Radar

Lol, vermakelijke berichten hierboven, maar ook ik erger me mateloos over wat er allemaal "moet". Ik was bij VGZ blij dat ik gewoon normaal kon inloggen met mijn DigiD + wachtwoord zonder het verplichte smsje. Sinds de invoering heb ik ook niet meer kunnen kijken,naar mijn zorgverbruik. Of het bij elke zorgverzekeraar moet (sms controle) dat weet ik niet, maar if not dan ben ik over een paar maanden op zoek naar een volgende verzekeraar. Dat is ook niet het leukste werkje.
Men verwacht tegenwoordig dat je van alles thuis hebt.. telefoon, internet, computer/laptop/ipad, televisie. Voor sommigen is het luxe en voor anderen onzin en voor anderen weer niet te betalen. En geld gebruiken als excuus? Dat kan, maar realiseer dat er écht mensen zijn die het niet kunnen betalen!! Om wat voor reden dan ook.

Ook ik kreeg hetzelfde standaard riedeltje van VGZ te horen. Jammer, ik heb het toch geprobeerd.

Men verwacht tegenwoordig dat je van alles thuis hebt.. telefoon, internet, computer/laptop/ipad, televisie.

Je kunt het ook andersom bekijken. Men verwacht tegenwoordig dat je op elk moment kan gaan bekijken wat er aan zorg is afgenomen. Wil je dat kunnen, dan zal ook jij als klant daar bepaalde technische middelen voor moeten hebben. Wil je gewoon je zorg afnemen en eventueel periodiek een overzicht thuisgestuurd krijgen, dan heb je die hele webportal niet nodig. En dus ook de digid niet.

MichielFRL schreef:Nogmaals, er zijn meer mobiele telefoons in NL dan burgers.
SMS is dus een passende methode voor extra verificatie.

Onzinnige redenering. Het aantal appara ten zegt niets over het aantal mensen dat zo'n apparaat heeft.

Dan kun je ook zeggen dat omdat er meer fietsen zijn dan mensen, iedereen in Nederland wel met de fiets naar bijvoorbeeld de winkels kan gaan. Daarmee negeer je dat er óók mensen zijn die niet kunnen fietsen. Zo is het ook met de verspreiding van gsm's.

kweenie schreef:

Men verwacht tegenwoordig dat je van alles thuis hebt.. telefoon, internet, computer/laptop/ipad, televisie.

Je kunt het ook andersom bekijken. Men verwacht tegenwoordig dat je op elk moment kan gaan bekijken wat er aan zorg is afgenomen. Wil je dat kunnen, dan zal ook jij als klant daar bepaalde technische middelen voor moeten hebben. Wil je gewoon je zorg afnemen en eventueel periodiek een overzicht thuisgestuurd krijgen, dan heb je die hele webportal niet nodig. En dus ook de digid niet.

Zelfs zo'n overzicht krijg ik niet per post..

Hoef (gelukkig!) nog steeds niet in te loggen met SMS. Ik heb ook geen telefoonnummer bekend gemaakt.

Lichtelijk on/off topic: maar het is niet echt aan te raden je DigiD zonder SMS functie in te stellen. Dan kan iedere malloot/hacker/kwaadwillende die je wachtwoord achterhaalt met je identiteit aan de haal (lees: onterecht toeslagen en subsidies gaan innen, die jij dan weer terug mag betalen).

Je leest niet goed, Donna. Als je niet met je DigiD instelt dat je alleen met SMS kan inloggen, kunnen mensen die het wachtwoord van je DigiD hebben dus op jouw naam toeslagen en subsidies incasseren.

Zie ook een aflevering van TROS Opgelicht waar mensen die dit is overkomen (door hun eigen onvoorzichtigheid met hun digitale veiligheid en/of inlogcodes). Deze mensen moesten duizenden euros die anderen op hun naam geïncasseerd hebben terugbetalen.

