Dank voor alle reacties, die ik niet allemaal individueel kan beantwoorden - ik ga in op enkele. En mijn excuses voor de late reactie, er kwam vanalles tussendoor dat ik niet had voorzien!
Door Anoniem 11-12-2018, 09:01: Het staat je volledig vrij om de Digid App te gebruiken. Probleem opgelost. Het probleem was al opgelost want de App is al een tijdje beschikbaar.
Los van de betrouwbaarheid van de app (ander onderwerp): zolang SMS-verificatie door afnemende partijen als een betrouwbaar identiteitsbewijs wordt beschouwd, is het probleem
niet opgelost.
Door Anoniem, 11-12-2018, 10:26: Wat moet jij een moeilijk leven hebben zeg!
Mijn leven is prima! Alleen is het mijn vak om bedreigingen en risico's serieus te nemen - ook die waar ik persoonlijk geen problemen mee verwacht te krijgen. Om ervan te leren denk ik na over risico's die misschien niet meteen mijn collega's en/of klanten, maar wel familie en/of derden zouden kunnen treffen. Ik zie het als mijn bijdrage aan de maatschappij om te waarschuwen voor bedreigingen die een, m.i., te groot risico (beginnen te) vormen.
Door User2048 11-12-2018, 11:51: Even hardop denken: Een aanvaller zet een server op met een kopie van de inlogpagina van de bank. Hij stuurt het slachtoffer een phishing mail. Het slachtoffer klikt op de link, komt op de inlogpagina van de aanvaller terecht en vult zijn gebruikersnaam, wachtwoord en one-time-passcode van Authenticator in. De server van de aanvaller stuurt deze gegevens door naar de echte inlogpagina van de bank en de aanvaller is "binnen". Zou dit scenario werken?
Jazeker. Immers je kunt gewoon CloudFlare voor jouw site zetten (zodat deze als MITM tussen jouw site en de klant zit): dat werkt gewoon. Dus kan een kwaadwillende dat ook. Zonder een schuldige te willen aanwijzen, zie ik o.a. de volgende oorzaken:
1) De meeste mensen hebben er geen flauw benul van hoe simpel het is om de afzender van een e-mail te vervalsen, noch weten ze welke afzenderdomeinen organisaties allemaal zouden kunnen gebruiken. Daardoor zijn ze eenvoudig op het verkeerde been te zetten met een valse e-mail;
2) E-mail programma's laten geheel geen indicatie zien van het waarschijnlijkheidsniveau dat een e-mail
authentiek is (d.w.z. verzonden is door een geautoriseerd persoon van de organisatie waar de ontvanger van denkt dat het om gaat). Bovendien wordt de techniek om zoeits mogelijk te maken (digitale handtekeningen) nauwelijks gebruikt in e-mails;
3) Er zijn nog veel te veel organisaties die clickable links in e-mails opnemen, waardoor het gewone mensen totaal niet opvalt als in een e-mail, schijnbaar afkomstig van een organisatie die
zegt dat ze nooit links in e-mails opnemen (waar soms tegen gezondigd wordt), ineens wel een clickable link staat;
4) Mensen kijken niet (goed) naar de domeinnaam in de URL-balk van hun web browser;
5) Mensen weten niet dat de getoonde domeinnaam niet van de bedoelde organisatie is. Bij veel sites is het gebruikelijk dat de browser geredirect wordt, dus zegt zo'n domeinnaam niet altijd zoveel. Bovendien gebruiken veel organisaties allerlei verschillende hoofddomeinnamen waardoor mensen al snel de kluts kwijtraken;
6) Mensen vertrouwen op een geldig certificaat (slotje wordt getoond en er is geen certificaatwaarschuwing), veel te vaak stellen websites zelf en de media dat zo'n slotje staat voor "een veilige website", en mensen denken nu dat dit zo is;
7) Mensen vertrouwen erop dat de site authentiek is als deze voldoende lijkt op de echte (voor zover ze dat weten, en bovendien wijzigen veel echte websites zelf regelmatig);
8) Het is veel te eenvoudig om een lijkt-op domeinnaam te verkrijgen;
9) Soms lukt het zelfs om een domeinnaam te kapen (bijv.
https://www.security.nl/posting/590262/Domein+linux_org+tijdelijk+gekaapt);
10) Het is veel te eenvoudig om een geldig certificaat voor een website te verkrijgen;
11) Webbrowsers laten niet of nauwelijks een indicatie van het waarschijnlijkheidsniveau zien dat een website
authentiek is (d.w.z. toebehoort aan de organisatie waar de bezoeker vanuit gaat).
Door Anoniem 11-12-2018, 21:59: Ik heb een GSM, geen smartphone. Deze leen ik niet uit, ook geef ik mijn login plus wachtwoord niet weg.
Dus dat hele verhaal slaat niet op mij, is het is voor mij wel veilig ?
Helaas slaat het hele verhaal wel op jou. Een crimineel, die jouw telefoonnnummer, telefoonmaatschappij en naam kent, belt met jouw telefoonmaatschappij, zegt dat hij jij is, zegt dat "zijn" telefoon kwijt is maar dat hij een nieuwe heeft met een nieuwe SIM, en vraagt om
jouw telefoonnummer aan die nieuwe SIM en telefoon te koppelen. Vervolgens komen SMS-jes, gestuurd naar
jouw telefoonnummer, binnen op de telefoon van de crimineel. Om op jouw DigiD account te kunnen inloggen, heeft de crimineel
ook jouw gebruikersnaam en wachtwoord nodig; er lijkt dus geen vuiltje aan de lucht.
Maarrrr... de reden voor de overheid om DigiD met SMS als extra veilig te beschouwen, is juist dat
alleen een gebruikersnaam en wachtwoord als onvoldoende veilig worden beschouwd. Echter als SMS-verificatie, o.a. door deze kwetsbaarheid (en dat is niet de enige), eenvoudig te omzeilen blijkt, hou je slechts
gebruikersnaam en wachtwoord over - en daarvan was nou net vastgesteld dat die combinatie onvoldoende is voor bijv. toegang tot medische gegevens.
Als 2FA vereist is, is het m.i. naïef om je schouders op te halen zodra één van die factoren niet (meer) de verwachte en/of vereiste bescherming biedt.