Reacties (37)
12-06-2023, 22:54 door
johanw
Ik wil best die app gebruiken maarom een mij onbekende reden doet die niks als de qr code in camera beeld komt. Andere qr codes (bankapp bv.) kan die telefoon goed lezen dus het ligt niet aan de hardware.
Ik wil geen app van de overheid op mijn mobiel. Als ik de open source 2FA app kan gebruiken die ik voor andere diensten voor 2FA gebruik kan gebruiken dan heeft dat mijn voorkeur op sms.
Alternatief is om iedereen te verplichten een device te hebben waarop zo'n app kan draaien. En dat uiteraard elke paar jaar te moeten vervangen omdat het dan 'verouderd' is. Hoezo afvalberg?
Dat hele digid-gedoe is al niks. Met een app wordt het niet beter. Als de overheid wat van me wil, dan sturen ze maar een brief. En dan krijgen ze per brief antwoord. Veel goedkoper dan er een tablet of een 'smartfoon' op na gaan houden.
Dat hele digid-gedoe is al niks. Met een app wordt het niet beter. Als de overheid wat van me wil, dan sturen ze maar een brief. En dan krijgen ze per brief antwoord. Veel goedkoper dan er een tablet of een 'smartfoon' op na gaan houden.
SMS is dringend aan vervanging toe, maar de smartphone-gebaseerde vervanging die nu beschikbaar is volstaat voor mij evenmin. SMS moet afgeschaft worden, maar dan moet er wel een alternatief zijn dat voor iedereen die internettoegang heeft bruikbaar is, zonder dat je daarmee een of ander platform van big tech binnen gezogen wordt. Zolang dat er niet is is het handhaven van SMS, ondanks de bezwaren ertegen, een goed idee. Ik vindt het dus zowel SlechtiD als (bij gebrek aan een acceptabel alternatief) GoediD, dus heb ik maar GeeniD aangevinkt. Wat ook niet echt een goed antwoord is want het is niet zo dat ik geen mening erover heb.
Als je telefoon 'overgenomen' is en je DigiD, dan is je sms ook lek.
Voorbeeld: sim-wissel-fraude.
Voorbeeld: sim-wissel-fraude.
SMS berichten moetje niet willen is niet beveiligd.....van daar houd mijn beveiliging het in de gaten...goed plan
Door Anoniem: Als je telefoon 'overgenomen' is en je DigiD, dan is je sms ook lek.
Voorbeeld: sim-wissel-fraude.
Hoe vaak is dat gebeurd in Nederland?Voorbeeld: sim-wissel-fraude.
Gestemd voor GeenID: ik snap prima dat SMS een bijzonder zwakke MFA factor is, maar het is veel beter dan niets. Voor een hoop mensen (en echt niet perse de domste/bejaardste) is MFA lastig om in te stellen, en daar kunnen we meesmuilend over doen, maar wat dan? Dan maar helemaal geen extra factor? Ik denk dat het beter is om DigID een eenvoudiger te gebruiken extra factor te geven in plaats van zonder boe of bah de SMS optie er maar uit te gooien.
Door Anoniem:
Door Anoniem: Als je telefoon 'overgenomen' is en je DigiD, dan is je sms ook lek.
Voorbeeld: sim-wissel-fraude.
Hoe vaak is dat gebeurd in Nederland?Voorbeeld: sim-wissel-fraude.
Als ik zoek op simswap op security.nl: in NL niet vaak - 2 keer zo te zien -, maar wel met behoorlijk wat impact:
https://www.security.nl/search?origin=frontpage&keywords=sim+swap
De standaard SMS-app (ook het toetsenbord) van Google (even vervangen met die in F-Droid), deelt de hele dag daar data met de servers van Google. Kan natuurlijk 'n keer iets 'misgaan' bij Google en dat teksten daar leesbaar zijn.
Dat kan je sowieso dan niet als veilig bestellen.
Dan heb je de DigiD app, ook die is niet veilig, want ook die deelt continu data met Google (en Microsoft).
Dat kan je sowieso dan niet als veilig bestellen.
Dan heb je de DigiD app, ook die is niet veilig, want ook die deelt continu data met Google (en Microsoft).
Door Anoniem:
Als ik zoek op simswap op security.nl: in NL niet vaak - 2 keer zo te zien -, maar wel met behoorlijk wat impact:
https://www.security.nl/search?origin=frontpage&keywords=sim+swap
Dus voor die twee keer moet het hele SMS gebeuren op de schop?Door Anoniem:
Door Anoniem: Als je telefoon 'overgenomen' is en je DigiD, dan is je sms ook lek.
