[ archief ] Is DigiD nog wel veilig?

[aegle]

Zorgverzekeraars hebben onderling afgesproken dat het inloggen op je
persoonlijke website met een DigiD onvoldoende veiligheid biedt en daarom
sinds kort uitgebreid moet worden met een eigen code, die op aanvraag per sms of mail verstuurd
wordt. Deze extra beveiliging wordt ingegeven door een wettelijke eis. Ik kwam er achter toen ik een mail kreeg met de boodschap dat er een bericht in mijn berichtenbox van in dit geval CZ staat. https://welkom.cz.nl/
Mijn vraag is of de door de overheid ingestelde beveiligingsmethode, de DigiD,
onvoldoende is, waardoor ook andere gegevens, denk aan belastingen en
gemeentelijke zaken slecht beveiligd zijn?

[sjohie]

Zorgverzekeraars hebben onderling afgesproken dat het inloggen op je
persoonlijke website met een DigiD onvoldoende veiligheid biedt en daarom
sinds kort uitgebreid moet worden met een eigen code, die op aanvraag per sms of mail verstuurd
wordt. Deze extra beveiliging wordt ingegeven door een wettelijke eis. Ik kwam er achter toen ik een mail kreeg met de boodschap dat er een bericht in mijn berichtenbox van in dit geval CZ staat. https://welkom.cz.nl/
Mijn vraag is of de door de overheid ingestelde beveiligingsmethode, de DigiD,
onvoldoende is, waardoor ook andere gegevens, denk aan belastingen en
gemeentelijke zaken slecht beveiligd zijn?

Er is eea afgesproken over het beter beschermen van de meest gevoelige medische gegevens. Dat betekent verplicht inloggen met 2-factor authenticatie. Ofwel DigiD+wachtwoord mét sms code optie, of DigiD+wachtwoord en mail/sms via CZ account. Eea legt CZ goed uit op deze pagina.

Dit betekent dus niks voor, en zegt niks over DigiD, dat is nog steeds net zo veilig als het altijd al was. Wat je er verder aan halve voorbeelden van slechte beveiliging bij haalt heeft daar niks mee van doen.

[aegle]

Het geeft maar weer eens duidelijk aan, zoals op de website van CZ staat uitgelegd, dat er blijkbaar een extra beveiliging noodzakelijk is. Deze is niet nodig voor andere privacy-gevoelige informatie, die schuil gaat achter door DigiD beveiligde sites. Zelfs de telefonist van CZ kon dit niet toelichten en gaf aan dat het door de overheid was opgelegd.

[ZaBo]

Bij mijn ZV en andere mogelijke instanties waarbij ik digiD kan gebruiken, krijg ik altijd de vraag of sms authenticatie wil gebruiken

Sterker nog bij onze ZV kan ik niet eens inloggen zonder sms identificatie( tenminste niet bij de zeer persoonlijke info)

[sjohie]

Het geeft maar weer eens duidelijk aan, zoals op de website van CZ staat uitgelegd, dat er blijkbaar een extra beveiliging noodzakelijk is. Deze is niet nodig voor andere privacy-gevoelige informatie, die schuil gaat achter door DigiD beveiligde sites. Zelfs de telefonist van CZ kon dit niet toelichten en gaf aan dat het door de overheid was opgelegd.

Nergens spreekt CZ over noodzaak op de site achter mijn link, dus hoe kom je daar precies bij? Er is dus geen calamiteit of "hack" aan voorafgegaan, de overheid doet wat het moet doen in dit geval, opkomen voor de belangen van de burgers, in dit geval dus zorgen dat bedrijven het veilig bewaren van zo ongeveer de meest privacy gevoelige informatie, die over je gezondheid, zo goed mogelijk regelen.

En een telefoniste, of eenieder van CZ die jij als klant te pakken kan krijgen, zal niet ingevoerd zijn in de details van hun security beleid, en hoe dat wordt vormgegeven ism de overheid en branchegenoten, dan is een antwoord als dat, wat je met zoveel woorden ook ziet staan op die pagina, wel wat je kon verwachten van algemene medewerker.

