Inloggen op Mijn toeslagen voortaan verplicht via DigiD-app of sms-controle
Burgers die bij de Dienst Toeslagen van het ministerie van Financiën hun toeslagen willen regelen moeten voortaan verplicht inloggen via de DigiD-app of sms-controle. Het inloggen met alleen een gebruikersnaam en wachtwoord op 'Mijn toeslagen' is niet meer mogelijk. Via Mijn toeslagen kunnen burgers allerlei toeslagen, zoals zorgtoeslag, huurtoeslag of kinderopvangtoeslag, aanvragen, wijzigen en stopzetten.
Oorspronkelijk zou het vanaf 1 januari verplicht worden om met de DigiD-app of sms-controle op Mijn toeslagen in te loggen, maar dat werd eind januari uitgesteld. "U kunt alleen nog inloggen op Mijn toeslagen met de DigiD app of met een sms-controle. U kunt dus niet meer inloggen met alleen uw gebruikersnaam en wachtwoord. Door deze nieuwe manier van inloggen zijn uw persoonlijke gegevens nog beter beschermd", zo laat de Dienst Toeslagen vandaag weten. Inloggen via sms-controle is ook mogelijk wanneer burgers alleen over een vaste telefoon beschikken.
European login
Naast het gebruik van de DigiD-app of sms-controle is het ook mogelijk om met een 'European login' in te loggen. Het gaat in dit geval om de mogelijk om in te loggen met Europees erkende inlogmiddelen. In Nederland is dat bijvoorbeeld DigiD, waarmee burgers ook bij buitenlandse overheidsorganisaties kunnen inloggen. Omgekeerd is het ook mogelijk om met een Europees erkend inlogmiddel in Nederland online zaken te regelen.Reacties (69)
26-03-2024, 09:44 door
Anoniem
Het digi-drammer gaat weer een stapje verder :(
26-03-2024, 10:21 door
beaukey
Ik denk dat het gebruik van DigiD voor authenticatie voor burgers een goede zaak. DigiD is bovendien goed geimplementeerd (en dat voor een Nederlandse overheid IT project!).
Desalniettemin zie ik commentaren op deze maatregel vol vertrouwen tegemoet:
- Wat voor mensen die geen smartphone of mobiele telefoon hebben?
- Mensen die buitengewoon op hun privacy gesteld zijn?
- Mensen die zich (nog meer) "gevangene" van de overheid vinden?
- Argumenten omkleed met woorden als WEF, EUSSR, D66, Kaag, EU, en onderwerpen van gelijke strekking
Aan het einde van de dag wint het geld: als je wilt genieten (...) van een uitkering, dan ben je het bokkie. DigiD gebruiken of (nog meer) armoede. Maak een keus!
Desalniettemin zie ik commentaren op deze maatregel vol vertrouwen tegemoet:
- Wat voor mensen die geen smartphone of mobiele telefoon hebben?
- Mensen die buitengewoon op hun privacy gesteld zijn?
- Mensen die zich (nog meer) "gevangene" van de overheid vinden?
- Argumenten omkleed met woorden als WEF, EUSSR, D66, Kaag, EU, en onderwerpen van gelijke strekking
Aan het einde van de dag wint het geld: als je wilt genieten (...) van een uitkering, dan ben je het bokkie. DigiD gebruiken of (nog meer) armoede. Maak een keus!
26-03-2024, 10:30 door
beaukey
Door Anoniem: Het digi-drammer gaat weer een stapje verder :(
I rest my case.
26-03-2024, 10:33 door
Anoniem
Zucht... Verificatie via SMS is zeer onveilig, (oa. simjacking aanvallen) waarom niet gebruikmaken van 2FA apps of YubiKeys?? In ieder geval als optie?
26-03-2024, 10:35 door
Anoniem
Door beaukey: Ik denk dat het gebruik van DigiD voor authenticatie voor burgers een goede zaak. DigiD is bovendien goed geimplementeerd (en dat voor een Nederlandse overheid IT project!).
Desalniettemin zie ik commentaren op deze maatregel vol vertrouwen tegemoet:
- Wat voor mensen die geen smartphone of mobiele telefoon hebben?
- Mensen die buitengewoon op hun privacy gesteld zijn?
- Mensen die zich (nog meer) "gevangene" van de overheid vinden?
- Argumenten omkleed met woorden als WEF, EUSSR, D66, Kaag, EU, en onderwerpen van gelijke strekking
Aan het einde van de dag wint het geld: als je wilt genieten (...) van een uitkering, dan ben je het bokkie. DigiD gebruiken of (nog meer) armoede. Maak een keus!
Je moest toch al inloggen met DigiD, alleen moet je nu nog een extra stap verrichten. Dus jouw meeste argumenten zijn dus onzin.Desalniettemin zie ik commentaren op deze maatregel vol vertrouwen tegemoet:
- Wat voor mensen die geen smartphone of mobiele telefoon hebben?
- Mensen die buitengewoon op hun privacy gesteld zijn?
- Mensen die zich (nog meer) "gevangene" van de overheid vinden?
- Argumenten omkleed met woorden als WEF, EUSSR, D66, Kaag, EU, en onderwerpen van gelijke strekking
Aan het einde van de dag wint het geld: als je wilt genieten (...) van een uitkering, dan ben je het bokkie. DigiD gebruiken of (nog meer) armoede. Maak een keus!
Door Anoniem: Het digi-drammer gaat weer een stapje verder :(
Hoe zie jij het voor je? Iedereen een papieren dossier op het lokale stadhuis? Elke keer als je je toeslagen wilt bekijken met je ID naar het stadhuis zodat er wat papieren rondgeschoven kunnen worden?
26-03-2024, 10:42 door
_R0N_
Door Anoniem: Het digi-drammer gaat weer een stapje verder :(
Omdat de MFA verplichten?
26-03-2024, 10:48 door
Anoniem
Door Anoniem: Zucht... Verificatie via SMS is zeer onveilig, (oa. simjacking aanvallen) waarom niet gebruikmaken van 2FA apps of YubiKeys?? In ieder geval als optie?
Complex, weinig controle over security en weinig vraag naar. Dus nee, laten we dat liever niet doen. SMS klinkt onveilig, maar overal is het gewoon best veilig. simjacking komen voor, maar eigenlijk altijd zeer targeted,
26-03-2024, 10:54 door
Anoniem
Door Anoniem: Het digi-drammer gaat weer een stapje verder :(
Waar klaag je over ? Verplichte 2 factor authenticatie is een goede zaak.
26-03-2024, 11:13 door
Anoniem
Door Anoniem: Zucht... Verificatie via SMS is zeer onveilig, (oa. simjacking aanvallen) waarom niet gebruikmaken van 2FA apps of YubiKeys?? In ieder geval als optie?
Hoe vaak komen die simjacking's nu voor in Nederland?
26-03-2024, 11:26 door
johanw
Door beaukey: Ik denk dat het gebruik van DigiD voor authenticatie voor burgers een goede zaak. DigiD is bovendien goed geimplementeerd (en dat voor een Nederlandse overheid IT project!).
Nou, sinds kort (sinds 6.10 op Android uit is) werkt de DigiD app weer op mijn telefoon. Heel lang kon ik wel de QR code in m'n schem zien en daarna gebeurde er gewoon niks en moest ik terugvallen naar sms. Extra kosten voor de overheid dan maar.
26-03-2024, 11:32 door
Anoniem
Door Anoniem: Zucht... Verificatie via SMS is zeer onveilig, (oa. simjacking aanvallen) waarom niet gebruikmaken van 2FA apps of YubiKeys?? In ieder geval als optie?
"Zeer onveilig"?Hoezo en gerelateerd aan wat?
Volgens mij is SMS veilig genoeg.
Alles is relatief en zelfs dat nog.
Maar als SMS niet veilig genoeg is dan kunnen we beter stoppen met Internetgebruik.
Autorijden is ook 'zeer' onveilig, maar gaan we ook gewoon mee door.
26-03-2024, 11:36 door
Anoniem
Door Anoniem: Het digi-drammer gaat weer een stapje verder :(
Ja, want gebruikersnaam en wachtwoord alleen is natuurlijk helemaal veilig.
Of wil je liever een unieke code per post naar je huisadres gestuurd krijgen?
26-03-2024, 11:46 door
Anoniem
Weet iemand of er andere Europese landen zijn waar je wél met een open standaard, zoals FIDO2, kan inloggen? En of je als Nederlandse burger daar een account kan aanmaken en via een omweg via DigiD kan inloggen?
26-03-2024, 11:53 door
Anoniem
Waneer leren ze nu eens dat de kans dat het mis gaat bij de datasubject vs de controller vele malen kleiner is.
UWV had alleen al duizend lekken in 2023 heeft geen enkele sms controle of app tegen geholpen.
https://www.security.nl/posting/835468/UWV+en+SVB+hadden+duizend+datalekken+in+eerste+acht+maanden+2023
Dus nee mijn gegevens zijn niet beter hierdoor beschermd *de inlog* is veiliger en dan is werkelijk alles gezegd.
