moet wel centraal in een goed bereikbare database staan op een server door de overheid beheerd, zodat wanneer hackers hun slag slaan, ze wel in een keer al die informatie over iedereen heel makkelijk te pakken kunnen krijgen. De hackers zullen daarbij ook uitvinden dat alleen data van de burgers in deze database staat, geen enkele van de (verantwoordelijke) politic zal erin te vinden zijn. Het Koningshuis natuurlijk ook niet.
13-07-2018, 13:36 door Anoniem
Op zich een goed idee. Maar ik twijfel over de uitvoering (Overheid + ICT projecten) en de veiligheid. Uiteraard wil de overheid (lees politie & inlichtendiensten) natuurlijk toegang hebben tot deze "kluisjes". Deze kluisjes worden ook interessant om te hacken. Je hebt als hacker direct een weelde aan gegevens tot je beschikking. Alles netjes op 1 plek. Ik zeg doen!
13-07-2018, 13:43 door Anoniem
Door Anoniem:Tja, begin dan met 2-factor authenticatie verplicht te maken, i.p.v. optioneel. Optionele 2FA is immers volstrekte onzin :

1) Legitieme gebruiker heeft niets aan optioneel gebruik van 2FA om te bewijzen dat hij/zij zichzelf is
2) Niet-legitieme gebruiker zal 2FA niet optioneel gebruiken, om zichzelf toegang te verschaffen

Optionele 2-factor authenticatie is volstrekt lachwekkend en onzinnig.

lever je er dan ook de telefoon bij om de sms-jes te ontvangen. Niet iedereen heeft een telefoon.
13-07-2018, 16:01 door Bitwiper - Bijgewerkt: 13-07-2018, 16:27
Door Anoniem: Dit zou ook een mooie vervanging kunnen zijn voor DigiD
Uhh ik geloof niet dat jij het snapt. Die kluis is geen authenticatie, die heeft dat nodig.

1. Een systeem met 17 miljoen "digitale kluizen" moet om te beginnen op nagenoeg onkraakbare systemen staan en beheerd worden door onkreukbare beheerders (want hier valt serieus geld mee te "verdienen" door criminelen), die o.a. de toegangsrechten (authorisaties) configureren en monitoren. Overigens net als bij een serieus veilig EPD het geval zou moeten zijn. M.a.w. alle achterdeuren (zowel digitaal als fysiek) moeten zo sterk zijn dat ze aanvallen op de te verwachten opgeslagen waarde redelijkerwijs kunnen weerstaan.

2. Stel dat beide geen illusies zouden zijn, dan zou iedereen die recht heeft op toegang tot die gegevens, zich betrouwbaar digitaal moeten kunnen identificeren en authenticeren. De reden daarvoor is primair voorkomen dat onbevoegden geen of hooguit zeer moeilijk (en dan bij voorkeur detecteerbaar) toegang "via de voordeur" tot individuele (of groepen van) gegevens kunnen krijgen.

Authenticatie via DigiD is hier niet voor ontworpen en gewoon niet sterk genoeg; er zijn al voldoende incidenten geweest die dat hebben aangetoond. De aanvulling met SMS is geen volledige 2FA zoals de recente aanval perfect aantoonde: je moet de via SMS ontvangen code op de DigiD website invullen (die veel te eenvoudig gespoofed kan worden) waardoor een MITM meteen over beide "factoren" beschikt (zie mijn reacties in https://www.security.nl/posting/568113/MijnOverheid-phishingsite+maakte+ook+2-factorauthenticatie+buit).

Door Anoniem: Wat er mis kan gaan? Helemaal niks.
Nadat jij jouw tante Truus hebt verteld dat overheidscommunicatie via de post hopeloos ouderwets is, en vele andere slimmerds oudere mensen (of jongere mensen die heel andere interesses hebben dan sites zoals security.nl of tweakers.net bezoeken) daarvan hebben overtuigd, zal er steeds meer druk op mensen komen om dat, vaak tegen beter weten in, toch maar te doen. De PC van tante Truus is al jaren niet meer vooruit te branden, maar gelukkig kan zij nu alles met haar smartphone (e-mailen, whatsappen, inloggen op overheidssites, 2FA SMS ontvangen, Google Authenticator draaien, paspoort/rijbewijs scannen etc).

De gemiddelde tante Truus heeft echter een 2 jaar oude low-budget smartphone of een, nog ouder, afgedankt exemplaar van 1 van haar kinderen. Die smartphone, die allang geen updates meer ontvangt, is (door "behulpzame niet-digibeten") vol gezet met "handige" apps. De meeste daarvan gebruikt tante Truus niet (want ze snapt er niks van), maar in elk geval haar "adresboek" (en wie weet wat nog meer) wordt automatisch gedeeld met diverse geïnteresseerde partijen, gelukkig zonder dat dit haar smartphone onbruikbaar trager maakt (er was laatst wel iets geks maar dat heeft de buurjongen kunnen fixen). En als de telefoon een 2e hands krijgertje is, past de lijst met onthouden public WiFi hostspots niet meer op 1 pagina.

