Poll
image

Sms-controle bij DigiD:

maandag 12 juni 2023, 21:17 door Redactie, 37 reacties
GoediD
44.64%
SlechtiD
40.3%
GeeniD
15.06%
Reacties (37)
12-06-2023, 22:54 door johanw
Ik wil best die app gebruiken maarom een mij onbekende reden doet die niks als de qr code in camera beeld komt. Andere qr codes (bankapp bv.) kan die telefoon goed lezen dus het ligt niet aan de hardware.
12-06-2023, 23:45 door Anoniem
Ik wil geen app van de overheid op mijn mobiel. Als ik de open source 2FA app kan gebruiken die ik voor andere diensten voor 2FA gebruik kan gebruiken dan heeft dat mijn voorkeur op sms.
13-06-2023, 07:45 door Anoniem
Alternatief is om iedereen te verplichten een device te hebben waarop zo'n app kan draaien. En dat uiteraard elke paar jaar te moeten vervangen omdat het dan 'verouderd' is. Hoezo afvalberg?

Dat hele digid-gedoe is al niks. Met een app wordt het niet beter. Als de overheid wat van me wil, dan sturen ze maar een brief. En dan krijgen ze per brief antwoord. Veel goedkoper dan er een tablet of een 'smartfoon' op na gaan houden.
13-06-2023, 09:17 door Anoniem
SMS is dringend aan vervanging toe, maar de smartphone-gebaseerde vervanging die nu beschikbaar is volstaat voor mij evenmin. SMS moet afgeschaft worden, maar dan moet er wel een alternatief zijn dat voor iedereen die internettoegang heeft bruikbaar is, zonder dat je daarmee een of ander platform van big tech binnen gezogen wordt. Zolang dat er niet is is het handhaven van SMS, ondanks de bezwaren ertegen, een goed idee. Ik vindt het dus zowel SlechtiD als (bij gebrek aan een acceptabel alternatief) GoediD, dus heb ik maar GeeniD aangevinkt. Wat ook niet echt een goed antwoord is want het is niet zo dat ik geen mening erover heb.
13-06-2023, 10:47 door Anoniem
Als je telefoon 'overgenomen' is en je DigiD, dan is je sms ook lek.

Voorbeeld: sim-wissel-fraude.
13-06-2023, 11:05 door Anoniem
SMS berichten moetje niet willen is niet beveiligd.....van daar houd mijn beveiliging het in de gaten...goed plan
13-06-2023, 11:46 door Anoniem
Door Anoniem: Als je telefoon 'overgenomen' is en je DigiD, dan is je sms ook lek.

Voorbeeld: sim-wissel-fraude.
Hoe vaak is dat gebeurd in Nederland?
13-06-2023, 13:13 door Anoniem
Gestemd voor GeenID: ik snap prima dat SMS een bijzonder zwakke MFA factor is, maar het is veel beter dan niets. Voor een hoop mensen (en echt niet perse de domste/bejaardste) is MFA lastig om in te stellen, en daar kunnen we meesmuilend over doen, maar wat dan? Dan maar helemaal geen extra factor? Ik denk dat het beter is om DigID een eenvoudiger te gebruiken extra factor te geven in plaats van zonder boe of bah de SMS optie er maar uit te gooien.
13-06-2023, 13:16 door Anoniem
Door Anoniem:
Door Anoniem: Als je telefoon 'overgenomen' is en je DigiD, dan is je sms ook lek.

Voorbeeld: sim-wissel-fraude.
Hoe vaak is dat gebeurd in Nederland?

Als ik zoek op simswap op security.nl: in NL niet vaak - 2 keer zo te zien -, maar wel met behoorlijk wat impact:
https://www.security.nl/search?origin=frontpage&keywords=sim+swap
13-06-2023, 13:31 door Anoniem
Mis de optie: 'DigiD is geen GoediD'.
13-06-2023, 13:37 door Anoniem
De standaard SMS-app (ook het toetsenbord) van Google (even vervangen met die in F-Droid), deelt de hele dag daar data met de servers van Google. Kan natuurlijk 'n keer iets 'misgaan' bij Google en dat teksten daar leesbaar zijn.
Dat kan je sowieso dan niet als veilig bestellen.