Wat wel enigzins helpt is vakbekwaamheid goede interne protocollen hetafdwingen van genoemde protocollen en het auditten van genoemde protocollen. Data minimalisatie en pseudo anonimiseren tussen functies in. En dat alles qua verbetering traject begint bij bewustwording en accountability.
Twee termen waar de overheid al decenia de grootste moeite mee hebben.
UWV had alleen al duizend lekken in 2023 heeft geen enkele sms controle of app tegen geholpen.
https://www.security.nl/posting/835468/UWV+en+SVB+hadden+duizend+datalekken+in+eerste+acht+maanden+2023
Dus nee mijn gegevens zijn niet beter hierdoor beschermd *de inlog* is veiliger en dan is werkelijk alles gezegd.
Wat wel enigzins helpt is vakbekwaamheid goede interne protocollen hetafdwingen van genoemde protocollen en het auditten van genoemde protocollen. Data minimalisatie en pseudo anonimiseren tussen functies in. En dat alles qua verbetering traject begint bij bewustwording en accountability.
Twee termen waar de overheid al decenia de grootste moeite mee hebben.
26-03-2024, 11:57 door
Anoniem
Ik heb jaren geleden voor het laatst ingelogd bij UWV. De week voordat SMS verplicht werd. Daarna heb ik nooit meer ingelogd op UWV. Hoewel ik het nu wel weer zou kunnen omdat het al een tijdje verplicht is bij de belastingaangifte.
Bij mijn zorgverzekeraar log ik ook nooit meer in om dezelfde reden. Ook vanwege verplichte SMS. Ze zorgen maar dat het goed is wat er voor mij gedeclareerd wordt.
DigiD geeft zelf aan dat hun App het meest gebruikersvriendelijk is. Daarbij gaan ze er wel van uit dat je een up-to-date device hebt waar de App op geïnstalleerd kan worden. Anders is het naam, wachtwoord en in het bereik van je DECT basisstation. Als je een keer per jaar DigiD gebruikt, kan je het wachtwoord net zo goed opschrijven en veilig bewaren. Dat doe ik dan ook.
Bij mijn zorgverzekeraar log ik ook nooit meer in om dezelfde reden. Ook vanwege verplichte SMS. Ze zorgen maar dat het goed is wat er voor mij gedeclareerd wordt.
DigiD geeft zelf aan dat hun App het meest gebruikersvriendelijk is. Daarbij gaan ze er wel van uit dat je een up-to-date device hebt waar de App op geïnstalleerd kan worden. Anders is het naam, wachtwoord en in het bereik van je DECT basisstation. Als je een keer per jaar DigiD gebruikt, kan je het wachtwoord net zo goed opschrijven en veilig bewaren. Dat doe ik dan ook.
26-03-2024, 11:59 door
Anoniem
Door Anoniem: Zucht... Verificatie via SMS is zeer onveilig, (oa. simjacking aanvallen) waarom niet gebruikmaken van 2FA apps of YubiKeys?? In ieder geval als optie?
Ja, want simjackers richten zich echt enorm op steuntrekkers, dan hebben ze de jackpot .
Digid wil, bij voorkeur , de DigiD 2FA app , die koppelt met een check via passport/id/rijbewijs .
SMS is 'next best' voor degenen die dat niet willen/kunnen .
En natuurlijk zijn toeslagentrekkers ook het segment dat HELEMAAL LOS IS OP YUBIKEYS.
Echt, het wereldbeeld van die zolderkamer bewoners hier.
(serieus - als je er genoeg thuis in bent zit je vrijwel altijd in het inkomenssegment dat je alleen betaalt en nul toeslagen krijgt - afgezien natuurlijk van de scholieren hier).
Ik heb wel eens eerder mensen gechallenged - beschrijf eens een geschikte 'enrollment' procedure voor yubikeys als digid-2fa .
Dus hoe begin je om met een blanco yubi key betrouwbaar te koppelen aan 'piet jansen, bsn 123456' .
(en, zonodig , te resetten als piet wat vergeten is).
Omschrijf alle stappen, en wat ervoor nodig is.
Lees dat goed door. Vraag je dan af "is dat veilig" en "gaat dat bruikbaar zijn" .
26-03-2024, 12:10 door
Anoniem
Ik denk dat het gebruik van DigiD voor authenticatie voor burgers een goede zaak. DigiD is bovendien goed geimplementeerd (en dat voor een Nederlandse overheid IT project!).
Vertel mij dan waarom DigiD een betrouwbaar authenticatie middel is om in te loggen, waar dan ook voor?Ik weet zeker dat het zo goed als onmogelijk is om je authenticeren via digitaal, dat moet nu onder toch
wel iedereen berijpen. Als je een ICT'er bent moet je toch wel weten hoeveel valkuilen er zijn. Dat de
regering ons wil laten geloven dat begrijp ik onderhand wel maar dit is simpelweg gezegd bedrog in
hun voor deel. Trouwens op deze site staan genoeg voorbeelden en uitleg waarom dat wat jij beweert
niet zo is. Maar je mag altijd denken wat je wil en dat is maar goed ook.
26-03-2024, 12:38 door
Anoniem
Door Anoniem:
Ik denk dat het gebruik van DigiD voor authenticatie voor burgers een goede zaak. DigiD is bovendien goed geimplementeerd (en dat voor een Nederlandse overheid IT project!).
Vertel mij dan waarom DigiD een betrouwbaar authenticatie middel is om in te loggen, waar dan ook voor?Omdat DigID een verificatie doet via je paspoort of rijbewijs? Heb je daar wel aan gedacht?
26-03-2024, 13:10 door
beaukey
Door Anoniem:
Ik denk dat het gebruik van DigiD voor authenticatie voor burgers een goede zaak. DigiD is bovendien goed geimplementeerd (en dat voor een Nederlandse overheid IT project!).
Vertel mij dan waarom DigiD een betrouwbaar authenticatie middel is om in te loggen, waar dan ook voor?Ik ken de gebruikersaantallen van DigiD niet, en ik weet ook niet procies hoeveel "false postives" (onterecht toegang verschaft) er waren of de aantallen van de problemen met DigiD, maar als dat significante (https://nl.wikipedia.org/wiki/Significantie]) hoeveelheden zouden zijn, zou de NL maatschappij al lang ontwricht zijn.
Ik weet zeker dat het zo goed als onmogelijk is om je authenticeren via digitaal, dat moet nu onder toch
wel iedereen berijpen.
wel iedereen berijpen.
Ik zie graag deze stelling onderbouwd met een aantal voorbeelden. Waar ik werk (middelgroot bedrijf) worden er tussen 6 en 8 miljoen authenticaties *per dag* gedaan.
Als je een ICT'er bent moet je toch wel weten hoeveel valkuilen er zijn.
Ja.
Dat de regering ons wil laten geloven dat begrijp ik onderhand wel maar dit is simpelweg gezegd bedrog in
hun voor deel.
hun voor deel.
*Wat* wil de regering laten geloven?
Trouwens op deze site staan genoeg voorbeelden en uitleg waarom dat wat jij beweert
niet zo is. Maar je mag altijd denken wat je wil en dat is maar goed ook.
niet zo is. Maar je mag altijd denken wat je wil en dat is maar goed ook.
Kan je aantal voorbeelden op deze site aangeven die jouw stellingen onderbouwen waaruit blijkt dat wat ik beweer niet zo is? En dan niet een reactie van een mopperaar, maar bijvoorbeeld met (externe) links die jou gelijk geven?
26-03-2024, 14:40 door
Anoniem
Door Anoniem:
Ik weet zeker dat het zo goed als onmogelijk is om je authenticeren via digitaal, dat moet nu onder toch
wel iedereen berijpen. Als je een ICT'er bent moet je toch wel weten hoeveel valkuilen er zijn. Dat de
regering ons wil laten geloven dat begrijp ik onderhand wel maar dit is simpelweg gezegd bedrog in
hun voor deel. Trouwens op deze site staan genoeg voorbeelden en uitleg waarom dat wat jij beweert
niet zo is. Maar je mag altijd denken wat je wil en dat is maar goed ook.
Zeker. Daarom is DigiD een best goed neergezette applicatie, die best heel goed en gebruikers vriendelijk is zonder al te veel uitleg noodzakelijk voor de meeste gebruikers.. Ik weet zeker dat het zo goed als onmogelijk is om je authenticeren via digitaal, dat moet nu onder toch
wel iedereen berijpen. Als je een ICT'er bent moet je toch wel weten hoeveel valkuilen er zijn. Dat de
regering ons wil laten geloven dat begrijp ik onderhand wel maar dit is simpelweg gezegd bedrog in
hun voor deel. Trouwens op deze site staan genoeg voorbeelden en uitleg waarom dat wat jij beweert
niet zo is. Maar je mag altijd denken wat je wil en dat is maar goed ook.
Is het nu de perfecte oplossing of implementatie. Zeker niet, maar ondanks dat werkt het gewoon goed.
26-03-2024, 15:02 door
Anoniem
Door Anoniem:
Ik weet zeker dat het zo goed als onmogelijk is om je authenticeren via digitaal, dat moet nu onder toch
wel iedereen berijpen.
Ik denk dat het gebruik van DigiD voor authenticatie voor burgers een goede zaak. DigiD is bovendien goed geimplementeerd (en dat voor een Nederlandse overheid IT project!).
