Door Anoniem: Ik gebruik geen app (Ik gebruik immers uitsluitend FLOSS) dus ben ik overgelevert aan de onveilige SMS controle...

Door Anoniem: En nou nog een oplossing die de burger NIET aan een groot Amerikaans techbedrijf bindt (Google, Apple).

De Rijksoverheid heeft een "pas toe of leg uit"-beleid dat gericht is op het bevorderen van open standaarden. Een standaard is niet open als die aan een of enkele specifieke leveranciers is gebonden. Nou kan het best zo zijn dat voor de hogere betrouwbaarheidsniveaus geen geschikte standaard voorhanden is. Dan zou de overheid, dat zou bijvoorbeeld Logius op zich kunnen nemen, samen met andere landen in de EU kunnen gaan werken aan een standaard die wel geschikt is voor wat overheden nodig hebben.

Dat kan op implementatieniveau dan resulteren in apps voor wie het met de smartphone wil doen, en daarnaast iets dat bijvoorbeeld lijkt op de Rabo- of ING-scanner voor wie er een apart apparaatje voor wil gebruiken. Net als de FIDO2-standaards is dat een open standaard die door meerdere leveranciers geïmplementeerd kan worden, en gecertificeerde apparaten (dat is natuurlijk wel nodig) kunnen dan gekoppeld worden aan DigiD, maar die kunnen dan ook geschikt zijn voor online toegang tot je bankrekening. Ik bedoel niet dat dat dan via de overheid loopt maar dat de techniek geschikt is om zo'n apparaat aan meerdere diensten te koppelen, net als met bijvoorbeeld U2F kan.

Zoals het nu is lijkt de Rijksoverheid ondanks "pas toe of leg uit" niet in termen van open standaarden maar in termen van marktaandeel te denken. Maar als je kiest voor marktaandeel kies je voor leveranciers en niet voor open standaarden, en misschien voor een groot maar niet voor 100% bereik onder de bevolking. Een open standaard kan 100% bereik hebben onder de mensen met internettoegang, ongeacht voor welke leverancier een burger kiest (al moet de implementatie van een leverancier wel aantoonbaar aan de eisen voldoen in dit geval).

Als er apparaatjes te koop zouden zijn, die vermoedelijk zouden lijken op de Rabo- en ING-scanners, die gecertificeerd aan eisen voldoen, die op het gemeentehuis aan DigiD en bij bankkantoren aan bankrekeningen te koppelen zijn, dan zou ik aan zo'n los apparaatje de voorkeur geven boven een app op een smartphone. Van een endpoint waar helemaal geen andere software op geïnstalleerd kan worden die iets kwaadaardigs kan aanrichten en die ik thuis kan laten in plaats van hem onderweg voor allerlei andere dingen te gebruiken kan ik beter dan bij een smartphone overzien waarom het veilig is.

Door Anoniem: Ik gebruik geen app (Ik gebruik immers uitsluitend FLOSS) dus ben ik overgelevert aan de onveilige SMS controle...
Waar is de HOTP/TOTP app mogelijkheid? (Zoals Aegis authenticator)
Waar is de hardware key optie? (Zoals Yubikey en NitroKey)
Het lijkt wel of ze die mogelijkheden vermijden ofzo...

Door Anoniem:
SMS is óók geen FLOSS; al was het maar omdat de "modems" aan boord van een telefoon misschien nog wel dichter gesloten zijn dan Windows.

Trouwens: https://tweakers.net/nieuws/205640/ministerie-maakt-broncode-van-digid-app-open-source.html

Door Anoniem: Je kan Google services gewoon installeren (ook via sideloading), alleen niks registreren, daarna kan je DigiD sideloaden en alles wat het framework gebruikt, wat vaak beter is voor je batterij verbruik.
Je kan ook de apk's van iemand die wel helemaal ge-playstored is copieeren van telf naar telf. (of via een backup).

Een redelijk veilige manier van sideloaden is een App van 3 verschillende sites downloaden en met elkaar op bit nivo vergelijken dan haal je snel de rommel eruit.

Door Anoniem: Ik gebruik geen app (Ik gebruik immers uitsluitend FLOSS) dus ben ik overgelevert aan de onveilige SMS controle...
Waar is de HOTP/TOTP app mogelijkheid? (Zoals Aegis authenticator)
Waar is de hardware key optie? (Zoals Yubikey en NitroKey)
Het lijkt wel of ze die mogelijkheden vermijden ofzo...

Door Anoniem:
TOTP is inderdaad ideaal. Kan ik dit gemakkelijk in my Authy applicatie syncen in de cloud, backupen met de Microsoft Authenticator.
Opslaan in mijn Keepass of publiek gehoste niet gepatched bitwarden oplossing.
QR code natuurlijk ook bewaren, want die kan ik dan gemakkelijk bewaren en ook toevoegen van mijn vader zijn Digid.