Dit document gaat over uniforme maatregel 09 - Gebruik authenticatiemiddelen internet, van dat convenant. Daarin zie je de verschillende niveau's van gegevens, en de afgesproken authenticatiemiddelen daarbij.

[GJvdZ]

Het geeft maar weer eens duidelijk aan, zoals op de website van CZ staat uitgelegd, dat er blijkbaar een extra beveiliging noodzakelijk is. Deze is niet nodig voor andere privacy-gevoelige informatie, die schuil gaat achter door DigiD beveiligde sites. Zelfs de telefonist van CZ kon dit niet toelichten en gaf aan dat het door de overheid was opgelegd.

De call center medewerker van CZ zal dan ook geen IT security specialist zjin geweest. Zo wel, dan zeker geen goed, want anders was hij geen call center medewerker geworden maar had hij zo >80k als IT security specialist kunnen verdienen.....

[John van Drongelen]

Hallo eagle,

Een goede topic!

NIETS is veilig op internet omdat alles gehackt kan worden.
Denk maar aan Wikileaks!

Ik heb grote ruzie gehad met diverse instanties zoals Zilveren Kruis omdat ze alles digitaal wilden doen.
Alles per post en op papier: geen flauwekul!

[sjohie]

Hallo eagle,

Een goede topic!

NIETS is veilig op internet omdat alles gehackt kan worden.
Denk maar aan Wikileaks!

Ik heb grote ruzie gehad met diverse instanties zoals Zilveren Kruis omdat ze alles digitaal wilden doen.
Alles per post en op papier: geen flauwekul!

De info op Wikileaks komt van mensen, die onder de noemer klokkenluider, hun beroepsgeheim hebben geschonden onder de noemer van een zelf ingeschat groter doel, daar staat geen info op die is gehackt, en vervolgens is gepubliceerd door die hackers, dat is puur info die is verzameld en actief en bewust openbaar is gemaakt.

[bprosman]

Alles per post en op papier: geen flauwekul!

Gelukkig bestaat er niet zo iets als "Hengelen"

[sylvesterb]

Hallo eagle,

Een goede topic!

NIETS is veilig op internet omdat alles gehackt kan worden.
Denk maar aan Wikileaks!

Ik heb grote ruzie gehad met diverse instanties zoals Zilveren Kruis omdat ze alles digitaal wilden doen.
Alles per post en op papier: geen flauwekul!

"Alles per post en op papier" los van de enorme administratieve rompslomp is het ook erg duur om op papier te werken, we hebben betere digitale alternatieven.

Enkel een inlognaam/wachtwoord zoals Digi-D veelal gebruikt wordt is "veilig" zolang je een goed wachtwoord hebt gekozen. Bij SMS verificatie moet een derden jouw telefoonnummer (simkaart, toestel) en je wachtwoord hebben en dat is uiteraard veiliger.

Dit heeft niets te maken met hacken o.i.d. van Digi-D maar puur dat consumenten niet altijd even zorgvuldig zijn met hun gegevens. Zelf bij een ISP gewerkt en regelmatig krijgen wij mails "Ik heb uw e-mail over de datamigratie beantwoord met mijn gebruikersnaam en wachtwoord, maar nu werkt mijn internet verbinding niet meer". Daarna mocht je zo klant uitleggen dat ze geblokkeerd waren omdat hun gegevens waren misbruikt door hackers.

[John van Drongelen]

Er zijn films,die op waarheid berusten,zoals "enemy of the state",waar de NSA je hele leven kan beheersen als je alles digitaal doet.

[kuklos]

Er zijn films,die op waarheid berusten,zoals "enemy of the state",waar de NSA je hele leven kan beheersen als je alles digitaal doet.

John, doe ons en jezelf een plezier en probeer nou een keer in hele leven te snappen wat je zegt en waar het over gaat. Digitaal is hackbaar, maar alles met post en papier ook.

[bprosman]

Er zijn films,die op waarheid berusten,zoals "enemy of the state",waar de NSA je hele leven kan beheersen als je alles digitaal doet.

Je moet dan wel interessant genoeg zijn voor de NSA , ben toch bang dat jij (en ik) dat niet zijn John.

[12Click]

Even hierop inhakend.Ik weet niet of jullie je het nog kunnen herinneren.Maar een paar jaar geleden was er inderdaad een
probleem met de beveiliging van de Digi-D.