Vertel mij dan waarom DigiD een betrouwbaar authenticatie middel is om in te loggen, waar dan ook voor?Ik weet zeker dat het zo goed als onmogelijk is om je authenticeren via digitaal, dat moet nu onder toch
wel iedereen berijpen.
Misschien moet je dat eens uitschrijven, waarom dat volgens jou zo is.
Als je een ICT'er bent moet je toch wel weten hoeveel valkuilen er zijn.
Misschien moet je die ook eens uitschrijven - en specificeren welke van toepassing zijn op DigiD, en waarom.
Je mag moeilijke woorden en formules gebruiken, ik kan die wel begrijpen.
Dat de
regering ons wil laten geloven dat begrijp ik onderhand wel maar dit is simpelweg gezegd bedrog in
hun voor deel. Trouwens op deze site staan genoeg voorbeelden en uitleg
Misschien moet je die even linken, en vooral uitleggen waar precies die van toepassing zijn op DigiD.
Dat er een miljard mailadressen ergens gelekt zijn betekent niet je daarmee als een ander op DigiD kunt inloggen.
Je klinkt als iemand die nog geen 10% snapt, alleen titels leest en dan denk "allemaal lek" .
26-03-2024, 15:23 door
Anoniem
Door Anoniem: Weet iemand of er andere Europese landen zijn waar je wél met een open standaard, zoals FIDO2, kan inloggen? En of je als Nederlandse burger daar een account kan aanmaken en via een omweg via DigiD kan inloggen?
Zelfde challenge voor jou als voor die ander
Leg eens alle stappen uit om "piet jansen, bsn 123456" betrouwbaar en bruikbaar aan een "FIDO2" identity te koppelen.
Je laat precies het probleem zien van al die tech/crypto nerds : zo geil van het transport protocol met crypto sausje dat ze het identificatie/enrollment probleem vergeten.
TLS - heel weinig mis mee, maar de koppeling certificaat - (echte)eigenaar betrouwbaar houden is erg lastig.
SSH - super . oh, hostkeys, ignore. Laat staan het serieus koppelen van pubkeys aan de echte account gebruiker. "upload maar een keer dan geloven we wel dat de eerste upload de account houder is" .
PGP - hahaha. Ja, de zooi van keyservers en keysigning illustreert het geheel precies.
Echt - transport en handshake protocol zijn relatief simpel, en feitelijk opgeloste problemen.
Een _bruikbaar_ en behoorlijk waterdicht aanvraag/initialisatie/reset proces op landelijke schaal is Niet Simpel.
En nu vind jij het een Goed Idee dat belastingdienst een account-identity, van , zeg, een Litouwse of Bulgaarse digital nomad identity provider moet vertrouwen, als het protocol maar FIDO2 is ?
26-03-2024, 15:41 door
Anoniem
Omdat DigID een verificatie doet via je paspoort of rijbewijs? Heb je daar wel aan gedacht?
En waarom is dat veiliger? Ik heb al een hint gegeven, op deze site kun je ook leren. Ik zie graag deze stelling onderbouwd met een aantal voorbeelden. Waar ik werk (middelgroot bedrijf) worden er tussen 6 en 8 miljoen authenticaties *per dag* gedaan.
Daar heb ik een tegengestelde vraag over. hoe weet jij zeker dat die andere is wie hij zegt te zijn, het zijn gewoonaannames.
Wat* wil de regering laten geloven?
Dat digitaal veilig is en waarom willen ze de burgers dat laten geloven, sommigen antwoorden zij simpeler dan de vraagdie gesteld wordt, alleen moet je een beetje nadenken.
En voor die reacties, hier op deze site staan genoeg voorbeelden, ga je daar eens in verdiepen
Je klinkt als iemand die nog geen 10% snapt, alleen titels leest en dan denk "allemaal lek" .
Misschien heb je wel gelijk maar ik lees veel, kijk documentaires, en probeer dingen uit.Ik heb dit soort discussies al jaren terug gevoerd, er zijn boeken overgeschreven, documentaires over gemaakt
op deze site zijn er slimmeriken die hier over hebben geschreven,en ook weggehoond door reageerders, blijkbaar
toch te moeilijk om het te begrijpen. Als ik dan die reactie lees van met rijbewijs inloggen, kom zeg. Ik geef hier
geen antwoord op, die kun je zelf gemakkelijk vinden.
26-03-2024, 15:49 door
Anoniem
Door Anoniem:
Omdat DigID een verificatie doet via je paspoort of rijbewijs? Heb je daar wel aan gedacht?
Door Anoniem:
Ik denk dat het gebruik van DigiD voor authenticatie voor burgers een goede zaak. DigiD is bovendien goed geimplementeerd (en dat voor een Nederlandse overheid IT project!).
Vertel mij dan waarom DigiD een betrouwbaar authenticatie middel is om in te loggen, waar dan ook voor?Omdat DigID een verificatie doet via je paspoort of rijbewijs? Heb je daar wel aan gedacht?
Iemand anders kan ook inloggen met mijn paspoort of rijbewijs, ik hoef dat niet persee zelf te doen.
26-03-2024, 15:51 door
Anoniem
Door Saph:
Nee, gewoon even dat overzicht uit de la pakken.Door Anoniem: Het digi-drammer gaat weer een stapje verder :(
Hoe zie jij het voor je? Iedereen een papieren dossier op het lokale stadhuis? Elke keer als je je toeslagen wilt bekijken met je ID naar het stadhuis zodat er wat papieren rondgeschoven kunnen worden?
26-03-2024, 16:47 door
Ron625
Dan het positieve nieuws:
Omdat een GSM verplicht is in de communicatie met de overheid, zal deze aftrekbaar (moeten) zijn van de belasting.
Omdat een GSM verplicht is in de communicatie met de overheid, zal deze aftrekbaar (moeten) zijn van de belasting.
26-03-2024, 16:55 door
majortom
Door Ron625: Dan het positieve nieuws:
Omdat een GSM verplicht is in de communicatie met de overheid, zal deze aftrekbaar (moeten) zijn van de belasting.
Helaas, je kunt ook een gesproken "SMS" via de vaste lijn krijgen.Omdat een GSM verplicht is in de communicatie met de overheid, zal deze aftrekbaar (moeten) zijn van de belasting.
26-03-2024, 17:18 door
Anoniem
Wanneer gaan ze nou eens bestaande standaarden gebruiken?
In beveiliging is het altijd beter om een bestaande standaard te gebruiken dan om er zelf en te bedenken en implementeren, dus waarom niet bijvoorbeeld TOTP? Zijn ze ook meteen van de SMS kosten af.
Als je dan toch zoveel waarde hecht aan een eigen app dan implementeer je TOTP in die app en klaar ben je.
In beveiliging is het altijd beter om een bestaande standaard te gebruiken dan om er zelf en te bedenken en implementeren, dus waarom niet bijvoorbeeld TOTP? Zijn ze ook meteen van de SMS kosten af.
Als je dan toch zoveel waarde hecht aan een eigen app dan implementeer je TOTP in die app en klaar ben je.
26-03-2024, 17:23 door
beaukey
Door Anoniem:
Omdat DigID een verificatie doet via je paspoort of rijbewijs? Heb je daar wel aan gedacht?
En waarom is dat veiliger? Ik heb al een hint gegeven, op deze site kun je ook leren.Ik heb deze site geen enkel wettig en overtuigend bewijs gevonden dat DigiD niet veilig zou zijn. Kun je een 3 of meer links delen waarin dat staat?
Ik zie graag deze stelling onderbouwd met een aantal voorbeelden. Waar ik werk (middelgroot bedrijf) worden er tussen 6 en 8 miljoen authenticaties *per dag* gedaan.
Daar heb ik een tegengestelde vraag over. hoe weet jij zeker dat die andere is wie hij zegt te zijn, het zijn gewoonaannames.
Ja. Maar laat ik de vraag eens omdraaien: heeft er ooit iemand anders al eens geld opgenomen van je bankrekening? Of je uitkering afgepakt door identiteitsfraude met DigiD?
En voor die reacties, hier op deze site staan genoeg voorbeelden, ga je daar eens in verdiepen
Nogmaals: Ik heb deze site geen enkel wettig en overtuigend bewijs gevonden dat DigiD niet veilig zou zijn. Kun je een 3 of meer links delen waarin dat staat?
Je klinkt als iemand die nog geen 10% snapt, alleen titels leest en dan denk "allemaal lek" .
Misschien heb je wel gelijk maar ik lees veel, kijk documentaires, en probeer dingen uit.En wat is er uit jouw expirementen voortgekomen? Hoe vaak heb je een Responsible Disclosure gedaan van dingen die fout waren?
26-03-2024, 17:38 door
Anoniem
Door Anoniem:
Zelfde challenge voor jou als voor die ander
Leg eens alle stappen uit om "piet jansen, bsn 123456" betrouwbaar en bruikbaar aan een "FIDO2" identity te koppelen.