Je inloggegevens kunnen op verschillende manieren in de verkeerde handen vallen. Op de eerste plaats geven nog steeds veel mensen hun gebruikersnaam en wachtwoord aan mensen die ze vertrouwen. Bijvoorbeeld aan de adviseur die hen helpt met het doen van de belastingaangifte. Als je de inlogcodes na het doen van de aangifte niet wijzigt, kan deze adviseur hierna misbruik maken van je DigiD. Er kunnen toeslagen aangevraagd worden en zelfs het bankrekeningnummer kan worden gewijzigd. Als later blijkt dat je helemaal geen recht had op dit geld, is het al te laat. Het geld is weg, maar jij bent degene die het terug moet betalen.

http://www.opgelicht.nl/dossiers/detail/7727/

Donna schreef:Het topic is: VGZ verplicht inloggen per SMS code. Dat heeft helemaal niets te maken met toeslagen en subsidies. Ik kan op Digid nog steeds inloggen zonder SMS, alleen bij VGZ kan dat niet meer. Waar het om gaat is dat VGZ alleen maar deze manier van extra veiligheid wil toestaan en weigert een van de andere manieren aan te bieden. Want een TAN code of de code per mail sturen is net zo veilig, of wellicht veiliger, dan per SMS, mobiele telefoons zijn verre van veilig.

Je snapt het punt niet: SMS functie zou voor alle DigiD logins verplicht moeten zijn, en zolang dit niet zo is, zijn er dus dergelijke risico's. Door je te verzetten tegen ontwikkelingen zoals in dit topic ben je dus onderdeel van het (veiligheids)probleem, wat inhoudelijk dus wél met toeslagen en fraude hiermee te maken heeft. Het is juist goed dat verschillende instellingen inmiddels SMS verplicht stellen i.v.m. fraude en veiligheid. Dat is voor instellingen als VGZ niet anders.

Een TAN code per mail is niet even veilig, zoals ook al eerder in dit topic is aangegeven.

Als digid zonder sms zo/te onveilig is, dan zou digid zélf de optie zonder sms moeten afschaffen. Het is niet echt consequent om aan de ene kant digid zonder sms rustig te laten bestaan, en aan de andere kant te zeggen dat de zorgverzekeraars alleen mét sms mogen, omdat zonder sms te onveilig is.

kweenie schreef:Als digid zonder sms zo/te onveilig is, dan zou digid zélf de optie zonder sms moeten afschaffen. Het is niet echt consequent om aan de ene kant digid zonder sms rustig te laten bestaan, en aan de andere kant te zeggen dat de zorgverzekeraars alleen mét sms mogen, omdat zonder sms te onveilig is.

Volledig mee eens.

Dat zal dan ook de volgende stap zijn. Digid zonder tweetrapsauthenticatie is niet veilig, net als alle andere logins zonder tweetrapsauthenticatie. Het is een kwestie van tijd voordat alle organisaties die Digid gebruiken SMS gaan gebruiken (of een andere methode van tweetrapsauthenticatie, maar die zijn idioot duur in vergelijking met SMS).

Donna schreef:

Julie4444 schreef:

kweenie schreef:Als digid zonder sms zo/te onveilig is, dan zou digid zélf de optie zonder sms moeten afschaffen. Het is niet echt consequent om aan de ene kant digid zonder sms rustig te laten bestaan, en aan de andere kant te zeggen dat de zorgverzekeraars alleen mét sms mogen, omdat zonder sms te onveilig is.

Volledig mee eens.

Digid is veilig. Digid verplicht geen SMS. SMS is dus niet noodzakelijk.

Als DigiD veilig was, waarom kunnen mensen dan zo makkelijk frauderen met toeslagen? DigiD is stukken veiliger met verplichte SMS verificatie, en dat weet je best.

Donna schreef:Ook bij de banken heeft het niet tot problemen geleid. Ik gebruik al jaren een TAN-lijst, wat is daar mis mee? Je kunt wel zeggen "het is niet veilig" , maar waar heeft dat tot poblemen geleid? Wees daar eens concreet in.

