image

Security.NL spreekt met Logius over beveiligingskeuzes voor DigiD-app

zondag 2 mei 2021, 18:08 door Redactie, 30 reacties
Laatst bijgewerkt: 04-05-2021, 11:06

Nederlanders logden vorig jaar, mede vanwege de coronapandemie, een recordaantal keer bij de overheid in via DigiD. De DigiD-app speelt hierbij een steeds belangrijkere rol. Security.NL sprak met DigiD-aanbieder Logius over de beveiligingskeuzes die voor de app zijn gemaakt, zoals een vijfcijferige pincode, het gebruik van de appstores van Apple en Google en hoe er rekening met gecompromitteerde toestellen wordt gehouden.

Het in 2003 gelanceerde DigiD, dat destijds nog als Nieuwe Authenticatie Voorziening door het leven ging, laat burgers bij de overheid inloggen. DigiD kent verschillende betrouwbaarheidsniveaus. Hoe hoger het niveau, hoe gevoeliger de gegevens die de burger kan benaderen en des te beter de aanbiedende dienst weet wie er inlogt.

Het basisniveau bestaat uit een gebruikersnaam met wachtwoord. Dan is er het middenniveau waarbij de gebruiker kiest voor inloggen met de DigiD-app of voor gebruikersnaam, wachtwoord en sms-controle. Als derde is er het substantiële niveau. Dit is bijvoorbeeld vereist wanneer er met extra privacygevoelige gegevens wordt gewerkt. Het kan dan bijvoorbeeld gaan om gegevens over de gezondheid. Dan is er ook het niveau DigiD Hoog.

DigiD Substantieel en DigiD Hoog vereisen het eenmalig respectievelijk telkens uitlezen van de chip van het rijbewijs en identiteitskaart. Dit kan met de NFC-functie in tablets en smartphones of NFC-lezers verbonden aan computers.

Recordaantal keer ingelogd via DigiD

Vorig jaar werd er meer dan 402 miljoen keer via DigiD ingelogd, een recordaantal. Het gaat om een toename van 18 procent ten opzichte van 2019, wat mede komt doordat mensen vorig jaar meer zaken digitaal met de overheid regelden. Het aantal geregistreerde DigiD-accounts steeg vorig jaar naar 18,3 miljoen, een toename van 22 procent ten opzichte van 2019.

De groei wordt mede verklaard door ouders die vanwege een coronatest een DigiD-account voor hun kinderen aanvroegen, grenswerkers en heraanvragen. Onder de 18,3 miljoen DigiD-accounts bevinden zich ook accounts van mensen die de afgelopen drie jaar zijn overleden. De DigiD-app telt inmiddels 8,8 miljoen installaties/accounts. Met de app werd vorig jaar in totaal ruim 141 miljoen keer ingelogd bij de overheid.

In de eerste drie maanden van dit jaar is er in totaal al 144,4 miljoen keer via DigiD ingelogd, waarvan 65,3 miljoen keer via de DigiD-app. 46,3 miljoen keer werd er gebruik gemaakt van gebruikersnaam en wachtwoord en bijna 33 miljoen DigiD-authenticaties vonden plaats via gebruikersnaam, wachtwoord en sms-controle.

Overheid zet in op DigiD-app

Vorig jaar maakte staatssecretaris Knops van Binnenlandse Zaken bekend dat de overheid het inloggen via DigiD met sms-code wil terugdringen ten gunste van de DigiD-app. In maart van dit jaar werd duidelijk dat de overheid inloggen via DigiD met sms-controle op termijn gaat uitfaseren. Het is dan ook duidelijk dat de overheid meer gaat inzetten op het gebruik van de DigiD-app, zodat de stap om vervolgens de app op te waarderen naar een hoger betrouwbaarheidsniveau kleiner wordt. Security.NL sprak met Logius over de beveiligingskeuzes die voor de DigiD-app zijn gemaakt.

Waarom ondersteunt DigiD geen generieke OTP (one-time password)-generator / authenticator zoals veel andere websites/diensten doen?

Logius: Een generieke OTP generator voegt een tweede factor toe. DigiD gebruikt hiervoor momenteel SMS-controle en de DigiD app. Sommige OTP-oplossingen maken gebruik van een speciale app. In Nederland bewegen we de komende jaren steeds meer richting het eIDAS betrouwbaarheidsniveau substantieel bij het inloggen. TOTP kan dit niveau niet bieden. Als we TOTP zouden gebruiken zou dit betekenen dat mensen, om in te kunnen loggen op meerdere betrouwbaarheidsniveau‘s zowel een OTP-app als de DigiD app nodig hebben.

We hebben de verschillende betrouwbaarheidsniveau’s voor de gebruiker gecombineerd in de DigiD app. Zo ervaart de gebruiker zoveel mogelijk dezelfde klantreis, ongeacht het bij inloggen vereiste betrouwbaarheidsniveau. Daarom zijn we vooralsnog niet voornemens TOTP aan te bieden als tweede factor.

De DigiD-app maakt gebruik van een pincode van vijf cijfers die niet kan worden gewijzigd in bijvoorbeeld een passphrase. Waarom is hiervoor gekozen?

Logius: In onze ogen is de invoer van een passphrase in een mobiele app niet prettig qua gebruikerservaring. Daarnaast is het qua beveiligingsniveau niet nodig om een sterkere kennisfactor dan een 5-cijferige pincode te hebben, omdat de bezitsfactor van (de private sleutel in) de app voldoende betrouwbaar is.

De pincode wordt "gemaskeerd" in de DigiD-backend opgeslagen. Wat wordt precies met gemaskeerd bedoeld? Waarom is het nodig de pincode in de backend op te slaan en kan de app niet volledig vanaf de smartphone worden gebruikt (zoals bij een authenticator)?

