of 58959 LinkedIn

DigiD moet veiliger vindt het CBP

Het gevaar zit hem in phishing. Daarbij lokken criminelen nietsvermoedende mensen naar nepwebsites, waar ze hun gebruikersnamen en wachtwoorden kunnen invoeren, in de overtuiging dat ze inloggen bij de overheid.
4 reacties

Criminelen kunnen eenvoudig de DigiD-gebruikersnamen en wachtwoorden van burgers achterhalen. De DigiD moet daarom veiliger, zegt het College bescherming persoonsgegevens (CBP) donderdag. Met de 'digitale identiteit' kunnen burgers inloggen op sites van de overheid, zoals de Belastingdienst.

Phishing
Het gevaar zit hem in phishing. Daarbij lokken criminelen nietsvermoedende mensen naar nepwebsites, waar ze hun gebruikersnamen en wachtwoorden kunnen invoeren, in de overtuiging dat ze inloggen bij de overheid. Als criminelen de gegevens hebben, kunnen ze bijvoorbeeld toeslagen aanvragen of een belastingteruggave op hun eigen rekening laten storten.

SMS’je
De waakhond noemt ook een mogelijke oplossing: stuur mensen standaard een sms met een code, die ze moeten invoeren als ze hun gebruikersnaam en wachtwoord hebben ingevuld. Zoiets gebeurt al wanneer mensen via de site van hun bank geld willen overmaken. Bij DigiD bestaat de mogelijkheid al wel, maar die is vrijwillig.

Reclamebureau
Het CBP onderzocht de veiligheid, nadat duizenden mensen per ongeluk hadden geprobeerd in te loggen op de site van Digi-D, een Brabants reclamebureau. Het bedrijf sloeg zowel hun gebruikersnamen als hun wachtwoorden op. In die bestanden stonden meer dan 12.000 actieve DigiD-gebruikersnamen, en bij meer dan 8500 namen stond ook het wachtwoord.

Kwaad
Als die gegevens in handen waren gekomen van kwaadwillenden, zouden ze toegang hebben gekregen tot de belastinggegevens van de burgers. Ook hadden ze allerlei toeslagen kunnen aanvragen. Volgens het CBP is dat voor zover bekend niet gebeurd. De DigiD-accounts zijn geblokkeerd en het reclamebureau slaat de gebruikersnamen en wachtwoorden niet meer op. Maar het CBP zegt dat ook ‘in andere situaties misbruik kan worden gemaakt van DigiD-inloggegevens’. (ANP)

Verstuur dit artikel naar Google+

Gerelateerde artikelen

Reageer op dit artikel
















Even geduld a.u.b.

Reactie op dit bericht

Door m op
In reactie op J. Rademaker (ministerie BZK) op 9 oktober 2015 12:08
citaat:
• Overheidsorganisaties maken zelf een afweging op welk niveau mensen kunnen inloggen bij ze. Dit doen ze op basis van een risicoanalyse. Zo zijn zorgverzekeraars dit jaar overgestapt op DigiD met sms controle (zgn DigiD-midden). [einde citaat]
DigiD is uitsluitend bedoeld voor het contact tussen burger en overheid, zorgverzekeraars hebben daar niets te zoeken het gebruik van DigiD door verzekeraars is daarmee als wederrechtelijk te beschouwen en zou derhalve verboden dienen te zijn.
Door secretaris ver. PEL (secretaris) op
Citaat: "De waakhond noemt ook een mogelijke oplossing: stuur mensen standaard een sms met een code, die ze moeten invoeren als ze hun gebruikersnaam en wachtwoord hebben ingevuld. Zoiets gebeurt al wanneer mensen via de site van hun bank geld willen overmaken. Bij DigiD bestaat de mogelijkheid al wel, maar die is vrijwillig." Einde citaat.

Dan moet je wel een mobiel hebben... Wat weer een slimme oplossing... Wat qua abo's scheppen geld kost, terwijl pre-paid mobiel bellen nog duurder is... Wat onverlet laat dat DigiD gewoon onveilig is, terwijl straks als ook particulieren geen papieren aangifte Inkomstenbelasting meer mogen doen, ook gedwongen worden tot aanschaf van een computer (je zult maar 75 zijn en nog nooit een pc hebben gehad) met internet plus een DigiD. Het wachten is nu op de dag dat het goed fout gaat door een cyberaanval met dat DigiD... En nog iets: menigeen slaat zijn wachtwoorden op, op de pc die ze dan onthoudt. Lekker makkelijk, maar ook riskant.
Door J. Rademaker (ministerie BZK) op
Wij zijn het niet eens met de kritiek van het CBP en herkennen ons ook niet in het geschetste beeld.
• Overheidsorganisaties maken zelf een afweging op welk niveau mensen kunnen inloggen bij ze. Dit doen ze op basis van een risicoanalyse. Zo zijn zorgverzekeraars dit jaar overgestapt op DigiD met sms controle (zgn DigiD-midden).
• Maar DigiD-basis (gebruikersnaam en wachtwoord) is voor veel contact met de overheid voldoende. Zo hoef je voor een afspraak met je gemeente niet elke keer via smscontrole in te loggen.
• Daarnaast kunnen mensen zelf ervoor kiezen (ook als de organisatie dat niet eist) om smscontrole in te stellen. Dat heeft meer dan de helft van de DigiD gebruikers ingesteld.
• Op dit moment werken we aan een app, als alternatief (niet vervanging) van de sms controle, met hetzelfde betrouwbaarheidsniveau.
• Dat gezegd hebbende, moeten mensen altijd zorgvuldig zijn met hun persoonlijke gegevens, en hebben daar ook een eigen verantwoordelijkheid in. Zo waarschuwen banken hun klanten hun gegevens niet te delen via phishing mails, maar kun je moeilijk stellen dat banken niet veilig zijn. Zo geldt dat ook voor DigiD. DigiD is veilig, maar als mensen hun wachtwoorden per mail verspreiden dan lopen zij inderdaad een risico.
• Daarom monitoren we voortdurend op het veilig gebruik van DigiD, en wordt bij vermoeden van fraude direct het account geblokkeerd of verwijderd.
Door Dwarsligger (Administratief medewerker) op
Beveiliging is goed. Maar bedenk wel dat de zwakste schakel toch altijd de mens blijkt te zijn.
Tegen onwetendheid is geen kruid gewassen. Mensen zijn nog steeds geneigd de sleutel onder de deurmat of vuilnisbak te leggen. Bewustwording van de burger lijkt mij veel belangrijker.