Advies Capgemini: integreer DigiD met Facebook

Ze hebben zich een maand vergist en dit moest eigenlijk een 1 april grap zijn??

Kunnen we wel mooi onze belastingaanslag "liken"
Beetje rare actie van Capgemini.

[ Voor 35% gewijzigd door OzzieMann op 03-05-2012 09:35 ]

Kan ik maar 1 ding op zeggen: best be trolling, chaps!

Omdat het een prima persoonskoppeling is en er een vrij goeie authenticatie manier is om op diverse sites in te loggen.

Veiligheid bij facebook is wat je er zelf van maakt trouwens, net als met je DigiD, bij facebook heb je meer security opties zelfs, bij DigiD kan ik niet zien wie vanaf waar heeft proberen in te loggen

Rmg schreef op donderdag 03 mei 2012 @ 09:35:
Omdat het een prima persoonskoppeling is en er een vrij goeie authenticatie manier is om op diverse sites in te loggen.

Veiligheid bij facebook is wat je er zelf van maakt trouwens, net als met je DigiD, bij facebook heb je meer security opties zelfs, bij DigiD kan ik niet zien wie vanaf waar heeft proberen in te loggen

CapGemini medewerker

Nee echt, DigiD aan Facebook koppelen - afgezien van het feit dat iedere Nederlander een facebook account moet hebben is de beveiliging bij Facebook ook naadje - niet te denken dat al jou gegevens lekker door facebook worden bewaard - dus straks ook jou interacties met de Nederlande overheid in handen van een Amerikaans bedrijf.

Goed Advies

Is het niet uit z'n verband getrokken en bedoelde CAP niet dat Oauth mogelijk een goede manier was om te authenticeren zoals Facebook

_Erikje_ schreef op donderdag 03 mei 2012 @ 09:42:
Is het niet uit z'n verband getrokken en bedoelde CAP niet dat Oauth mogelijk een goede manier was om te authenticeren zoals Facebook

Denk dit idd. Misschien dat de overheid een oAuth server kan opzetten zodat het makkelijker is deze te gebruiken.

R3M1 schreef op donderdag 03 mei 2012 @ 09:40:
[...]


CapGemini medewerker

nope

Nee echt, DigiD aan Facebook koppelen - afgezien van het feit dat iedere Nederlander een facebook account moet hebben is de beveiliging bij Facebook ook naadje -

Dat de beveiliging naadje is is gewoon onderbuik gevoel.

Technisch gezien is het een prima idee, het is een goed gestandaardiseerde authenticatie api, die makkelijk te implementeren is. (oAuth)

Voor gemeentes betekent dat dat hun websites het een stuk makkelijker krijgen met een juiste implementatie van de authenticatie, iets waar het nu mis mee gaat.

niet te denken dat al jou gegevens lekker door facebook worden bewaard - dus straks ook jou interacties met de Nederlande overheid in handen van een Amerikaans bedrijf.

Goed Advies

Op het technische vlak is het een goed idee, of het voor de rest een goed plan is weten ze nog niet daarom staat er ook

"Enige nadere overwegingen zijn hierbij gewenst."

En dan nog, persoonlijk vind ik het een beter idee, als facebook een contract heeft met ons rijk over het gebruik en opslag van dat soort gegevens. Dan dat het nu bij gemeentes wordt opgeslagen met het idee 'ja we hebben het werkend' maar we blijven er verder maar vanaf anders gaat het stuk

[ Voor 11% gewijzigd door Rmg op 03-05-2012 09:47 ]

Inderdaad erg raar advies. Bij mijn weten mag een dergelijke commerciële partij (in de VS: Patriot act FTW) helemaal niets met je burgerservicenummer. En die wordt toch echt gebruikt door Digid.
-
Ik zie alleen niet waarom jullie dit (m.u.v. het delen van het BSN) minder veilig zouden vinden dan een authenticatie van Facebook zelf. Op dat gebied zie ik alleen maar voordelen met een dergelijke SSO. Facebook hoeft dan niet eens meer je mailadres te hebben, laat staan je wachtwoord.

Zoals _Erikje_ hierboven zegt: Oauth of SAML lijken me in principe prima.

Edit:

Rmg schreef op donderdag 03 mei 2012 @ 09:44:
Technisch gezien is het een prima idee, het is een goed gestandaardiseerde authenticatie api, die makkelijk te implementeren is. (oAuth)

Voor gemeentes betekent dat dat hun websites het een stuk makkelijker krijgen met een juiste implementatie van de authenticatie, iets waar het nu mis mee gaat.

Dat snap ik niet, gemeenten kunnen (moeten) nu Digid gebruiken, da's toch niet zo heel complex? Zeker niet als je bedenkt dat 9 van de 10 gebruik maken van standaardpakketten. Die niet perse uptodate gehouden worden, maar dat is een ander verhaal.