Omdat ze geen pincodes kan onthouden, unlockt de smartphone door "veeg naar boven" o.i.d. of er zit een kartonnen kaartje in de smartphone hoesje waar alle overige pincodes en wachtwoorden op staan (behalve haar SIM, die unlockt met haar geboortejaar). Lees verder...

Door VVD-kamerlid Middendorp: Ik kan me voorstellen dat we straks ons paspoort gebruiken om - door met behulp van je telefoon daarvan een scan te maken - in te loggen in de digitale kluis.
De tas (met paspoort, smartphone en kartonnetje) van tante Truus wordt gestolen, bijv. op vakantie of bij Albert Heijn om de hoek...

En dit is alleen maar tante Truus. Hoe zorgvuldig springen de overheidsdienaren (en medewerkers van bedrijven waar de overheid werkzaamheden aan heeft uitbesteed) om met hun authenticatiegegevens? Zouden die allemaal unieke wachtwoorden gebruiken die niet te vinden zijn op haveibeenpwned.com, en zouden zij nooit in phishingmails trappen? (Oww wacht https://www.security.nl/posting/569684/171+Limburgse+ambtenaren+trapten+in+test-phishingmail)

De gemiddelde thuis-PC en smartphone zijn al totaal ongeschikt voor betrouwbare authenticatie, om over alles daaronder maar te zwijgen. Thuisrouters zijn vaak zo lek als een mandje (zie de recente VPNfilter malware, de bergen spam en DDoS aanvallen die via botnets worden uitgevoerd) en daarnaast trappen de meeste mensen in de simpelste phishingmails.

We hebben nog lang geen geschikte digitale infrastructuur + benodigde insecurity awareness voor "digitale kluizen", "EPD's" en andere grappen waarbij we digitaal moeten authenticeren om waardevolle gegevens te kunnen benaderen. Paspoorten zijn gemaakt om door een kundig persoon te worden vergeleken met degene van wie dat paspoort is, evt. in aanvulling met digitale middelen om fraude lastiger te maken; de chip in een identiteitsbewijs uitlezen met een smartphone toont hooguit aan dat die chip op dat moment (of, indien slecht geïmplementeerd, ooit) in de buurt was van de smartphone, maar verder helemaal niks [*]. Waarom denk je dat banken dikke muren en serieuze kluisdeuren hebben? En waar komt het idee toch vandaan dat digitale beveiliging veel eenvoudiger en goedkoper dan fysieke beveiliging zou zijn?

[*] https://www.security.nl/posting/569604/Productiefout+in+5000+paspoorten+en+identiteitskaarten - zou een aanvaller zichzelf die (aan personen gekoppelde) chips hebben toegeëigend en vervangen door andere -niet werkende- chips?

Is er hier iemand die geen "tante Truus" kent?
13-07-2018, 16:06 door Anoniem
Wat er mis kan gaan? Helemaal niks. Dit zou ook een mooie vervanging kunnen zijn voor DigiD

Ik hoop niet dat jij IT beveiliger bent LMFAO.
13-07-2018, 16:08 door Anoniem
lever je er dan ook de telefoon bij om de sms-jes te ontvangen. Niet iedereen heeft een telefoon.

So ? Er zijn meerdere wegen naar rome voor 2-factor authenticatie (buiten dat vrijwel iedereen een mobiele telefoon heeft).

Je opmerking doet niets af aan het feit dat optionele 2-factor authenticatie op zijn hoogst schijnveiligheid biedt. Omdat kwaadwillenden altijd kunnen inloggen, zonder gebruik te maken van 2FA. En als legitieme gebruiker heb je er niets aan om het optioneel te gebruiken.
13-07-2018, 16:13 door Anoniem
Het wordt niet verplicht om van de kluis gebruik te maken. "Voor wie dat wil, blijft de overheid communiceren per post", aldus Middendorp.""

Mooie copy/paste, maar inhoudelijk slaat het nergens op. Want de overheid biedt helemaal niet voor alles de mogelijkheid om niet-digitaal te communiceren. Politici roepen vaak gewoon maar wat, ongeacht de vraag of het inhoudelijk klopt.

===
Kan de communicatie met de overheid straks alleen nog maar digitaal?