Logius: De pincode wordt door middel van een "one-time pad" gemaskeerd naar de backend verstuurd en daar opgeslagen. De pincode is de kennisfactor bij de bezitsfactor die wordt gevormd door de (private sleutel in de) app. De app kan niet offline gebruikt worden voor authenticatie, dus opslag in het device is niet nodig en dat zou bovendien bepaalde aanvallen op de pincode mogelijk maken.

De DigiD-apps zijn alleen in de appstores van Apple, Google en Microsoft beschikbaar. Gebruikers moeten hiervoor een account bij deze partijen hebben. Is er een reden waarom ervoor dit model is gekozen en waarom biedt Logius de apps niet zelf aan?

Logius: DigiD, maar ook de rest van de Rijksoverheid biedt apps vanwege beveiligingsredenen alleen aan via de app stores van Google en Apple. Dit om te voorkomen dat er valse apps via internet worden aangeboden. Wij kunnen dit alleen goed controleren als er gebruik wordt gemaakt van deze kanalen. Daarnaast worden alle apps gecontroleerd voordat ze worden opgenomen in Google Play Store of bij de Apple Store. Dit is in het belang van de veiligheid van de gebruiker.

Alternatieve stores bieden op dit moment onvoldoende zekerheid. Het gevolg van deze keuze is dat er inderdaad een account bij Apple of Google aangemaakt moet worden om hiervan gebruik te maken.

Vorig jaar werd bekend dat de overheid inloggen via DigiD met sms-code wil terugdringen ten gunste van de DigiD-app. Wat zijn de opties voor mensen zonder smartphone of mensen die de app niet kunnen/willen installeren?

Logius: Wij zien het aantal app-gebruikers jaar op jaar stijgen. Er is nu nog een groep mensen die geen smartphone heeft en geen gebruik kan maken van de app (in 2018 gebruikte 87% van de Nederlandse bevolking tussen de 16-75 jaar een smartphone, zie onder andere CBS en Eurostat). We kunnen en mogen deze mensen niet uitsluiten. Voor een deel betreft dit mensen die niet kunnen meekomen. Deze groep is veelal geholpen met een goede en veilige machtigingsvoorziening. Daarom is deze voorziening een belangrijk onderdeel van het werk aan de digitale overheid, en randvoorwaardelijk voor verdere stappen in het uitfaseren van lagere niveaus.

Er zijn ook mensen die niet willen meegaan in de digitalisering. Ook voor deze groep moet bijvoorbeeld de analoge wijze van dienstverlening beschikbaar blijven. Het ministerie brengt deze verschillende groepen in kaart, om te bezien hoe we hiervoor oplossingen kunnen inzetten. En wellicht bieden straks private inlogmiddelen uitkomst; maar daarvoor moet eerst de Wet Digitale Overheid van kracht worden.

Veel Androidtoestellen worden niet meer met beveiligingsupdates ondersteund. Hoe houdt Logius hier rekening mee?

Logius: DigiD past geregeld de eisen voor besturingssystemen aan. Vrij recent is de ondersteuning voor de DigiD app van alle Android versies lager dan 7 gestopt.

In hoeverre is er in het dreigingsmodel rekening gehouden met een gecompromitteerd systeem van de gebruiker?

Logius: In de risicobeoordeling van het gebruik van DigiD wordt, ongeacht het platform (dus qua gebruik zowel vanuit een browser als met de app), rekening gehouden met minder veilig ingerichte besturingssystemen en devices. We kunnen echter niet alle compromitterende factoren van een gebruiker systeem vaststellen en het is (deels) ook de verantwoordelijkheid van de gebruiker.

Welke verbeteringen/aanpassingen kunnen we dit jaar voor DigiD verwachten?

  • In de mei update van de app zal het mogelijk zijn om een DigiD account aan te vragen via de app.
  • Verder wordt het eind 2021 mogelijk om met je DigiD in te loggen bij een andere organisatie in Europa. Zoals je ook met een erkend Europees middel kunt inloggen in Nederland.
  • We starten daarnaast voor de zomer met een kleine proef samen met loket buitenland van Buitenlandse Zaken om de DigiD activeringscode via een videoverbinding te overhandigen. Dit is bedoeld voor mensen die in het buitenland wonen en nu voor een code naar een van de balies moeten reizen. Door corona en de reisbeperkingen is het nog urgenter geworden om deze vorm van dienstverlening te onderzoeken.
  • We starten daarnaast binnenkort een proef met een aantal gemeenten waarbij burgers aan de gemeentebalie geholpen kunnen worden door daar hun DigiD uit te geven of met het toevoegen van de ID-check aan de DigiD app. Het doel van de proef is o.a. om gemeenten ervaring op te laten doen met het ondersteunen van burgers met hun DigiD. Aan de hand van de resultaten van deze proef wordt bekeken of de uitgifte van DigiD en het uitvoeren van de ID-check aan de gemeentebalie landelijk kan worden ingevoerd.

Reacties (30)
02-05-2021, 21:53 door Anoniem
Goede vragen van Security.nl, begrijpelijke antwoorden van Logius. Complimenten voor het artikel!

Ik mis wel de vraag waarom er geen gebruik wordt gemaakt van een vertrouwd hardware apparaat waarop de pincode kan worden ingevoerd, zoals de Rabo Scanner. Dat maakt misbruik in geval van een gecompromitteerd systeem een stuk lastiger.