De overheid deed toen zeken met een bedrijf (ben de naam helaas vergeten) , welke voor de beveiligings certificaten voor Digi-D zorgde.
Echter had at bedrijf zijn zaken niet op orde (en Digi-D was toen een makkelijk doel om te hacken - en volgens mij is dat ook gebeurd).

Ik wil er ook nog aan toevoegen dat hetzelfde bedrijf reeds eerder in de fout was gegaan.Na deze nieuwe misser heeft de overheid het contract met dit bedrijf verbroken en heeft een ander bedrijf in de arm genomen.

Hoeveel gegevens van personen er toen zijn ontvreemd of openbaar kan ik niet zeggen.Je kan je natuurlijk ook afvragen hoe goed het toezicht van de overheid is geweest.
Er zijn toen ook wat procedures voor Digi-D aangepast.

Dit bedrijf ging enige tijd daarna failliet overigens ...

[kweenie]

De dubbele inlogmethode heeft m.i. gewoon te maken met de veel persoonlijker gegevens, die veel mensen minder snel met anderen willen delen. De DigiD wordt voor belastingen en toeslagen nog wel eens gedeeld, bv met partner, zoon of dochter, adviseurs etc. Niet altijd mensen die je ook toegang tot je medische gegevens wilt verlenen.

[sylvesterb]

De overheid deed toen zeken met een bedrijf (ben de naam helaas vergeten) , welke voor de beveiligings certificaten voor Digi-D zorgde.
Echter had at bedrijf zijn zaken niet op orde (en Digi-D was toen een makkelijk doel om te hacken - en volgens mij is dat ook gebeurd).

Ze zijn niet gehackt en makkelijk was het ook niet. Het bedrijf wat certificaten uitgaf was gehackt, hierdoor was het mogelijk dat derden een certificaat kon uitgeven voor de website.

Als je hier gebruik van wilt maken moet je eerst de DNS records wijzigen van de website en naar je eigen site verwijzen. Los dat je hiermee enkel gegevens kan verzamelen van gebruikers die inloggen op de site. Daarnaast zou dit direct opvallen.

[sjohie]

Even hierop inhakend.Ik weet niet of jullie je het nog kunnen herinneren.Maar een paar jaar geleden was er inderdaad een
probleem met de beveiliging van de Digi-D.

De overheid deed toen zeken met een bedrijf (ben de naam helaas vergeten) , welke voor de beveiligings certificaten voor Digi-D zorgde.
Echter had at bedrijf zijn zaken niet op orde (en Digi-D was toen een makkelijk doel om te hacken - en volgens mij is dat ook gebeurd).

Ik wil er ook nog aan toevoegen dat hetzelfde bedrijf reeds eerder in de fout was gegaan.Na deze nieuwe misser heeft de overheid het contract met dit bedrijf verbroken en heeft een ander bedrijf in de arm genomen.

Hoeveel gegevens van personen er toen zijn ontvreemd of openbaar kan ik niet zeggen.Je kan je natuurlijk ook afvragen hoe goed het toezicht van de overheid is geweest.
Er zijn toen ook wat procedures voor Digi-D aangepast.

Dit bedrijf ging enige tijd daarna failliet overigens ...

Jij kan het je zo te lezen in ieder geval niét herinneren.

Vermoedelijk duidt jij op het Diginotar schandaal/faillissement? Dat was het bedrijf wat een groot deel van de overheidscertificaten beheerde, en die certificaten zorgen voor de sleuteltjes bij een https verbinding. Ze leverden ook die voor DigiD op dat moment. Door een hack kon iemand bij hen het certificaat van een paar sites aanpassen, oa die van gmail en hotmail. Hierdoor is door de overheid het certificaat van DigiD uit voorzorg onveilig verklaard, waardoor de site een paar dagen niet te gebruiken was. DigiD zelf is niet gehackt is uit 2 onderzoeken door onafhankelijke experts gebleken, maar het bedrijf is mede hierdoor failliet gegaan.

Nou lijkt het me wel fair dat jij wat informatie/bronnen post over de eerdere problemen die er volgens jou waren bij ze.