Voorbeeld: sim-wissel-fraude.
Hoe vaak is dat gebeurd in Nederland?Voorbeeld: sim-wissel-fraude.
Als ik zoek op simswap op security.nl: in NL niet vaak - 2 keer zo te zien -, maar wel met behoorlijk wat impact:
https://www.security.nl/search?origin=frontpage&keywords=sim+swap
Tsja... Hoe onveilig is die SMS dan? Die code is eenmalig en korte tijd. Dus dat-ie een uur later op straat ligt, is niet zo relevant meer. Dat een ander codes kan versturen evenmin.
Dus het enige scenario waarin het fout gaat, is de SMS bij de provider real-time onderscheppen naast UID/PWD kennen. Immers, de telefoon van de gebruiker 'hacken' wil niet zo. Als het een smartfoon zou zijn geweest, dan had die app wel gedraaid. Ja, kan. Erg grote kans?
Dus het enige scenario waarin het fout gaat, is de SMS bij de provider real-time onderscheppen naast UID/PWD kennen. Immers, de telefoon van de gebruiker 'hacken' wil niet zo. Als het een smartfoon zou zijn geweest, dan had die app wel gedraaid. Ja, kan. Erg grote kans?
Door Anoniem: Tsja... Hoe onveilig is die SMS dan? Die code is eenmalig en korte tijd. Dus dat-ie een uur later op straat ligt, is niet zo relevant meer. Dat een ander codes kan versturen evenmin.
Dus het enige scenario waarin het fout gaat, is de SMS bij de provider real-time onderscheppen naast UID/PWD kennen. Immers, de telefoon van de gebruiker 'hacken' wil niet zo. Als het een smartfoon zou zijn geweest, dan had die app wel gedraaid. Ja, kan. Erg grote kans?
Dus het enige scenario waarin het fout gaat, is de SMS bij de provider real-time onderscheppen naast UID/PWD kennen. Immers, de telefoon van de gebruiker 'hacken' wil niet zo. Als het een smartfoon zou zijn geweest, dan had die app wel gedraaid. Ja, kan. Erg grote kans?
Sim swaps zijn ook een risico, en dar kan je als klant heel weinig aan doen, aangezien rechters de telecomboeren gewoon vrijspreken ls ze iets fout doen. (https://www.security.nl/posting/798595/T-Mobile+hoeft+diefstal+van+17_500+euro+aan+crypto+na+sim-swap+niet+te+vergoeden)
SMS is dus wel vatbaar voor gerichte aanvallen en er moet dus iets komen dat dit vervangt. Zelf vind ik dat een oplossing geen vereiste heeft welke een afhankelijkheid creëert van partijen zoals Google of Apple. Dat kan bijvoorbeeld door een hardware reader zoals de banken die ook al inzetten of middels een soort van FIDO token.
Door Anoniem:
Sim swaps zijn ook een risico, en dar kan je als klant heel weinig aan doen, aangezien rechters de telecomboeren gewoon vrijspreken ls ze iets fout doen. (https://www.security.nl/posting/798595/T-Mobile+hoeft+diefstal+van+17_500+euro+aan+crypto+na+sim-swap+niet+te+vergoeden)
SMS is dus wel vatbaar voor gerichte aanvallen en er moet dus iets komen dat dit vervangt. Zelf vind ik dat een oplossing geen vereiste heeft welke een afhankelijkheid creëert van partijen zoals Google of Apple. Dat kan bijvoorbeeld door een hardware reader zoals de banken die ook al inzetten of middels een soort van FIDO token.
Stop eens met nerd oplossingen te benoemen. Het grootste deel van Nederland is hier helemaal niet mee bezig.Door Anoniem: Tsja... Hoe onveilig is die SMS dan? Die code is eenmalig en korte tijd. Dus dat-ie een uur later op straat ligt, is niet zo relevant meer. Dat een ander codes kan versturen evenmin.
Dus het enige scenario waarin het fout gaat, is de SMS bij de provider real-time onderscheppen naast UID/PWD kennen. Immers, de telefoon van de gebruiker 'hacken' wil niet zo. Als het een smartfoon zou zijn geweest, dan had die app wel gedraaid. Ja, kan. Erg grote kans?
Dus het enige scenario waarin het fout gaat, is de SMS bij de provider real-time onderscheppen naast UID/PWD kennen. Immers, de telefoon van de gebruiker 'hacken' wil niet zo. Als het een smartfoon zou zijn geweest, dan had die app wel gedraaid. Ja, kan. Erg grote kans?
