De 13,7 miljoen accounts zijn logisch.
Bijna iedereen die bv belasting moet betalen heeft een digid-account nodig.

Wat interessanter is:
Van hoeveel van die accounts worden 1 x per jaar of vaker het wachtwoord vergeten?



De overheid/Logius puscht bewust mensen naar een onveilig platform. Veel apparaten in het Android ecosysteem lopen achter met hun beveiligingsupdates en OS-updates omdat fabrikanten te lui zijn (er geen winst mee maken) en Google er geen controle over krijgt.

Of gaat de overheid apparaten met up-to-date software faciliteren aan de burgers als die van de DigiD-app gebruik moeten gaan maken, dan wel fabrikanten dwingen op hun Android toestellen langer van updates te voorzien. Bv gedurende de levensduur van het apparaat.

Wat snappen die lui niet dat hun app mogelijk wel veilig is maar het onderliggende platform zo lek als een mandje is. Een kluis neerzetten op drijfzand is ook geen goed idee dus waarom denken banken en logius dat hun apps veiliger zouden zijn dan de mobiele telefoon waar deze apps op komen te staan.

Als nou iets lekker vertrouwen wekt, dan is het vandaag de dag nog met een app aan komen zetten.

Er zijn gewoon nog mensen die *geen* smartphone hebben, het niet snappen, of het gewoon niet willen. En dat zijn niet alleen de ouderen.

De overheid is er voor álle burgers, niet alleen de mensen die geld (over) hebben voor een smartphone en een data abonnement. Ik vind het heel bijzonder dat een overheidsinstantie zelfs maar de intentie heeft om in de toekomst te willen afdwingen dat een burger een smartphone heeft.

Op de mac in darkmode is via safari niet in te loggen met de QR code, gezien de achtergrond het scannen onmogelijk maakt.

Kleine verandering van hoe het eruitziet vinden ze bij logius genoeg reden voor PERSBERICHT! LANDELIJKE CAMPAGNE!

Nou, daar heeft ook weer iemand een scheet gelaten, hoor. Maar werkelijke verbetering in het ontwerp? Nah.

Ik hebt geen smartphone, veel te duur, en hebt dus niks aan die app.

Veel hacks in het nieuws? Nee? Dan valt het blijkbaar nogal mee met die kwetbaarheid en is het platform ondanks het niet up to date zijn toch veilig genoeg. De robuuste en redelijk moderne basisarchitectuur van Android en het onderliggende Linux spelen hierin natuurlijk een grote rol.

Ja, leuk...
En wat heb ik daaraan? Een smartfoon is zo 2015...

Ik ben benieuwd of en hoeveel deze nieuwe versie de onvoldoende score van 2,4 (van 5) voor de Android DigiD app gaat verhogen (zie https://play.google.com/store/apps/details?id=nl.rijksoverheid.digid.pub&hl=nl).

Bizar hoeveel mensen problemen hebben met deze app, om nog maar niet te spreken van de (kennelijk deels geautomatiseerde of copy/paste antwoorden (zie https://play.google.com/store/apps/details?id=nl.rijksoverheid.digid.pub&hl=nl&showAllReviews=true).

Als mensen de app niet aan de praat krijgen, ook als ze aangeven dat ze deze app verplicht moeten gebruiken om ergens te kunnen inloggen, luidt het -m.i. bizarre- antwoord vaak:

Ook dit antwoord komt regelmatig terug:
bijvoorbeeld als antwoord op:

Dat wil niet zeggen dat het veilig is en daar gaat het toch wel degelijk om, maar dat interseert hun blijkbaar niets.
En in het kader om iedereen aan de smartphone te krijgen verwondert het mij niets als er veel stil wordt gehouden.

Het ecosysteem Android linux is notoir onveilig.
Je houding dat er weinig naar buiten gebracht wordt is nu net de grote valkuil waarmee het misbruik op een moment faliekant verkeerd uitpakt. Een magneetstrip was ooit ook veilig en als je schade verlegt naar slachtoffers kun je dat lang volhouden. Het mist namelijk security by design.

