Wat, log jij niet elke dag in met digid op mijnoverheid om te zien wat voor Belangrijke Berichten je van den Ambtelijke Overheid mag^Wmoet lezen?

Persoonlijk heb ik hier op papier een bevestiging dat elke overheidscommunicatie per papier zal gaan en dus niet per digid. Dat is dan alweer één risico van "oeps niet gezien" minder. Want ja, "mijnoverheid" is dan wel een ander kanaal, maar het is geen extra kanaal. Wat dus het risico van "oeps niet gezien" verhoogt, en niet verlaagt. Tenminste zeker niet vóór de eerste ophoging. Dus ze sturen maar fijn een briefje. Is nog altijd beter voor mijn rechtspositie om niet met digid te rommelen.

En je exacte vraag?

Natuurlijk is het veiliger om vaak je wachtwoord te veranderen. En dan natuurlijk een goed sterk wachtwoord te nemen. Niet iets met volgende nummers.

Maar ik gebruik al jaren geen wachtwoord meer voor DigiD. Ik gebruik de veel gemakkelijkere app.
Alleen als ik deze app moet (her)activeren, heb ik het wachtwoord nodig. Nadeeltje... Ik weet hem dan nooit meer, en moet hem resetten.

De App werkt gewoon super, eenvoudig, subliem en vooral veilig. Het is een echte verbetering tov wachtwoorden of SMS.

Ik krijg dezelfde dag dat er een brief van de belasting in de bus licht een mail dat er een bericht is in mijn berichten box
van de overheid.Ga ik binnen twee weken niet kijken naar dat bericht wat je schriftelijk al hebt ontvangen, dan krijg ik als nog een herinnerings mail voor mijn berichten box.Vraag mij dan ook af wat het nut is van digid wat ook nog fraude gevoelig is.

Bedankt anoniem: 13:40 voor je reclame voor de digid app, ik weet niet hoeveel jaren deze app er is maar dat zullen
er wel veel zijn.Helaas hoeft gemakkelijker niet veiliger te zijn.

Hoezo is vaak je wachtwoord veranderen "natuurlijk" veiliger? Waar beschermt het volgens jou nu precies tegen?

Een van de dingen die het zeker doet is gebruikers irriteren. Het levert ook gedoe op met "wat was mijn wachtwoord ookalweer?!?" en werkt daarmee opeenvolgende nummertjes in de hand.

Da's ook een soort van wachtwoord veranderen, nietwaar?

En dat weet je omdat... de watzalhetzijn 26 miljoen lijnen code[1] in android (en een onbekend maar wellicht vergelijkbaar aantal in iOS) zeker en vast nooit problemen kunnen opleveren want geschreven door google (of apple) en die zijn onfeilbaar? OverheidsICT-"app" code nog niet eens meegeteld.

Schattingen variëren maar een defect per honderd regels code ligt toch wel in de lijn der verwachting. In die zin, en dus ook vanuit veiligheidsoogpunt, is minder code beter.

[1] AOSP java+cpp, zoals hier te zien: https://gist.github.com/chris-piekarski/5686731 Dat is een hele ruwe schatting. En je zou eigenlijk alle commentaren er eerst uit moeten gooien, bijvoorbeeld, maar die xml rommel doet ook wat maar die tel ik dan weer niet als 'code'. Ook al zou het niet de eerste keer zijn dat een stuk defecte xml tot een veiligheidsprobleem leidt. Ook weggelaten is de vendor-specifieke meuk en de baseband processor en alle code die daarop zit; zonder "red/black"-architectuur kun je daarmee ook naarbinnen, en dat spul wordt nog veel minder op veiligheid getest, eigenlijk alleen maar op functie tegenover de torens en daar zijn maar een paar merken van. In die zin zijn smartphones ongeveer net zo lek als SS7. En als het goedkope meuk is uit China met achterdeur reeds door de fabriek is ingebouwd is het evengoed game over. Oftewel, hoe meer lijnen code, hoe meer vreugd.

Van dat krimpen mijn tenen altijd bij elkaar.