Ook het antwoord over de one-time pad begrijp ik niet helemaal. De one-time pad staat bekend als theoretisch niet te kraken maar is in de praktijk lastig in gebruik. Wie of wat genereert die one-time pad en hoe wordt deze gedistribueerd?
02-05-2021, 22:34 door Anoniem
Zoals velen anderen hier wil ik geen app met trackers en al helemaal neit waar ik een google accoumt voor nodig heb. Dus ook geen DigiD, dat zit je dus met een SMS code. DigiD is daarmee z'n beetje het slechtst beveiligde account dat ik heb. Waarom niet support voor U2F toevoegen? Dat lijkt me een stuk veiliger overigens. Als DigiD alleen met een app kan, dan maar geen DigiD hoepel op!
02-05-2021, 22:37 door Anoniem
Wat een onzin. Verificatie via van een app kan prima via de open source app sotre Fdroid maar daar worden ze niet toegelaten omdat de app trackers bevat.
03-05-2021, 10:30 door Anoniem
Door Anoniem: Zoals velen anderen hier wil ik geen app met trackers en al helemaal neit waar ik een google accoumt voor nodig heb. Dus ook geen DigiD, dat zit je dus met een SMS code. DigiD is daarmee z'n beetje het slechtst beveiligde account dat ik heb. Waarom niet support voor U2F toevoegen? Dat lijkt me een stuk veiliger overigens. Als DigiD alleen met een app kan, dan maar geen DigiD hoepel op!
Lijkt? Daar heb je in security niet zoveel aan.
U2F klinkt leuk, maar.... past niet echt in de architectuur van DigiD of zijn opvolgers. Nog afgezien er geen centrale controle is.

Hoepel dus zelf lekker op. Als jij een mindere veiligheid wilt, prima. Of neem een apple telefoon.

Dit noemen we zeurders.


Door Anoniem: Wat een onzin. Verificatie via van een app kan prima via de open source app sotre Fdroid maar daar worden ze niet toegelaten omdat de app trackers bevat.
Dan begrijp je duidelijk niet het probleem.
Is dit iets wat iedereen zomaar kan doen? Zonder enige specifieke technische kennis?

Men heeft nu goede controle over de applicatie

beide posters weten dus eigenlijk niet de architectuur en de requirements van een DigiD.

@security: Mooi en net artikel. Complimenten.
03-05-2021, 11:15 door majortom
Logius: Wij zien het aantal app-gebruikers jaar op jaar stijgen. Er is nu nog een groep mensen die geen smartphone heeft en geen gebruik kan maken van de app
Hebben ze bij Logius wel eens gedacht dat er ook mensen zijn, zoals ik, die dit niet willen via een app? Een digitale oplossing, ok, maar niet via een smartphone.
DigiD Substantieel en DigiD Hoog vereisen het eenmalig respectievelijk telkens uitlezen van de chip van het rijbewijs en identiteitskaart.
Hoe doe je dit dan wanneer je beide niet hebt, maar bijvoorbeeld alleen een paspoort?

En dit is allemaal recentelijk pas beschikbaar (rijbewijs sinds 2018, zie https://www.digitaleoverheid.nl/nieuws/rijbewijs-met-toepassing-inloggen-digd/, de identiteitskaart sinds dit jaar, zie https://www.digid.nl/inlogmethodes/identiteitskaart/), dus duurt het sowieso 8-10 jaar voordat de huidige kaarten vervangen zijn en voorzien van de nieuwe mogelijkheid, waardoor iedereen met 1 van deze kaarten dit kan.
03-05-2021, 11:26 door Anoniem
Door majortom:
Logius: Wij zien het aantal app-gebruikers jaar op jaar stijgen. Er is nu nog een groep mensen die geen smartphone heeft en geen gebruik kan maken van de app
Hebben ze bij Logius wel eens gedacht dat er ook mensen zijn, zoals ik, die dit niet willen via een app? Een digitale oplossing, ok, maar niet via een smartphone.
DigiD Substantieel en DigiD Hoog vereisen het eenmalig respectievelijk telkens uitlezen van de chip van het rijbewijs en identiteitskaart.
Hoe doe je dit dan wanneer je beide niet hebt, maar bijvoorbeeld alleen een paspoort?

En dit is allemaal recentelijk pas beschikbaar (rijbewijs sinds 2018, zie https://www.digitaleoverheid.nl/nieuws/rijbewijs-met-toepassing-inloggen-digd/, de identiteitskaart sinds dit jaar, zie https://www.digid.nl/inlogmethodes/identiteitskaart/), dus duurt het sowieso 8-10 jaar voordat de huidige kaarten vervangen zijn en voorzien van de nieuwe mogelijkheid, waardoor iedereen met 1 van deze kaarten dit kan.
Ze zullen rekening houden met de meerderheid die een App geen probleem vind.

Niet met de zonderling die perse geen smartphone wilt hebben en zelfs dan heb je voorlopig nog de keuze om sms authenticatie te gebruiken.

Ze zullen geen rekening houden met een krimpende minderheid

En dat hoeven ze ook niet te doen
03-05-2021, 13:03 door majortom - Bijgewerkt: 03-05-2021, 13:03
Door Anoniem:
Door majortom:
Logius: Wij zien het aantal app-gebruikers jaar op jaar stijgen. Er is nu nog een groep mensen die geen smartphone heeft en geen gebruik kan maken van de app
Hebben ze bij Logius wel eens gedacht dat er ook mensen zijn, zoals ik, die dit niet willen via een app? Een digitale oplossing, ok, maar niet via een smartphone.
DigiD Substantieel en DigiD Hoog vereisen het eenmalig respectievelijk telkens uitlezen van de chip van het rijbewijs en identiteitskaart.
Hoe doe je dit dan wanneer je beide niet hebt, maar bijvoorbeeld alleen een paspoort?

En dit is allemaal recentelijk pas beschikbaar (rijbewijs sinds 2018, zie https://www.digitaleoverheid.nl/nieuws/rijbewijs-met-toepassing-inloggen-digd/, de identiteitskaart sinds dit jaar, zie https://www.digid.nl/inlogmethodes/identiteitskaart/), dus duurt het sowieso 8-10 jaar voordat de huidige kaarten vervangen zijn en voorzien van de nieuwe mogelijkheid, waardoor iedereen met 1 van deze kaarten dit kan.
Ze zullen rekening houden met de meerderheid die een App geen probleem vind.

