Gelukkig heb alleen een domme telefoon met SMS, een smartphone met Abbo kan ik niet betalen.

En binnenkort hebben de telco's, op verzoek van diezelfde overheid, systemen geïnstalleerd waarmee (ook foute) medewerkers die DigiD 2FA codes kunnen uitlezen: https://www.security.nl/posting/760520/Kabinet+kijkt+naar+monitoren+inhoud+sms%27jes+en+verbod+op+anonieme+simkaarten.

Zo doordacht allemaal... (not)

Of je accepteert, dat je niet zo belangrijk bent als je denkt te zijn en dat men NIET geïnteresseerd in jouw telefoon verkeer.

Die app is ook niet foolproof. Ik heb vanochtend bij mijn gemeente moeten inloggen met DigiD. De app herkende de QR code niet als een QR code. Ik heb met twee browsers geprobeerd in te loggen en de QR code te genereren. Uiteindelijk ben ik op de ouderwetse manier met wachtwoord ingelogd.

Het is dus wel prettig om niet geheel afhankelijk te worden van één systeem.

En daarmee is bewezen: geld maakt niet gelukkig.
(maar het kan wel eens gemakkelijk zijn dat je het hebt)

Nergens voor nodig dat er weer een organisatie mijn telefoon nummer heeft. Dus maar weer een losse SIM. En elk half jaar een nieuwe aanvragen. Nou ja, wat men wil. Wel weer meer werk.

Ze kunnen beter extra veiligheidseisen stellen aan telefoonproviders, zodat het veiligheidsniveau van SMSjes omhoog gaat. Zoals verplichte checks bij het aanvragen van een nieuwe simkaart bij een bestaand nummer. Dat is een stuk praktischer.

Voor het inloggen heb je nodig:
- gebruikersnaam
- wachtwoord
- SMS-code

De foute medewerker zou nu mogelijk over de SMS-code kunnen beschikken. Toegegeven: dat is niet wenselijk, omdat daarmee een laagje van je autorisatie weg is. Volgens mij mist de foute medewerker dan nog steeds 2 van de 3 benodigde gegevens (gebruikersnaam en wachtwoord).

SMS vervangen door TOTP, probleem opgelost:
- geen derde (private)partij meer nodig
- geen SMS berichten die onderscherpt worden

Heel goed. DigiD app werkt namelijk niet goed op een smartphone zonder Playstore van Google erop. Heel raar een overheid app die niet met QR-code kan inloggen zonder Google? Is Google onze overheid? Dus ik moet sms gebruiken.

Alleen moet je dan fysieke TOTP devices gaan verspreiden onder de mensen zonder smartphone (of smartphone met afwijkend OS). Op dit moment heb je enkel een telefoon nodig (smartphone, dumb mobiele telefoon of vaste telefoon). En je kunt kiezen tussen code via SMS of gesproken code via telefoonverbinding.

Het veiligheids niveau van de huidige sms kan en gaat niet omhoog. Er zijn bijvoorbeeld te veel spoofing manieren. Dat krijg je niet meer dicht gezet.

Heb je de camera lens goed schoongemaakt?

Je suggereert dat het 3FA is: dat is m.i. onjuist, want de gebruikersnaam wordt niet verondersteld een "shared secret" te zijn; noch bij het aanmaken van het account, noch bij het inloggen (er verschijnen geen sterretjes als je deze intikt op DigiD.nl). Ook worden logon-ID's waarschijnlijk gelogd door DigiD.nl (voor fraudebestrijding en om aanvallen te detecteren).

Bovendien staan, als ik mij goed herinner, gebruikersnaam en wachtwoord in de brief die je van DigiD krijgt als je jouw account aanmaakt. Onder andere omdat DigiD-brieven met gebruikersnaam en wachtwoord uit brievenbussen werden gehengeld en/of DigiD logingegevens werden verkocht, is (dynamische) 2FA ingevoerd.

Daarnaast zijn gebruikersnaam en wachtwoord eenvoudig te achterhalen met een phishing-aanval, of via een telefoontje met social engineering. Een actuele 2FA code via SMS (of een TOTP code uit een app als Google- of Microsoft Authenticator) kan ook door een phisher worden achterhaald, maar dan moet de aanvaller er wel snel bij zijn.

Ondanks dat de meeste vormen van 2FA veel minder veilig zijn dan de meeste "security-experts" ons willen doen geloven (zie onder), helpen ze wel iets omdat sommige aanvallen ermee worden voorkomen. Gemiddeld genomen is eenvoudige 2FA dus wel wat veiliger dan 1FA.