Of het ook in de toekomst mogelijk blijft om bijvoorbeeld per brief informatie te blijven ontvangen, is niet bekend. De verschillende overheidsorganisaties mogen hier zelf over beslissen.

https://www.rijksoverheid.nl/onderwerpen/digitale-overheid/vraag-en-antwoord/kan-de-communicatie-met-de-overheid-straks-alleen-nog-maar-digitaal

Ontvang uw post digitaal in de Berichtenbox

Stap voor stap versturen we steeds minder berichten op papier en meer digitaal. Elk bericht ontvangt u op zijn minst 2 jaar lang zowel digitaal als op papier, voordat wij u dit *alleen* digitaal versturen.

https://www.belastingdienst.nl/wps/wcm/connect/bldcontentnl/campagnes/landingspaginas/prive/digitale_post/
===
13-07-2018, 19:20 door Anoniem
Ik ben helemaal voor.

Het idee achter een kluis is toch dat alleen de bezitter bepaalt wie er bij de inhoud kan? Lijkt me helemaal geweldig. Doen!
13-07-2018, 19:33 door Anoniem
Een prima idee, zolang ik maar mijn eigen documenten in die kluis met mijn eigen GnuPG versie en sleutel kan versleutelen.
13-07-2018, 21:19 door Anoniem
Door Anoniem: Digid is totaal niet veilig, als ik de sms twee factor authenticatie aanzet werkt dit totaal niet. Krijg die sms niet, kan inloggen met alleen wachtwoord. Frustrerend, is al jaren zo, wordt niks aan gedaan. Als ze iets veiligers hebben gemaakt (kost de overheid kennende een paar miljard) dan mogen ze de post van mij WEL afschaffen (om te besparen:)
Dit is niet waar. Bij mij komt de SMS al jaren wel aan. En anders moet je de DIGID APP gebruiken. We moeten het glas een keer half vol zien met z'n allen.
13-07-2018, 23:35 door Anoniem
Door Anoniem:
Door Anoniem: Digid is totaal niet veilig, als ik de sms twee factor authenticatie aanzet werkt dit totaal niet. Krijg die sms niet, kan inloggen met alleen wachtwoord. Frustrerend, is al jaren zo, wordt niks aan gedaan. Als ze iets veiligers hebben gemaakt (kost de overheid kennende een paar miljard) dan mogen ze de post van mij WEL afschaffen (om te besparen:)
Dit is niet waar. Bij mij komt de SMS al jaren wel aan. En anders moet je de DIGID APP gebruiken. We moeten het glas een keer half vol zien met z'n allen.

Haha, als jij geen probleem hebt is het niet waar wat een ander zegt. Zo los je dat snel op, gewoon ontkennen en de boodschapper aanvallen.

Apps en smartphones zijn intrinsiek onveilig. Sms ook overigens, het is alleen iets minder onveilig.
14-07-2018, 01:03 door Anoniem
Mensen, volgens mij moet je even omdenken en naar Estland kijken.
Zit er werkelijk aan te denken om e-burger te worden daar.
14-07-2018, 03:27 door Anoniem
De beste Kluis die je kan krijgen, is een kluis waar de overheid NOOIT bij kan.
Dus ik vind het helemaal geen goed idee
14-07-2018, 03:35 door Anoniem
Door Anoniem: "Het wordt niet verplicht om van de kluis gebruik te maken. "Voor wie dat wil, blijft de overheid communiceren per post", aldus Middendorp."
Maar dan zal er wel betaald moeten worden en vragen ze zich af of je iets te verbergen hebt.
D66 en VVD die samen optrekken ? Ach sinds het afschaffen van het eigen referendum is D66 flink naar rechts opgeschoven.
Ach bij de volgende verkiezingen zullen beide partijen de rekening gepresenteerd krijgen. Dus laat ze maar lekker aanrotzooien.
14-07-2018, 06:54 door Anoniem
Wie zet zijn vermogen op een bank, wel slim heb je alles op een naam en als de bank failliet gaat ben je
gelijk ook alles kwijt dus ik zou zeggen doen.
14-07-2018, 07:09 door Anoniem
We moeten het glas een keer half vol zien met z'n allen.
Vul het dan eerst eens voor de helft. Voorlpig wordt het alleen maar leger en begint het steeds meer op een woestijn te lijken. Tenzij je het glas natuurlijk met zand gevuld hebt, is het gewoon nagenoeg leeg...
14-07-2018, 07:51 door Anoniem
De "kluis" die ik zelf beheer zal leeg zijn.
14-07-2018, 10:39 door Anoniem
Door Anoniem:
Apps en smartphones zijn intrinsiek onveilig. Sms ook overigens, het is alleen iets minder onveilig.