Natuurlijk zonder PIN code om toegang te krijgen tot deze informatie.

Ook dit soort oplossingen, hebben een groot nadeel, ze zijn niet centraal in te trekken of door een support medewerker goed te ondersteunen.

/sarcasme

Je ziet dus nu eigenlijk ook. waarom dit misschien niet zo'n goed idee is.

Door Anoniem:
Bedankt voor de adviezen, dat waardeer ik absoluut! Maar ik gebruik juist geen big-tech uit pricipe, ik wil onafhankelijk vrij blijven.
Ik zou het gemakkelijk kunnen installeren via de app store functie binnenin GrapheneOS, (gesandboxed) of via de Aurora Store app, maar voor mij is het een keiharde principekwestie, ik wil mijn vrijheid en zelfstandigheid behouden.
Zonder dat zou ik niet kunnen leven, en ik snap ook niet dat anderen dat wel kunnen, soms wordt ik best depressief van de digitale wereld en welke kant ze uitgaat.
Zelfs op PC gebruik ik GNU/Linux om deze reden.
Ik wou alleen maar dat DigiD een inlogmethode ondersteund voor mensen die als vrij mens willen leven zonder ze daarvoor hun digitale veiligheid in gevaar te brengen zoals via SMS verificatie.
Ik probeer ook met grote regelmaat mensen bewust te maken van de gevaren (naast spionage) van de big-tech dystopie die we met zijn allen aan het bouwen zijn en kom daarom vaak met oplossingen en deel deze met anderen op security.nl, maar soms kan zelfs ik er moeilijk omheen zoals in het geval met DigiD, vandaar dat ik liever heb dat er een oplossing komt voor mensen die hun digitale vrijheid en onafhankelijkheid willen behouden zoals die er in een vrij Nederland behoort te zijn, anders verliezen we onze identiteit qua vrijheid.
Net zoals in de echte wereld bestaat er in de digitale wereld zowel een vrije als niet vrije wereld.
Ik leef liever niet in een digitale dictatuur, en zie ook liever niet dat Nederland iets dergelijks ondersteund.
Duitsland doet het (op moment van schrijven) erg goed door meer vrije software te omarmen op overheidsniveau.
Burgers willen dat ook, net zoals mij en vele anderen hier in Nederland.

Door Anoniem: Ik gebruik geen app (Ik gebruik immers uitsluitend FLOSS) dus ben ik overgelevert aan de onveilige SMS controle...
Waar is de HOTP/TOTP app mogelijkheid? (Zoals Aegis authenticator)
Waar is de hardware key optie? (Zoals Yubikey en NitroKey)
Het lijkt wel of ze die mogelijkheden vermijden ofzo...

Door Anoniem: Ik heb contact gehad met mijn zorgverzekeraar hierover(TOTP i.p.v. ondermaatse SMS), en zij gaan het aankaarten., zij krijgen hier regelmatig klachten over(in diverse gradaties van onderbouwing zeg maar :), soms proberen mensen een telefoon te declareren i.v.m de digicrapapp xD)

Dus als wij/meer mensen dit doen bij de zorgverzekeraars onder het mom van platform onafhankelijk FOSS geen Android/CrApple willen gebruiken, Amerikaanse producten en noem maar op, zullen meer zorgverzekeraars dit willen aanbieden... een aankaarten bij Logius.

Let wel, bij service desk zitten geen IT experts (HOTP/TOTP zijn termen die al snel aan ze voorbij gaan ), uitleg als in; bij Microsoft werkt dit ook ongeveer zo met tijdelijke code, krijg je een oja.. zo...moeten zij ook inloggen bij ons op de afdeling, dan weten ze waar je het over hebt...

Op telefoons met een NFC-lezer
[...]
Zo is het mogelijk om extra privacygevoelige gegevens in te zien of te wijzigen, zoals gezondheidsgegevens. Volgens Logius eisen steeds meer organisaties de ID-check tijdens het inloggen.

Door Anoniem: Ik gebruik geen app (Ik gebruik immers uitsluitend FLOSS) dus ben ik overgelevert aan de onveilige SMS controle...

Door Anoniem: Waar is de HOTP/TOTP app mogelijkheid? (Zoals Aegis authenticator)

Door Anoniem: Waar is de hardware key optie? (Zoals Yubikey en NitroKey)

Door Anoniem: Het lijkt wel of ze die mogelijkheden vermijden ofzo...

Door Erik van Straten: Als je een sterk wachtwoord gebruikt, is de veiligheid van SMS irrelevant.

En als je een wachtwoordmanager gebruikt die de juiste inloggegevens voor digid.nl invult als jouw browser (let op, via https) verbinding heeft met de website met die domeinnaam (nadat je die wachtwoordmanager daar de opdracht voor hebt gegeven), dan is de kans al een stuk kleiner dat je die inloggegevens deelt met een kwaadaardige website (waarvan de eigenaar vervolgens op de echte digid.nl inlogt als zijnde jou).