Concreet gezegd: bij banken moet het per transactie. Bij DigiD niet per login attempt. Tanlijsten zouden beter zijn dan de huidige situatie, maar SMS verificatie is alnog gewoon veiliger, want dan is er een extra laag aan codes (code op je telefoon bijvoorbeeld) die je beschermt. Andermans fysieke tancodelijst is makkelijker aan te komen...

Weleens bij TROS Opgelicht gezien wat Anne Kregel gedaan heeft met andermans bankrekeningen? Hij kon gewoon met het wachtwoord en de gestolen tancodelijsten gaan overschrijven. De telefoons hielden zijn slachtoffers wel bij zich, maar dat er een kopie van je tancodelijst is kan je natuurlijk niet zomaar weten. Bij mij zou dat onmogelijk zijn omdat ik mijn tancodelijst vernietigd heb en de codes via SMS laat toesturen. Een man als Kregel zou bij mij dus helemaal niets kunnen afschrijven, terwijl het bij zijn slachtoffers die geen SMS verificatie hadden aanstaan dus makkelijk wel kon. Hij ging zelf zover dat hij huur van een van zijn slachtoffers ging storneren en ook dat geld meepakte en dan pinde.

Maar goed, als je niet wil inzien dat SMS verificatie veiliger is dan tancodelijstjes en e-mail verificatie moet je dat zelf weten. Het blijft gewoon een feit.

Julie4444 schreef:Als DigiD veilig was, waarom kunnen mensen dan zo makkelijk frauderen met toeslagen?

Er zijn meerdere mogelijkheden om met toeslagen aan te vragen dan online met behulp van DigiD. Misschien is het een idee om eerst de oorzaken te onderzoeken voordat je gaat roepen dat het aan DigiD ligt?

Niet iedereen heeft een mobiele telefoon of internet. En alles is te kraken.

alfatrion schreef:

Julie4444 schreef:Als DigiD veilig was, waarom kunnen mensen dan zo makkelijk frauderen met toeslagen?

Er zijn meerdere mogelijkheden om met toeslagen aan te vragen dan online met behulp van DigiD. Misschien is het een idee om eerst de oorzaken te onderzoeken voordat je gaat roepen dat het aan DigiD ligt?

Zoals eerder in het topic aangegeven doel ik met die opmerking op buitenlandse criminele bendes die via keyloggers en malfide software de wachtwoorden van DigiDs bemachtigen en dan op naam van Nederlanders via een gecompromisede DigiD toeslagen incasseren op zelf ingevulde bankrekeningen en deze dan wegsluisen. De belastingdienst haalt dan alle uitgekeerde toeslagen (in de aflevering van TROS Opgelicht bij een gezin o.a. kinderopvangtoeslag voor kinderen die niet eens bestaan), terug van de mensen wiens DigiD hiervoor gebruikt is.

Als je met verplichte SMS verificatie werkt is dit type fraude onmogelijk.

Donna schreef:Ik zeg niet dat je ongelijk hebt, mijn kennis van deze systemen gaat niet zo ver. Wat ik me wel afvraag, als je Digid kunt kraken, als je de bijbehorende TAN lijsten kunt stelen, dan kun je waarschijnlijk ook wel een een telefoonnummer wijzigen in Digid en zelf de codes ontvangen.
Het wordt helaas steeds moeilijker om indringers buiten te houden, ik klik zelfs niet meer door in de nieuwsbrieven van de bank, want je weet maar niet of hij echt van de bank komt. Ik open mijn bank maar op één pc, nooit elders, bezoek geen rare sites en dan nog loop ik risico.