Dit is een stroman argument. De huidige SMS 2FA voor DigiD werkt op basis van een adres controle. Je maakt een account aan en ontvangt daarna per brief een activatiecode. De enrollment van een FIDO2 authenticatiesleutel hoeft daardoor niet anders te werken dan de activatiecode van SMS codes. Gewoon een adrescontrole check. Dat is voor het laag en midden niveau voldoende.Door Anoniem: Weet iemand of er andere Europese landen zijn waar je wél met een open standaard, zoals FIDO2, kan inloggen? En of je als Nederlandse burger daar een account kan aanmaken en via een omweg via DigiD kan inloggen?
Zelfde challenge voor jou als voor die ander
Leg eens alle stappen uit om "piet jansen, bsn 123456" betrouwbaar en bruikbaar aan een "FIDO2" identity te koppelen.
26-03-2024, 18:06 door
Anoniem
Door Anoniem:
aannames.
die gesteld wordt, alleen moet je een beetje nadenken.
En voor die reacties, hier op deze site staan genoeg voorbeelden, ga je daar eens in verdiepen
Ik heb dit soort discussies al jaren terug gevoerd, er zijn boeken overgeschreven, documentaires over gemaakt
op deze site zijn er slimmeriken die hier over hebben geschreven,en ook weggehoond door reageerders, blijkbaar
toch te moeilijk om het te begrijpen. Als ik dan die reactie lees van met rijbewijs inloggen, kom zeg. Ik geef hier
geen antwoord op, die kun je zelf gemakkelijk vinden.
Omdat DigID een verificatie doet via je paspoort of rijbewijs? Heb je daar wel aan gedacht?
En waarom is dat veiliger? Ik heb al een hint gegeven, op deze site kun je ook leren. Ik zie graag deze stelling onderbouwd met een aantal voorbeelden. Waar ik werk (middelgroot bedrijf) worden er tussen 6 en 8 miljoen authenticaties *per dag* gedaan.
Daar heb ik een tegengestelde vraag over. hoe weet jij zeker dat die andere is wie hij zegt te zijn, het zijn gewoonaannames.
Wat* wil de regering laten geloven?
Dat digitaal veilig is en waarom willen ze de burgers dat laten geloven, sommigen antwoorden zij simpeler dan de vraagdie gesteld wordt, alleen moet je een beetje nadenken.
En voor die reacties, hier op deze site staan genoeg voorbeelden, ga je daar eens in verdiepen
Je klinkt als iemand die nog geen 10% snapt, alleen titels leest en dan denk "allemaal lek" .
Misschien heb je wel gelijk maar ik lees veel, kijk documentaires, en probeer dingen uit.Ik heb dit soort discussies al jaren terug gevoerd, er zijn boeken overgeschreven, documentaires over gemaakt
op deze site zijn er slimmeriken die hier over hebben geschreven,en ook weggehoond door reageerders, blijkbaar
toch te moeilijk om het te begrijpen. Als ik dan die reactie lees van met rijbewijs inloggen, kom zeg. Ik geef hier
geen antwoord op, die kun je zelf gemakkelijk vinden.
Vertel, geef eens links. En ja, ik ben de reageerder die je suggereerde dat er gekoppelde rijbewijzen/paspoorten zijn. Het is natuurlijk heel makkelijk om een paspoort id chip te manipuleren, dat weet toch iedereen? Of valt dat toch niet mee? Ik heb in ieder geval daar nog geen greintje bewijs van gezien, en ik hou me toch een kleine 40 jaar met security bezig. Je logt niet in met je rijbewijs, lezen is een kunst. Je rijbewijs wordt gekoppeld met DigID op basis van een PKI omgeving waarvan jij en ik de private keys niet hebben. Verificatie is iets anders dan koppelen. Iedere bewering die je doet slaat als een tang op een varken en roeptoetert alleen maar wat algemeenheden maar met bewijzen kom je niet. En inderdaad ben ik met de andere reageerder eens dat je nog geen 10% snapt van wat je roept.
Kom maar op met die boeken en documentaires…
26-03-2024, 18:09 door
Anoniem
Door Anoniem:
Iemand anders kan ook inloggen met mijn paspoort of rijbewijs, ik hoef dat niet persee zelf te doen.
Door Anoniem:
Omdat DigID een verificatie doet via je paspoort of rijbewijs? Heb je daar wel aan gedacht?
Door Anoniem:
Ik denk dat het gebruik van DigiD voor authenticatie voor burgers een goede zaak. DigiD is bovendien goed geimplementeerd (en dat voor een Nederlandse overheid IT project!).
Vertel mij dan waarom DigiD een betrouwbaar authenticatie middel is om in te loggen, waar dan ook voor?Omdat DigID een verificatie doet via je paspoort of rijbewijs? Heb je daar wel aan gedacht?
Iemand anders kan ook inloggen met mijn paspoort of rijbewijs, ik hoef dat niet persee zelf te doen.
Nee, dan snap je niet hoe DigID werkt. Je kunt niet inloggen met je paspoort of je rijbewijs. Dat wordt gekoppeld aan DigID om identiteit aan DigID te bewijzen. De DigID app wordt daarmee een zware 2FA.
26-03-2024, 19:28 door
Anoniem
Door Anoniem:
Iemand anders kan ook inloggen met mijn paspoort of rijbewijs, ik hoef dat niet persee zelf te doen.
Iemand anders kan ook inloggen met mijn paspoort of rijbewijs, ik hoef dat niet persee zelf te doen.
Als jij dat toestaat, of wilt, ja dan kan dat.
Ongewild word getal een stuk lastiger door meerdere factoren te gebruiken. Dus een indische helpdesk medewerker die via phishing je gebruikersnaam en wachtwoord heeft gestolen kan nu inloggen op je DigiD. Heb je de DigiD app maak je het ze al een stuk lastiger, dan hebben ze je telefoon ook nodig. Gebruik je dan ook nog een rijbewijs, dan is dat nog een extra iets wat de boef moet hebben.
Kortom, hoe meer je factoren je gebruikt hoe veiliger je het maakt…
26-03-2024, 19:30 door
Anoniem
Ja. Maar laat ik de vraag eens omdraaien: heeft er ooit iemand anders al eens geld opgenomen van je bankrekening? Of je uitkering afgepakt door identiteitsfraude met DigiD?
Waar gaat dit over, kom op zeg ik ga met jou niet verder in discussie of wat dat dan mag zijn, jij doet dit gewoon om te bashen. Het gaat niet over mij, maar ik geef je toch maar een hint, je kunt het boek 'Er komt een vrouw bij
de h@cker' beter gaan lezen, trouwens iemand op de ze site heeft al over dit boek gesproken dus je had al
slimmer kunnen zijn. voor de rest laat ik het hier bij, maar ik raad je echt aan om dat boek te lezen. En daarbij hoe
weet jij of ik wel of geen uitkering heb. En voor veel van die reagerders zou het ook niet misstaan om zich in de
werkelijkheid te verdiepen.
26-03-2024, 20:29 door
Ron625
Door majortom:
Dan nog, zou deze aftrekbaar moeten zijn.Door Ron625: Dan het positieve nieuws:
Omdat een GSM verplicht is in de communicatie met de overheid, zal deze aftrekbaar (moeten) zijn van de belasting.
Helaas, je kunt ook een gesproken "SMS" via de vaste lijn krijgen.Omdat een GSM verplicht is in de communicatie met de overheid, zal deze aftrekbaar (moeten) zijn van de belasting.
Sinds wanneer is een telefoon (mobiel of vast) verplicht?
26-03-2024, 21:51 door
Anoniem
Door Ron625:
Sinds wanneer is een telefoon (mobiel of vast) verplicht?
Bij mijn weten kan je nog steeds gewoon een brief schrijven naar de overheid. Dan zou briefpapier, enveloppen, postzegels en schoenen (ik loop naar de brievenbus) ook aftrekbaar moeten zijn.Door majortom:
Dan nog, zou deze aftrekbaar moeten zijn.Door Ron625: Dan het positieve nieuws:
Omdat een GSM verplicht is in de communicatie met de overheid, zal deze aftrekbaar (moeten) zijn van de belasting.
Helaas, je kunt ook een gesproken "SMS" via de vaste lijn krijgen.Omdat een GSM verplicht is in de communicatie met de overheid, zal deze aftrekbaar (moeten) zijn van de belasting.
Sinds wanneer is een telefoon (mobiel of vast) verplicht?
26-03-2024, 22:59 door
beaukey
Door Anoniem:
om te bashen. Het gaat niet over mij, maar ik geef je toch maar een hint, je kunt het boek 'Er komt een vrouw bij
de h@cker' beter gaan lezen, trouwens iemand op de ze site heeft al over dit boek gesproken dus je had al
slimmer kunnen zijn. voor de rest laat ik het hier bij, maar ik raad je echt aan om dat boek te lezen. En daarbij hoe
weet jij of ik wel of geen uitkering heb. En voor veel van die reagerders zou het ook niet misstaan om zich in de
werkelijkheid te verdiepen.
Ja. Maar laat ik de vraag eens omdraaien: heeft er ooit iemand anders al eens geld opgenomen van je bankrekening? Of je uitkering afgepakt door identiteitsfraude met DigiD?
