Veilig inloggen bij de overheid (en elders) | DigiD

In de kamerbrief van het Ministerie BZK over het onderzoek Toegang Digitale Overheid wordt verslag gedaan van het veiliger worden van de toegang van burgers tot de systemen van de overheid. Er staat een mooi plaatje in met de betrouwbaarheidsniveaus waarop nu door mensen wordt ingelogd.

Op het plaatje, dat ik hier onder heb overgenomen, is de blauwe lijn het zeer onveilige inlognaam + wachtwoord (als ‘DigiD basis’ aangeduid) en oranje is tweefactor-authenticatie (inlognaam + wachtwoord + sms-code of DigiD app). Het wordt pas veilig bij de gele lijn, ‘DigiD Substantieel’.

 

Helaas wordt het onveilige ‘DigiD basis’ niet onmiddellijk afgeschaft, wat eigenlijk wel zou moeten. Dat men toewerkt naar het betrouwbaarheidsniveau Substantieel is een positieve ontwikkeling.

Veilig inloggen elders
Buiten de overheid is onveilig inloggen eveneens een groot probleem. Voor burgers belangrijke ondernemingen, zoals verzekeringsmaatschappijen, pensioeninstellingen en energiebedrijven werken veelal met het onveilige systeem van inlognaam+wachtwoord. Ook maken dit soort ondernemingen gebruik van e-mail als communicatiemiddel, waarbij is te hopen dat er geen persoonsgegevens in die e-mails worden gezet (e-mail is zeer onveilig). Van tweefactor-authenticatie hebben velen nog nooit gehoord en als er al een tweede factor is, is dat de onveilige sms. Het is hoog tijd dat ondernemingen verplicht worden om veilige inlog- en communicatiemethoden aan te bieden. Zo ver is het nog lang niet.

Overigens las ik dat DigiD Substantieel en Hoog niet buiten de overheid en enkele aangewezen sectoren (zorg) gebruikt kunnen worden.

 

Meer informatie:

Kamerbrief over rapportage Onderzoek Toegang Digitale Overheid plus bijlagen (pagina):

Artikelen op dit blog:

 


Aanvulling 5 januari 2021
‘Nieuwe chip in id-kaart biedt veiligere inlogmogelijkheid DigiD’, Radar 4 januari 2021.

Aanvulling 1 april 2021

Het lukt niet helemaal met het hogere niveau, lees op security.nl Storing op chip Nederlandse identiteitskaart na activeren inlogfunctie.

Aanvulling 7 mei 2021
Lees over het onderwerp Security.NL spreekt met Logius over beveiligingskeuzes voor DigiD-app. In het artikel staat informatie over de verschillende beveiligingsniveaus en valt te lezen Logius het inloggen met de DigiD-app wil bevorderen. Er worden interessante vragen aan Logius gesteld, zoals:

  • Waarom ondersteunt DigiD geen generieke OTP (one-time password)-generator / authenticator zoals veel andere websites/diensten doen?
  • De DigiD-app maakt gebruik van een pincode van vijf cijfers die niet kan worden gewijzigd in bijvoorbeeld een passphrase. Waarom is hiervoor gekozen?
  • De pincode wordt “gemaskeerd” in de DigiD-backend opgeslagen. Wat wordt precies met gemaskeerd bedoeld? Waarom is het nodig de pincode in de backend op te slaan en kan de app niet volledig vanaf de smartphone worden gebruikt (zoals bij een authenticator)?
  • De DigiD-apps zijn alleen in de appstores van Apple, Google en Microsoft beschikbaar. Gebruikers moeten hiervoor een account bij deze partijen hebben. Is er een reden waarom ervoor dit model is gekozen en waarom biedt Logius de apps niet zelf aan?
  • Vorig jaar werd bekend dat de overheid inloggen via DigiD met sms-code wil terugdringen ten gunste van de DigiD-app. Wat zijn de opties voor mensen zonder smartphone of mensen die de app niet kunnen/willen installeren?
  • Veel Androidtoestellen worden niet meer met beveiligingsupdates ondersteund. Hoe houdt Logius hier rekening mee?
  • In hoeverre is er in het dreigingsmodel rekening gehouden met een gecompromitteerd systeem van de gebruiker?

Over Ellen Timmer, advocaat ondernemingsrecht @Pellicaan

Verbonden aan Pellicaan Advocaten, http://www.pellicaan.nl/, kantoor Rotterdam, telefoon 088-6272287, fax 088-6272280, e-mail ellen.timmer@pellicaan.nl ||| Weblogs: algemeen: https://ellentimmer.com/ || modernisering ondernemingsrecht: http://flexbv.wordpress.com/ ||| Motto: goede bedoelingen rechtvaardigen geen slechte regels
Dit bericht werd geplaatst in Bestuursrecht, ICT, privacy, e-commerce en getagged met , , , , , . Maak dit favoriet permalink.

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit /  Bijwerken )

Google photo

Je reageert onder je Google account. Log uit /  Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit /  Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit /  Bijwerken )

Verbinden met %s