Niet met de zonderling die perse geen smartphone wilt hebben en zelfs dan heb je voorlopig nog de keuze om sms authenticatie te gebruiken.
Hoe zonderling als je geen smartphone wil hebben, zeker niet voor doelen waarmee je je hele hebben en houden "toevertrouwd" aan Apple/Google? Die smartphone gebruik ik enkel voor niet essentiele zaken en om te bellen. Ik gebruik geen messaging platforms, geen social media apps, geen bankapps, geen DigiD, etc op dat ding.

En mbt de SMS authenticatie als tweede factor, die wil men er juist uit hebben, dus dat is eindig, zoals je zelf ook al aangeeft.

Ze zullen geen rekening houden met een krimpende minderheid

En dat hoeven ze ook niet te doen
Ik denk dat ze dat wel moeten doen, dat dat zelfs verplicht is (je kunt immers ook nog steeds analoog je belastingaangifte doen?). Een kenmerk van een goede democratie is dat er juist ook met de minderheid rekening wordt gehouden.

Je kunt bijvoorbeeld niet verplichten dat mensen substantieel geld uit moeten geven aan devices die men (vaak terecht) niet wil (of het zich niet kan veroorloven). En substantieel geld te blijven uitgeven, immers zoals in het artikel aangegeven, oudere versies van besturingssystemen worden (overigens terecht) op enig moment niet meer ondersteund.

Ik snap die drang niet om alles via een app te doen. Veiliger wordt het er niet van, en je hangt je volledig op aan 2 Amerikaanse(!) partijen die het qua privacy allemaal niet heel serieus nemen. Biedt in ieder geval alternatieven die je gewoon digitaal via een open source platform kunt doen. De overheid propageert enerzijds dat ze een voorkeur voor open source oplossingen heeft en kiest anderzijds voor een volledige lockin bij deze 2 partijen. Zeer onverstandig.
03-05-2021, 13:06 door Anoniem
Waarom moeilijk doen als het makkelijk kan. Met een Yubikey houdt de gebruiker alles in eigen hand.
Inloggen met een Yubikey en je bent van niemand afhankelijk.
Yubikey zijn in alle soorten en maten verkrijgbaar.
Geschikt voor Windows en Android
Registreer de Yubikey op de site waar je wilt inloggen. Log in met je eigen unieke gebruikers naam en wachtwoord en stop de Yubikey in een USB poort. (dus niet inloggen met dezelfde gebruikersnaam en wachtwoord voor verschillende sites) Doodsimpel.
Nee, de overheid Logius wil kost wat kost de gebruiker een totaal achterhaald, zeer kostbaar systeem door de strot duwen.
03-05-2021, 14:19 door Anoniem

Waarom ondersteunt DigiD geen generieke OTP (one-time password)-generator / authenticator zoals veel andere websites/diensten doen?

Logius: Een generieke OTP generator voegt een tweede factor toe. DigiD gebruikt hiervoor momenteel SMS-controle en de DigiD app. Sommige OTP-oplossingen maken gebruik van een speciale app. In Nederland bewegen we de komende jaren steeds meer richting het eIDAS betrouwbaarheidsniveau substantieel bij het inloggen. TOPT kan dit niveau niet bieden. Als we TOTP zouden gebruiken zou dit betekenen dat mensen, om in te kunnen loggen op meerdere betrouwbaarheidsniveau‘s zowel een OTP-app als de DigiD app nodig hebben.

We hebben de verschillende betrouwbaarheidsniveau’s voor de gebruiker gecombineerd in de DigiD app. Zo ervaart de gebruiker zoveel mogelijk dezelfde klantreis, ongeacht het bij inloggen vereiste betrouwbaarheidsniveau. Daarom zijn we vooralsnog niet voornemens TOTP aan te bieden als tweede factor.

Wat is dit voor gedachteloze (non)motivatie?

Verschillende betrouwbaarheidsnivau's zijn juist goed; als je enkel een lager niveau nodig hebt kan met jouw account ook geen gevoelige informatie buitgemaakt worden. Maar van deze extra security willen ze dus blijkbaar af en iedereen standaard op het hoogste niveau laten inloggen, ook als dat helemaal niet nodig of gewenst of relevant is. Door SMS te vervangen door OTP kun je met 2 beveiligingsniveaus werken waarbij je ook zonder een smartphone relatief veilig kan inloggen.

Blijkbaar leven ze bij Logius in een soort van fantasiewereld waar iedereen een smartphone heeft die nooit leeg of kwijt raakt, niet kapot gaat en verbonden is met een keten aan infrastructuur die een uptime van 100,0% heeft en waar apps geen bugs bevatten en smartphones niet geïnfecteerd kunnen raken met mallware.

Daar bestaat een omschrijving voor:

Wereldvreemd.

Maar het kan natuurlijk ook iets te maken hebben met belangenverstrengeling op de smartphone markt.
03-05-2021, 14:52 door Anoniem
Neem aan dat ze bij Logius nu hier mee lezen; nogmaals mijn vraag hopende dat ik/wij nu eindelijk wel eens een antwoord (geen reactie, maar een echt antwoord) gaan krijgen.

DigiD-applicatie bevat trackers van Google en Microsoft (bewijs: https://reports.exodus-privacy.eu.org/en/reports/nl.rijksoverheid.digid.pub/latest).

Welke data wordt exact met deze bedrijven gedeeld? En hoe voorkomt Logius dat ze niet meer dan die data verzamelen? Heeft Logius de mogelijkheid om deze verzamelde data in te zien en weer te verwijderen? Hoe weet Logius zo zeker dat er geen persoonsgegevens verzameld worden?

Hopende, uiteraard tegen beter weten in, op een antwoord. Direct contact met Logius resulteert in geen antwoord. Daarom ook de bonus vraag; waar willen jullie hier geen antwoord op geven?
03-05-2021, 16:09 door Anoniem
Door Anoniem: Waarom moeilijk doen als het makkelijk kan. Met een Yubikey houdt de gebruiker alles in eigen hand.
Inloggen met een Yubikey en je bent van niemand afhankelijk.
En dus ook geen Centrale goede beheer of troubleshoot mogelijkheid.