Dan heb je de DigiD app, ook die is niet veilig, want ook die deelt continu data met Google (en Microsoft).
13-06-2023, 14:09 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Als je telefoon 'overgenomen' is en je DigiD, dan is je sms ook lek.

Voorbeeld: sim-wissel-fraude.
Hoe vaak is dat gebeurd in Nederland?

Als ik zoek op simswap op security.nl: in NL niet vaak - 2 keer zo te zien -, maar wel met behoorlijk wat impact:
https://www.security.nl/search?origin=frontpage&keywords=sim+swap
Dus voor die twee keer moet het hele SMS gebeuren op de schop?
13-06-2023, 14:15 door Anoniem
Tsja... Hoe onveilig is die SMS dan? Die code is eenmalig en korte tijd. Dus dat-ie een uur later op straat ligt, is niet zo relevant meer. Dat een ander codes kan versturen evenmin.
Dus het enige scenario waarin het fout gaat, is de SMS bij de provider real-time onderscheppen naast UID/PWD kennen. Immers, de telefoon van de gebruiker 'hacken' wil niet zo. Als het een smartfoon zou zijn geweest, dan had die app wel gedraaid. Ja, kan. Erg grote kans?
13-06-2023, 15:00 door Anoniem
Door Anoniem: Tsja... Hoe onveilig is die SMS dan? Die code is eenmalig en korte tijd. Dus dat-ie een uur later op straat ligt, is niet zo relevant meer. Dat een ander codes kan versturen evenmin.
Dus het enige scenario waarin het fout gaat, is de SMS bij de provider real-time onderscheppen naast UID/PWD kennen. Immers, de telefoon van de gebruiker 'hacken' wil niet zo. Als het een smartfoon zou zijn geweest, dan had die app wel gedraaid. Ja, kan. Erg grote kans?

Sim swaps zijn ook een risico, en dar kan je als klant heel weinig aan doen, aangezien rechters de telecomboeren gewoon vrijspreken ls ze iets fout doen. (https://www.security.nl/posting/798595/T-Mobile+hoeft+diefstal+van+17_500+euro+aan+crypto+na+sim-swap+niet+te+vergoeden)

SMS is dus wel vatbaar voor gerichte aanvallen en er moet dus iets komen dat dit vervangt. Zelf vind ik dat een oplossing geen vereiste heeft welke een afhankelijkheid creëert van partijen zoals Google of Apple. Dat kan bijvoorbeeld door een hardware reader zoals de banken die ook al inzetten of middels een soort van FIDO token.
13-06-2023, 22:34 door Anoniem
Door Anoniem:
Door Anoniem: Tsja... Hoe onveilig is die SMS dan? Die code is eenmalig en korte tijd. Dus dat-ie een uur later op straat ligt, is niet zo relevant meer. Dat een ander codes kan versturen evenmin.
Dus het enige scenario waarin het fout gaat, is de SMS bij de provider real-time onderscheppen naast UID/PWD kennen. Immers, de telefoon van de gebruiker 'hacken' wil niet zo. Als het een smartfoon zou zijn geweest, dan had die app wel gedraaid. Ja, kan. Erg grote kans?

Sim swaps zijn ook een risico, en dar kan je als klant heel weinig aan doen, aangezien rechters de telecomboeren gewoon vrijspreken ls ze iets fout doen. (https://www.security.nl/posting/798595/T-Mobile+hoeft+diefstal+van+17_500+euro+aan+crypto+na+sim-swap+niet+te+vergoeden)