Beveiligingshobbyisten zijn intrinsiek leuteraars. Professionals ook overigens, alleen soms wat minder dom.
Iedere beveiliging heeft grenzen en alles wat niet 100.0000% veilig is "onveilig" noemen is DOM, heel DOM.
14-07-2018, 11:24 door karma4 - Bijgewerkt: 14-07-2018, 11:31
Iemand in de gaten dat Verhoeven en Middendorp Het invoeren van een mGBA ofwel gefaald BRP aan het beschrijven zijn in een nieuwe te starten iets. Voor die kluis is er ook al iets, heet mijn overheid.nl.
Andere woorden veranderd niets aan de functie.


Het enige dat nieuwe is, is dat erkend wordt dat als je digitaal informatie ontvangt je ook digitaal moet kunnen antwoorden. Met consumentenrecht is dat normaal. Vermoedelijk zal een rechter als er rechtszaak zou zijn ook dat van de overheid verlangen. Toch zot als je in de berichtenbox iets krijgt waar alleen via aangetekende snailmail brief op te reageren valt.
14-07-2018, 12:23 door Anoniem
Door Bitwiper: Waarom denk je dat banken dikke muren en serieuze kluisdeuren hebben? En waar komt het idee toch vandaan dat digitale beveiliging veel eenvoudiger en goedkoper dan fysieke beveiliging zou zijn?

Omdat kleurige icoontjes, knopjes en linkjes op een Windows of macOS machine leren aanklikken iets heel anders is dan leren in C/C++ of Lisp te programmeren of assembler code te schrijven met Vim. Met emacs onder een bash commandline.

Het komt er op neer dat de grafische gebruikers omgeving het leven van digitaal ongeletterden -- waaronder veel managers en beleidsmakers -- veel te eenvoudig heeft gemaakt. Ze wanen zichzelf daardoor voldoende geschoold. Men snapt door die hiaat in het onderwijs op bestuurlijk niveau veelal gewoonweg niet hoe computers en netwerken daadwerkelijk functioneren, zodat we nu met de gebakken peren zitten. We worden daarom als maatschappij bestuurd door alpha-digibeten.

Is er hier iemand die geen "tante Truus" kent?

Ik ben tante Truus, aangenaam met u kennis te mogen maken. Mijn account wachtwoord op mijn werk PC is zo ingewikkeld dat ik wel een geel Post-It memootje onder mijn scherm moet plakken om het te kunnen onthouden ;-)
14-07-2018, 13:04 door karma4
Door Anoniem: Wie zet zijn vermogen op een bank, wel slim heb je alles op een naam en als de bank failliet gaat ben je
gelijk ook alles kwijt dus ik zou zeggen doen.

Dat was enkel zo tot halverwege vorige eeuw voor private banken. De zeer vermogende persoon achter de bank was vaak tevens de grootste inlegger. Daarvoor zijn er systeembanken in staatsbeheer gekomen met een deposisto garantie. Beleggingen aandelen en inhoud van kluisjes vallen buiten het vermogensdeel van een bank.

Door Anoniem:
We moeten het glas een keer half vol zien met z'n allen.
Vul het dan eerst eens voor de helft. Voorlpig wordt het alleen maar leger en begint het steeds meer op een woestijn te lijken. Tenzij je het glas natuurlijk met zand gevuld hebt, is het gewoon nagenoeg leeg...
In een vol gevuld glas weet je ook dat de ruimte / dimensie in werkelijkheid vrijwel leeg is. Het is maar net wat je wilt waarnemen. http://www.gestolengrootmoeder.nl/wordpress/twee-wolven-wonen-in-mijn-hart/
14-07-2018, 17:29 door Anoniem
Door Anoniem:
Door Anoniem:
Apps en smartphones zijn intrinsiek onveilig. Sms ook overigens, het is alleen iets minder onveilig.

Beveiligingshobbyisten zijn intrinsiek leuteraars. Professionals ook overigens, alleen soms wat minder dom.
Iedere beveiliging heeft grenzen en alles wat niet 100.0000% veilig is "onveilig" noemen is DOM, heel DOM.

Wel ja, gewoon doorgaan met persoonlijke aanvallen. Je bent een VVD supporter die hier de heersende meningen komt beinvloeden?

Smartphones zijn zoals iedereen en zijn oma weet onveilig omdat de meeste apps er zijn om data over jou te verzamelen en via jou geld te verdienen. De onveiligheid van SMS (GSM) is uit en te na aangetoond, behoeft ook geen proof of concept. Ga eerst eens wat beveiligingskennis verzamelen kom dan terug en gebruik in plaats van aanvallen op security professionals eens een paar goede argumenten.
14-07-2018, 18:15 door Anoniem
Waar de overheid op hoopt is dat ze, geholpen door fanboys, sukkels en andere niet-nadenkende-personen, kunnen melden dat deze 'kluis' zo'n groot succes is dat ze kunnen bepalen dat iedereen die zou moeten gaan gebruiken.

