Logius: acht miljoen DigiD-gebruikers hebben ID-check aan app toegevoegd
Acht miljoen gebruikers van de DigiD-app hebben de ID-check toegevoegd, waardoor ze op een hoger betrouwbaarheidsniveau bij overheidsinstanties kunnen inloggen. Dat laat overheidsinstantie Logius vandaag bij de presentatie van de nieuwe versie van de app weten. DigiD biedt verschillende betrouwbaarheidsniveaus, die bepalen hoe zeker een organisatie kan zijn over de identiteit van de gebruiker.
Het basisniveau bestaat uit een gebruikersnaam met wachtwoord. Dan is het er het middenniveau waarbij de gebruiker kiest voor inloggen met de DigiD-app of voor een sms-controle. Als derde is er het substantiële niveau. Dit niveau is bijvoorbeeld vereist wanneer er met extra privacygevoelige gegevens wordt gewerkt. Het kan dan bijvoorbeeld gaan om gegevens over de gezondheid. Om deze gegevens in te zien is er een eenmalige ID-check van de gebruiker nodig.
De DigiD-app kan worden opgewaardeerd naar het substantiële betrouwbaarheidsniveau. Hiervoor moet er eenmalig een extra controle (ID-check) van het paspoort, rijbewijs of identiteitskaart aan de app worden toegevoegd. Op telefoons met een NFC-lezer controleert de DigiD-app de gegevens op de chip van het identiteitsbewijs. De gegevens worden vervolgens gecontroleerd bij de Rijksdienst voor Identiteitsgegevens of het rijbewijzenregister van de RDW.
DigiD slaat de gegevens niet op, maar registreert alleen dat de controle correct is uitgevoerd. De controle is eenmalig. Daarna is de DigiD-app geschikt om in te loggen bij de organisaties die deze extra zekerheid vereisen. Zo is het mogelijk om extra privacygevoelige gegevens in te zien of te wijzigen, zoals gezondheidsgegevens. Volgens Logius eisen steeds meer organisaties de ID-check tijdens het inloggen.
Nieuwe versie
De nieuwe versie van de DigiD-app biedt de optie om de ID-check over te slaan. "Tijdens een test bleek dat sommige mensen liever niet direct de ID-check uitvoeren tijdens het activeren van de app. Dit is een eenmalige scan van een identiteitsbewijs. Het is voortaan mogelijk om deze stap op een later moment alsnog te doen", aldus Logius.
Daarnaast hoeven gebruikers niet meer tijdens het activeren aan te geven dat ze standaard met tweefactorauthenticatie willen inloggen, maar kan dit ook op een later moment. Verder zijn verschillende processen in de app anders ingericht, wat het gebruik eenvoudiger voor gebruikers zou moeten maken.
TheYOSH
Om vervolgens malafide ports te krijgen in de F-Doid store wegens een falende check?
De overheid kan ook leveranciersonafhankelijk worden in dit opzicht als er een open standaard is, iets FIDO-achtigs, die volstaat voor de hogere (liefst hoogste) betrouwbaarheidsniveaus die de overheid hanteert. Dan kunnen verschillende leveranciers tokens leveren die aan die standaard voldoen, en de implementaties moeten dan natuurlijk gecertificeerd worden voor de overheid ze accepteert. Dit zouden landen samen moeten oppakken, de EU zou er bijvoorbeeld serieus werk van kunnen maken om zoiets te ontwikkelen, maar het kan veel groter dan alleen de EU zijn, dit is voor alle landen interessant. Ik neem even aan dat er niet al iets bestaat dat voldoet.
De overheid heeft beleid voor open standaards en open source, maar kennelijk zien ze zichzelf alleen maar als gebruiker van wat er toevallig voorhanden is en komen ze niet op het idee dat ze een actieve rol kunnen spelen in het ontwikkelen van open standaards waar de overheid de eisen voor bepaalt. In plaats daarvan lijkt het erop dat ze de implementatie de markt ingooien zodat er allerlei leveranciers het als dienst leveren waar je vast abonnementsgeld voor zal moeten betalen, en daartoe ongetwijfeld het liefst een app voor op de smartphone leveren zodat het de afhankelijkheid van de big tech-platforms niet helpt verminderen.
1. App op de website van DigiD zelf als download aanbieden. Of:
2. Een PWA maken naast de native app.
Graphene OS, waarbij afscherming van applicatie verbeterd is.