Yubikey zijn in alle soorten en maten verkrijgbaar.
Dus ik moet hier extra voor betalen?

Geschikt voor Windows en Android
Ik heb trouwens iOS en een MacOS en ik gebruik Safari.

Registreer de Yubikey op de site waar je wilt inloggen.
iets met kip en ei probleem.

Log in met je eigen unieke gebruikers naam en wachtwoord en stop de Yubikey in een USB poort.
Totdat de USB key stolen wordt.
Totdat je geen USB poort ter beschikking hebt?

Doodsimpel.
Nee.

Nee, de overheid Logius wil kost wat kost de gebruiker een totaal achterhaald, zeer kostbaar systeem door de strot duwen.
Nee, ze begrijpt wat er nodig is voor support, ondersteuning en security.
03-05-2021, 19:02 door Anoniem
En dus ook geen Centrale goede beheer of troubleshoot mogelijkheid.
Ja DiGiD van Logius is zo goed en zo te vertrouwen. Inloggen bij verschillende sites de zelfde gebruikersnaam en wachtwoord. Kennelijk nog nooit gehoord om nooit in te loggen bij divers sites met dezelfde gebruikersnaam en wachtwoord. (alleen DiGiD beten doen dat)

Dus ik moet hier extra voor betalen?
Kennelijk wel een computer willen hebben en een mobiele telefoon maar te belazerd om een paar centen te betalen voor beveiliging.

Ik heb trouwens iOS en een MacOS en ik gebruik Safari.
Ik heb geen mobiele telefoon, dat is net zo’n stomme reactie.

iets met kip en ei probleem.
Is precies hetzelfde als het gebruik van DiGid.

Nee.
Ja, veel eenvoudiger, betrouwbaarder en onafhankelijker dan DiGiD

Nee, ze begrijpt wat er nodig is voor support, ondersteuning en security.
Support? DiGiD geeft geen antwoord op moeilijke vragen.
DiGiD is uit eigen ervaring bagger
DiGiD is absoluut niet veilig zolang er met dezelfde gebruikersnaam en wachtwoord ingelogd kan worden bij divers sites
03-05-2021, 19:06 door Anoniem
Goed bezig Security.nl en Logius. Met een aantal vragen zat ik ook.

Een app vind ik prima op de manier dat deze nu beschikbaar is. Dat ik hiervoor een account moet hebben in de Google of Apple stores vind ik niet zo heel erg. Mijn mobiel moet voornamelijk mijn leven makkelijker maken, niet lastiger. Uiteindelijk kijk ik wel uit wat ik er mee doe.
03-05-2021, 22:19 door Anoniem
Door Anoniem: Goed Mijn mobiel moet voornamelijk mijn leven makkelijker maken, niet lastiger. Uiteindelijk kijk ik wel uit wat ik er mee doe.
Alleen de bedrijven die jou massaal volgen kijken niet zo uit... Inclusief Logius dus.

Maar wat als deze bedrijven op straat gooien wat allemaal in jouw profiel aanwezig is. Is het dan nog allemaal makkelijk?
04-05-2021, 07:23 door Anoniem
Door majortom:
Logius: Wij zien het aantal app-gebruikers jaar op jaar stijgen. Er is nu nog een groep mensen die geen smartphone heeft en geen gebruik kan maken van de app
Hebben ze bij Logius wel eens gedacht dat er ook mensen zijn, zoals ik, die dit niet willen via een app? Een digitale oplossing, ok, maar niet via een smartphone.
Inderdaad. Het is best mogelijk dat we een kleine groep vormen, maar er zijn inderdaad mensen die absoluut geen digibeet zijn die niet van de smartphone-platforms houden juist omdat ze veel eerder dan de goegemeente zien dat er nadelen aan kleven.
Door Anoniem: Ze zullen geen rekening houden met een krimpende minderheid

En dat hoeven ze ook niet te doen
Het is maar de vraag of het een krimpende minderheid is. Het besef hoe manipulatief Amerikaanse techreuzen met ons omgaan is juist al jaren aan het toenemen. Ik zou er niet al te zeker van zijn.

Sla ook niet over dat ze, als overheid, niemand buiten mogen sluiten. Dat impliceert dat ze wél rekening moeten houden met iedereen. Rekening houden met een kleine groep betekent niet automatisch een oplossing krijgt die die groep helemaal geweldig zou vinden, het betekent wel dat men niet overslaat die groep in de afwegingen mee te nemen.

Een oplossing die ik prettig zou vinden, en het is jammer dat daar kennelijk niet naar gevraagd is, is dat de overheid zoiets als een Rabo- of ING-scanner zou aanbieden zodat iedereen die een computer met een webbrowser heeft ondersteund wordt.

Nog een goede vraag had ik gevonden of de overheid zich inzet voor het ontwikkelen van een open standaard voor een authenticatiemiddel dat aan de hoge eisen die overheden stellen voldoen, wellicht via de FIDO alliance, zodat er een markt ontstaat voor hardwaretokens die hier geschikt voor zijn zonder afhankelijkheid van specifieke leveranciers, hardwaretokens die net als (in ieder geval sommige implementaties van) U2F-tokens zo zijn opgezet dat je met één apparaat een onbeperkt aantal diensten kan ondersteunen.

Dat zijn vragen die niet meer over de DigiD-app gaan maar juist over alternatieven, dus ik kan me voorstellen dat die buiten de scope van deze vragensessie vielen (en de tweede vraag is er een op beleidsniveau en daar kan Logius wellicht ook geen antwoord op geven), maar interessant zijn ze wel.
04-05-2021, 09:38 door Anoniem
Door Anoniem: En dus ook geen Centrale goede beheer of troubleshoot mogelijkheid.
Ja DiGiD van Logius is zo goed en zo te vertrouwen. Inloggen bij verschillende sites de zelfde gebruikersnaam en wachtwoord. Kennelijk nog nooit gehoord om nooit in te loggen bij divers sites met dezelfde gebruikersnaam en wachtwoord. (alleen DiGiD beten doen dat)
Het idee daarachter is dat als je bijv bij een webwinkel inlogt met hetzelfde wachtwoord als bij je internet provider, en die
webwinkel blijkt veel slechter beveiligd te zijn (en dat zijn ze...), dat dan als de hackers de (al dan niet gehashte)
wachtwoorden van die webwinkel in handen hebben ze dat zelfde wachtwoord ook bij je internet provider kunnen gebruiken.

