De overheid doet te weinig voor burgers die vermoeden dat hun DigiD misbruikt wordt. Dat zegt de Nationale Ombudsman Alex Brenninkmeijer in een interview met het AD. 'Als de overheid een bank was, zou die nu failliet zijn.' Het ministerie van Binnenlandse Zaken en Koninkrijksrelaties besluit deze zomer of DigiD wordt vervangen door een authenticatiemiddel met een hoger beveiligingsniveau. Door het Genootschap van Informatiebeveiligers (GvIB) is al in 2006 kritiek geuit op het huidige, lage beveiligingsniveau van DigiD.
'Uit de klachten die wij binnenkrijgen blijkt dat het een zeer zwak beschermd systeem is', zegt Brenninkmeijer in het AD. 'Voor mensen die verstand hebben van internetcriminaliteit is het blijkbaar makkelijk om fraude te plegen. Als de overheid een bank was, zou die nu failliet zijn.'
DigiD's worden slechts 'zeer beperkt' ontvreemd, zo liet het ministerie van Binnenlandse Zaken en Koninkrijksrelaties op 4 augustus 2011 weten. 'Sinds de invoering van DigiD in 2005 zijn dergelijke pogingen enkele honderden malen onderzocht. Bij het Centraal Meldpunt Identiteitsfraude zijn enkele tientallen gevallen van vermoeden van misbruik bekend. Een DigiD kan in dat geval worden opgeheven. Dat is dit jaar acht maal gebeurd.'
Brenninkmeijer: 'De praktijk is het beste bewijs, die is namelijk anders. Daaruit blijkt dat mensen het slachtoffer zijn van DigiD-fraude. Ik krijg er niet voor niets klachten over. De bal wordt bij de burger gelegd. Zij moeten zelf maar goed in de gaten houden dat er niets fout gaat met het aanvragen van hun DigiD.'
Gebruikersnaam en wachtwoord
Door het Genootschap van Informatiebeveiligers (GvIB) is al in 2006 kritiek geuit op het lage beveiligingsniveau van DigiD. GvIB stelt onder meer dat het per post versturen van activeringscodes een slecht idee is. Omdat het in dat geval niet nodig is zich te identificeren, is er geen volledige zekerheid over de daadwerkelijke identiteit van de DigiD-gebruiker.
Verder kende DigiD oorspronkelijjk het laagst mogelijke beveiligingsniveau: enkel de DigiD-gebruikersnaam en het bijbehorende wachtwoord waren nodig voor authenticatie. Het uitlekken van de DigiD-gebruikersnaam en -wachtwoord was daardoor voldoende om de identiteit van een persoon te misbruiken. Dat uitlekken zou bijvoorbeeld kunnen gebeuren met malware die toetsaanslagen afvangt.
Sinds een aantal jaren kunnen burgers echter ook kiezen voor 'zekerheidsniveau Midden', door te kiezen voor DigiD met sms-functie. Gebruikers worden in dat geval gevraagd om naast hun DigiD-gebruikersnaam en -wachtwoord ook een eenmalige transactiecode in te toetsen. Die code ontvangt de gebruiker via sms op zijn mobiele telefoon.
DigiD-opvolger: eNIK
Het ministerie besluit in de zomer van 2011 of DigiD wordt vervangen door een authenticatiemiddel met 'zekerheidsniveau Hoog'. Dat zou moeten gebeuren via een Elektronische Nederlandse identiteitskaart (eNIK).
'Daarbij wordt een chip toegevoegd aan de Nederlandse identiteitskaart. Er wordt dus geen aparte kaart voor gemaakt', aldus het ministerie.
Voor bedrijven: eHerkenning
Bedrijven kunnen nu al gebruik maken van hoger beveiligingsniveaus: eHerkenning is de opvolger van DigiD voor bedrijven.
'eHerkenningsmiddelen kennen verschillende betrouwbaarheidsniveaus', valt te lezen op de overheidssite waar het authenticatiemiddel kan worden aangevraagd. 'De overheidsorganisatie bepaalt per dienst het benodigde betrouwbaarheidsniveau. Zo hoort een gebruikersnaam en wachtwoordcombinatie bij het basisniveau, terwijl een PKI-certificaat bij het hoogste betrouwbaarheidniveau hoort. Daar tussenin komen sms-authenticatie en eenmalige wachtwoorden (OTP-tokens).'