Totdat ik het gevoel heb dat de overheid er weer voor mij is en ik het gevoel heb dat de overheid en ik elkaar op gelijkwaardig niveau zien ben ik geen voorstander van een haalplicht voor de burger van berichten van de overheid.
Met mij mag de overheid per post blijven communiceren zolang ik niet ook met met de overheid digitaal kan communiceren en lach ik mij een slag in de rondte als ik weer eens een verhaal hoor van iemand die volautomatisch een boete heeft gekregen voor het niet verzekerd hebben van zijn -tot voor kort- geschorste motorvoertuig omdat hij verzuimd heeft in zijn berichtenbox te kijken en daardoor het bericht van de RDW gemist heeft dat de schorsing verlengd moest worden.

Nee, verzoeken tot het doen van belastingaangifte, aanslagen IB en MRB (MRB trouwens voor iedere auto weer 4x per jaar nadat ze de korting voor jaarbetaling hebben afgeschaft), gemeente, waterschap, RDW etc. komen gewoon per post, een berichtenbox heb ik niet en ik zie ook niet in waarom ik die zou moeten willen aanvragen.
Verzoeken tot automatische incasso van overheden........ HAHAHAHA proest........ (daar maak ik de kachel mee aan).
14-07-2018, 19:52 door Anoniem
Beveiligingshobbyisten zijn intrinsiek leuteraars. Professionals ook overigens, alleen soms wat minder dom.

Okee, dan hier even een gediplomeerde- en gecertificeerde security-man mét jarenlange ervaring in het bedrijfsleven :

100% beveiliging bestaat niet. (punt)
100% privacy bestaat niet. (punt)

En degene die zegt dat het wél bestaat, kan beter eerst naar school gaan om het vak echt te leren.
14-07-2018, 22:48 door karma4
Door Anoniem:
Beveiligingshobbyisten zijn intrinsiek leuteraars. Professionals ook overigens, alleen soms wat minder dom.

Okee, dan hier even een gediplomeerde- en gecertificeerde security-man mét jarenlange ervaring in het bedrijfsleven :

100% beveiliging bestaat niet. (punt)
100% privacy bestaat niet. (punt)

En degene die zegt dat het wél bestaat, kan beter eerst naar school gaan om het vak echt te leren.

Uhhh, ik ben het met je eens.
15-07-2018, 00:55 door Anoniem
Door Anoniem:
Beveiligingshobbyisten zijn intrinsiek leuteraars. Professionals ook overigens, alleen soms wat minder dom.

Okee, dan hier even een gediplomeerde- en gecertificeerde security-man mét jarenlange ervaring in het bedrijfsleven :

100% beveiliging bestaat niet. (punt)
100% privacy bestaat niet. (punt)

En degene die zegt dat het wél bestaat, kan beter eerst naar school gaan om het vak echt te leren.

En ik ben het er niet mee eens. Ik heb nu 100% privacy. Jaloers?
15-07-2018, 10:15 door Anoniem
Door Anoniem:
"Er loopt al een traject om DigiD veiliger te maken", zegt Middendorp tegenover het AD. "Ik kan me voorstellen dat we straks ons paspoort gebruiken om - door met behulp van je telefoon daarvan een scan te maken - in te loggen in de digitale kluis."
Lijkt me geen veilige methode. Iemand heeft een goede scan van het paspoort, zoals gebruikt wordt bij het inloggen, en heeft daarmee al de helft van de logon in handen. Laat politici zich nu eens niet bemoeien met hoe beveiliging gebeurt, maar alleen met de eisen waaraan die beveiliging hoort te voldoen. De kamer moet beleid bepalen, geen expliciete uitwerkingen, dat is aan specialisten.

Verder klinkt die kluis leuk, maar wie voert welke gegevens in> De burger altijd? Lijkt me ook niet goed, want dan ontstaat er altijd een discussie en is de burger altijd het haasje als er iets foutief in staat. Wanneer een instantie gegevens nodig heeft, kan die door de burger of een andere bron worden aangeleverd en komt in de kluis. Gegevens die de burger aanlevert, daar heeft hij ook de mogelijkheid om ze zelf te wijzigen. Gegevens uit andere bronnen, daar heeft de inbrenger de verantwoordelijkheid en kan de burger met een simpele procedure de aanpassing/verwijdering verzoeken. Maar zelf wijzigen betekent, dat wanneer cruciale gegevens uit het systeem worden verwijderd, b.v. over een strafblad, dat altijd de burger het gedaan heeft (of dat nu klopt of niet) en deze daar op wordt aangesproken.