Het kon niet uitblijven, het L woord is weer gevallen, is er nou geen enkele moderator die deze gasten hun account durft te blokkeren?

Maar ik ben blij met mijn BSD telefoon hoor, de enige veilige telefoon.

Hoezo accounts blokkeren, censuurmiep? Linux is hier on-topic want het gaat hier om (o.a.) een Android app en dat wat in de volksmond Android wordt genoemd bestaat uit een Linux kernel + een Android bovenlaag. (De reactie van karma4 is daarentegen weer off-topic; maar ja, what else is new?). Dat Android een veel modernere softwarearchitectuur heeft dan Windows is algemeen bekend. Dit is op deze site al eerder aan bod gekomen in een topic over wat nu het veiligste apparaat is om te internetbankieren (*).

(*) https://www.security.nl/posting/414845/%22Chromebook+veiligste+apparaat+voor+internetbankieren%22

Wellke BSD telefoon?

Ben serieus benieuwd naar het gebruikersonderzoek dat voor deze uitspraak is uitgevoerd.
Of zou dit gedaan zijn onder de huidige gebruikers?

Aha, dan zijn de verplichte toekomstige gebruikers, dus de huidige niet-gebruikers, dus uit zicht gebleven.
Tja, waarom zouden deze geen app gebruiken. Die vraag wordt dus niet beantwoord.

Jammer.

En komende dinsdag 11 juni vervangt Logius de certificaten.door de lang verwachte PKI Overheid EV certificaten.
Of het gaat werken voor een bepaald device, valt hier te testen:
https://test.g3-ev.pkioverheid.nl/

er is wel een hoop gemiep hier hoor ...

Vooropgesteld; iedereen kan en mag natuurlijk een eigen mening hebben maar kom op en relativeer... NIETS is helemaal veilig, er is altijd wel iemand te vinden die zo slim/creatief/kundig is om - op zijn minst - vraagtekens te kunnen stellen bij de beveiliging (van een object/persoon/software ect.)

Natuurlijk wil Logius de beste van de klas zijn, maar of dat ook zo is zal de tijd in dit geval uitwijzen. Discussies over welk OS wel of niet veilig zijn in dit verhaal zijn kansloos. Want dan ken ik er nog wel een paar die dan niet op een "onveilig" OS gedraaid mogen worden. We gaan dan gewoon terug naar de nokia 6110 ... :-)

Er bestaat IMHO geen 100% veilige omgeving; enkel een omgeving waarbij de risico's zo minimaal mogelijk zijn (en dat hoeft niet alleen d.m.v. technische oplossingen te zijn...)

toch wel jammer dat een bericht als dit lijkt te resulteren in een moddergevecht zonder enige inhoud...

DDK

En dan dit nieuwtje, vers van de pers:

https://www.security.nl/posting/611925/Duitsland+waarschuwt+weer+voor+Androidtelefoons+met+malware

Denk je dat er dan nog steeds geen risico's zijn?

wil je inlogen na lange tijd,kud, phishingsite !

Eerlijkheidshalve ben ik de eerste twee jaar dat ik digid gebruik mijn wachtwoord vergeten. tegenwoordig niet meer

Ik vind het wel een hele verbetering. Ik vergat namelijk ook altijd mijn inloggegevens van digiD.

Jammer dat er geen inlogmogelijkheid is met de vingerprintscanner. Dat zou een hele verbetering zijn en volgens mij ook ivm de veiligheid

Alles goed en wel, en het gaat op zich ook wel de goede kant op. Maar intussen heeft DigID nog steeds geen optionele inlogmogelijkheid die qua sterkte te vergelijken is met bijvoorbeeld de Google Titan Security Key (zie o.a. https://techcrunch.com/2018/08/30/this-is-googles-titan-security-key/ voor een review). Gechargeerd gezegd is het nu mogelijk om betrouwbaarder je tante te laten weten dat de laatste roddels toch echt van jou afkomstig zijn (als je dat wil), dan om de overheid te laten weten dat je belastingaangifte en aanvraag voor €tig duizend aan toeslagen toch echt van jou afkomstig zijn...