Sim swaps zijn ook een risico, en dar kan je als klant heel weinig aan doen, aangezien rechters de telecomboeren gewoon vrijspreken ls ze iets fout doen. (https://www.security.nl/posting/798595/T-Mobile+hoeft+diefstal+van+17_500+euro+aan+crypto+na+sim-swap+niet+te+vergoeden)
SMS is dus wel vatbaar voor gerichte aanvallen en er moet dus iets komen dat dit vervangt. Zelf vind ik dat een oplossing geen vereiste heeft welke een afhankelijkheid creëert van partijen zoals Google of Apple. Dat kan bijvoorbeeld door een hardware reader zoals de banken die ook al inzetten of middels een soort van FIDO token.
SMS controle is wat mij betreft prima. Nog beter gaan ze een standaard methode als TOTP gebruiken. Daar zijn 100'en implementaties van en zelfs mogelijkheden om het in hardware keys zoals bijvoorbeeld yubikeys op te slaan.
Door Anoniem: SMS controle is wat mij betreft prima. Nog beter gaan ze een standaard methode als TOTP gebruiken. Daar zijn 100'en implementaties van en zelfs mogelijkheden om het in hardware keys zoals bijvoorbeeld yubikeys op te slaan.
Ik denk, dat 99% van de Nederlandse bevolking niet weet wat een Yubikey is. Stop eens met die nerdy dingen als oplossing aan te reiken, omdat jullie er misschien iets van weten.Denk eens verder, denk aan de bevolking!
Door Anoniem:
Denk eens verder, denk aan de bevolking!
Door Anoniem: SMS controle is wat mij betreft prima. Nog beter gaan ze een standaard methode als TOTP gebruiken. Daar zijn 100'en implementaties van en zelfs mogelijkheden om het in hardware keys zoals bijvoorbeeld yubikeys op te slaan.
Ik denk, dat 99% van de Nederlandse bevolking niet weet wat een Yubikey is. Stop eens met die nerdy dingen als oplossing aan te reiken, omdat jullie er misschien iets van weten.Denk eens verder, denk aan de bevolking!
Dit gaat allemaal opgelost worden mbv het Europese digitale ID-bewijs :-)
Door Anoniem:
Dit gaat allemaal opgelost worden mbv het Europese digitale ID-bewijs :-)
Weten ze dan opeens wel wat een yubikey is?Door Anoniem:
Denk eens verder, denk aan de bevolking!
Door Anoniem: SMS controle is wat mij betreft prima. Nog beter gaan ze een standaard methode als TOTP gebruiken. Daar zijn 100'en implementaties van en zelfs mogelijkheden om het in hardware keys zoals bijvoorbeeld yubikeys op te slaan.
Ik denk, dat 99% van de Nederlandse bevolking niet weet wat een Yubikey is. Stop eens met die nerdy dingen als oplossing aan te reiken, omdat jullie er misschien iets van weten.Denk eens verder, denk aan de bevolking!
Dit gaat allemaal opgelost worden mbv het Europese digitale ID-bewijs :-)
Door Anoniem:
Door Anoniem:
Als ik zoek op simswap op security.nl: in NL niet vaak - 2 keer zo te zien -, maar wel met behoorlijk wat impact:
https://www.security.nl/search?origin=frontpage&keywords=sim+swapping
Dus voor die twee keer moet het hele SMS gebeuren op de schop?Door Anoniem:
Door Anoniem: Als je telefoon 'overgenomen' is en je DigiD, dan is je sms ook lek.
Voorbeeld: sim-wissel-fraude.
Hoe vaak is dat gebeurd in Nederland?Voorbeeld: sim-wissel-fraude.
Als ik zoek op simswap op security.nl: in NL niet vaak - 2 keer zo te zien -, maar wel met behoorlijk wat impact:
https://www.security.nl/search?origin=frontpage&keywords=sim+swapping
Met de zoekterm "sim swapping" tel ik meer dan vijftig artikelen sinds eind 2018, met een toename over de laatste jaren.
Door Anoniem:
Met de zoekterm "sim swapping" tel ik meer dan vijftig artikelen sinds eind 2018, met een toename over de laatste jaren.
Ja en? Zijn wij dan zoooo belangrijk, dat wij ons zorgen moeten maken om die swap?Door Anoniem:
Door Anoniem:
Als ik zoek op simswap op security.nl: in NL niet vaak - 2 keer zo te zien -, maar wel met behoorlijk wat impact:
https://www.security.nl/search?origin=frontpage&keywords=sim+swapping
Dus voor die twee keer moet het hele SMS gebeuren op de schop?Door Anoniem:
Door Anoniem: Als je telefoon 'overgenomen' is en je DigiD, dan is je sms ook lek.