[ Voor 37% gewijzigd door F_J_K op 03-05-2012 09:50 ]

F_J_K schreef op donderdag 03 mei 2012 @ 09:46:
Edit:
[...]

Dat snap ik niet, gemeenten kunnen (moeten) nu Digid gebruiken, da's toch niet zo hel complex? Zeker niet als je bedenkt dat 9 van de 10 gebruik maken van standaardpakketten. Die niet perse uptodate gehouden worden, maar dat is een ander verhaal.

Ik snap het ook niet maar als ongeveer 1 op de 10(meer dan 40 van de 400) gemeentes een slechte implementatie hebben en dat ze tot december 2013 nodig hebben om het uit te zoeken dan is er iets goed mis. m.i. iets wat je op zou kunnen lossen door een standaard authenticatie te gebruiken

Rmg schreef op donderdag 03 mei 2012 @ 09:44:

nope

My bad

Dat de beveiliging naadje is is gewoon onderbuik gevoel.

Technisch gezien is het een prima idee, het is een goed gestandaardiseerde authenticatie api, die makkelijk te implementeren is. (oAuth)

Voor gemeentes betekent dat dat hun websites het een stuk makkelijker krijgen met een juiste implementatie van de authenticatie, iets waar het nu mis mee gaat.

Beveiliging is al langer een issue by Facebook, zowel toegang als het de beveiliging van gegevens opgeslagen in Facebook - er zijn honderden security breaches geweest. Denk bij deze getallen als het DigiD zou betreffen, het systeem verliest onmiddellijk haar geloofwaardigheid.

Op het technische vlak is het een goed idee, of het voor de rest een goed plan is weten ze nog niet daarom staat er ook

CapGemini is overtuigd van haar advies, het is Minister Spies die een nadere overweging vraagt

Alsjeblieft niet zeg. Moeten alle mensen die tot nu toe verschoond zijn gebleven van die social media-nerdcrap ineens mee gaan doen zeker.

Is het rapport ook te krijgen zonder registratie-muur?

Er zijn vele redenen waarom integratie/koppeling van DigiD met private services (en dan nog specifiek services zoals Facebook) ongewenst kunnen zijn. De interessante vraag is hoe Cap Gemini tot een andere conclusie zou kunnen komen en wat de argumentenboom daarvoor is.

Dit past overigens het beste in Beveiliging & Virussen
SG->BV

Ik denk vooral dat het voor CapGemini beschadigend is. En dan bedoel ik dat dat bedrijf de overheid adviseert om DigiD aan facebook te koppelen... Zo'n bedrijf neem je toch niet meer serieus in overweging hierna?

En what's next, verkiezingen via facebook? Welke politicus is het meest geliket?

R3M1 schreef op donderdag 03 mei 2012 @ 09:54:
Rmg schreef op donderdag 03 mei 2012 @ 09:44:

Beveiliging is al langer een issue by Facebook, zowel toegang als het de beveiliging van gegevens opgeslagen in Facebook - er zijn honderden security breaches geweest. Denk bij deze getallen als het DigiD zou betreffen, het systeem verliest onmiddellijk haar geloofwaardigheid.

imho, de 99 van de 100 van die breaches zijn adverteerders die iets teveel info kregen, spam ' virus ' applicaties die profielen volspammen (user error, gewoon op alles klikken geval), of foto's die op private stonden maar toch niet helemaal.

Met de oAuth implementatie zijn vziw geen problemen.

CapGemini is overtuigd van haar advies, het is Minister Spies die een nadere overweging vraagt

Het rapport is te downloaden, nou ben ik ook wel benieuwd wat er precies staat , en dit is het enige stukje waar digid en facebook genoemd worden:

De invloedop bedrijfsvoering en overheidsdiensten staat echter pas in de kinderschoenen.
Toch sluipt het gebruikvan de cloudoplossingen relatief onopgemerkt de overheid binnen. De verheidsdienstverlening zal veel baat hebben bij het omarmen van open en creatieve cloudcomputingmogelijkheden.
Bijvoorbeeld DigiD integreren met Facebook, waardoor burgers zich op een veilige wijze via een klik kunnen identificeren, en vervolgens communiceren met overheidsdiensten.

