Door Anoniem: Door Erik van Straten: Door Anoniem: Dan zal die "AitM" toch ook mijn inlognaam en wachtwoord moeten hebben van DigiD voordat zoiets een wezenlijk probleem is.
Die verkrijgt de AitM in één keer. Als, bijvoorbeeld, ofwel:
1) Burgers via een phishing e-mail naar een valse website worden gelokt,
ofwel
2) Een legitieme site waarop burgers met DigiD kunnen inloggen, gehacked is;
dan kan die website die burgers naar een nep-DigiD website sturen, of hen middels een BitB (Browser in the Browser, de website toont
eigen inhoud die op de gehele DigiD-website lijkt, inclusief nep-adresbalk en nep-hangslotje) aanval op het verkeerde been zetten - waardoor zij hun inloggegevens - user-ID, wachtwoord
én SMS-code - alledrie dus, op één valse website invoeren (met die gegevens logt de nep-website in op de echte DigiD.nl site).
Maar wat ik dus bedoel, en wat je zelf ook aangeeft met punt 1 en 2, is dat dan niet die SMS-code op zich de kern van het probleem is.
Wellicht niet de kern, maar SMS voegt bar weinig beveiliging toe terwijl er ook nadelen aan kleven:
a) Het helpt niet tegen "evil proxy" nep-websites;
b) Als een aanvaller een DigiD user-ID en wachtwoord, via welke manier dan ook (bijv. via een passieve phishing website) in handen krijgt, kan zij/hij op elk gewenst moment een SIM-swap proberen uit te voeren, of heel misschien via een SS7 aanval. Ook zouden criminelen, op zo'n passieve phishing website, naast om DigiD user-ID en wachtwoord, om een telefoonnummer kunnen vragen. Daarmee kunnen zij later (de mensen die in de phishing-site getrapt zijn) bellen:
U spreekt met Jan van Logius. Er zijn klachten over onjuiste SMS-verificatiecodes bij het inloggen met DigiD, wij proberen te achterhalen wat er aan de hand is. Blijft u a.u.b. aan de lijn, u ontvangt zometeen een test-SMS van ons. Kunt u de code in het bericht aan ons doorgeven?
(Ik heb getwijfeld of ik dit wel kon schrijven, maar dit soort aanvallen liggen
zó voor de hand dat ik het beter vind om mensen er tegen te waarschuwen,
én omdat het laat zien hoe eenvoudig brave burgers misleid kunnen worden).
Onthoud: geef
nooit gegevens gebruikt om in te loggen aan derden. Beheerders van diensten, o.a. op websites,
hebben deze gegevens zelf; er bestaat geen enkele reden om ze, zogenaamd aan hen, te verstrekken.
c) De brief die toegang geeft tot SMS-2FA kan uit een brievenbus gehengeld worden;
d) De betrouwbaarheid van authenticatie middels user-ID, wachtwoord en SMS wordt door velen
overschat. Het overschatten van de betrouwbaarheid van authenticatie is een ernstige zaak, want dat maakt het voor onschuldige slachtoffers
nóg lastiger om aan te tonen dat
niet zij het waren die authenticeerden;
e) Ik ken mensen die zelfs SMS-2FA niet begrijpen;
f) Er zijn mensen met pre-pay SIM's die hun beltegoed laten verlopen of hun PIN en PUK vergeten, met als eenvoudigste oplossing een nieuwe pre-pay SIM kopen - met dus een ander telefoonnummer;
g) Argument van tegenstanders: naast de app ook SMS in stand houden, kost de overheid/belastingbetaler extra geld.
Feitelijk is bij de invoering van SMS als 2FA-middel een onjuiste kosten/baten-analyse gemaakt, waarbij risico's als b) over het hoofd zijn gezien en d) vermoedelijk een grote rol heeft gespeeld: overschatting van de betrouwbaarheid. Ondertussen is het schijnveiligheid gebleken. Wie had dat nou verwacht? De mensen die dit soort systemen ontwerpen
hadden dit moeten verwachten en hebben gefaald.
Door Anoniem: Bovendien zie ik niet in waarom je niet een echte DigiD-app op een 'gewone' computer zou kunnen gebruiken.
Omdat de belofte van Google en Apple was dat alle apps in hun "stores" betrouwbaar zouden zijn en blijven, en toestellen met hun besturingssystemen
malwarevrij zouden zijn en blijven.
Het probleem beperkt zich niet tot Windows: naarmate een besturingssysteem meer gebruikers heeft, hoe "interessanter" het wordt voor cybercriminelen. Mede geholpen door de vraag van klanten om allerlei "features" (zoals vanalles toegankelijk maken op een vergrendeld scherm, maar ook "handige" apps die gebruikmaken van voorzieningen zoals Android's Accessibility Service).
Door Anoniem: En als een gewone computer als (te) onveilig wordt gezien, zouden we misschien maar beter kunnen stoppen om belangrijke zaken via internet te regelen nu de alternatieven er nog zijn.
Zolang het hen zelf niet treft, is dat voor veel te veel mensen onbespreekbaar.
Ik heb niet de illusie dat we "de tijd kunnen terugdraaien", en m.i. hoeft dat ook niet in het grootste deel van de gevallen; er kan véél digitaal - maar niet alles. En we moeten weer rekening gaan houden met mensen die niet alles digitaal kunnen of willen regelen.
Suggereren dat redelijk betrouwbare "absolute" authenticatie op afstand mogelijk is, is burgers Russisch roulette laten spelen met hun identiteit - waarbij het aantal slachtoffers per jaar, "dankzij" AI, alleen maar toe zal nemen. Daarnaast
moet je, vind ik, als overheid accepteren dat niet iedereen mee kan of wil komen op de "digitale snelweg".
In Nederland hebben we verkeersregels om burgers tegen andere verkeersdeelnemers
én tegen zichzelf te beschermen - omdat de meeste mensen de risico's niet (willen) zien (raad eens wat er gebeurt als er weinig of niet gehandhaafd wordt). En de overheid dwingt niet iedereen om een dure auto of scooter te kopen: integendeel, OV wordt gesubsidieerd, er worden fietspaden en stoepen aangelegd en onderhouden, en op veel plaatsen vervoeren vrijwilligers tegen kostprijs mensen die slecht ter been zijn.
Hoe lang accepteren we nog dat kortzichtige en geldzuchtige
digitale verkeershufters bepalen wat "goedkoper" is en bruikbaar is voor iedereen?