Bizar vind ik het dan als sommigen dan beweren dat verlies van 1 factor niet erg is "want je hebt die andere nog". Terwijl het risico bestaat dat mensen nog stommere wachtwoorden (her-) gebruiken omdat ze denken dat die andere factor hen wel zal beschermen.

Het probleem van eenvoudige 2FA
Ik waarschuw al heel lang dat eenvoudige 2FA door phishingtools zoals Modlishka, Muraena, Evilgenx2, CredSniper en dergelijke omzeild kan worden. Bovendien geeft 2FA vaak een hoop gedonder als de accu van je telefoon leeg is, en bij TOTP als je geen back-up hebt en je telefoon defect is of een factory-reset nodig heeft. Of, bij SMS 2FA, als je een ander telefoonnummer neemt en niet weet waar je jouw oude nummer hebt opgegeven voor 2FA. De praktijk is dan ook meestal dat een account reset via een 1FA methode plaatsvindt, nog een nagel in de doodskist dus.

Microsoft riep vaak dat 2FA maar liefst 99,9% van alle phishing-aanvallen zou voorkomen (https://www.microsoft.com/security/blog/2019/08/20/one-simple-action-you-can-take-to-prevent-99-9-percent-of-account-attacks/) wat eindeloos door de media en "security-experts" is overgenomen. Maar Microsoft heeft nu ook zelf "ontdekt" dat dit onzin was/is: https://www.bleepingcomputer.com/news/security/microsoft-phishing-bypassed-mfa-in-attacks-against-10-000-orgs/.

Probleem niet opgelost, zie wat ik boven jouw (door mij aangehaalde) tekst schrijf.

Ergo: de meeste vormen van 2FA helpen in een deel van de aanvalsscenario's, maar zijn te eenvoudig te omzeilen: iets wat cybercriminelen nooit zullen nalaten.

PassKeys beloven een verbetering, maar sluiten ook niet alle risico's uit en introduceren nieuwe (die risico's ben ik aan het inventariseren; als daar voldoende belangstelling voor bestaat zal ik die publiceren).

Goed dat SMS voorlopig blijft.
Zolang Google en Microsoft je gedrag in de DigiDapp mogen analyseren lijkt me dat noodzakelijk:
https://reports.exodus-privacy.eu.org/en/reports/nl.rijksoverheid.digid.pub/latest/

Hoogtijd dat DigiD opensource wordt en in de FDroid store beschikbaar komt.

Op de onderstaande beweringen:


Je hoeft geen devices te gaan verspreiden want TOTP codes kun je op zowat elk device dat een besturingsysteem heeft, genereren. Er is (open source) software voor Windows, iOS, Linux/Andriod, macOS, Symbian en zelf MS-DOS. Maar een optioneel hardware token van een paar Euro zou wel de veiligheid fors ten goede komen. Desnoods vraag je een eigen bijdrage, dat is nog altijd veel slimmer dan aan een "vergelijkbare private oplossing" vastgeroest raken.

TOTP werkt ook offline, en dat heeft 2 belangrijke voordelen: codes worden niet onderschept op weg naar de ontvanger en de gehele dienstverlening is niet afhakelijke van een provider die op dat moment maar (voldoende) ontvangst van die codes moet garanderen. Een TOTP generator in welke vorm dan ook kan men gebruiken zonder dat deze een verbinding naar de buitenwereld heeft, en dat maakt deze dus ook onmogelijk om op afstand te hacken. Dus veel veiliger dan SMS.



Als jij een afdruk van de QR-code in een kluis bewaard hoeft je deze maar een keer te verstrekken. Als backup kun je dan de QR-code op een andere telefoon scannen en direct weer inloggen. Als je defecte toestel dan vervangen is, download en print je een nieuwe key. Of je regel het aanvragen van een nieuwe TOTP key op dezelfde manier als dat nu gebeurd bij het aanvragen van een nieuw DigiD.

Ik bewaar screenshots van QR-codes in een KeePass database (waar ik back-ups van maak op media die ik off-line bewaar), maar daar ben ik een uitzondering mee. Teveel mensen komen erachter, nadat hun smartphone in de plee is gevallen o.i.d., dat zij geen goede back-up hebben van o.a. hun TOTP-secrets, waardoor elke clouddienst/website met accounts een zwak "access reset" systeem moet hebben om mensen weer toegang te kunnen geven tot hun accounts. Een zwak systeem waar ook kwaadwillenden misbruik van kunnen maken.