Het 'advies' leest voor mij meer als "Kijk eens naar andere creative cloudcomputing oplossingen" dan echt als "Facebook en DigiD integratie is een goed idee en moet"

En ik ben het met ze eens dat die creatieve oplossingen ook wel eens een goeie oplossing zouden kunnen zijn(of in ieder geval iets om eens serieus naar te kijken). Al dan niet met facebook of iets anders ala openID

Ook is het jammer dat zo'n uitspraak meten uit verband wordt getrokken en gedaan wordt alsof het al geïmplementeerd is en alles kut is

Rukapul schreef op donderdag 03 mei 2012 @ 10:21:
Is het rapport ook te krijgen zonder registratie-muur?

https://docs.google.com/d...ukvXZFnpkJVVWSA_oTq0/edit

[ Voor 7% gewijzigd door Rmg op 03-05-2012 10:27 ]

Met een fake E-mail is het ook prima te achterhalen

Even in het rapport gezocht op "DigiD" wat leidt tot een enkele passage op de 16 pagina's van het rapport:

Toch sluipt het gebruik van de cloudoplossingen relatief onopgemerkt de overheid binnen. De overheidsdienstverlening zal veel baat hebben bij het omarmen van open en creatieve cloudcomputingmogelijkheden. Bijvoorbeeld DigiD integreren met Facebook, waardoor burgers zich op een veilige wijze via een klik kunnen identificeren, en vervolgens communiceren met overheidsdiensten.

Dit is beschamend voor zowel de journalistiek als Cap Gemini. Voor de journalistiek, omdat er een willekeurige passage (een voorbeeld, geen conclusie) gehypet wordt.

Voor Cap Gemini is het echter ook beschamend:

• de eerste zin wordt niet gestaafd met bronnen en is vaag
• de tweede zin is een niet onderbouwde stelling die als waarheid wordt gepresenteerd
• de derde zin is 1) willekeurig voorbeeld, 2) technisch onjuist, 3) hoogst controversieel, 4) niet duidelijk waarom het als voorbeeld zou kunnen zijn voor "open en creatieve cloudcomputingmogelijkheden" van de zin ervoor, 5) niet duidelijk waarom "de overheidsdienstverlening zal veel baat hebben bij het omarmen" ervan.

De paragrafen die erop volgen geven vooral voorbeelden van wat mogelijk is, maar ondersteunen niet als zodanig de paragraaf erboven met haar algemene beweringen en stellingen.

Kortom, rommel.

[ Voor 11% gewijzigd door Rukapul op 03-05-2012 10:40 ]

El_Thorbo schreef op vrijdag 04 mei 2012 @ 00:32:
Technisch gezien is het misschien leuk.

Ik ben zelf geen expert en laat dat deel dan ook graag aan anderen over maar wat mij steekt is dat er een advies wordt gedaan voor een koppeling met een bedrijf al lang en breed heeft bewezen de belangen voor eigen gewin boven alle fatsoen te stellen. Kortom, Facebook zoekt de grens op van wat wel en niet kan/mag.

Dat is dan toch de laatste partner die je wilt hebben als overheid?

Technisch kan het nog zo mooi zijn maar we moeten ook even kijken naar de belangen die spelen.

Nou ja ik denk dat DIGID best wel een stuk veiliger mag. maar om nou externe partijen zoals FaceBook, MS, Google oplossingen te gaan gebruiken vind ik ver gaan. Zeker aangezien je sofinummer nog belangrijker is dan je naam!! Facebook mag best weten hoe ik heet maar ik wil niet dat zij mijn sofinummer krijgen.. (uhhh BSN )

Daarnaast 1 user name en 1 wachtwoord.. Maak er iets van dat je met je bank pas moet inloggen. de bank heeft al je BSN. is een vertrouwens centrum. en de auth techniek is vrij beproeft. DigiD wachtwoord moet ik echt ergens opschrijven. of elk jaar 6 maanden opnieuw opvragen. eer dat ik dan mn wachtwoord via de post heb ontvangen. heb ik het al geregeld via de post of andere wegen.
Inloggen met je bankpas zoals je internet bankier lijkt mij dan ook stuk veiliger.. dan heb je op DigiD 4 velden.
BSN
Bankreknr
pasnummer
Auth code van je random reader of andere type auth van de bank (ing tan codes???)

Je auth dan tegen je bankrekening op. bank geeft de response terug aan DigiD en je kan accepteert je gegevens.. Wel zal de DigiD dan verschillende auth methodes moeten implementeren van de diverse banken. Krijg toch van elke bank een ander type response terug.

Overheidssites aan een privéblog koppelen: juist...

Als er nu iets op aarde is wat ik niet wil is het de overheid mijn privacy NOG meer laten schenden; die incompetenten weten al veel meer dan goed voor ze is met die gebrekkige systemen en nog gebrekkiger beheerders van ze.

Doelen ze dan niet op de mogelijkheid om bij je DigiD aan te geven wat je Facebook account is zodat je met je Facebook account contact op kan nemen met gemeenten en andere overheidsinstanties zonder daarvoor direct je DigiD te moeten gebruiken? Vergelijkbaar met je e-mail adres invoeren bij je DigiD om aan te geven dat je met dat e-mail adres wilt communiceren en dat je met dat e-mail adres officiële communicatie zal verrichten die altijd namens jou gebeurt.

E-mail is echter een stuk onveiliger dan een Facebook account.