Lees dat artikel dan ook even. Dan zul je zien dat de leverancier heeft zitten blunderen. Daar kan Android of Google niets aan doen. Een PC leverancier kan ook software installeren. Hee, volgens mij doen ze dat al. Dat noemen we dan geen malware, maar blaatware. Maar ook daar kom je blaatware tegen die URL's aanpast en eigen advertenties toont.

Dan is https://www.security.nl/posting/612023/Google+vindt+vooraf+ge%C3%AFnstalleerde+malware+op+Androidtelefoons ook interessant en dan vooral het volgende:


En om Apple niet te vergeten: https://threatpost.com/macos-zero-day-malicious-code/145259/

Apple vertrouwt blindelings bepaalde leveranciers/software. Wat er ook onderweg aan die software wordt toegevoegd, Apple zal die software zonder vragen installeren.

Peter

Gemiddeld heeft software 15-50 fouten per 1000 regels code, dus alles heeft fouten en kwetsbaarheden. Wat is dan het veiligste middel? Daar zijn methoden voor om er achter te komen:

- Eenvoudig een afvalrace. Wat uiteindelijk het minste aantal kwetsbaarheden vertoont krijgt een punt.
- In hoeverre is het product robuust tegenover kwetsbaarheden. Vangt het de klap op of spat de hele beveiliging in scherven uit elkaar?
- In online zaken heel belangrijk, hoe gemakkelijk kan een aanval opgeschaald worden? Een aanval waarvoor je fysiek aanwezig moet zijn is heel wat minder erg dan een waarmee je heel Nederland vanuit een grot in Verweggistan kan leegtrekken.
- Als het om kritische zaken (groot risico voor reputatieschade, uitsluiting, ...) voor mensen gaat, is bovendien failsafe een Must Have. Ik mag de test graag met Sgt. Oddball vergelijken: Kan je sneller uit de problemen komen dan je er in terecht kwam (https://www.youtube.com/watch?v=dFGFCt-oHC0, eerste 11 seconden).

Dan heb je niet opgelet.

Hiermee geef je zelf aan, dat je iets geks deed, anders kom je niet op een phishing site.

Dat hoeft helemaal niet. Een linkje uit je adresbar kopiëren of een bookmark zetten en pas na een flinke tijd terugkomen is helemaal niet raar. En dat kan toch voldoende zijn om op een phishingsite terecht te komen, om wat er aan het origineel veranderd is in de tussentijd. Of dat nu bedoeld of onbedoeld is, het effect kan er zo maar insluipen.

Wanneer wordt de DigiD app of SMS verplicht voor de Belastingdienst? Het lijkt me niet zo veilig.
Ik zou zeggen gewoon verplicht stellen die Belastingdienst. Bij de Politie is het verplicht vanwege onze veigigheid en de Belastingdinest niet? Dit is op z'n minst vreemd.

Ze drukken mensen bewust een verdom hoekje in, veel mensen hebben het geld niet voor eennieuwe telefoon, en leverd voor hen alleen maar meer problemen op waar ze niet om hebben gevraagd.
Tevens digid met sms, denk je dat sms gratis is op een prepaid telefoon, niet dus.
En richting DIGID medewerkers cq programmeurs, jullie zijn hierbij niet geschikt bevonden, ga elders werk zoeken, jullie hebben niet opgelet in school, had je dat wel gedaan dan had je rekenschap gehouden met oudere versies van android os, en/of mac os, de ergonomie is negatief gesteld bij jullie digid medewerkers, en ztten letterlijk veel mensen met de kloten voor het blok.
Digditliseren is prima, maar zorg er dan ook voor dat men digitaal iets kan aan leveren en niet moet uitprinten, en anoloog per post moet opsturen, veel mensen hebben geen printer, en al helemal niet om 1 keer per jaar inkt te halen voor een paar a4 tjs.
helaas gaan we steeds verder in digitiseren dat onomkombaar maar zorg er dan ook voor dat het geen een richting verkeer is, en hou rekenschap met mensen die geen geld hebben voor de ieuwste telefoon of printer en 1 keer per jaar voor rond 40 euro aan inkt te halen.