Dat speelt uiteraard niet bij DigiD. Je mag er vanuit gaan dat een hacker niet even bij Logius de totale tabel met
wachtwoorden kan downloaden. En dan nog is de DigiD variant met alleen gebruikersnaam en wachtwoord niet voor
belangrijke dingen in gebruik, daar moet je altijd extra voorzieningen voor hebben zoals de SMS code of de App.

Dus die overweging van "overal hetzelfde wachtwoord" die heeft hier geen betrekking op. Sterker nog, als er een meer
algemeen authenticatiemiddel was vergelijkbaar met DigiD maar dan bruikbaar voor webshops en andere onbelangrijke
account toepassingen dan zou dat hele probleem rond wachtwoorden er niet zijn (of het zou een stuk minder zijn).
04-05-2021, 11:26 door Anoniem
Dat speelt uiteraard niet bij DigiD. Je mag er vanuit gaan dat een hacker niet even bij Logius de totale tabel met
wachtwoorden kan downloaden.

Wat een overschatting van de veiligheid van DiGiD. Het is gewoon een kwestie van tijd en ook DiGiD wordt gehackt

En dan nog is de DigiD variant met alleen gebruikersnaam en wachtwoord niet voor
belangrijke dingen in gebruik, daar moet je altijd extra voorzieningen voor hebben zoals de SMS code of de App.

Wel weten waarover je praat. Met DiGiD kun je inloggen bij bijv. het pensioenfonds en de ziektekosten verzekering ZONDER
SMS code of de App
04-05-2021, 11:55 door Anoniem
Door Anoniem: En dus ook geen Centrale goede beheer of troubleshoot mogelijkheid.
Ja DiGiD van Logius is zo goed en zo te vertrouwen. Inloggen bij verschillende sites de zelfde gebruikersnaam en wachtwoord. Kennelijk nog nooit gehoord om nooit in te loggen bij divers sites met dezelfde gebruikersnaam en wachtwoord. (alleen DiGiD beten doen dat)

Dus ik moet hier extra voor betalen?
Kennelijk wel een computer willen hebben en een mobiele telefoon maar te belazerd om een paar centen te betalen voor beveiliging.

Ik heb trouwens iOS en een MacOS en ik gebruik Safari.
Ik heb geen mobiele telefoon, dat is net zo’n stomme reactie.

iets met kip en ei probleem.
Is precies hetzelfde als het gebruik van DiGid.

Nee.
Ja, veel eenvoudiger, betrouwbaarder en onafhankelijker dan DiGiD

Nee, ze begrijpt wat er nodig is voor support, ondersteuning en security.
Support? DiGiD geeft geen antwoord op moeilijke vragen.
DiGiD is uit eigen ervaring bagger
DiGiD is absoluut niet veilig zolang er met dezelfde gebruikersnaam en wachtwoord ingelogd kan worden bij divers sites

Ik begrijp uit je opmerkingen dat het je hoog zit.
Maar de architectuur van DigiD is - denk ik - anders dan hoe je denkt dat deze in elkaar zit.
Met DigiD log je niet direct in op de diverse sites, je logt telkens in *via* DigiD. Je logt dus telkens in op één site: DigiD, waarna *DigiD* jou authenticeert voor de betreffende site. De site zelf ziet dus *niets* van jouw inlog, die heeft enkel van doen met DigiD. Ergo: je logt dus *niet* op meerdere sites in met één wachtwoord/gebruikersnaam combinatie.

Overigens, via diverse platformen kun je prima DigiD side-loaden. Terecht legt Logius ook verantwoordelijkheid bij de eindgebruiker. Zij bieden een middel om veilig, vertrouwd, betrouwbaar en vertrouwelijk te kunnen inloggen op diverse websites. Het alternatief is en blijft pen, papier en de post. Persoonlijk biedt DigiD een veiligere route dan de fysieke. Maar ieder zijn eigen risico analyse.
04-05-2021, 13:31 door Anoniem
Moet je teleurstellen, weet precies hoe DiGiD werkt.
Hoe je het went of keert je kunt inloggen met dezelfde gebruikersnaam en wachtwoord bij diverse sites. Hoe dat technisch allemaal geregeld is doet in dit geval niet ter zake.

Wat altijd vergeten wordt en waar Logius kennelijk niet aan wil denken, niet over wil praten i,s dat de gebruiker de zwakste schakel in het geheel is.
Blijf erop hameren dat wanneer een gebruiker gehackt wordt en dat hoeft die gebruiker helemaal niet te merken, dat er dan ingelogd kan worden op diverse sites met dezelfde gebruikersnaam en wachtwoord. Met een beetje pech merkt de gebruiker dat pas als het te laat is. De gevolgen kunnen niet te overzien zijn, de financiele schade kan zeer groot zijn. Bij Logius hoef je dan niet aan te komen, die wast zijn handen in onschuld.

Zolang dit niet geregeld is blijft DiGiD onveilig
04-05-2021, 13:35 door Anoniem
Ja, het zit heel hoog. Waarom? Omdat het niet mogelijk is om het inloggen met DiGiD bij diverse sites zoals het pensioenfonds en de ziektekosten verzekering te blokkeren.
04-05-2021, 14:30 door Anoniem
Recent wilden mijn zus en ik een smartphone kopen voor mijn (bewust) digibete moeder. Ze heeft niet veel op met computers en techniek.