Voorbeeld: sim-wissel-fraude.
Hoe vaak is dat gebeurd in Nederland?Voorbeeld: sim-wissel-fraude.
Als ik zoek op simswap op security.nl: in NL niet vaak - 2 keer zo te zien -, maar wel met behoorlijk wat impact:
https://www.security.nl/search?origin=frontpage&keywords=sim+swapping
Met de zoekterm "sim swapping" tel ik meer dan vijftig artikelen sinds eind 2018, met een toename over de laatste jaren.
Door Anoniem: Stop eens met nerd oplossingen te benoemen. Het grootste deel van Nederland is hier helemaal niet mee bezig.
Als nerds geen nerd-oplossingen hadden aangereikt hadden we geen smartphones gehad, geen internet, geen pc's. Dat commerciële partijen de nerd-oplossingen vervolgens oppoetsen tot iets dat gelikt en laagdrempelig overkomt neemt niet weg dat het juist de nerds zijn die de basis hebben gelegd en nog steeds leggen.De dingen waar het grootste deel van Nederland wel mee bezig is hebben ze echt niet zelf bedacht, die zijn door die commerciële partijen "benoemd" door er veel marketing tegenaan te gooien. Die hebben niet meer recht van spreken dan anderen, die hebben vooral veel meer geld om te zorgen dat hun boodschap doordringt tot het grote publiek.
Door Anoniem: Ja en? Zijn wij dan zoooo belangrijk, dat wij ons zorgen moeten maken om die swap?
Mocht overmorgen onverhoopt ook uw bank- en spaarrekeningen leeg worden geplunderd, dan piept u wel anders.
Door Anoniem:
De dingen waar het grootste deel van Nederland wel mee bezig is hebben ze echt niet zelf bedacht, die zijn door die commerciële partijen "benoemd" door er veel marketing tegenaan te gooien. Die hebben niet meer recht van spreken dan anderen, die hebben vooral veel meer geld om te zorgen dat hun boodschap doordringt tot het grote publiek.
We hebben het hier over een yubikey, wie in Nederland, behalve een paar nerds, weet wat het is en dat er zoveel soorten zijn en jezelf geld kosten.Door Anoniem: Stop eens met nerd oplossingen te benoemen. Het grootste deel van Nederland is hier helemaal niet mee bezig.
Als nerds geen nerd-oplossingen hadden aangereikt hadden we geen smartphones gehad, geen internet, geen pc's. Dat commerciële partijen de nerd-oplossingen vervolgens oppoetsen tot iets dat gelikt en laagdrempelig overkomt neemt niet weg dat het juist de nerds zijn die de basis hebben gelegd en nog steeds leggen.De dingen waar het grootste deel van Nederland wel mee bezig is hebben ze echt niet zelf bedacht, die zijn door die commerciële partijen "benoemd" door er veel marketing tegenaan te gooien. Die hebben niet meer recht van spreken dan anderen, die hebben vooral veel meer geld om te zorgen dat hun boodschap doordringt tot het grote publiek.
Door Anoniem:
Denk eens verder, denk aan de bevolking!
Ik zeg alleen dat het een mogelijkheid is, niet dat het moet. Ik geef die mogelijkheid aan omdat het een van de voordelen is van het volgen van een standaard. Denk je aan een hele bevolking dan moet je denken aan standaarden, pas dan weet je dat je niemand uitsluit.Door Anoniem: SMS controle is wat mij betreft prima. Nog beter gaan ze een standaard methode als TOTP gebruiken. Daar zijn 100'en implementaties van en zelfs mogelijkheden om het in hardware keys zoals bijvoorbeeld yubikeys op te slaan.
Ik denk, dat 99% van de Nederlandse bevolking niet weet wat een Yubikey is. Stop eens met die nerdy dingen als oplossing aan te reiken, omdat jullie er misschien iets van weten.Denk eens verder, denk aan de bevolking!
Er zijn mensen die bewust een telefoon hebben waarmee je enkel kunt bellen en Sms'en, bijvoorbeeld talloze senioren telefoons.
de sim swap is te makkelijk, daarom ben ik geen voorstander, maar het is beter als niets. die digid app zit anzich goed inelkaar daar heb ik geen moeite mee. als sim providers eens iets strikter waren, werdt het een stuk veiliger.
sms kan, liever een open source 2 factor.
mijn burgerschap achter een apple of google lock? NO THANKS!
mijn burgerschap achter een apple of google lock? NO THANKS!