De scan bestaat ui thet lezen van de chip van je paspoort of id kaart, hiermee kun je nu al je id bevestigen op digid.
15-07-2018, 10:42 door Anoniem
Tja,ik zou niet zo een kluis gaan gebruiken als die er komt,het veiligste is als er gegevens verspreid zijn opgeslagen.
Niet als ze op een plek zitten.
Tevens wil ik zo min mogelijk mobiel gebruik maken van overheidsdiensten op de smartphone of helemaal niet.
Als ik ergens bij wil dan doe ik dat op internet altijd via een vpn verbinding.
Voor het internet gebruik ik altijd vpn,dat ook tegen het gebruik van de sleepwet.
Ook mobiel via wifi waar ik ook ben gebruik ik de vpn.
Kortom ik wil zelf alles bepalen,en de regie hebben wat ik prijsgeef aan derden o.a de overheid.
15-07-2018, 11:51 door Anoniem
Er is maar een ding in het leven dat 100? zeker is en dat is dat vroeg of laat het zal eindigen.
15-07-2018, 11:59 door Bitwiper - Bijgewerkt: 15-07-2018, 12:02
Door Anoniem: 100% beveiliging bestaat niet. (punt)
100% privacy bestaat niet. (punt)
Wat een irrelevante bull shit. Als jij op vakantie gaat, neem ik aan dat jij er geen genoegen mee neemt als minder dan 100% van jouw ramen en deuren (in elk geval die waar een mens doorheen kan) redelijk inbraakwerend zijn afgesloten. En nee, redelijk inbraakwerend betekent nooit 100% inbraakvrij, want bijv. met een anti-tankgranaat kom ik vast wel binnen.

De kans op inbraak wordt door verschillende critera bepaald (waarvan je slechts een deel zelf kunt beïnvloeden - maar daar hangt al snel een prijskaartje aan). Ik ga ze niet allemaal proberen te bedenken en beschrijven, maar de waarde van jouw spullen, de inbraakwerendheid van de gebruikte sloten maar ook de algemene staat van onderhoud van jouw huis (wellicht nog deels enkel glas, houtrot etc.) maar ook ligging + buren die toevallig wel/niet tegelijkertijd op vakantie zijn, spelen een rol, net als de geografische ligging (statistisch komen veel inbrekers uit de buurt). Verdacht gedrag wordt soms opgemerkt, en hoewel de pakkans lager is dan ik (en vermoedelijk alle niet-inbrekende Nederlanders) zouden willen, is die er wel - o.a. doordat zij vaak identificerende sporen achterlaten.

Bij een digitale kluis heb je geen buren die jouw kluisdeur in de gaten houden, je kunt hooguit hopen dat de kluisbeheerder dat doet. Maar die kluisbeheerder weet niet hoe jij eruit ziet, en als een crimineel zich digitaal kan voordoen als jou, ziet de kluisbeheerder het verschil niet. De crimineel kan overal ter wereld vandaan toeslaan, kan zich via een reeks gehackte systemen prima anonymiseren en, in veel landen, is de pakkans nagenoeg nul. Handig voor inbrekers is dat de kluisdeuren uniform zijn, er altijd wel wat van waarde in ligt (waardoor er al winst te pakken valt met ongerichte aanvallen, en -last but not least- de meeste sleutels voor het oprapen liggen op devices met een achterstallige staat van onderhoud die van gebruikers zijn die niet begrijpen wat daar de risico's van zijn, want zij hebben toch niks te verbergen.

Interessant vind ik dat nog niemand heeft aangegeven geen "tante Truus" te kennen.

Door Anoniem: Okee, dan hier even een gediplomeerde- en gecertificeerde security-man mét jarenlange ervaring in het bedrijfsleven :
Doordat je anoniem post zou je een collega van me kunnen zijn of iemand die ik op andere wijze ken, maar dat hoop ik niet.
15-07-2018, 22:38 door Anoniem
Door Bitwiper: Interessant vind ik dat nog niemand heeft aangegeven geen "tante Truus" te kennen.

Ik ken een tante Truus. En een ome Wim, ook met geeltjes onder z'n monitor. Laten we er geen gender issue van maken.
16-07-2018, 12:24 door Anoniem
Door Bitwiper:
Door Anoniem: 100% beveiliging bestaat niet. (punt)
100% privacy bestaat niet. (punt)
Wat een irrelevante bull shit. Als jij op vakantie gaat, neem ik aan dat jij er geen genoegen mee neemt als minder dan 100% van jouw ramen en deuren (in elk geval die waar een mens doorheen kan) redelijk inbraakwerend zijn afgesloten. En nee, redelijk inbraakwerend betekent nooit 100% inbraakvrij, want bijv. met een anti-tankgranaat kom ik vast wel binnen.