Het ministerie van Binnenlandse Zaken zegt dat het gaat om enkele honderden gevallen op ca. 9 miljoen gebruikers. Procentueel gezien valt dit mee en de kosten van een betere beveiliging weegt niet op tegen het aantal gevallen. Bovendien zegt zij dat er geen syteem bestaat dat 100% waterdicht is.
Zolang deze gevallen in het nieuws komen,zal de adoptie door de bevolking niet echt toenemen.
DigiD is een door de overheid opgelegd authenticatiemechamisme aan de bevolking, wat ook al geen beste reputatie heeft opgeleverd.
Het bovengenoemde eNIK heeft, als mogelijke vervanger DigiD, hopelijk betere security en performance, al heb ik zelf nog niet veel vertrouwen in die chip.
En nieuwe authenticatiemechanismen met wachtwoorden zijn toch echt ‘not done’in de huidige identity-wereld
Ik heb nog wel een tip voor de Staat. Gewoon even leentje buur spelen bij de OVChipkaart die schijnen ook een leuke goedkope chip in de aanbieding te hebben.
Ik durf te wedden dat we later toch weer terug zullen verlangen naar de DigiD. Eenvoudig en niet massaal te kraken zonder veel moeite.
DigiD: alleen maar lastig, want dat gebruik je als burger maar zelden. Ok, sommigen wat meer, maar de doorsnee Nederlander zal er zijn belastingaangifte mee authoriseren.
Dat stukje papier met je codes raak je dus heel simpel kwijt. Overkwam mij al twee keer. Waarom niet elektronisch vastgelegd? Had ik gedaan op een externe USB, maar ja, die crashte…
Heb het nu op een voor mij handige plek opgeslagen, ja op de pc en in een map op papier.
Punt is dat niet de DigiD niet goed is beveiligd, je kunt gewoon te simpel een nieuwe aanvragen. Lukte me ook voor die van mijn vrouw. Zou niet moeten kunnen.
Het DigiD mag dan wellicht niet perfect zijn, maar is wel door het gros van de bevolking te begrijpen.
Er zijn talloze, veel betere technieken in omloop, maar begrijpen Jan met de pet en Truus met de trui, die al blij zijn dat het ze lukt een email te versturen, het dan ook nog?
@PaVaKe
hm, dus als de klant het begrijpt is het wel goed, maar is het wel veilig?
Ik zou het een slechte zaak vinden dat een softwareboer zijn niet veilige waar (en de softwareboer weet dat!) aan een onwetende klant verkoopt.
Maar ja, het gaat niet om de veiligheid, het gaat om de usability (lees beheerkosten overheid) !!
@C
Het gaat volgens mij om de balans tussen veiligheid en usability.
Simpel voorbeeld van een volstrekte digibeet, een wat oudere dame die net een mobiel heeft gekocht: op haar mobiel moet ze de pin-code ingeven om deze te ontgrendelen. Mevrouw tikt haar pincode in, werkt niet. Nog 2 pogingen die falen met als gevolg dat toestel volledig geblokkeerd wordt.
Wat blijkt: mevrouw tikte de pincode van de bank in (dat was immers haar pincode) in plaats die van de telefoon.
Jij en ik kunnen hier misschien om lachen, maar als je zulke digibeten met een (voor hun) complexe beveiliging opzadelt dan wordt het voor een groot deel van de gebruikers onwerkbaar vrees ik.
@Ai: het kan zijn dat het Ministerie afziet van betere beveiliging omdat de kosten daarvan (nog) niet gerechtvaardigd zijn. Maar:
1) Er moet dan wel een goedwerkende procedure zijn om die gebruikers schadeloos te stellen die last hebben van de lekken. Dat is kennelijk niet het geval.
2) Men moet er rekening mee houden dat het aantal gevallen plotseling steil omhoog gaat als een situatie wordt gevonden waarbij er voor kwaadwillenden net iets meer voordeel te halen is.
@PaVaKe
klopt, het gaat om balans veiligheid en usability.
Alleen jammer dat weer dat voorbeeld van de oudere dame als digibeet wordt aangehaald. Die mensen zijn al die computers, itt onze generatie, niet gewend.
Beter is het de digibeten goed voor te lichten, dan ze zo iedere keer als voorbeeld te stellen.
Waarom niet gewoon met de beveiliging van de bank mee liften? Maak een cent over ter verificatie van je ID of iets dergelijks.