SMS is dus wel vatbaar voor gerichte aanvallen en er moet dus iets komen dat dit vervangt. Zelf vind ik dat een oplossing geen vereiste heeft welke een afhankelijkheid creëert van partijen zoals Google of Apple. Dat kan bijvoorbeeld door een hardware reader zoals de banken die ook al inzetten of middels een soort van FIDO token.
Stop eens met nerd oplossingen te benoemen. Het grootste deel van Nederland is hier helemaal niet mee bezig.
14-06-2023, 08:09 door Anoniem
SMS controle is wat mij betreft prima. Nog beter gaan ze een standaard methode als TOTP gebruiken. Daar zijn 100'en implementaties van en zelfs mogelijkheden om het in hardware keys zoals bijvoorbeeld yubikeys op te slaan.
14-06-2023, 09:58 door Anoniem
Door Anoniem: SMS controle is wat mij betreft prima. Nog beter gaan ze een standaard methode als TOTP gebruiken. Daar zijn 100'en implementaties van en zelfs mogelijkheden om het in hardware keys zoals bijvoorbeeld yubikeys op te slaan.
Ik denk, dat 99% van de Nederlandse bevolking niet weet wat een Yubikey is. Stop eens met die nerdy dingen als oplossing aan te reiken, omdat jullie er misschien iets van weten.
Denk eens verder, denk aan de bevolking!
14-06-2023, 10:51 door Anoniem
Door Anoniem:
Door Anoniem: SMS controle is wat mij betreft prima. Nog beter gaan ze een standaard methode als TOTP gebruiken. Daar zijn 100'en implementaties van en zelfs mogelijkheden om het in hardware keys zoals bijvoorbeeld yubikeys op te slaan.
Ik denk, dat 99% van de Nederlandse bevolking niet weet wat een Yubikey is. Stop eens met die nerdy dingen als oplossing aan te reiken, omdat jullie er misschien iets van weten.
Denk eens verder, denk aan de bevolking!


Dit gaat allemaal opgelost worden mbv het Europese digitale ID-bewijs :-)
14-06-2023, 12:01 door Anoniem
HatsiekiD, alleen vanwege de leuke woordspeling heb ik gestemd
14-06-2023, 12:55 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: SMS controle is wat mij betreft prima. Nog beter gaan ze een standaard methode als TOTP gebruiken. Daar zijn 100'en implementaties van en zelfs mogelijkheden om het in hardware keys zoals bijvoorbeeld yubikeys op te slaan.
Ik denk, dat 99% van de Nederlandse bevolking niet weet wat een Yubikey is. Stop eens met die nerdy dingen als oplossing aan te reiken, omdat jullie er misschien iets van weten.
Denk eens verder, denk aan de bevolking!


Dit gaat allemaal opgelost worden mbv het Europese digitale ID-bewijs :-)
Weten ze dan opeens wel wat een yubikey is?
14-06-2023, 15:30 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem: Als je telefoon 'overgenomen' is en je DigiD, dan is je sms ook lek.

Voorbeeld: sim-wissel-fraude.
Hoe vaak is dat gebeurd in Nederland?

Als ik zoek op simswap op security.nl: in NL niet vaak - 2 keer zo te zien -, maar wel met behoorlijk wat impact:
https://www.security.nl/search?origin=frontpage&keywords=sim+swapping
Dus voor die twee keer moet het hele SMS gebeuren op de schop?

Met de zoekterm "sim swapping" tel ik meer dan vijftig artikelen sinds eind 2018, met een toename over de laatste jaren.
14-06-2023, 16:16 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem: Als je telefoon 'overgenomen' is en je DigiD, dan is je sms ook lek.

Voorbeeld: sim-wissel-fraude.
Hoe vaak is dat gebeurd in Nederland?

Als ik zoek op simswap op security.nl: in NL niet vaak - 2 keer zo te zien -, maar wel met behoorlijk wat impact:
https://www.security.nl/search?origin=frontpage&keywords=sim+swapping
Dus voor die twee keer moet het hele SMS gebeuren op de schop?