Maar zoals ik al zo vaak schreef (en eindelijk Microsoft ook toegeeft, zie https://www.security.nl/posting/760705/Microsoft%3A+tienduizend+organisaties+doelwit+van+phishingaanval+met+proxyserver): TOTP is kansloos bij phishers die gebruikmaken van tools zoals Modlishka, Muraena, Evilgenx2 of CredSniper.

Ook andere aanvallen zijn denkbaar bij TOTP: tenzij er een extra beveiligingshandeling nodig is om op een unlocked smartphone jouw TOTP app te openen, kan iemand aan wij jij jouw smartphone uitleent (of als je deze unlocked -of met flutbeveiliging- bijvoorbeeld op jouw bureau laat liggen en je jouw werkplek tijdelijk verlaat), die ander de klok vooruit zetten naar een specifiek toekomstig tijdstip X naar keuze, de bijbehorende TOTP code voor de gewenste accounts noteren en de klok weer automatisch laten synchroniseren (om te voorkómen dat jij argwaan krijgt). Op toekomstig tijdstip X weet die persoon dus jouw TOTP code(s), en als hij of zij ook jouw e-mail-adres en wachtwoord kent, als jou inloggen.

Een ander risico is het als meerdere mensen menen op 1 account te moeten kunnen inloggen, en naast user-ID en wachtwoord ook de TOTP-code uitwisselen (denk bijv. aan een persoon die de organisatie in onmin verlaat). Ook neemt de kans op lekken toe (gecompromitteerde of in verkeerde handen gevallen smartphone). En "meerdere gebruikers op 1 account" is geen "theoretisch" scenario, zie bijvoorbeeld https://tweakers.net/nieuws/198680/twitter-en-youtube-accounts-van-britse-leger-verspreidden-cryptoscam-na-hacks.html?showReaction=17684044#r_17684044.

TOTP is een iets minder onveilige MFA-oplossing dan SMS, maar te veel gehyped doch halfbakken (o.a. omdat TOTP Man-in-the-Middle aanvallen niet voorkómt, wat trouwens ook telefonisch kan). Waarbij elke MFA-oplossing ook het risico met zich meebrengt dat mensen slechtere/hergebruikte wachtwoorden kiezen. Ten slotte is het niet zorgeloos: TOTP geeft gedoe als mensen (tijdelijk of permanent) niet bij hun TOTP codes kunnen. Het maakt de veelgemaakte belofte voor hackersafe accounts simpelweg niet waar.

Ah gelukkig, dus mocht door veiligheid sms niet meer voldoende zijn en de 'app' (of iets anders gedigidrammed) de nieuwe/opvolgende veilige standaard word, dan wordt iedereen voorzien van hetgeen wat ze nodig hebben om de gedigidramde communicatie met de digidrammende-overheid mogelijk te blijven behouden?

Zien is geloven mvr. de Staatssecretaris Van Huffelen.

praatjes vullen geen gaatjes, zoals we gemerkt hebben met bv. de toeslagen-hellgate-affaire, waar d'r nu nog steeds 'nieuwe' lijken uit de kast blijven vallen en de gaatjes na al Jouw praatjes nog steeds niet gevuld zijn.

Een Murena heeft in de Lounge een anonieme Google account, zonder trackers. Via die anonieme Google account kun je de DigiD, CoronaCheck en bank app kosteloos verkrijgen. Eventuele trackers in die apps kun je onder /e/OS blokkeren,

In mijn geval heb ik destijds voor zowel de gebruikersnaam als voor het wachtwoord een aparte brief ontvangen, waarbij deze beiden naar wens konden worden aangepast (en wat ik dan ook heb gedaan).

Dat is dan wel een hele actieve foute medewerker die naast het eventueel uitlezen van de SMS-code (wat gezien het artikel nog niet kan) ook de andere gegevens nog "eventjes" achterhaalt. Los daarvan is het af en toe verbazend wat mensen zomaar eventjes aan wildvreemden doorgeven.

Weet niet of je hiermee specifiek op mij doelt, maar ik geef aan dat het niet wenselijk is dat iemand de SMS-code weet. Persoonlijk wens is de persoon die mijn DigiD wil overnemen veel succes, want dat zullen ze nodig hebben :-)

Als er iets onveilig is dan zijn het SMS-en of de Google opvolger daarvan. Die protocollen mag men niet langer als veilig beschouwen. Die optie moet er gewoon uit! Gebruik in godsnaam dit ook niet voor 2FA.