Overigens helpen SMS, maar ook TOTP en "Number Matching" Authenticator-achtige apps, niet om aanvallen m.b.v. AitM (Attacker in the Middle) websites te voorkómen.

Meer info vind je desgewenst in https://security.nl/posting/840236/Veilig+inloggen.

Indien je een smartphone hebt, is de DigiD app veiliger, omdat deze -harcoded- uitsluitend met de juiste domeinnaam verbinding maakt.

Logius kiest ervoor om geen rekening te houden met mensen die:
1) geen deels closed source app willen, en/of
2) niet afhankelijk van Google/Apple/Samsung/etc. willen zijn, en/of
3) het te link vinden om hun identiteitsbewijs digitaal door hun smartphone te laten kopiëren.

(Ik val onder groep 3).

https://security.nl/posting/856738

Nee dat lijkt niet zo, het is zo. Net zoals dat er een moment was dat je op sommige sites niet meer kon inloggen als je, naast user-ID en wachtwoord, geen SMS geconfigureerd had, komt er een moment dat je verplicht bent om de app te installeren en jouw identiteitsbewijs digitaal naar jouw smartphone te uploaden.

En je dus:
a) over een smartphone moet beschikken die dat technisch kan, én
b) die je daar (ook de komende tijd) veilig genoeg voor acht.

(b geldt niet voor mij, sterker, ik ken geen merk en type smartphone die ik daar veilig genoeg voor acht).

Maar dit is allemaal nog niks vergeleken met EDIW/EUDIW/eIDAS/eID - waarmee je straks niet alleen op digid.nl kunt aurhenticeren (of direct op de doelsite, buiten digid.nl om dus) maar op elke willekeurige website - waarvan je geen idee hebt of die website echt is of nep (zie -Engelstalig- https://infosec.exchange/@ErikvanStraten/113079966331873386).

Door Anoniem: Ik heb contact gehad met mijn zorgverzekeraar hierover(TOTP i.p.v. ondermaatse SMS), en zij gaan het aankaarten., zij krijgen hier regelmatig klachten over(in diverse gradaties van onderbouwing zeg maar :), soms proberen mensen een telefoon te declareren i.v.m de digicrapapp xD)

Dus als wij/meer mensen dit doen bij de zorgverzekeraars onder het mom van platform onafhankelijk FOSS geen Android/CrApple willen gebruiken, Amerikaanse producten en noem maar op, zullen meer zorgverzekeraars dit willen aanbieden... een aankaarten bij Logius.

Let wel, bij service desk zitten geen IT experts (HOTP/TOTP zijn termen die al snel aan ze voorbij gaan ), uitleg als in; bij Microsoft werkt dit ook ongeveer zo met tijdelijke code, krijg je een oja.. zo...moeten zij ook inloggen bij ons op de afdeling, dan weten ze waar je het over hebt...

Door Anoniem:
Bedankt voor de adviezen, dat waardeer ik absoluut! Maar ik gebruik juist geen big-tech uit pricipe, ik wil onafhankelijk vrij blijven.
Ik zou het gemakkelijk kunnen installeren via de app store functie binnenin GrapheneOS, (gesandboxed) of via de Aurora Store app, maar voor mij is het een keiharde principekwestie, ik wil mijn vrijheid en zelfstandigheid behouden.
Zonder dat zou ik niet kunnen leven, en ik snap ook niet dat anderen dat wel kunnen, soms wordt ik best depressief van de digitale wereld en welke kant ze uitgaat.
Zelfs op PC gebruik ik GNU/Linux om deze reden.
Ik wou alleen maar dat DigiD een inlogmethode ondersteund voor mensen die als vrij mens willen leven zonder ze daarvoor hun digitale veiligheid in gevaar te brengen zoals via SMS verificatie.
Ik probeer ook met grote regelmaat mensen bewust te maken van de gevaren (naast spionage) van de big-tech dystopie die we met zijn allen aan het bouwen zijn en kom daarom vaak met oplossingen en deel deze met anderen op security.nl, maar soms kan zelfs ik er moeilijk omheen zoals in het geval met DigiD, vandaar dat ik liever heb dat er een oplossing komt voor mensen die hun digitale vrijheid en onafhankelijkheid willen behouden zoals die er in een vrij Nederland behoort te zijn, anders verliezen we onze identiteit qua vrijheid.
Net zoals in de echte wereld bestaat er in de digitale wereld zowel een vrije als niet vrije wereld.
Ik leef liever niet in een digitale dictatuur, en zie ook liever niet dat Nederland iets dergelijks ondersteund.
Duitsland doet het (op moment van schrijven) erg goed door meer vrije software te omarmen op overheidsniveau.
Burgers willen dat ook, net zoals mij en vele anderen hier in Nederland.

Door Anoniem:
Je kan Digid ook gewoon opzeggen. Dan ben je helemaal vrij