image

Belastingdienst verplicht DigiD-app of sms-controle voor inloggen op Mijn toeslagen

maandag 4 december 2023, 17:22 door Redactie, 23 reacties

Burgers die op Mijn toeslagen bij de Belastingdienst willen inloggen zullen dit vanaf 1 januari alleen met de DigiD-app of sms-controle kunnen doen. Alleen inloggen met een gebruikersnaam en wachtwoord is dan niet meer mogelijk, zo heeft de fiscus vandaag aangekondigd. Via Mijn toeslagen kunnen burgers allerlei toeslagen, zoals zorgtoeslag, huurtoeslag of kinderopvangtoeslag, aanvragen, wijzigen en stopzetten.

Op dit moment is het mogelijk om met alleen een DigiD-gebruikersnaam en wachtwoord in te loggen. "Vanaf 1 januari 2024 kunt u alleen nog inloggen op Mijn toeslagen met de DigiD app of met een sms-controle", aldus de Belastingdienst. "Door deze extra beveiliging zijn uw persoonlijke gegevens nog beter beschermd." Burgers die geen mobiele telefoon hebben, maar alleen een vaste telefoon, kunnen ook van inloggen met sms-controle gebruikmaken. Voor het inloggen met DigiD bij de Belastingdienst is sinds vorig jaar oktober al de app of sms-controle verplicht.

Reacties (23)
04-12-2023, 17:36 door Anoniem
Op zich goed dat de belastingdienst betere beveiliging eist, maar het blijft mij een doorn in het oog dat er voor 2FA geen alternatief is dat werkt zonder afhankelijkheid van een telefoon. Iets zoals een hardware token zou denk ik een goed alternatief zijn.
04-12-2023, 19:08 door Anoniem
Niet al te lang geleden wilden ze nog de controle via de "vaste" telefoon afschaffen. Dan was de overstap naar het worden van een autonome burger een optie geweest.

Overheid haat burger, burger (h)erkent de overheid niet meer.
04-12-2023, 19:51 door Anoniem
SMS... pffff, veel onveiliger dan een 2FA app met gegenereerde codes.
Ik ben vast niet de eerste die aan een stenen tijdperk refereert qua Nederlandse overheid en Cyberveiligheid...
04-12-2023, 20:00 door Anoniem
Als men geen SMS op de telefoon zelf wilt ontvangen kan men altijd een externe MiFi-router kopen met daarop SMS functionaliteit via een webinterface, doe ik zelf ook, niet dat dit het gevaar op simswappen verminderd, dat gaat veelal via social engineering, maar het is wel minder vervelend voor mensen die het nummer van hun eigen smartphone niet willen verbinden aan overheidsdiensten.
04-12-2023, 20:28 door Anoniem
Met de vaste telefoon werkte dit jaar fantastisch voor mijn belastingaangifte.

Niet dat ik een keuze had.
04-12-2023, 21:19 door Anoniem
Lekker op papier doen. Scheelt een hoop gedoe...
04-12-2023, 21:59 door Anoniem
Volgend jaar: "Belastingdienst verplicht DigiD-app voor inloggen".
05-12-2023, 08:14 door Anoniem
Door Anoniem: SMS... pffff, veel onveiliger dan een 2FA app met gegenereerde codes.
Ik ben vast niet de eerste die aan een stenen tijdperk refereert qua Nederlandse overheid en Cyberveiligheid...