Denk eens na voor je iets implementeerd.
Dan zeggen ze ook nog dat ze het zo veilig mogelijk willen maken, terwijl een telefoon niet veilig is, wat dacht je als bepaade apps op je pc toegang had tot je gerbruik gegevens, of email, toestenbord aanslagen registreerd, toegang tot je overige apps, dan hadden jullie de stekker er uit getrokken, maar op een of andere manier wordt het wel togestaan op een mobile telefoon.
Met de denk wijze bij digid komen we allemaal vandaag of morgen zwaar in de problemen, je kan ook te ver doorslaan in digitalisering, zie pkn storing van vorige maand, we zullen vaker dit soort storingen tegen komen, omdat ook daar niet meer wordt nagedacht en alles still zwijgend wordt geimplementeerd met alle gevolgen van dien.
Let maar op de onkunde is groot deze dagen en de ellene gaat er aan komen, maak je borst maar nat, we gaan het allemaal voelen, tot aan je stroom (digitale meters) aan toe.

Ik kon en kan die hele Digid App niet , maar omdat ik bij mijn zorgverzekeraar online moest inloggen met de Digid App stond er en het schijnt weer nieuw te zijn op mijn Windows 10 laptop liep ik tegen een enorm probleem aan achteraf had ik gelijk het
bijltje erbij neer moeten gooien want dit heeft me zee"en van tijd gekost en ben nog steeds geen stap verder . Google Play en Appe'ls Store weigeren om die App te downloaden want dan zegt het programma niet geschikt voor uw apparaat .
Windows helpdesk gebeld en krijg te horen het is geen aplicatie van ons en voor de rest weten ze het ook niet .
Toen Digid helpdesk gebeld en als antwoord , het is voor IOS en Android maar Windows uhhh uhhh nee geloof ik niet .

Ben dus geen stap verder gekomen en nog steeds niet wel een doos aspirine verder .
Tonge jonge de overheid lanceert een App waarbij de Windows gebruikers compleet buiten spel worden gezet ,
ze hebben waarschijnlijk nog nooit van het woord Compatibel gehoord daar .

Dit hele gedoe heeft niets te maken met het willen stimuleren van het gebruik m.b.t. het gemak voor de toekomst, neen, het heeft te maken met controle uitoefenen op de burgers d.m.v. van tracing bugs die via de app worden geïnstalleerd op de smart-phone. Een tracing bug koppelt zich aan het Imei-nummer dat elke telefoon heeft, in dit geval de smart-phone waarop de app is geïnstalleerd.
Wil je de app op een note-book installeren, dan geeft die aan dat het device niet compatible is ermee. Via een Windows 10 gestuurde computer wordt je geleidt naar je smart-phone. Ra ra, waarom is dat?
Om de traceermogelijkheid te genereren, natuurlijk!
In het kader van terrorismebestrijding, fraude tracering en andere veiligheid-issues wil een overheid zoveel mogelijk controle uitoefenen over burgers en vooral over de niet forensische verplaatsingen van die burgers. Dat zijn afwijkende verplaatsingen buiten het woon-werkgebied.
Zo weet de overheid haarfijn of iemand, bijvoorbeeld, niet op de plaats woont waar die staat ingeschreven. Voor diensten als het UWV en andere uitkering-gerelateerde instanties erg belangrijke informatie.
Dat deze controle noodzakelijk is voor de overheid en dat men het uitvoert, hoeft geen vuiltje aan de lucht te zijn, maar dat men de bedoeling ervan niet openbaar maakt, is achterbaks.