Met de zoekterm "sim swapping" tel ik meer dan vijftig artikelen sinds eind 2018, met een toename over de laatste jaren.
Ja en? Zijn wij dan zoooo belangrijk, dat wij ons zorgen moeten maken om die swap?
15-06-2023, 07:17 door Anoniem
Door Anoniem: Stop eens met nerd oplossingen te benoemen. Het grootste deel van Nederland is hier helemaal niet mee bezig.
Als nerds geen nerd-oplossingen hadden aangereikt hadden we geen smartphones gehad, geen internet, geen pc's. Dat commerciële partijen de nerd-oplossingen vervolgens oppoetsen tot iets dat gelikt en laagdrempelig overkomt neemt niet weg dat het juist de nerds zijn die de basis hebben gelegd en nog steeds leggen.

De dingen waar het grootste deel van Nederland wel mee bezig is hebben ze echt niet zelf bedacht, die zijn door die commerciële partijen "benoemd" door er veel marketing tegenaan te gooien. Die hebben niet meer recht van spreken dan anderen, die hebben vooral veel meer geld om te zorgen dat hun boodschap doordringt tot het grote publiek.
15-06-2023, 10:51 door Anoniem
Door Anoniem: Ja en? Zijn wij dan zoooo belangrijk, dat wij ons zorgen moeten maken om die swap?

Mocht overmorgen onverhoopt ook uw bank- en spaarrekeningen leeg worden geplunderd, dan piept u wel anders.
15-06-2023, 11:25 door Anoniem
Door Anoniem:
Door Anoniem: Stop eens met nerd oplossingen te benoemen. Het grootste deel van Nederland is hier helemaal niet mee bezig.
Als nerds geen nerd-oplossingen hadden aangereikt hadden we geen smartphones gehad, geen internet, geen pc's. Dat commerciële partijen de nerd-oplossingen vervolgens oppoetsen tot iets dat gelikt en laagdrempelig overkomt neemt niet weg dat het juist de nerds zijn die de basis hebben gelegd en nog steeds leggen.

De dingen waar het grootste deel van Nederland wel mee bezig is hebben ze echt niet zelf bedacht, die zijn door die commerciële partijen "benoemd" door er veel marketing tegenaan te gooien. Die hebben niet meer recht van spreken dan anderen, die hebben vooral veel meer geld om te zorgen dat hun boodschap doordringt tot het grote publiek.
We hebben het hier over een yubikey, wie in Nederland, behalve een paar nerds, weet wat het is en dat er zoveel soorten zijn en jezelf geld kosten.
15-06-2023, 17:23 door Anoniem
Door Anoniem:
Door Anoniem: SMS controle is wat mij betreft prima. Nog beter gaan ze een standaard methode als TOTP gebruiken. Daar zijn 100'en implementaties van en zelfs mogelijkheden om het in hardware keys zoals bijvoorbeeld yubikeys op te slaan.
Ik denk, dat 99% van de Nederlandse bevolking niet weet wat een Yubikey is. Stop eens met die nerdy dingen als oplossing aan te reiken, omdat jullie er misschien iets van weten.
Denk eens verder, denk aan de bevolking!
Ik zeg alleen dat het een mogelijkheid is, niet dat het moet. Ik geef die mogelijkheid aan omdat het een van de voordelen is van het volgen van een standaard. Denk je aan een hele bevolking dan moet je denken aan standaarden, pas dan weet je dat je niemand uitsluit.
15-06-2023, 19:13 door Anoniem
Er zijn mensen die bewust een telefoon hebben waarmee je enkel kunt bellen en Sms'en, bijvoorbeeld talloze senioren telefoons.
16-06-2023, 10:50 door Anoniem
de sim swap is te makkelijk, daarom ben ik geen voorstander, maar het is beter als niets. die digid app zit anzich goed inelkaar daar heb ik geen moeite mee. als sim providers eens iets strikter waren, werdt het een stuk veiliger.
16-06-2023, 13:17 door Anoniem
sms kan, liever een open source 2 factor.

mijn burgerschap achter een apple of google lock? NO THANKS!
16-06-2023, 14:39 door Anoniem
Mis nog 1 optie in de poll:

VerkeerdiD.
16-06-2023, 15:26 door Anoniem
Slecht idee want veel mensen hebben wel een pc of laptop waarmee ze zouden kunnen inloggen op DigiD maar geen extra apparaat waarop ze een sms kunnen ontvangen.
17-06-2023, 17:19 door Anoniem
Zolang er geen ander alternatief voor de app is, blijft 't sms...
19-06-2023, 08:28 door Anoniem
Door Anoniem: Als je telefoon 'overgenomen' is en je DigiD, dan is je sms ook lek.

