In de kamerbrief van het Ministerie BZK over het onderzoek Toegang Digitale Overheid wordt verslag gedaan van het veiliger worden van de toegang van burgers tot de systemen van de overheid. Er staat een mooi plaatje in met de betrouwbaarheidsniveaus waarop nu door mensen wordt ingelogd.

Op het plaatje, dat ik hier onder heb overgenomen, is de blauwe lijn het zeer onveilige inlognaam + wachtwoord (als ‘DigiD basis’ aangeduid) en oranje is tweefactor-authenticatie (inlognaam + wachtwoord + sms-code of DigiD app). Het wordt pas veilig bij de gele lijn, ‘DigiD Substantieel’.

Helaas wordt het onveilige ‘DigiD basis’ niet onmiddellijk afgeschaft, wat eigenlijk wel zou moeten. Dat men toewerkt naar het betrouwbaarheidsniveau Substantieel is een positieve ontwikkeling.

Veilig inloggen elders
Buiten de overheid is onveilig inloggen eveneens een groot probleem. Voor burgers belangrijke ondernemingen, zoals verzekeringsmaatschappijen, pensioeninstellingen en energiebedrijven werken veelal met het onveilige systeem van inlognaam+wachtwoord. Ook maken dit soort ondernemingen gebruik van e-mail als communicatiemiddel, waarbij is te hopen dat er geen persoonsgegevens in die e-mails worden gezet (e-mail is zeer onveilig). Van tweefactor-authenticatie hebben velen nog nooit gehoord en als er al een tweede factor is, is dat de onveilige sms. Het is hoog tijd dat ondernemingen verplicht worden om veilige inlog- en communicatiemethoden aan te bieden. Zo ver is het nog lang niet.

Overigens las ik dat DigiD Substantieel en Hoog niet buiten de overheid en enkele aangewezen sectoren (zorg) gebruikt kunnen worden.

Meer informatie:

Kamerbrief over rapportage Onderzoek Toegang Digitale Overheid plus bijlagen (pagina):

• Brief minister.
• Rapportage Onderzoek Toegang Digitale Overheid.
• Samenvatting van de oorzaken van de vertraging zoals onderzocht door de CIO BZK over het onderzoek Toegang Digitale Overheid.
• Assurance onderzoek PwC (Toegang) en aanbevelingen CIO BZK (Machtigen) over het onderzoek Toegang Digitale Overheid.

Artikelen op dit blog:

• • Digid-niveau ‘hoog’ komt er aan
  • DigiD | wanneer kan er veilig worden ingelogd bij Belastingdienst, zorgverzekeraar en uitkeringsinstelling?
  • Wordt DigiD veilig?
  • Alle berichten over DigiD, eID, eIDAS.

Aanvulling 5 januari 2021
‘Nieuwe chip in id-kaart biedt veiligere inlogmogelijkheid DigiD’, Radar 4 januari 2021.

Aanvulling 1 april 2021
Het lukt niet helemaal met het hogere niveau, lees op security.nl Storing op chip Nederlandse identiteitskaart na activeren inlogfunctie.

Aanvulling 7 mei 2021
Lees over het onderwerp Security.NL spreekt met Logius over beveiligingskeuzes voor DigiD-app. In het artikel staat informatie over de verschillende beveiligingsniveaus en valt te lezen Logius het inloggen met de DigiD-app wil bevorderen. Er worden interessante vragen aan Logius gesteld, zoals:

• Waarom ondersteunt DigiD geen generieke OTP (one-time password)-generator / authenticator zoals veel andere websites/diensten doen?
• De DigiD-app maakt gebruik van een pincode van vijf cijfers die niet kan worden gewijzigd in bijvoorbeeld een passphrase. Waarom is hiervoor gekozen?
• De pincode wordt “gemaskeerd” in de DigiD-backend opgeslagen. Wat wordt precies met gemaskeerd bedoeld? Waarom is het nodig de pincode in de backend op te slaan en kan de app niet volledig vanaf de smartphone worden gebruikt (zoals bij een authenticator)?
• De DigiD-apps zijn alleen in de appstores van Apple, Google en Microsoft beschikbaar. Gebruikers moeten hiervoor een account bij deze partijen hebben. Is er een reden waarom ervoor dit model is gekozen en waarom biedt Logius de apps niet zelf aan?
• Vorig jaar werd bekend dat de overheid inloggen via DigiD met sms-code wil terugdringen ten gunste van de DigiD-app. Wat zijn de opties voor mensen zonder smartphone of mensen die de app niet kunnen/willen installeren?
• Veel Androidtoestellen worden niet meer met beveiligingsupdates ondersteund. Hoe houdt Logius hier rekening mee?
• In hoeverre is er in het dreigingsmodel rekening gehouden met een gecompromitteerd systeem van de gebruiker?

Aanvulling 15 juli 2022
Tot 22 augustus 2022 loopt de internetconsultatie ‘Regeling voorzieningen WDO‘, die voorschriften bevat voor het gebruik van DigiD, DigiD Machtigen en MijnOverheid. Volgens de aankondiging zou de voorgestelde wijziging weinig veranderingen met zich meebrengen en een actualisering van de huidige Regeling voorzieningen GDI (tekst 1 oktober 2020) omvatten.

Ik heb nog niet kunnen vinden of private authenticatiediensten aanbieders op integriteit worden getoetst. Dat volgt in ieder geval niet uit de huidige Regeling voorzieningen GDI.