De eis van mijn moeder is dat ze makkelijk een SMS kan typen zonder drie keer op dezelfde toets te hoeven drukken, mijn zus wilde dat de smartphone klein van formaat was en onder de € 100 kostte. Mijn eisen waren dat het model redelijk recent moest zijn en voorlopig security updates moest kunnen ontvangen.

We kwamen uiteindelijk uit op een Nokia 1.3 of een Alcatel 1b. Beiden hadden Android 10 of hoger. Ruim boven de hier genoemde vereisten van de DigiD App.

De Nokia 1.3 was helaas net niet meer te verkrijgen en de Alcatel bleek in 2019 een security probleem gehad te hebben waardoor er malware in de verplichte, standaard, weer-app zat. Ook krijgen de meeste smartphones geen kernel updates, terwijl een linux desktop daar vele per maand van kan krijgen.

Als je serieus bent met security en de overheid, moet je een Pixel of een iPhone nemen. Een andere keuze is er niet anders krijg je dit soort taferelen. Een nieuwe Pixel is echter haast even duur als een compleet nieuwe computer. En een computer kan wel tien jaar security updates krijgen (neem bijvoorbeeld een Windows 7 computer uit 2010 die nu, voor het zelfde geld, nog steeds draait op Windows 10).

Het is uiteindelijk een ander cadeau geworden want we kwamen er niet uit.
04-05-2021, 15:22 door Anoniem
Door Anoniem: Ja, het zit heel hoog. Waarom? Omdat het niet mogelijk is om het inloggen met DiGiD bij diverse sites zoals het pensioenfonds en de ziektekosten verzekering te blokkeren.
Je kunt je DigiD via mijn.digid.nl gewoon opheffen, anders.
Verder kun je via mijn.overheid.nl alle communicatie weer via papier laten lopen (op de belastindienst na).

Maar, iets meer doorklikken en ik zie wat je bedoeld. De ouderwetse losse account per organisatie is inderdaad komen te vervallen. DigiD zou niet opgelegd moeten worden maar de meest aantrekkelijke route moeten zijn. Voor mensen die een andere insteek hebben, zou het ook zonder DigiD moeten kunnen. Eensch.
04-05-2021, 15:40 door Anoniem
Door Anoniem: Moet je teleurstellen, weet precies hoe DiGiD werkt.
Hoe je het went of keert je kunt inloggen met dezelfde gebruikersnaam en wachtwoord bij diverse sites. Hoe dat technisch allemaal geregeld is doet in dit geval niet ter zake.

Wat altijd vergeten wordt en waar Logius kennelijk niet aan wil denken, niet over wil praten i,s dat de gebruiker de zwakste schakel in het geheel is.
Blijf erop hameren dat wanneer een gebruiker gehackt wordt en dat hoeft die gebruiker helemaal niet te merken, dat er dan ingelogd kan worden op diverse sites met dezelfde gebruikersnaam en wachtwoord. Met een beetje pech merkt de gebruiker dat pas als het te laat is. De gevolgen kunnen niet te overzien zijn, de financiele schade kan zeer groot zijn. Bij Logius hoef je dan niet aan te komen, die wast zijn handen in onschuld.

Zolang dit niet geregeld is blijft DiGiD onveilig

Nou, dit kan het begin zijn van een mooie discussie :)
Laat ik beginnen met dat er verschillende gebruikers zijn voor wie de risico's en de risico beleving onderling nogal varieert. Voor gebruikers die zich aan alle adviezen en maatregelen houden die er zijn, zal elke opgelegde authenticatiemiddel en beperking en dus een vermindering van het risicoprofiel in houden.
Voor veel gebruikers echter, zal een uniform en 2FA ondersteunend inlogmiddel een gelijkwaardig tot een enorme verbetering van het risicoprofiel betekenen. Immers, velen maken geen gebruik van unieke wachtwoorden, hebben geen up to date OS, en klikken maar wat raak. Dat dan via DigiD de authenticatie verloopt is echt een plus: bijna 100mln keer gebruik gemaakt van 2FA inloggen vs 40mln keer enkel ww.

Het is overigens niet voor niets dat Logius de rechten van gebruikers binnen een site laat afhangen van de manier van inloggen én dat ze de wachtwoord/gebruikersnaam combinatie en het inloggen met SMS gaat uitfaseren.

Ook eens met dat het zeker bedenkelijk is dat de overheid verplicht tot de aanschaf van bepaalde apparatuur, software en services om uberhaupt deel te kunnen nemen aan de maatschappij.

Al met al, volgens mij heb je groot gelijk. Maar dan wel voor jouw situatie en die is anders dan die van menig ander :)
04-05-2021, 19:37 door Anoniem
Inderdaad. Het is best mogelijk dat we een kleine groep vormen, maar er zijn inderdaad mensen die absoluut geen digibeet zijn die niet van de smartphone-platforms houden juist omdat ze veel eerder dan de goegemeente zien dat er nadelen aan kleven.
Weet je als je niet ver kunt na denken dan is het leven veel mooier, maar als je wel kunt na denken dan doe je wat
jullie doen en gebruik je gewoon een telefoon. Maar het is een kwestie van tijd dat je verplicht bent om zo'n ding te
kopen. En diegene die de wetten maken ga ik steeds minder vertrouwen, zij hebben niets meer met mensen alleen
hun eigen ego is wat telt. Ik wil geen smartphone gebruiken voor bankieren, zaken doen met de regering dus is het
een kwestie van tijd dat ik wordt uitgesloten in deze maatschappij. Maar ik wordt niet iemand die alles klakkeloos
gelooft en als een hondje achter andere loopt. Over veiligheid of privacy wil ik het hier nog niet over hebben.