Ooit ergens opgepikt dat het bij het ontwikkelen van producten gaat over een gouden drie-eenheid
- usability
- security
- features
... maar je mag er maar 2 kiezen. Inderdaad zal 2FA via SMS minder veilig zijn dan een hardware token. Maar iedereen heeft een telefoon, iedereen weet wat SMS is.Je hoeft er geen proces voor op te tuigen, geen licenties voor te betalen en de drempel voor hackers is best hoog. Want ga jij met je USRP bij tante Bep in de voortuin liggen totdat ze eindelijk een keer inlogt op haar "Mijn Toeslagen" omgeving?
05-12-2023, 08:56 door Anoniem
In denemarken doen ze dit wel goed. Daar MAG je een app gebruiken maar kun je ook kostenloos een hardware token krijgen, zelfs eenthe met grotere letters en eentje die het opleest voor blinden. Zo morilijk is het niet!
05-12-2023, 09:26 door Ron625
Helaas (!) is er voor mijn systeem geen DigiD-app, dat is het nadeel wanneer je tot een minderheid behoort.......
05-12-2023, 09:28 door karma4
Door Anoniem: SMS... pffff, veel onveiliger dan een 2FA app met gegenereerde codes.
Ik ben vast niet de eerste die aan een stenen tijdperk refereert qua Nederlandse overheid en Cyberveiligheid...
Ja haar douw alles in een APP waarmee big tech alles volgt. Een SMS zit in een andere technisch kring.
05-12-2023, 09:38 door Anoniem
Door Anoniem: SMS... pffff, veel onveiliger dan een 2FA app met gegenereerde codes.
Ik ben vast niet de eerste die aan een stenen tijdperk refereert qua Nederlandse overheid en Cyberveiligheid...

SMS, is inderdaad iets minder veilig dan andere 2FA opties, maar een overheid MOET ook rekening houden met mensen die daar niet mee om kunnen gaan. Daarom is de optie bieden om van SMS gebruik te maken, meer noodzaak.

Veel mensen beseffen niet hoeveel concessies de overheid moet doen, om voor elke burger toegankelijk te blijven. Dat is namelijk een wettelijke verplichting.
05-12-2023, 09:39 door Anoniem
Door Anoniem: SMS... pffff, veel onveiliger dan een 2FA app met gegenereerde codes.
Ik ben vast niet de eerste die aan een stenen tijdperk refereert qua Nederlandse overheid en Cyberveiligheid...
Het feit dat dit 2FA genoemd wordt, geeft al het onbegrip aan:
het is 3FA, want om in te loggen heb je nodig:
1. naam
2. wachtwoord
3. SMS code

On gebruik te maken van DigiD moet je dus 3 dingen weten.
In die zin is een code via SMS niet zo onveilig, want zonder de eerste twee kun je nog niets.

Het opslaan van zowel je naam als wachtwoord op je computer en dan met name je telefoon
is dan wel een bedenkelijke factor.
05-12-2023, 09:46 door Anoniem
Begin zo langzamerhand te vermoeden dat 2FA alleen maar is om mensen verplicht continu met een tracking device rond te laten lopen en connected zijn.

Vandaar ook die push naar al die apps, lekker allemaal continu data harvesten van de mensen in de matrix. Het moet toch gewoon normaal mogelijk blijven om geen telefoon te hebben of deze alleen incidenteel te gebruiken, wat is dit voor wereld?
05-12-2023, 09:50 door Anoniem
Door Anoniem: Niet al te lang geleden wilden ze nog de controle via de "vaste" telefoon afschaffen. Dan was de overstap naar het worden van een autonome burger een optie geweest.

Overheid haat burger, burger (h)erkent de overheid niet meer.

Ik als ambtenaar, zou toch wel graag willen weten waarom je het idee hebt dat de overheid burgers haat. Soms gaan er dingen niet goed, maar heel vaak gaat het ook wel goed. Wat zou een overheid winnen, met het haten van burgers? Ziet u dan een soort elitegroep voor zich, die samenkomt en bespreekt hoe de burger met een volgende stap te tergen?

Overigens kan ik u melden dat het worden van "een autonome burger", een hoax is. Een hoax waaraan veel malafide bedrijven, veel geld verdienen, ten koste van de burger, die denkt autonoom te kunnen worden. Lees ook het artikel in Trouw:
https://www.trouw.nl/verdieping/nederland-bestaat-niet-over-de-worsteling-met-de-autonome-burger~be9ae1fd/

U kunt als burger in Nederland NIET autonoom worden en dat is maar goed ook, want anders zouden we verzanden in een anarchie, waar het recht van de sterkste geldt.
05-12-2023, 10:21 door Anoniem
Belachelijk dat de DigiD app alleen werkt wanneer Google op de smartphone aanwezig is. heel raar.
05-12-2023, 10:39 door Anoniem
Door Anoniem:
Het feit dat dit 2FA genoemd wordt, geeft al het onbegrip aan:
het is 3FA, want om in te loggen heb je nodig:
1. naam
2. wachtwoord
3. SMS code

On gebruik te maken van DigiD moet je dus 3 dingen weten.
In die zin is een code via SMS niet zo onveilig, want zonder de eerste twee kun je nog niets.