Het is niet de DigiD die in dat type fraude gekraakt wordt. Er is dan sprake van een malfide programmatje (laten we het voor het gemak een computervirus noemen) dat kijkt wat jij intypt als je inlogt. Het is dus alleen je computer waar ze op mee kunnen kijken en zodoende dus je wachtwoorden kunnen achterhalen. E-mail verificatie beschermt hier ook niet tegen omdat ze zo ook het wachtwoord van je e-mail kunnen stelen. Een TAN-lijst zou tegen dit type fraude ook werken, mits de codes voor letterlijk iedereen uniek zijn, omdat deze niet via de computer gaat.

De SMS codes kunnen alleen gestolen worden als men inbreekt bij DigiD zelf en deze kan ontcijferen of met dit systeem/netwerk aan de haal kan gaan, maar de kans daarop is erg klein. De kans dat de gemiddelde computergebruiker een door een keylogger geïnfecteerd raakt is vele malen groter.

Wat dat betreft is je computer nooit 100% veilig (en nee, je mobiel ook niet), maar de kans dat allebei tegelijkertijd door dezelfde partij overgenomen wordt is erg klein. Vandaar dat het invoeren van ófwel verplichte TANcode logins ofwel verplichte SMS verificatie logins een verbetering zou zijn, waarbij SMS een tikkeltje veiliger dan TANcodes omdat mensen in de directe omgeving (denk inbrekers of figuren zoals die Anne Kregel bijvoorbeeld) hier doorgaans moeilijker aan kunnen komen.

En zolang ze daar niet aan kunnen komen kunnen ze niet inloggen en dus ook niets (geen telefoonnummer, geen bankrekening, geen wachtwoord) veranderen.

Julie4444 schreef: Als je met verplichte SMS verificatie werkt is dit type fraude onmogelijk.

Maar dan blijft nog steeds de vraag waarom de DigiD zonder SMS nog bestaat. Of anders gezegd, waarom het de zorgverzekeraars verplicht wordt die SMS te gebruiken, maar andere organisaties niet. Is het niet en beetje boter op het hoofd hebben om die andere organisaties gewoon de DigiD zonder SMS te laten gebruiken, als je weet/vindt dat dat onveilig is?

Zoals gezegd is het naar mijn mening belachelijk dat dit nog niet voor alles verplicht is juist vanwege de risico's. Daar mag wat mij betreft snel verandering in komen. Tot die tijd is iedere extra instelling meegenomen.

Julie4444 schreef:Zoals gezegd is het naar mijn mening belachelijk dat dit nog niet voor alles verplicht is juist vanwege de risico's. Daar mag wat mij betreft snel verandering in komen. Tot die tijd is iedere extra instelling meegenomen.

En o.a. ik vindt belachelijk dat als je geen mobieltje hebt je bij VGZ niet kan inloggen. Das 1 van de redenen dat ik ben weg gegaan bij VGZ. Waren nog meer zaken welke speelde.

Nu bij ONVZ en deze geven je de keus om met of zonder sms in te loggen. Dus wel met Digi-is maar dan zonder extra sms.

Kijk, die laten de keus aan de klant en zo hoort het is mijn mening !

Donna schreef:

Julie4444 schreef:Zoals gezegd is het naar mijn mening belachelijk dat dit nog niet voor alles verplicht is juist vanwege de risico's. Daar mag wat mij betreft snel verandering in komen. Tot die tijd is iedere extra instelling meegenomen.

Je gaat er nog steeds van uit dat het vanzelfsprekend is dat iedereen een mobieltje heeft. Dat is niet zo. VGZ zou de klant ook kunnen laten kiezen, het risico als het fout gaat ligt sowieso bij de klant.

Tancodelijst voor mensen zonder mobiel, mobiele code voor mensen met mobiel.
Dan zijn de risico's al sterk verkleind.

En ja, het risico ligt bij de klant, maar wat betreft dit soort dingen mag je best mensen tegen zichzelf beschermen naar mijn mening.

Is niet de beslissing van VGZ, maar van de overheid. Ze zouden dit bij DigiD moeten doorvoeren en dan gaat het automatisch ook zo voor plekken waar je met DigiD inlogt.