Het zijn de slimme die gissen en de domme die beslissen, zegt een citaat.
05-05-2021, 07:37 door Anoniem
Net dat stukje gelezen over het corona paspoort wat ze misschien ook willen verplichten voor in Nederland zelf en dit stukje erbij.
De overheid doet wel veel moeite om met eigen apps iedereen te volgen. Je mag nu nog de corona test printen maar het duurt natuurlijk niet lang voordat dat ook niet meer mag.
Als ze nou eens dat geld inzetten om Nederland weer een leuk land te maken in plaats van een controle staat te creeeren waar steeds meer Nederlanders een beetje moe van worden.
Als ze straks gaan verplichten om de DigiD app te gebruiken dan kunnen ze er dus ook mee gaan doen wat ze zelf willen. Oh we willen GPS aan hebben zodat we kunnen zien waar bepaalde gebruikers zijn? Done. Oh je wilt weten wat iedereen op zijn telefoon heeft die tussen de 18-25 jaar is? Done.
Dat is namelijk heel mooi te koppelen met de andere systemen straks.
Ben er niet zo'n fan van als ik verplicht wordt om bepaalde apps te gaan gebruiken die door een overheid worden opgedragen en waar de overheid het niet zo strikt neemt met de beveiliging. Of is iedereen die breach vergeten van de GGD?
Het zou al de goede kant op gaan als je je BSN een keer kunt aanpassen. En helemaal als dat nog op kosten van het rijk kan als er data wordt gestolen uit een systeem.
Enfin... volgens mij is het wel duidelijk dat ik niet zo blij ben met de overheid en hoe zij omgaan met de techniek.
05-05-2021, 10:56 door Anoniem
Logius: DigiD, maar ook de rest van de Rijksoverheid biedt apps vanwege beveiligingsredenen alleen aan via de app stores van Google en Apple. Dit om te voorkomen dat er valse apps via internet worden aangeboden. Wij kunnen dit alleen goed controleren als er gebruik wordt gemaakt van deze kanalen.
Die worden nu ook al aangeboden dus dat is geen argument. Google maar eens op "digid apk".
Daarnaast worden alle apps gecontroleerd voordat ze worden opgenomen in Google Play Store of bij de Apple Store. Dit is in het belang van de veiligheid van de gebruiker.
Logius en de Rijksoverheid controleren een APK bestand niet voordat ze hem publiceren?
Alternatieve stores bieden op dit moment onvoldoende zekerheid. Het gevolg van deze keuze is dat er inderdaad een account bij Apple of Google aangemaakt moet worden om hiervan gebruik te maken.
Je hebt helemaal geen alternatieve app store nodig om een APK bestand via de website van de Rijksoverheid te publiceren. Zolang die website TLS ondersteunt en het APK bestand ondertekend is kan dat veilig. Waarom lukt het Signal, WhatsApp en IRMA wel om een APK via hun website aan te bieden?

Daarnaast is het jammer dat Logius mensen die de app niet willen installeren beperkt tot de volgende categorieën:
Voor een deel betreft dit mensen die niet kunnen meekomen.
Er zijn ook mensen die niet willen meegaan in de digitalisering.
Ik kan goed meekomen en wil best meegaan in de digitalisering, ik heb echter principiële bezwaren tegen het gebruik van een app die Google Play Services vereist. Daarnaast zijn er mensen die principiële bezwaren hebben met het gebruik van closed source software. Jammer overigens dat Security.NL niets heeft gevraagd over afhankelijkheid van de DigiD app van Google Play Services, wat mij betreft is dat namelijk het grootste bezwaar.
05-05-2021, 17:18 door Anoniem
Digid is een heerlijk samenraapsel waarbij de projectleiders zich heerlijk aan alle kanten proberen in te dekken.
05-05-2021, 21:56 door Anoniem
Door Anoniem: Digid is een heerlijk samenraapsel waarbij de projectleiders zich heerlijk aan alle kanten proberen in te dekken.
Onzin. Product werk gewoon heel goed. De meeste gebruikers zijn zeer tevreden over het product en hoe het werkt.

Het zijn voornamelijk klagers die niet begrijpen hoe en door wie het gebruikt wordt.
08-05-2021, 16:46 door Anoniem
Door Anoniem: Ook het antwoord over de one-time pad begrijp ik niet helemaal. De one-time pad staat bekend als theoretisch niet te kraken maar is in de praktijk lastig in gebruik.
Dat lastig in gebruik, valt wel mee, gewoon de code overtikken.

Lastiger is als je van apparaat wisselt (nieuwe phone b.v) en de app voorziet niet in een veilige move van de geheime sleutel. Je kan natuurlijk ook opniew aanmelden voor TOTP (en de oude intrekken), maar dat proces is afhankelijk van de aanbieder. Overigens, zijn de problemen daar m.i. vergelijkbaar met vergeten wachtwoord en/of vergeten gebruikersnaam oplossingen.

Door Anoniem: Wie of wat genereert die one-time pad en hoe wordt deze gedistribueerd?
De aanbieder van de authenticatie genereert een geheime sleutel bij aanmelden, in dit geval dus DigiD, die je invoert in de TOPT app (meestal als een QR code). De app genereert daar vervolgens de TOTP codes mee.

Het probleem hier is om op het moment van aanmelden de echte identiteit van de gebruiker vast te stellen, anders heb je zoiets als 'trust on first use' probleem. Dat is niet anders dan dat je dat ook voor de gebruiker van de DigiD moet vastgestellen.
08-05-2021, 16:55 door Anoniem
Door Anoniem:
Door Anoniem: Wat een onzin. Verificatie via van een app kan prima via de open source app store Fdroid maar daar worden ze niet toegelaten omdat de app trackers bevat.
Dan begrijp je duidelijk niet het probleem.
Is dit iets wat iedereen zomaar kan doen? Zonder enige specifieke technische kennis?
Ja, dat is een punt, want niet voor normale mensen.

Die Fdroid store is m.i. ook niet het probleem, eerder dat je daarmee tegelijk ook de deur opent om de app te installeren uit andere bronnen, die mogelijk gecompromiteerd zijn.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.