Het opslaan van zowel je naam als wachtwoord op je computer en dan met name je telefoon
is dan wel een bedenkelijke factor.

Misschien begrijp je het zelf niet helemaal.
De combinatie gebruikersnaam/wachtwoord, is hetgeen wat je weet.
de 2FA bestaat uit iets wat je hebt, dus je telefoon in het geval van SMS of app.
05-12-2023, 11:38 door Anoniem
Door Anoniem:
Door Anoniem:
Het feit dat dit 2FA genoemd wordt, geeft al het onbegrip aan:
het is 3FA, want om in te loggen heb je nodig:
1. naam
2. wachtwoord
3. SMS code

On gebruik te maken van DigiD moet je dus 3 dingen weten.
In die zin is een code via SMS niet zo onveilig, want zonder de eerste twee kun je nog niets.

Het opslaan van zowel je naam als wachtwoord op je computer en dan met name je telefoon
is dan wel een bedenkelijke factor.

Misschien begrijp je het zelf niet helemaal.
De combinatie gebruikersnaam/wachtwoord, is hetgeen wat je weet.
de 2FA bestaat uit iets wat je hebt, dus je telefoon in het geval van SMS of app.
Ik begrijp juist heel goed dat 2FA verwarrend jargon is.

De realiteit is namelijk dat je drie dingen moet invoeren om in te loggen.
Wat betekent dat als iemand de inlogcode voor SMS ontvangt nog verder niets kan
zonder die `naam' en `wachtwoord'.
Bovendien denk ik dat als iemand jouw sim heeft overgenomen
je dan helemaal geen SMS meer krijgt op je telefoon.
Dus dan merk je gelijk dat er iets mis is.
Dus zo onveilig is SMS als "extraFA" niet.
05-12-2023, 13:22 door Anoniem
Door Anoniem:
Het feit dat dit 2FA genoemd wordt, geeft al het onbegrip aan:
het is 3FA, want om in te loggen heb je nodig:
1. naam
2. wachtwoord
3. SMS code

On gebruik te maken van DigiD moet je dus 3 dingen weten.
Ik begrijp juist heel goed dat 2FA verwarrend jargon is.
Je demonstreert in ieder geval dat het heel verwarrend voor jou is. ;-)

Kijk nog eens naar het DigiD-inlogscherm voor als je SMS gebruikt. De gebruikersnaam is zichtbaar als je hem intypt, het wachtwoord is verborgen. Bij de gebruikersnaam is het niet erg als een ander die meekijkt het kan zien, bij het wachtwoord wel. Je moet die gebruikersnaam inderdaad weten om in te kunnen loggen, maar de beveiliging wordt niet verzwakt als een ander hem ziet, daarom is hij gewoon zichtbaar.

De factoren zijn dingen waarvan de bedoeling is dat alleen jij erover kan beschikken. De gebruikersnaam is niet geheim. DigiD zelf kent hem bijvoorbeeld ook. De gebruikersnaam telt daarom niet mee als factor.

Er zijn drie typen factoren: iets dat je kent, iets dat je hebt en iets dat je bent. Het idee van 2FA is dat je een combinatie van twee van die typen moet inzetten om toegang te krijgen. Het aantal dingen dat je moet invoeren is niet waar het om gaat.

Iets dat je kent is een wachtwoord of pincode. Iets dat je hebt is een apparaat of bij een SMS een telefoonnummer waarvan je moet bewijzen dat je er inderdaad over beschikt. De SMS-code wordt naar je telefoonnummer gestuurd, en jij kan bewijzen dat je over dat telefoonnummer beschikt door de ontvangen code in de webpagina in te typen. Bij gebruik van een app is de toegang aan een security key gekoppeld die uniek is voor de smartphone waarop die app draait. Iets dat je bent tenslotte is biometrie, een vingerafdruk of gezichtsscan of zo.