De kans op inbraak wordt door verschillende critera bepaald (waarvan je slechts een deel zelf kunt beïnvloeden - maar daar hangt al snel een prijskaartje aan). Ik ga ze niet allemaal proberen te bedenken en beschrijven, maar de waarde van jouw spullen, de inbraakwerendheid van de gebruikte sloten maar ook de algemene staat van onderhoud van jouw huis (wellicht nog deels enkel glas, houtrot etc.) maar ook ligging + buren die toevallig wel/niet tegelijkertijd op vakantie zijn, spelen een rol, net als de geografische ligging (statistisch komen veel inbrekers uit de buurt). Verdacht gedrag wordt soms opgemerkt, en hoewel de pakkans lager is dan ik (en vermoedelijk alle niet-inbrekende Nederlanders) zouden willen, is die er wel - o.a. doordat zij vaak identificerende sporen achterlaten.

Bij een digitale kluis heb je geen buren die jouw kluisdeur in de gaten houden, je kunt hooguit hopen dat de kluisbeheerder dat doet. Maar die kluisbeheerder weet niet hoe jij eruit ziet, en als een crimineel zich digitaal kan voordoen als jou, ziet de kluisbeheerder het verschil niet. De crimineel kan overal ter wereld vandaan toeslaan, kan zich via een reeks gehackte systemen prima anonymiseren en, in veel landen, is de pakkans nagenoeg nul. Handig voor inbrekers is dat de kluisdeuren uniform zijn, er altijd wel wat van waarde in ligt (waardoor er al winst te pakken valt met ongerichte aanvallen, en -last but not least- de meeste sleutels voor het oprapen liggen op devices met een achterstallige staat van onderhoud die van gebruikers zijn die niet begrijpen wat daar de risico's van zijn, want zij hebben toch niks te verbergen.

Interessant vind ik dat nog niemand heeft aangegeven geen "tante Truus" te kennen.

Door Anoniem: Okee, dan hier even een gediplomeerde- en gecertificeerde security-man mét jarenlange ervaring in het bedrijfsleven :
Doordat je anoniem post zou je een collega van me kunnen zijn of iemand die ik op andere wijze ken, maar dat hoop ik niet.

Alles wat digitaal gaat is onnatuurlijk. Zie jij in de natuur digitale techniek terug? NEE. Dus de digitale revolutie dient alleen maar om informatie processen van belanghebbenden exponentieel inzichtelijker te maken. Laat nou de "rover"heid, dit ironisch willen voorstellen. Die elitaire groep uitzuigers is het alleen maar te doen om nog meer informatie te centraliseren en te koppelen. En nu een vraag voor jouw:
Wat is er mooier: Een burger die zichzelf door deze digitale truuks alleen maar zichzelf compromiteert en waar de overheid naar believen dan kan in grasduinen. Of een burger (jij ook) die nog enigszins beschermt wordt door de anologe wanorde die bureaucratie genoemd wordt maar ook zelfbescherming bied.
16-07-2018, 13:28 door Anoniem
Door Anoniem:
Door Anoniem:
Apps en smartphones zijn intrinsiek onveilig. Sms ook overigens, het is alleen iets minder onveilig.

Beveiligingshobbyisten zijn intrinsiek leuteraars. Professionals ook overigens, alleen soms wat minder dom.
Iedere beveiliging heeft grenzen en alles wat niet 100.0000% veilig is "onveilig" noemen is DOM, heel DOM.

beste reactie op het artikel..

Eminus
16-07-2018, 13:35 door hanspaint
Door Anoniem: Digid is totaal niet veilig, als ik de sms twee factor authenticatie aanzet werkt dit totaal niet. Krijg die sms niet, kan inloggen met alleen wachtwoord. Frustrerend, is al jaren zo, wordt niks aan gedaan. Als ze iets veiligers hebben gemaakt (kost de overheid kennende een paar miljard) dan mogen ze de post van mij WEL afschaffen (om te besparen:)
Dit is onzin. Digid moet veiliger maar het is flauwekul om te beweren dat het totaal onveilig is. Twee factor authenticatie werkt wel als je de sms niet ontvangt moet je de fout eerst bij jezelf zoeken.
16-07-2018, 13:38 door hanspaint
Door Anoniem: Er is maar een ding in het leven dat 100? zeker is en dat is dat vroeg of laat het zal eindigen.
En dat je belasting betaald
16-07-2018, 16:38 door Anoniem
Door hanspaint:
Door Anoniem: Digid is totaal niet veilig, als ik de sms twee factor authenticatie aanzet werkt dit totaal niet. Krijg die sms niet, kan inloggen met alleen wachtwoord. Frustrerend, is al jaren zo, wordt niks aan gedaan. Als ze iets veiligers hebben gemaakt (kost de overheid kennende een paar miljard) dan mogen ze de post van mij WEL afschaffen (om te besparen:)
Dit is onzin. Digid moet veiliger maar het is flauwekul om te beweren dat het totaal onveilig is. Twee factor authenticatie werkt wel als je de sms niet ontvangt moet je de fout eerst bij jezelf zoeken.
Niet iedereen kan sms ontvangen, dus voor die twee factor authenticatie moeten ze iets beters verzinnen.
16-07-2018, 23:00 door Bitwiper
Door Anoniem: Alles wat digitaal gaat is onnatuurlijk. Zie jij in de natuur digitale techniek terug? NEE.
DNA komt volgens mij aardig in de buurt. En, naast "Mandelbrot varens" kom je heel veel Fibonacci getallen tegen (klavertje-4 en ananassen met niet 13 en 21 ellipsen zijn "productiefoutjes").