Slecht idee want veel mensen hebben wel een pc of laptop waarmee ze zouden kunnen inloggen op DigiD maar geen extra apparaat waarop ze een sms kunnen ontvangen.
Door Anoniem: Als je telefoon 'overgenomen' is en je DigiD, dan is je sms ook lek.
Voorbeeld: sim-wissel-fraude.
Daarom heb ik i.p.v. mijn mobiele nummer mijn huisnummer opgegeven. Daarop komt die binnen als gesproken SMS en dat werkt prima.Voorbeeld: sim-wissel-fraude.
Bijkomend voordeel is dat mij DigiD alleen werkt vanuit mijn huis. Buitenshuis doe ik geen DigiD dingen, dus kans op misbruik is minimaal.
Ik denk, dat 99% van de Nederlandse bevolking niet weet wat een Yubikey is. Stop eens met die nerdy dingen als oplossing aan te reiken, omdat jullie er misschien iets van weten.
Denk eens verder, denk aan de bevolking!
Denk zelf eens verder dan enkel bevolking.Denk eens verder, denk aan de bevolking!
Denk aan ministers zoals Donner die nog altijd credentials hadden terwijl ze dat niet mochten hebben.
Daar was een OTP effectief geweest.
Als je de huidige DigiID setup zo verdedigt, met dit als tegenargument, dan heb je overduidelijk zelf nooit het gebruikersgemak van een Yubikey ervaren.
Hetgeen ik eveneens ruik in je "nerdy dingen als oplossing aan te reiken, omdat jullie er misschien iets van weten".
Verdiep (ahum) jezelf eens; wellicht is een klassieke Yubikey wel aanzienlijk eenvoudiger dan jij denkt.
Door Anoniem: Er zijn mensen die bewust een telefoon hebben waarmee je enkel kunt bellen en Sms'en, bijvoorbeeld talloze senioren telefoons.
Of telefoons hebben die niet gelinked zijn met een Apple meekijk netwerk, Google meekijknetwerk of in dienst staan van een van de andere reclame boeren op het internet.
Raar dat een overheid iedereen dwingt om gebruik te maken van een externe partij voor in essentie een NL Overheid login probleem. Al helemaal raar dat ze hiervoor reclame bedrijven gebruiken.
Yubikey, Fido. WebAUTHN, OTP zijn open standaarden heeft weinig met nerdiness te maken.
Het is ook niet dat het standaarden van de laatste maanden oid zijn. OTP bestaat slechts ~30 jaar.
de rest is ook al jaren oud... bekend, getest, zu kunnen zelfs ZONDER telefoon werken.
Door Anoniem:
Bijkomend voordeel is dat mij DigiD alleen werkt vanuit mijn huis. Buitenshuis doe ik geen DigiD dingen, dus kans op misbruik is minimaal.
Door Anoniem: Als je telefoon 'overgenomen' is en je DigiD, dan is je sms ook lek.
Voorbeeld: sim-wissel-fraude.
Daarom heb ik i.p.v. mijn mobiele nummer mijn huisnummer opgegeven. Daarop komt die binnen als gesproken SMS en dat werkt prima.Voorbeeld: sim-wissel-fraude.
Bijkomend voordeel is dat mij DigiD alleen werkt vanuit mijn huis. Buitenshuis doe ik geen DigiD dingen, dus kans op misbruik is minimaal.
Dat werkt zolang je niet eens voor een test een telefoon setje hebt aangesloten dat aan de telefooncentrale gemeld heeft dat het SMS teksten begrijpt.... vanaf dat moment heb je geen voice announcement meer. (one way street).
Als je smartphone gestolen is ook de 2FA via sms onmogelijk.
Maar ook waterschade of een kapot scherm hebben als direct effect dat 2FA via sms niet meer functioneert.
Alle diensten die DigiD identificatie / authenticatie verplichten zijn dan niet toegankelijk.
"Computer says no".
Mijn indruk is dat de afhankelijkheid van een fragiel apparaatje zoals een smartphone geen verbetering is.
Maar ook waterschade of een kapot scherm hebben als direct effect dat 2FA via sms niet meer functioneert.
Alle diensten die DigiD identificatie / authenticatie verplichten zijn dan niet toegankelijk.
"Computer says no".
Mijn indruk is dat de afhankelijkheid van een fragiel apparaatje zoals een smartphone geen verbetering is.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
No more ransomware!
De nieuwe Ransomware Awareness Experience training biedt een realistische maar vooral leuke introductie in de wereld van ransomware. De deelnemers ervaren hoe eenvoudig een organisatie het slachtoffer kan worden van ransomware en leren meteen hoe een besmetting kan worden voorkomen!