Waar gaat dit over, kom op zeg ik ga met jou niet verder in discussie of wat dat dan mag zijn, jij doet dit gewoon om te bashen. Het gaat niet over mij, maar ik geef je toch maar een hint, je kunt het boek 'Er komt een vrouw bij
de h@cker' beter gaan lezen, trouwens iemand op de ze site heeft al over dit boek gesproken dus je had al
slimmer kunnen zijn. voor de rest laat ik het hier bij, maar ik raad je echt aan om dat boek te lezen. En daarbij hoe
weet jij of ik wel of geen uitkering heb. En voor veel van die reagerders zou het ook niet misstaan om zich in de
werkelijkheid te verdiepen.
Ik kom op security.nl om onderwezen te worden. De schrijver stelt mij de vraag: "Daar heb ik een tegengestelde vraag over. hoe weet jij zeker dat die andere is wie hij zegt te zijn, het zijn gewoon aannames", maar levert voor de laatste stelling geen bewijs.
De schrijver hier stelt dat er op security.nl artikelen zijn die aangeven dat DigiD niet veilig is en of niet goed werkt. Ik vraag (meerdere malen) om refrenties naar dit bewijs, welke niet geleverd worden.
In de laatste reactie wordt er een boek (even opgezocht: "Er komt een vrouw bij de hacker", Maria Genova. ISBN: 9789178614035) aangedragen, welke ik zou moeten lezen. We hebben het hier nog steeds over DigiD en de discussie of DigiD authenticaties te vertrouwen zijn.
Ik denk niet dat we er uit komen. Zonder verder wettig, overtuigend en relevant bewijs is er niets om (verder) over te discussieren.
27-03-2024, 08:32 door
Anoniem
Ik denk dat hier een belangrijk punt mist in het hele debat, namelijk rapoort: a good understanding of someone and an ability to communicate well with them (Definitie Cambridge Dictionary). Van weerskanten zie ik een stortvloed aan vijandige reacties tegenover elkaar. Als er al betere communicatie tussen zit, dan wordt die daaronder finaal begraven. Het doet werkelijk pijn aan de ogen.
Hoewel beide partijen zich er schuldig aan maken, vind ik het nog het meest kwalijk bij voorstanders van DigID. Immers zij hebben een doel, namelijk het veranderen van het gedrag van hun wederpartij, en bovendien het vertrouwen behouden van de bevolking als geheel. En daar zit het probleem. Men kan wel zeggen: "Aan het einde van de dag wint het geld: als je wilt genieten (...) van een uitkering, dan ben je het bokkie. DigiD gebruiken of (nog meer) armoede. Maak een keus!", en inderdaad werkt het op de korte termijn om te krijgen wat men wil, maar het ondermijnt vertrouwen. Dat gebrek aan vertrouwen kan vervolgens op de meest onverwachte momenten de kop opsteken, gewoonlijk tegen een zwakke plek en gewoonlijk op het minst gelegen moment.
Ik vraag me af @beaukey, als je aandachtig de hele draad terugleest, of je dan wel eens stopt, en het gevoel krijgt dat het anders moet, dat je eerst en vooral het vertrouwen wil winnen van degene die je wil overtuigen, in welke discussie dat ook mag zijn.
Hoewel beide partijen zich er schuldig aan maken, vind ik het nog het meest kwalijk bij voorstanders van DigID. Immers zij hebben een doel, namelijk het veranderen van het gedrag van hun wederpartij, en bovendien het vertrouwen behouden van de bevolking als geheel. En daar zit het probleem. Men kan wel zeggen: "Aan het einde van de dag wint het geld: als je wilt genieten (...) van een uitkering, dan ben je het bokkie. DigiD gebruiken of (nog meer) armoede. Maak een keus!", en inderdaad werkt het op de korte termijn om te krijgen wat men wil, maar het ondermijnt vertrouwen. Dat gebrek aan vertrouwen kan vervolgens op de meest onverwachte momenten de kop opsteken, gewoonlijk tegen een zwakke plek en gewoonlijk op het minst gelegen moment.
Ik vraag me af @beaukey, als je aandachtig de hele draad terugleest, of je dan wel eens stopt, en het gevoel krijgt dat het anders moet, dat je eerst en vooral het vertrouwen wil winnen van degene die je wil overtuigen, in welke discussie dat ook mag zijn.
27-03-2024, 08:40 door
Anoniem
@beaukey:
Waarom wil je wettig bewijs? Is dit een stafzaak ofzo?
Ik denk dat het huidige systeem met SMS veilig genoeg is. Hoe vaak komt dat sim-swappen nou echt voor? Om hier misbruik van te kunnen maken heb je toch al gebruikersnaam, wachtwoord en telefoonnummer nodig. Lijkt mij dat je die moeite als aanvaller alleen in hele specifieke gevallen gaat nemen. En de meeste van ons zijn daarvoor gewoon niet interessant genoeg.
Wat misschien ook nog een optie zou kunnen zijn is om de id-kaart te gebruiken icm een pincode/wachtwoord via een card-reader. Dan inloggen bij DigiD met gebruikersnaam, wachtwoord, id-kaart + code, ongeveer hetzelfde als bij de ABN en Rabo.
Maar goed, dan zit je weer met dat iedereen een id-kaart moet hebben. Zit er in het paspoort ook niet een NFC-chip? Zou via die weg ook niet iets mogelijk zijn? Of rijbewijs?
Ik doe al jaren belastingaangifte, maar heb hiervoor nog nooit ingelogd bij het UWV. Ik betwijfel of dit verplicht is. Ik heb sowieso nog nooit ingelogd bij het UWV.
Waarom wil je wettig bewijs? Is dit een stafzaak ofzo?
Ik denk dat het huidige systeem met SMS veilig genoeg is. Hoe vaak komt dat sim-swappen nou echt voor? Om hier misbruik van te kunnen maken heb je toch al gebruikersnaam, wachtwoord en telefoonnummer nodig. Lijkt mij dat je die moeite als aanvaller alleen in hele specifieke gevallen gaat nemen. En de meeste van ons zijn daarvoor gewoon niet interessant genoeg.
Wat misschien ook nog een optie zou kunnen zijn is om de id-kaart te gebruiken icm een pincode/wachtwoord via een card-reader. Dan inloggen bij DigiD met gebruikersnaam, wachtwoord, id-kaart + code, ongeveer hetzelfde als bij de ABN en Rabo.
Maar goed, dan zit je weer met dat iedereen een id-kaart moet hebben. Zit er in het paspoort ook niet een NFC-chip? Zou via die weg ook niet iets mogelijk zijn? Of rijbewijs?
Door Anoniem: Ik heb jaren geleden voor het laatst ingelogd bij UWV. De week voordat SMS verplicht werd. Daarna heb ik nooit meer ingelogd op UWV. Hoewel ik het nu wel weer zou kunnen omdat het al een tijdje verplicht is bij de belastingaangifte.
Ik doe al jaren belastingaangifte, maar heb hiervoor nog nooit ingelogd bij het UWV. Ik betwijfel of dit verplicht is. Ik heb sowieso nog nooit ingelogd bij het UWV.
27-03-2024, 08:53 door
Anoniem
Door Anoniem: [...] Bij mijn weten kan je nog steeds gewoon een brief schrijven naar de overheid. Dan zou briefpapier, enveloppen, postzegels en schoenen (ik loop naar de brievenbus) ook aftrekbaar moeten zijn.
Sterker nog, in bepaalde gevallen zul je een papieren brief moeten schrijven naar de belastingen kun je nota bene zelfs geen e-mail sturen...
Iets wat ik nogal belachelijjk vind, maar het zal wel (ontmoedigings)beleid zijn.
27-03-2024, 11:29 door
Anoniem
Door Anoniem:
om te bashen. Het gaat niet over mij, maar ik geef je toch maar een hint, je kunt het boek 'Er komt een vrouw bij
de h@cker' beter gaan lezen, trouwens iemand op de ze site heeft al over dit boek gesproken dus je had al
slimmer kunnen zijn. voor de rest laat ik het hier bij, maar ik raad je echt aan om dat boek te lezen. En daarbij hoe
weet jij of ik wel of geen uitkering heb. En voor veel van die reagerders zou het ook niet misstaan om zich in de
werkelijkheid te verdiepen.
Ja. Maar laat ik de vraag eens omdraaien: heeft er ooit iemand anders al eens geld opgenomen van je bankrekening? Of je uitkering afgepakt door identiteitsfraude met DigiD?
Waar gaat dit over, kom op zeg ik ga met jou niet verder in discussie of wat dat dan mag zijn, jij doet dit gewoon om te bashen. Het gaat niet over mij, maar ik geef je toch maar een hint, je kunt het boek 'Er komt een vrouw bij
de h@cker' beter gaan lezen, trouwens iemand op de ze site heeft al over dit boek gesproken dus je had al
slimmer kunnen zijn. voor de rest laat ik het hier bij, maar ik raad je echt aan om dat boek te lezen. En daarbij hoe
weet jij of ik wel of geen uitkering heb. En voor veel van die reagerders zou het ook niet misstaan om zich in de
werkelijkheid te verdiepen.
Wel wat roepen, en zodra je over de brug moet komen wegduiken achter vage verwijzingen en 'iedereen weet toch'.
Heb je echt niet door dat je argumentatie drijfzand is ?