Inloggen op DigiD met SMS is 2FA omdat er twee van deze dingen gebruikt worden: een wachtwoord om te bewijzen dat je iets kent en een SMS om te bewijzen dat je over je telefoonnummer beschikt.
05-12-2023, 14:00 door Anoniem
Door Anoniem: Belachelijk dat de DigiD app alleen werkt wanneer Google op de smartphone aanwezig is. heel raar.
bijzonder dat ik hem ook op mijn ipad heb draaien.
05-12-2023, 14:35 door Anoniem
Door Anoniem:
Door Anoniem: Niet al te lang geleden wilden ze nog de controle via de "vaste" telefoon afschaffen. Dan was de overstap naar het worden van een autonome burger een optie geweest.

Overheid haat burger, burger (h)erkent de overheid niet meer.

Ik als ambtenaar, zou toch wel graag willen weten waarom je het idee hebt dat de overheid burgers haat. Soms gaan er dingen niet goed, maar heel vaak gaat het ook wel goed. Wat zou een overheid winnen, met het haten van burgers? Ziet u dan een soort elitegroep voor zich, die samenkomt en bespreekt hoe de burger met een volgende stap te tergen?
Overheid haat onbewust burgers. Individuele ambtenaren denken graag dat ze het goed willen doen voor de burgers totdat een burger "lastig" is = niet doet wat ambtenaren bedacht hebben dat ze moeten doen. Moet je kijken hoe ambtenaren reageren als een burger kritisch is... Welke onbewuste of toch wel een ietsiepietsie bewuste truukjes ze dan gebruiken om als overheid toch hun zin door te drukken.

Overigens kan ik u melden dat het worden van "een autonome burger", een hoax is. Een hoax waaraan veel malafide bedrijven, veel geld verdienen, ten koste van de burger, die denkt autonoom te kunnen worden. Lees ook het artikel in Trouw:
https://www.trouw.nl/verdieping/nederland-bestaat-niet-over-de-worsteling-met-de-autonome-burger~be9ae1fd/

U kunt als burger in Nederland NIET autonoom worden en dat is maar goed ook, want anders zouden we verzanden in een anarchie, waar het recht van de sterkste geldt.
Autonomie is niet hetzelfde als anarchie. Autonome burgers betekent dat je als ambtenaar respectvol moet samenwerken met burgers. Dat willen (bijna alle) ambtenaren niet zodra die burgers een eigen wil tonen en dan roepen die ambtenaren "Dat is anarchie!" omdat ze zelf even niet 100% de controle hebben.

En oh ja... ik ben ambtenaar dus dit zeg ik niet hardop op mijn werk want dan zou ik er snel uitliggen. Zeg maar "functie elders" nu dat het toch gaat over "Mijn toeslagen".
05-12-2023, 15:50 door Anoniem
Je moet die gebruikersnaam inderdaad weten om in te kunnen loggen, maar de beveiliging wordt niet verzwakt als een ander hem ziet,
Dat is dus al een bedenkelijk aanname, want als iemand je gebruikersnaam niet weet kan die niet succesvol inloggen, ook al heeft die een wachtwoord en SMS onderschept.
Dat DigiD mijn gebruikersnaam weet, is inderdaad bedenkelijker, maar als ze mijn wachtwoord niet kunnen achterhalen, til ik daar niet zo zwaar aan.

Waar het mij dus om gaat, is dat je drie dingen moet invoeren om succesvol in te kunnen loggen:
je gebruikersnaam, wachtwoord en SMS-code die je krijgt via DIgiD.
In dat licht bezien is SMS echt niet zo onveilig als vaak gesteld wordt, zeker als je niet inlogt met de computer in je telefoon maar met een andere computer.
06-12-2023, 00:52 door Anoniem
Door Anoniem: Belachelijk dat de DigiD app alleen werkt wanneer Google op de smartphone aanwezig is. heel raar.
Bij Logius (zie hun site) vinden zij het heel normaal om data/persoonsgegevens te delen met Google. Dan is daar uiteraard ook totaal geen noodzaak om dit aan te passen.
Zoveelste 'bedrijf' dat de privacy van de klant ondergeschikt vindt.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.