Door Anoniem: Dus de digitale revolutie dient alleen maar om informatie processen van belanghebbenden exponentieel inzichtelijker te maken. Laat nou de "rover"heid, dit ironisch willen voorstellen. Die elitaire groep uitzuigers is het alleen maar te doen om nog meer informatie te centraliseren en te koppelen.
Welnee. Het zijn naïevelingen die het beste met ons voor hebben en niet (willen) snappen waarom bijv. stemmachines een slecht idee zijn. Ze willen boeven vangen en besparen op overheidsuitgaven en geloven marketingpraat over onderwerpen (zoals biometrie idealiseren voor authenticatie) waar ze de ballen verstand van hebben.

Door Anoniem: En nu een vraag voor jouw:
Wat is er mooier: Een burger die zichzelf door deze digitale truuks alleen maar zichzelf compromiteert en waar de overheid naar believen dan kan in grasduinen. Of een burger (jij ook) die nog enigszins beschermt wordt door de anologe wanorde die bureaucratie genoemd wordt maar ook zelfbescherming bied.
Ik geloof niet in kwade opzet. Ik snap heel goed dat het niet lekker schaalt als elk gemeentehuis, uitkeringsinstanties, de belastingdienst etc. eigen archiefkasten heeft met dossiers van burgers. Maar een archiefkast stelen (of alle dossiers erin kopiëren) is in de praktijk een stuk lastiger dan een database hacken en deze met Mbps naar de andere kant van de wereld zenden. Het is een afweging die niet wordt gemaakt, terwijl je elke dag op security.nl kunt lezen dat er weer gegevens van miljoenen mensen op straat zijn beland. "Onze mensen maken zulke fouten niet" of zo?

Het is ook niet zo dat ik denk dat het 100% veilig moet zijn, maar de kans dat je morgen een verkeersongeluk krijgt is, vermoed ik, een stuk kleiner dan dat jouw identiteit op de een of andere manier gestolen wordt. En zelfs als het een flink stuk veiliger zou zijn, horen er redelijke vangnetten te bestaan (vergelijkbaar met goede ziekenhuizen voor het geval je gewond raakt in het verkeer) - en daar denkt niemand aan ("komt later wel" of "ja maar dan valt de besparing zo tegen, want dan hebben gemeentehuizen nog mensen nodig die paspoorten kunnen checken").

Sowieso bestaan er m.i. (nog) geen digitale authenticatiemiddelen die betrouwbaar genoeg zijn om de beschreven kostbare informatie mee te beschermen, laat staan dat een flinke meerderheid van de Nederlanders daar al over zou beschikken en snapt dat dit nodig is (in hun eigen belang). In elk geval is de huidige generatie smartphones m.i. totaal niet geschikt om te worden gebruikt als digitaal identiteitsbewijs (authenticatiemiddel dus). En het zou mij enorm verbazen als er binnen afzienbare tijd smartphones verschijnen die dat wel zijn.
18-07-2018, 13:15 door Anoniem
Dit is onzin. Digid moet veiliger maar het is flauwekul om te beweren dat het totaal onveilig is. Twee factor authenticatie werkt wel als je de sms niet ontvangt moet je de fout eerst bij jezelf zoeken.

Optionele 2-factor authenticatie is niet veilig. Indien jij inlogt met je DigiD dan heb je SMS niet nodig om te bewijzen dat jij jezelf bent. Indien ik jouw DigiD credentials zou stelen, dan zou ik SMS niet gebruiken, omdat ik niet over jouw telefoon beschik.

Erg veilig is het dus niet. En de fout waarop dit berust, die moet je in de DigiD architectuur zoeken. Optionele 2FA is schijnveiligheid.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.