27-03-2024, 11:30 door
Anoniem
Door Anoniem:
SMS klinkt onveilig, maar overal is het gewoon best veilig. simjacking komen voor, maar eigenlijk altijd zeer targeted,
Nee, het is niet complexer dan SMS, heeft u het weleens geprobeert met een 2FA app??Door Anoniem: Zucht... Verificatie via SMS is zeer onveilig, (oa. simjacking aanvallen) waarom niet gebruikmaken van 2FA apps of YubiKeys?? In ieder geval als optie?
Complex, weinig controle over security en weinig vraag naar. Dus nee, laten we dat liever niet doen. SMS klinkt onveilig, maar overal is het gewoon best veilig. simjacking komen voor, maar eigenlijk altijd zeer targeted,
Daarnaast zei ik; "optioneel" dus als optie.
27-03-2024, 11:32 door
Anoniem
Door Anoniem:
Ah, goede vraag van u; het komt heel veel voor!Door Anoniem: Zucht... Verificatie via SMS is zeer onveilig, (oa. simjacking aanvallen) waarom niet gebruikmaken van 2FA apps of YubiKeys?? In ieder geval als optie?
Hoe vaak komen die simjacking's nu voor in Nederland?
27-03-2024, 11:32 door
Anoniem
Door Anoniem: Wanneer gaan ze nou eens bestaande standaarden gebruiken?
In beveiliging is het altijd beter om een bestaande standaard te gebruiken dan om er zelf en te bedenken en implementeren, dus waarom niet bijvoorbeeld TOTP? Zijn ze ook meteen van de SMS kosten af.
Als je dan toch zoveel waarde hecht aan een eigen app dan implementeer je TOTP in die app en klaar ben je.
In beveiliging is het altijd beter om een bestaande standaard te gebruiken dan om er zelf en te bedenken en implementeren, dus waarom niet bijvoorbeeld TOTP? Zijn ze ook meteen van de SMS kosten af.
Als je dan toch zoveel waarde hecht aan een eigen app dan implementeer je TOTP in die app en klaar ben je.
Ben je nou een tikkie dom ?
Ze willen het liefst de app, die valideert via id/paspoort/rijbewijs. DAT IS AL ZONDER SMS .
Dat is erg veel beter dan TOTP , waarbij de identiteitskoppeling nogal zwak is.
SMS is de 'next best thing' voor mensen die die app niet installeren/gebruiken.
27-03-2024, 11:36 door
Anoniem
Door Ron625:
Sinds wanneer is een telefoon (mobiel of vast) verplicht?
Door majortom:
Dan nog, zou deze aftrekbaar moeten zijn.Door Ron625: Dan het positieve nieuws:
Omdat een GSM verplicht is in de communicatie met de overheid, zal deze aftrekbaar (moeten) zijn van de belasting.
Helaas, je kunt ook een gesproken "SMS" via de vaste lijn krijgen.Omdat een GSM verplicht is in de communicatie met de overheid, zal deze aftrekbaar (moeten) zijn van de belasting.
Sinds wanneer is een telefoon (mobiel of vast) verplicht?
Gut gut gut.
Ik wil graag mijn bestede uren aan de aangifte tegen mijn uurtarief declareren cq aftrekken.
Aftrekbare kosten zijn wat wat de wetgever als zodanig heeft aangemerkt . Waarom jij denkt dat dat alles omvat wat ergens verplicht is, is aan jouw.
27-03-2024, 11:36 door
Anoniem
Door Anoniem:
Hoezo en gerelateerd aan wat?
Volgens mij is SMS veilig genoeg.
Alles is relatief en zelfs dat nog.
Maar als SMS niet veilig genoeg is dan kunnen we beter stoppen met Internetgebruik.
Autorijden is ook 'zeer' onveilig, maar gaan we ook gewoon mee door.
SMS verificatie veilig? Uw bron? Ah, uzelf, nee, dan klopt deze info wel.Door Anoniem: Zucht... Verificatie via SMS is zeer onveilig, (oa. simjacking aanvallen) waarom niet gebruikmaken van 2FA apps of YubiKeys?? In ieder geval als optie?
"Zeer onveilig"?Hoezo en gerelateerd aan wat?
Volgens mij is SMS veilig genoeg.
Alles is relatief en zelfs dat nog.
Maar als SMS niet veilig genoeg is dan kunnen we beter stoppen met Internetgebruik.
Autorijden is ook 'zeer' onveilig, maar gaan we ook gewoon mee door.
Het is een reëel gevaar en het gaat om al uw persoonlijke data.
Raar dat memsen er zo op reageren, zou bijna denken dat ze voor de overheid werken.
Door Anoniem: Ik denk dat hier een belangrijk punt mist in het hele debat, namelijk rapoort: a good understanding of someone and an ability to communicate well with them (Definitie Cambridge Dictionary). Van weerskanten zie ik een stortvloed aan vijandige reacties tegenover elkaar. Als er al betere communicatie tussen zit, dan wordt die daaronder finaal begraven. Het doet werkelijk pijn aan de ogen.
Hoewel beide partijen zich er schuldig aan maken, vind ik het nog het meest kwalijk bij voorstanders van DigID. Immers zij hebben een doel, namelijk het veranderen van het gedrag van hun wederpartij, en bovendien het vertrouwen behouden van de bevolking als geheel. En daar zit het probleem. Men kan wel zeggen: "Aan het einde van de dag wint het geld: als je wilt genieten (...) van een uitkering, dan ben je het bokkie. DigiD gebruiken of (nog meer) armoede. Maak een keus!", en inderdaad werkt het op de korte termijn om te krijgen wat men wil, maar het ondermijnt vertrouwen. Dat gebrek aan vertrouwen kan vervolgens op de meest onverwachte momenten de kop opsteken, gewoonlijk tegen een zwakke plek en gewoonlijk op het minst gelegen moment.
Ik vraag me af @beaukey, als je aandachtig de hele draad terugleest, of je dan wel eens stopt, en het gevoel krijgt dat het anders moet, dat je eerst en vooral het vertrouwen wil winnen van degene die je wil overtuigen, in welke discussie dat ook mag zijn.
Hoewel beide partijen zich er schuldig aan maken, vind ik het nog het meest kwalijk bij voorstanders van DigID. Immers zij hebben een doel, namelijk het veranderen van het gedrag van hun wederpartij, en bovendien het vertrouwen behouden van de bevolking als geheel. En daar zit het probleem. Men kan wel zeggen: "Aan het einde van de dag wint het geld: als je wilt genieten (...) van een uitkering, dan ben je het bokkie. DigiD gebruiken of (nog meer) armoede. Maak een keus!", en inderdaad werkt het op de korte termijn om te krijgen wat men wil, maar het ondermijnt vertrouwen. Dat gebrek aan vertrouwen kan vervolgens op de meest onverwachte momenten de kop opsteken, gewoonlijk tegen een zwakke plek en gewoonlijk op het minst gelegen moment.
Ik vraag me af @beaukey, als je aandachtig de hele draad terugleest, of je dan wel eens stopt, en het gevoel krijgt dat het anders moet, dat je eerst en vooral het vertrouwen wil winnen van degene die je wil overtuigen, in welke discussie dat ook mag zijn.
https://dictionary.cambridge.org/dictionary/english/rapport
Dit is een goed advies.
Ook ik zit in de loopgraaf van mijn eigen gelijk. In dit geval vraag ik (en niet alleen ik) herhaaldelijk om toelichting/links/bewijzen van de stellingen, die achterwege blijven. Als dat niet gebeurd moet de discussie eigenlijk al afgesloten worden. De bewijzen worden- of kunnen niet aangeleverd worden, voor gelijk welke reden dan ook.
Ik neem je raad ter harte!
27-03-2024, 12:25 door
Anoniem
Door Anoniem:
Geef dan eens linkjes hierover.Door Anoniem:
Ah, goede vraag van u; het komt heel veel voor!Door Anoniem: Zucht... Verificatie via SMS is zeer onveilig, (oa. simjacking aanvallen) waarom niet gebruikmaken van 2FA apps of YubiKeys?? In ieder geval als optie?
Hoe vaak komen die simjacking's nu voor in Nederland?
27-03-2024, 14:25 door
Anoniem
Door Anoniem:
Door Anoniem:
Geef dan eens linkjes hierover.Door Anoniem:
Ah, goede vraag van u; het komt heel veel voor!Door Anoniem: Zucht... Verificatie via SMS is zeer onveilig, (oa. simjacking aanvallen) waarom niet gebruikmaken van 2FA apps of YubiKeys?? In ieder geval als optie?
Hoe vaak komen die simjacking's nu voor in Nederland?Zoals iedere keer: veel geschreeuw, weinig wol. Wel verdachtmakingen, geen bewijs.
Vooralsnog is DigiD gewoon veilig, zeker met authenticatie via rijbewijs en paspoort, en is DigiD ook met alleen SMS gewoon veilig genoeg. Er is geen greintje bewijs voor het tegendeel, en conform normale discussie methodieken en logica moet het bewijs dat het niet veilig is geleverd worden. Dat is niet gebeurd.