Hoe vaak ik hier niet moet lezen dat er weer een hele zooi app's uit deze of gene 'Store' zijn gewipt omdat zij bulken van de ad/malware... och och och...

https://www.security.nl/posting/622787/Malafide+apps+met+438+miljoen+downloads+in+App+Store+ontdekt
https://www.security.nl/posting/622286/Adware-apps+met+280_000+downloads+in+Play+Store+ontdekt
https://www.security.nl/posting/590079/22+malafide+apps+uit+Google+Play+Store+verwijderd
https://www.security.nl/posting/617642/Google+verwijdert+meerdere+spyware-apps+uit+Play+Store
https://www.security.nl/posting/618110/Google+verwijdert+opnieuw+adware-apps+uit+Play+Store

Meer van dit alles?
Dan voorspel ik dit:

Mind my words:
Morgen komt de Security.nl redactie weer met zo'n bericht. Zo niet dan eet ik morgenavond mijn schoenzolen op. ;-)

Bij twijfel gewoon doen wat er staat. En gelet op dat je het hier vraagt....: doe maar gewoon.
Het is geschreven voor het hele Nederlandse volk, en niet speciaal voor security specialisten.
(zoveel mensen, zoveel kennisnivo's)

Er zijn wachtwoordeisen waar elk DigiD-wachtwoord aan moet voldoen.
(ik dacht minstens 8 karakters, waar minimaal 1x een hoofdletter, 1x een kleine letter, 1x een cijfer en 1x een leesteken in voorkomt. (wat zei ik? Ik zei minimaal...)

Nou en ?

De stelling is niet "iedere app is veilig", de stelling is 'gebruik van de officiele DigiD app is veiliger dan met wachtwoord inloggen". Die stelling (van anoniem 13:40) kan heel goed waar zijn.
(ik ken de digid app niet, dus ik heb geen mening over dit specifieke geval. Maar dat een app de mogelijkheid heeft om voor haast iedereen een veel veiliger toegang te leveren dan "password op website" is zeker waar.

Het equivalent van je posting is een lijstje van gelekte website wachtwoorden van "websites ergens".
En het aanbod zolen te eten als dat lijstje niet met regelmaat groter wordt.
Want blijkbaar is jouw mening gewoon "website met password inloggen is altijd veiliger dan een app" - zonder verdere randvoorwaarden .

Dat is helemaal niet "natuurlijk" en het is zelfs niet waar.
Ik weet dat het stond in de vorige druk van het "rode boekje voor veiligheidsnapraters" maar zelfs de deskundigen
zijn er nu achter dat het niet slim is om dit te vragen en/of af te dwingen.

Wanneer je voor DigID een apart, moeilijk wachtwoord gebruikt, dat niet op wachtwoorden lijkt die je elders gebruikt, dan is er naar mijn mening geen enkele reden dat wachtwoord regelmatig te wijzigen.

Zie bijv dit onderwerp op deze site: https://www.security.nl/posting/463989/Professor%3A+regelmatig+wachtwoord+wijzigen+onverstandig

Persoonlijk vind ik het gebruik van SMS wel beduidend veiliger dan alleen DigID met inlognaam en password, vooral indien die SMS gestuurd wordt naar een ander medium dan waarop geinternet wordt. Of de DigID-app veiliger is kan ik niet beoordelen want ik heb geen smartphone.

Totaal niet nodig, hiermee geef je blijk, dat je niets weet over MijnOverheid. Je krijgt altijd een mailtje, waarin staat, dat er een bericht in jouw mailbox staat. Dan is het vroeg genoeg om eens te kijken. Dus jouw reactie is pure FUD!

Dit is echt zoeken naar zaken om over te zeiken. Dat is de verantwoordelijkheid van iemand die een nieuw wachtwoord instelt.

Niet de verantwoordelijkheid van iemand die je adviseert je wachtwoord te wijzigen.

Dat doen ze ook, digitaal.


Sure, zeer goed voor je rechtspositie als je bijvoorbeeld belasting aanslagen mist, en daardoor schulden opbouwt.

Je hebt dus twee berichten door te worstelen, dus is "mijnoverheid" dubbel werk. En dat bericht-van-bericht gaat niet naar je postbus maar naar een emailbox die vervolgens dus niet genoeg vertrouwd wordt om er het werkelijke bericht in te stoppen dus heb je niet alleen je emailclient nodig, maar ook een webbrowser om in te kunnen loggen en dat bericht te bekijken. Een browser die recent bijgewerkt moet zijn en weet ik het wat allemaal nog meer. En dat wil je dan ook nog wel graag van een veilige locatie, want weet jij veel wat er allemaal aan spyware op een publieke terminal te vinden is, en zo voort, en zo verder. Allemaal helemaal digitaal en dus "beter" enzo.

Dat verandert niets aan de stelling dat "mijnoverheid" wel een ander kanaal is, maar geen extra kanaal t.o.v. papier. Waarmee de reactie nou net geen FUD is, maar verslag van koude berekening: Wil ik dit wel? Mijn antwoord op die vraag is een weloverwogen "nee".