Evt kun je googlezooi onder een apart account instaleren waarbij google een reguliere beperkte gebruiker is.
Ik durf te stellen dat er meer malware in de playstore staat dan op f-droid..., waarbij de playstore een blauwe ogen, vertrouw me... Verhaal is en f-droid grotendeels controleerbaar is.
Voor identificatie etc... Kijk eens naar Yivy.
FIDO sleutels zijn goed bruikbaar.
Tot op de dag van vandaag heeft Logius nog altijd niet uitgelegd welke data en persoonsgegevens nu met Microsoft en Google gedeeld worden.
super fijn allemaal :P
ga binnenkort dat eens proberen. want nee ik wil geen big tech in mijn burgerschap. dat zou ook niet moeten.
de deur uit met al dat verapp gedrag.
over alternatieven:
gewone 2factor voor inloggen zodat je keuze vrijheid hebt ipv al die speciale zooi...
en hoe veilig de 'app' ook is.. je BSN wordt door elke instantie 3 keer op een brief geprint zonder reden. allemaal smoke mirrors en doen alsof ze het voor jou doen..
Graphene OS, waarbij afscherming van applicatie verbeterd is.
Evt kun je googlezooi onder een apart account instaleren waarbij google een reguliere beperkte gebruiker is.
Ik vind overigens dat sterke authenticatie het verdient om via een gespecialiseerd apparaatje te lopen waarop je geen andere apps kan installeren en wat ook geen complex besturingssysteem bevat om het combineren van al die apps op één apparaat te faciliteren. Dat is namelijk onvermijdelijk complex (al is die complexiteit grotendeels onzichtbaar voor de gebruiker), en complexiteit is de vijand van veiligheid. Ik zou graag een open standaard voor hardwaretokens zien die aan de hoogste beveiligingseisen van overheden, banken etc. voldoen, en dat allerlei bedrijven en instanties die standaard ondersteunen terwijl hardwarefabrikanten die apparaatjes maken. Je moet één apparaatje overal voor kunnen gebruiken.
Ik weet dat er zat mensen zijn die dat totaal zouden afwijzen omdat ze voor maximaal gemak gaan en daarom alles op hun smartphone willen. Enerzijds: prima, maak naast ondersteuning voor die hardwaretokens ook een app als je dat wilt faciliteren als bedrijf of overheidsinstantie; anderzijds: die mensen zijn verwende nesten. Veiligheid is niet gediend met gedachteloos gemak, veiligheid is gediend met zorgvuldigheid. Het zou vreselijk makkelijk zijn als je mocht autorijden zonder eerst een rijbewijs te halen, maar uit veiligheidsoverwegingen wordt niet aan die gemakzucht toegegeven en moet dat lastige rijbewijs toch. In de IT is de norm ontstaan om vol overgave alles op alles te zetten om gemakzucht en gedachteloosheid te faciliteren. Die neiging is wat mij betreft aan herziening toe.
Dat staat op de Privacyverklaring van de DigiD app en website vermeld: Er worden geen persoonsgegevens gedeeld.
https://www.digid.nl/over-digid/privacy/
Onder de instellingen van de DigiD app kan men desgewenst het verzamelen van statistieken door DigiD uitschakelen.
DigiD werkt onder /e/OS zolang je de DigiD app en de bezochte website op een en hetzelfde apparaat gebruikt. Wat (nog) niet werkt, is het gebruik van een koppelcode voor het uitlezen van de getoonde QR-code op een ander apparaat.
De Rabo en ING bank apps werken onder /e/OS. Daarvoor wordt microG gebruikt met het SafetyNet van Google. De App Lounge verkrijgt de apps rechtstreeks vanuit de Google Play store. Dat kan ook 'anoniem', zonder Google account.
https://www.security.nl/posting/809868#posting810741
DigiD en bankieren werken onder GrapheneOS alleen als je Google services installeert.
https://grapheneos.org/usage#banking-apps
Losse hardwaretokens: de meeste banken hebben die (nog) wel. Voor DigiD zou misschien het beste zijn, maar dat gaat (voorlopig) niet gebeuren, en dat is niet alleen vanwege de Hollandse koopmansgeest en zuinigheid. Want er is nog een ander probleem: menig Windows PC thuis is domweg niet veilig genoeg, omdat het desktop model zwaar verouderd is.
https://madaidans-insecurities.github.io/security-privacy-advice.html
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