27-03-2024, 16:06 door
Anoniem
Mijn partner hoort slecht, en totdat ik een eigen zaak begon had ik ook geen mobieltje.
Verder ben ik wel voorzien met glasvezel en eigen servers, ik ontwikkel zelf software.
TOTP had ik veel handiger gevonden, dat kan makkelijk via KeePass.
Nu moeten we weer een mobieltje extra kopen, met een abonnement, met een afschrijving van minimaal 20 euro per maand alleen maar om te kunnen inloggen. Dat is debiel duur vergeleken met een paspoort en even langsgaan wanneer dat nodig is.
Allemaal weggegooid geld.
Verder ben ik wel voorzien met glasvezel en eigen servers, ik ontwikkel zelf software.
TOTP had ik veel handiger gevonden, dat kan makkelijk via KeePass.
Nu moeten we weer een mobieltje extra kopen, met een abonnement, met een afschrijving van minimaal 20 euro per maand alleen maar om te kunnen inloggen. Dat is debiel duur vergeleken met een paspoort en even langsgaan wanneer dat nodig is.
Allemaal weggegooid geld.
27-03-2024, 17:37 door
Anoniem
Door Anoniem: Mijn partner hoort slecht, en totdat ik een eigen zaak begon had ik ook geen mobieltje.
Verder ben ik wel voorzien met glasvezel en eigen servers, ik ontwikkel zelf software.
TOTP had ik veel handiger gevonden, dat kan makkelijk via KeePass.
Nu moeten we weer een mobieltje extra kopen, met een abonnement, met een afschrijving van minimaal 20 euro per maand alleen maar om te kunnen inloggen. Dat is debiel duur vergeleken met een paspoort en even langsgaan wanneer dat nodig is.
Allemaal weggegooid geld.
Verder ben ik wel voorzien met glasvezel en eigen servers, ik ontwikkel zelf software.
TOTP had ik veel handiger gevonden, dat kan makkelijk via KeePass.
Nu moeten we weer een mobieltje extra kopen, met een abonnement, met een afschrijving van minimaal 20 euro per maand alleen maar om te kunnen inloggen. Dat is debiel duur vergeleken met een paspoort en even langsgaan wanneer dat nodig is.
Allemaal weggegooid geld.
Maar dat is niet zo maar integreerbaar en begrijpelijk voor iedereen. Dat nerds zoals jij en ik dat snappen betekent niet dat het breed inzetbaar is.
28-03-2024, 07:20 door
Anoniem
Vooralsnog is DigiD gewoon veilig,
Gelukkig wel ja, en ook altijd zo geweest.https://tweakers.net/nieuws/76975/duizenden-mensen-werden-dit-jaar-slachtoffer-digid-fraude.html
Door Anoniem:
https://tweakers.net/nieuws/76975/duizenden-mensen-werden-dit-jaar-slachtoffer-digid-fraude.html
Vooralsnog is DigiD gewoon veilig,
Gelukkig wel ja, en ook altijd zo geweest.https://tweakers.net/nieuws/76975/duizenden-mensen-werden-dit-jaar-slachtoffer-digid-fraude.html
Fout voorbeeld. Goed lezen: "omdat iedereen online na inloggen met DigiD namens iedere Nederlander toeslagen kon aanvragen en op de eigen rekening kon laten storten."
DigiD (-authenticatie) is veilig, het de onderliggende dienst waar een probleem mee is/was.
28-03-2024, 10:27 door
Anoniem
Door Anoniem:
https://tweakers.net/nieuws/76975/duizenden-mensen-werden-dit-jaar-slachtoffer-digid-fraude.html:
[...]
"De fraude, waarbij daadwerkelijk DigiD-gegevens zijn ontvreemd, is volgens Weekens nog altijd zeldzaam en de oorzaak ligt meestal in het feit dat mensen vrijwillig hun inlognaam en wachtwoord voor DigiD aan criminelen afstaan. [...]
Relatief is DigiD dus veilig genoeg zeker met SMS-controle. Vooralsnog is DigiD gewoon veilig,
Gelukkig wel ja, en ook altijd zo geweest.https://tweakers.net/nieuws/76975/duizenden-mensen-werden-dit-jaar-slachtoffer-digid-fraude.html:
[...]
"De fraude, waarbij daadwerkelijk DigiD-gegevens zijn ontvreemd, is volgens Weekens nog altijd zeldzaam en de oorzaak ligt meestal in het feit dat mensen vrijwillig hun inlognaam en wachtwoord voor DigiD aan criminelen afstaan. [...]
Door Anoniem:
Door Anoniem: Mijn partner hoort slecht, en totdat ik een eigen zaak begon had ik ook geen mobieltje.
Verder ben ik wel voorzien met glasvezel en eigen servers, ik ontwikkel zelf software.
TOTP had ik veel handiger gevonden, dat kan makkelijk via KeePass.
Nu moeten we weer een mobieltje extra kopen, met een abonnement, met een afschrijving van minimaal 20 euro per maand alleen maar om te kunnen inloggen. Dat is debiel duur vergeleken met een paspoort en even langsgaan wanneer dat nodig is.
Allemaal weggegooid geld.
Verder ben ik wel voorzien met glasvezel en eigen servers, ik ontwikkel zelf software.
TOTP had ik veel handiger gevonden, dat kan makkelijk via KeePass.
Nu moeten we weer een mobieltje extra kopen, met een abonnement, met een afschrijving van minimaal 20 euro per maand alleen maar om te kunnen inloggen. Dat is debiel duur vergeleken met een paspoort en even langsgaan wanneer dat nodig is.
Allemaal weggegooid geld.
Apart is dus wel weer dat iemand suggereert deskundig te zijn door met termen als TOTP en Keepass te strooien, maar blijkbaar nog nooit van Prepaid voor mobiele telefoons heeft gehoord, wat beduidend goedkoper is dan een abonement.
28-03-2024, 12:50 door
Anoniem
omdat iedereen online na inloggen met DigiD namens iedere Nederlander toeslagen kon aanvragen en op de eigen rekening kon laten storten."
https://www.security.nl/posting/835853/Bijna+zevenduizend+DigiD-accounts+wegens+mogelijk+misbruik+ingetrokken
authenticatie betekent.
https://www.seniorweb.nl/computerwoordenboek/a/authenticatie
En niemand anders.
28-03-2024, 14:19 door
Anoniem
Door Anoniem:
https://www.security.nl/posting/835853/Bijna+zevenduizend+DigiD-accounts+wegens+mogelijk+misbruik+ingetrokken
omdat iedereen online na inloggen met DigiD namens iedere Nederlander toeslagen kon aanvragen en op de eigen rekening kon laten storten."
https://www.security.nl/posting/835853/Bijna+zevenduizend+DigiD-accounts+wegens+mogelijk+misbruik+ingetrokken
En? Wat wil je daarmee zeggen; dat DigiD onveilig is; of dat mensen er misbruik van maken? Aanmelden als je partner vanaf hetzelfde device als net daarvoor jezelf kan natuurlijk al een teken zijn van misbruik...
Nog los van het feit dat er 3174 DigiD aansluitingen preventief zijn dichtgezet omdat die actief verhandeld werden in Genesis Market.
Trekken we die 3174 van die 7000 af hou je er ongeveer 4000 over. Op 17 miljoen actieve DigiD accounts is dat ongeveer 0,0002%. Klinkt als een best respectabele score.
Dan heeft 2FA toch echt wel voordelen, zoals al zo vaak aangegeven in dit verhaal. Gelukkig zijn er (stand van 2022) nog maar 340.000 mensen die geen MFA gebruiken bij DigiD.
28-03-2024, 16:09 door
Anoniem
Door majortom:
Maar dat wil ik helemaal niet! Ik moet in kunnen loggen zonder telefoon.Door Ron625: Dan het positieve nieuws:
Omdat een GSM verplicht is in de communicatie met de overheid, zal deze aftrekbaar (moeten) zijn van de belasting.
Helaas, je kunt ook een gesproken "SMS" via de vaste lijn krijgen.Omdat een GSM verplicht is in de communicatie met de overheid, zal deze aftrekbaar (moeten) zijn van de belasting.
Door Anoniem:
En? Wat wil je daarmee zeggen; dat DigiD onveilig is; of dat mensen er misbruik van maken? Aanmelden als je partner vanaf hetzelfde device als net daarvoor jezelf kan natuurlijk al een teken zijn van misbruik...
Nog los van het feit dat er 3174 DigiD aansluitingen preventief zijn dichtgezet omdat die actief verhandeld werden in Genesis Market.
Trekken we die 3174 van die 7000 af hou je er ongeveer 4000 over. Op 17 miljoen actieve DigiD accounts is dat ongeveer 0,0002%. Klinkt als een best respectabele score.
Dan heeft 2FA toch echt wel voordelen, zoals al zo vaak aangegeven in dit verhaal. Gelukkig zijn er (stand van 2022) nog maar 340.000 mensen die geen MFA gebruiken bij DigiD.