Dat jij uit dezelfde berekening een ander antwoord krijgt (iets in de trant van "super, eenvoudig, subliem en vooral veilig") moet je zelf weten, maar ik denk dat je niet zo ijskoud bent als je jezelf denkt.

Klinkklare onzin. Wat wel goed is, is een security control framework. Om bijvoorbeeld het kiezen van sterke wachtwoorden af te dwingen, en meer van dat soort zaken. De stelling dat deskundigen nu adviseren om niet regelmatig je password te wijzigen, die zuig je verder uit je eigen duim.

Ja ik heb daar inderdaad wel eens over gelezen.
Je krijgt dan een mail dat er wat in je berichtenbox staat, dan kijk je in je berichtenbox en daar staat een bericht dat
er een bericht voor je is op de website van je zorgverzekeraar, dan moet je DAAR weer inloggen (weer met DigiD) en
dan lees je dat ze voornemens zijn om je maandelijkse premie te incasseren op de 1e van de komende maand. Of zo.

Dat is toch niet echt een handige manier van communiceren vind ik.

Vrend, dat jij jouw browser wel vertrouwd om hier te reageren, beetje dubbel nietwaar?

Dat is dus de grap: Dat doen ze niet.

Ze sturen je een email dat je ergens moet inloggen zodat je een bericht op hun servers mag inzien.

Dat is echt iets anders dan mij een briefje in m'n handen te lezen geven. Mischien is dat voor de "digital natives" wat lastig te begrijpen, maar er is een verschil tussen een kopietje mee mogen nemen en hetzelde verhaal alleen maar "in mogen zien" op het gemeentehuis. Het eerste is wat ik eis. Het tweede is wat de overheid je wil doen geloven is ook wel goed genoeg. Niet dus.

Als die "digitaal" opgestald zijn in een server waarvan ik niet wist dat ik er in moest loggen omdat ik het "log in en lees het bericht"-emailtje gemist heb, is dat meer mijn schuld dan als ik het briefje niet ontvangen heb omdat ze het niet verstuurd hebben of omdat een lul van sandd al wekenlang de briefjes in een kuil in het bos gestort heeft. "Rechtspositie" is ook "wat kan ik voor de rechter aannemelijk maken" en "papieren brief niet gekregen" is een duidelijk puntje "kun je niets aan doen". "Digitaal" kan ik nog de tegenwerping krijgen "had je maar speculatief moeten inloggen!" en dat argument wil ik ze al niet eens geven. En "belastingaanslagen" schrijf je in het Nederlands aanelkaar, niet af zon der lijk.

Nog nooit meegemaakt, dat het bericht in MijnOverheid verwijst naar een andere locatie om iets te lezen.

Het mag niet, maar ik schrijf ook nog mijn DigiD wachtwoord op. Die kan ik niet een jaar lang onthouden met de extra complexiteit die ik gebruik. Als ik mijn wachtwoord twee keer per jaar ga wijzigen, is het helemaal uitgesloten dat ik deze ga onthouden.

Intikken is wel een uitdaging. Vooral na het net aanmaken van een nieuw wachtwoord en deze bevestigen. Volgens mij laat de website niet je wachtwoord zien tijdens het intypen. Op een tablet moet het helemaal een ramp zijn om het wachtwoord in te voeren.

TS

Gewoon een tool als keepass(x/xc) gebruiken om je wachtwoorden in op te slaan, dan kun je je digid ww zo vaak wijzigen als je wil. Zolang je het maar opslaat in je wachtwoord manager.

Dan kun je heel makkelijk een 32 characters lang wachtwoord gebruiken voor bv DigiD of welke website dan ook en voor elke een ander natuurlijk.

Hoef je ze ook niet op te schrijven ;-)

Het is niet relevant hoe vaak jij inlogt. Het gaat erom hoe lang iemand anders toegang tot jouw account kan hebben. Als je wachtwoord gestolen is, dan heeft de wachtwoorddief toegang tot jouw account totdat jij je wachtwoord verandert.

Maar als de dief toegang heeft tot jouw toetsaanslagen via een keylogger, dan helpt het wel om minder vaak in te loggen.

Ik ben het er mee eens dat na een incident alle wachtwoorden moeten worden gereset. Bij een wachtwoord manager (Anoniem 12:56) kan dat een hoop werk zijn. Eigenlijk ben je dan met ieder gebruik op al je accounts tegelijk ingelogd.

Als de computer volledig is besmet: Format en een backup terug zetten! Dit heb ik gelukkig nog nooit hoeven doen.

TS