Voorbeeld: sim-wissel-fraude.
Daarom heb ik i.p.v. mijn mobiele nummer mijn huisnummer opgegeven. Daarop komt die binnen als gesproken SMS en dat werkt prima.
Bijkomend voordeel is dat mij DigiD alleen werkt vanuit mijn huis. Buitenshuis doe ik geen DigiD dingen, dus kans op misbruik is minimaal.
19-06-2023, 10:38 door Anoniem
Ik denk, dat 99% van de Nederlandse bevolking niet weet wat een Yubikey is. Stop eens met die nerdy dingen als oplossing aan te reiken, omdat jullie er misschien iets van weten.
Denk eens verder, denk aan de bevolking!
Denk zelf eens verder dan enkel bevolking.
Denk aan ministers zoals Donner die nog altijd credentials hadden terwijl ze dat niet mochten hebben.
Daar was een OTP effectief geweest.

Als je de huidige DigiID setup zo verdedigt, met dit als tegenargument, dan heb je overduidelijk zelf nooit het gebruikersgemak van een Yubikey ervaren.
Hetgeen ik eveneens ruik in je "nerdy dingen als oplossing aan te reiken, omdat jullie er misschien iets van weten".
Verdiep (ahum) jezelf eens; wellicht is een klassieke Yubikey wel aanzienlijk eenvoudiger dan jij denkt.
19-06-2023, 11:20 door Anoniem
Door Anoniem: Er zijn mensen die bewust een telefoon hebben waarmee je enkel kunt bellen en Sms'en, bijvoorbeeld talloze senioren telefoons.

Of telefoons hebben die niet gelinked zijn met een Apple meekijk netwerk, Google meekijknetwerk of in dienst staan van een van de andere reclame boeren op het internet.

Raar dat een overheid iedereen dwingt om gebruik te maken van een externe partij voor in essentie een NL Overheid login probleem. Al helemaal raar dat ze hiervoor reclame bedrijven gebruiken.

Yubikey, Fido. WebAUTHN, OTP zijn open standaarden heeft weinig met nerdiness te maken.
Het is ook niet dat het standaarden van de laatste maanden oid zijn. OTP bestaat slechts ~30 jaar.
de rest is ook al jaren oud... bekend, getest, zu kunnen zelfs ZONDER telefoon werken.
19-06-2023, 11:24 door Anoniem
Door Anoniem:
Door Anoniem: Als je telefoon 'overgenomen' is en je DigiD, dan is je sms ook lek.

Voorbeeld: sim-wissel-fraude.
Daarom heb ik i.p.v. mijn mobiele nummer mijn huisnummer opgegeven. Daarop komt die binnen als gesproken SMS en dat werkt prima.
Bijkomend voordeel is dat mij DigiD alleen werkt vanuit mijn huis. Buitenshuis doe ik geen DigiD dingen, dus kans op misbruik is minimaal.

Dat werkt zolang je niet eens voor een test een telefoon setje hebt aangesloten dat aan de telefooncentrale gemeld heeft dat het SMS teksten begrijpt.... vanaf dat moment heb je geen voice announcement meer. (one way street).
13-07-2023, 14:20 door Anoniem
Als je smartphone gestolen is ook de 2FA via sms onmogelijk.

Maar ook waterschade of een kapot scherm hebben als direct effect dat 2FA via sms niet meer functioneert.
Alle diensten die DigiD identificatie / authenticatie verplichten zijn dan niet toegankelijk.
"Computer says no".

Mijn indruk is dat de afhankelijkheid van een fragiel apparaatje zoals een smartphone geen verbetering is.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.