Door Anoniem:
https://www.security.nl/posting/835853/Bijna+zevenduizend+DigiD-accounts+wegens+mogelijk+misbruik+ingetrokken
omdat iedereen online na inloggen met DigiD namens iedere Nederlander toeslagen kon aanvragen en op de eigen rekening kon laten storten."
https://www.security.nl/posting/835853/Bijna+zevenduizend+DigiD-accounts+wegens+mogelijk+misbruik+ingetrokken
En? Wat wil je daarmee zeggen; dat DigiD onveilig is; of dat mensen er misbruik van maken? Aanmelden als je partner vanaf hetzelfde device als net daarvoor jezelf kan natuurlijk al een teken zijn van misbruik...
Nog los van het feit dat er 3174 DigiD aansluitingen preventief zijn dichtgezet omdat die actief verhandeld werden in Genesis Market.
Trekken we die 3174 van die 7000 af hou je er ongeveer 4000 over. Op 17 miljoen actieve DigiD accounts is dat ongeveer 0,0002%. Klinkt als een best respectabele score.
Dan heeft 2FA toch echt wel voordelen, zoals al zo vaak aangegeven in dit verhaal. Gelukkig zijn er (stand van 2022) nog maar 340.000 mensen die geen MFA gebruiken bij DigiD.
Bovendien staat de (kwaliteit van de) authenticatie van DigiD niet ter discussie. Ook hier zijn het menselijke fouten/"fouten" en/of onderliggende systemen die voor problemen zorgen.
Die menselijke fouten zullen ook (meer?) optreden als andere authenticatie methoden gebruikt worden. Even chargeren: wangslijmfraude, paspoort "look-a-like", om er maar eens paar te noemen.
29-03-2024, 12:39 door
Anoniem
Door Anoniem:
Waarom ?Door majortom:
Maar dat wil ik helemaal niet! Ik moet in kunnen loggen zonder telefoon.Door Ron625: Dan het positieve nieuws:
Omdat een GSM verplicht is in de communicatie met de overheid, zal deze aftrekbaar (moeten) zijn van de belasting.
Helaas, je kunt ook een gesproken "SMS" via de vaste lijn krijgen.Omdat een GSM verplicht is in de communicatie met de overheid, zal deze aftrekbaar (moeten) zijn van de belasting.
De overheid is niet verplicht zich aan de kleine minderheid te schikken.
29-03-2024, 13:31 door
Anoniem
Lastig als je geen mobiele telefoon hebt.
29-03-2024, 16:58 door
Anoniem
Bovendien staat de (kwaliteit van de) authenticatie van DigiD niet ter discussie. Ook hier zijn het menselijke fouten/"fouten" en/of onderliggende systemen die voor problemen zorgen.
Dan is alles veilig, waar praten we nog over.
29-03-2024, 17:59 door
Anoniem
Door Anoniem:
Omdat een telefoon geen rol zou mogen spelen in het identificatieproces. Het ging toch al twintig jaar prima zonder?Door Anoniem:
Waarom ?Door majortom:
Maar dat wil ik helemaal niet! Ik moet in kunnen loggen zonder telefoon.Door Ron625: Dan het positieve nieuws:
Omdat een GSM verplicht is in de communicatie met de overheid, zal deze aftrekbaar (moeten) zijn van de belasting.
Helaas, je kunt ook een gesproken "SMS" via de vaste lijn krijgen.Omdat een GSM verplicht is in de communicatie met de overheid, zal deze aftrekbaar (moeten) zijn van de belasting.
29-03-2024, 21:09 door
Anoniem
Door Anoniem: Lastig als je geen mobiele telefoon hebt.
Dan kan je niet meedoen aan de sociale wereld.
30-03-2024, 06:50 door
beaukey
Door Anoniem:
Bovendien staat de (kwaliteit van de) authenticatie van DigiD niet ter discussie. Ook hier zijn het menselijke fouten/"fouten" en/of onderliggende systemen die voor problemen zorgen.
Dan is alles veilig, waar praten we nog over.Goed lezen: over "menselijke fouten/"fouten" en/of onderliggende systemen die voor problemen zorgen".
30-03-2024, 12:49 door
Anoniem
Goed lezen: over "menselijke fouten/"fouten" en/of onderliggende systemen die voor problemen zorgen".
Ik wil je graag je standpunt begrijpen maar het komt over als iemand A zegt zeg jij B en als iemand B zegt zeg jijA. Geef eens duidelijk uitleg wat je eigenlijk bedoelt zodat ik je begrijpen.
30-03-2024, 14:05 door
beaukey
Door Anoniem:
A. Geef eens duidelijk uitleg wat je eigenlijk bedoelt zodat ik je begrijpen.
Goed lezen: over "menselijke fouten/"fouten" en/of onderliggende systemen die voor problemen zorgen".
Ik wil je graag je standpunt begrijpen maar het komt over als iemand A zegt zeg jij B en als iemand B zegt zeg jijA. Geef eens duidelijk uitleg wat je eigenlijk bedoelt zodat ik je begrijpen.
DigiD (als authenticatie dienst) werkt naar behoren. Het zijn menselijke fouten/obstructie of de implementatie van diensten (die DigiD gebruiken) die problemen hebben.
30-03-2024, 23:32 door
Anoniem
Door beaukey:
DigiD (als authenticatie dienst) werkt naar behoren. Het zijn menselijke fouten/obstructie of de implementatie van diensten (die DigiD gebruiken) die problemen hebben.
DigiD deelt data met (minimaal) Google en Microsoft (Logius geeft geen inzicht in welke data en verzoek tot verwijderen negeren zij). Is het nu echt zo gek dat ik daar met de kennis van afgelopen decennium (zie deze website) extreem veel moeite mee heb?Door Anoniem:
A. Geef eens duidelijk uitleg wat je eigenlijk bedoelt zodat ik je begrijpen.
Goed lezen: over "menselijke fouten/"fouten" en/of onderliggende systemen die voor problemen zorgen".
Ik wil je graag je standpunt begrijpen maar het komt over als iemand A zegt zeg jij B en als iemand B zegt zeg jijA. Geef eens duidelijk uitleg wat je eigenlijk bedoelt zodat ik je begrijpen.
DigiD (als authenticatie dienst) werkt naar behoren. Het zijn menselijke fouten/obstructie of de implementatie van diensten (die DigiD gebruiken) die problemen hebben.
31-03-2024, 11:39 door
beaukey
Door Anoniem:
Door beaukey:
DigiD (als authenticatie dienst) werkt naar behoren. Het zijn menselijke fouten/obstructie of de implementatie van diensten (die DigiD gebruiken) die problemen hebben.
DigiD deelt data met (minimaal) Google en Microsoft (Logius geeft geen inzicht in welke data en verzoek tot verwijderen negeren zij). Is het nu echt zo gek dat ik daar met de kennis van afgelopen decennium (zie deze website) extreem veel moeite mee heb?Door Anoniem:
A. Geef eens duidelijk uitleg wat je eigenlijk bedoelt zodat ik je begrijpen.
Goed lezen: over "menselijke fouten/"fouten" en/of onderliggende systemen die voor problemen zorgen".
Ik wil je graag je standpunt begrijpen maar het komt over als iemand A zegt zeg jij B en als iemand B zegt zeg jijA. Geef eens duidelijk uitleg wat je eigenlijk bedoelt zodat ik je begrijpen.
DigiD (als authenticatie dienst) werkt naar behoren. Het zijn menselijke fouten/obstructie of de implementatie van diensten (die DigiD gebruiken) die problemen hebben.
"DigiD deelt data met (minimaal) Google en Microsoft" -> heb je daar voorbeelden/linkjes van?
"Logius geeft geen inzicht in welke data en verzoek tot verwijderen negeren zij" -> ik zou even de AVG bestuderen, en de volgende 3 stappen uitvoeren:
1.
Gebruik deze voorbeeldbrief (https://www.autoriteitpersoonsgegevens.nl/documenten/voorbeeldbrief-inzage) om inzage te krijgen in welke persoonsgegevens Logius van je verwerkt. Wat je terug krijgt gebruik je voor de volgende brieven.
2.
Gebruik deze voorbeeldbrief (https://www.autoriteitpersoonsgegevens.nl/documenten/voorbeeldbrief-dataportabiliteit) om een kopie van je verzamelde data te verkrijgen in een gestructureerd formaat. Die data moet Logius op jouw verzoek aan jou verstrekken.
3.
Gebruik deze voorbeeldbrief (https://www.autoriteitpersoonsgegevens.nl/documenten/voorbeeldbrief-verwijderen-persoonsgegevens) om je persoonsgegevens te laten verwijderen. Logius zal mogelijk niet alles hoeven te verwijderen , maar moet dit verzoek verwerken en specifiek voor bepaalde data verklaren waarom ze het niet doen.
Bij voorkeur de brieven met bericht van ontvangst versturen. Dan heb je goed bewijs als je niet binnen een "redelijke tijd" reageren (meestal 1 maand).
Krijg je daar geen-, of onvoldoende reactie op, dan zou ik een goede AVG advocaat op zoeken en desnoods tot een bodem procedure gaan procederen. Het kost wat, maar je haalt zeer waarschijnlijk je gelijk.
Maar, aan het einde van de dag, hoe heeft jouw DigiD gebruik (sec) jouw leven (negatief) veranderd? Heb je al eens uitgezocht welke data er door de onderliggende diensten gedeeld worden met Big Tech?
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
