/u/353185/uniciteit.png?f=community)
Ik weet niet zeker of ik hier nu wel of niet goed zit, maar ik wil graag de gedachten weten van de 'echte kenners'. 
Wat vinden jullie bijvoorbeeld van de veiligheid van DigiD? In eerste instantie vind ik het een goede stap dat ze ook een brief sturen om je aanmelding te bevestigen, maar er vallen me ook direct al wat dingen op.
- Inloggen met SMS code
Dit systeem lijkt prima te werken, maarrrr ik betwijfel of het 'juist' is ingevoerd. Je hebt om in te loggen namelijk
1) een gebruikersnaam nodig
2) een wachtwoord
3) een code die via SMS binnenkomt
Die derde stap zorgt wel voor extra veiligheid omdat indringers nog niet meteen bij je DigiD kunnen als ze je wachtwoord en gebruikersnaam hebben.
Nu de stap waarvan ik de 'juistheid betwijfel'. Ze zetten namelijk bij stap twee (het ontvangen van de SMS code) je hele telefoon nummer bovenaan.
Stel je nummer is "06 - 98 76 54 32", dan komt dat ook direct zo in beeld. Naar mijn mening zou het iets moeten zijn als: "06 - 98 76 XX XX" of "06 - 98 XX 54 XX".
Een telefoonnummer kan namelijk weer gebruikt worden om bij andere diensten in te kunnen loggen.
- Wijzig DigiD instellingen
Je kan hier je voorkeurs login methode wijzigen:
- Wachtwoord;
- Wachtwoord met sms-code
Het nadeel hiervan is dat je dit kan wijzigen zonder verdere bevesting. Zet je 'm dus vanaf "wachtwoord met SMS-code" om naar "wachtwoord", dan wordt er bijvoorbeeld niet een bevestingsmail gestuurd. Er wordt ook geen SMS gestuurd. Er wordt niet naar je wachtwoord gevraagd. Helemaal niks.
Het lijkt me cruciaal dat je zeker weet dat de eigenaar van het DigiD account de instellingen aan 't wijzigen is.
----------------------------------------------------
Het zijn dus twee kleine dingen, waarbij eigenlijk alleen het tweede ding (wachtwoord met sms-code) een risico vormt. Immers kan je een hele stap van verificatie wegnemen. Daarnaast vragen ze WEL om je wachtwoord als je het telefoonnummer probeert te veranderen. (Dat is toch niet consistent: voor het veranderen van je telefoonnummer vragen ze wel je wachtwoord, maar voor het uitschakelen van verificatie door middel van je telefoonnummer vragen ze geen wachtwoord).
Het eerste ding (het volledig laten zien van een telefoonnummer) is natuurlijk niet zo heel erg. Maar Google laat, bijvoorbeeld, enkel de laatste vier cijfers zijn van een telefoonnummer (als je inlogt met verificatie via je telefoon). Dat vind ik al een stuk beter.
Hoe het nu werkt, is in principe prima voor vrijwel elke andere site - maar we hebben het hier over een account waarmee je overheidszaken kan regelen. Dan lijkt het mij dat je niet teveel info laat zien totdat iemand is ingelogd (ookal is het maar een telefoonnummer). En áls iemand al is ingelogd, dat je dan wel nog een bevestiging 'vraagt' als instellingen worden gewijzigd.
Nou ja, dat was m'n kritiek en de - in mijn ogen - 'foutjes' die me op het eerste gezicht opvallen. Wat vinden jullie van DigiD? Is het prima zo? Kan de beveiliging nog beter?
Wat vinden jullie bijvoorbeeld van de veiligheid van DigiD? In eerste instantie vind ik het een goede stap dat ze ook een brief sturen om je aanmelding te bevestigen, maar er vallen me ook direct al wat dingen op.
- Inloggen met SMS code
Dit systeem lijkt prima te werken, maarrrr ik betwijfel of het 'juist' is ingevoerd. Je hebt om in te loggen namelijk
1) een gebruikersnaam nodig
2) een wachtwoord
3) een code die via SMS binnenkomt
Die derde stap zorgt wel voor extra veiligheid omdat indringers nog niet meteen bij je DigiD kunnen als ze je wachtwoord en gebruikersnaam hebben.
Nu de stap waarvan ik de 'juistheid betwijfel'. Ze zetten namelijk bij stap twee (het ontvangen van de SMS code) je hele telefoon nummer bovenaan.
Stel je nummer is "06 - 98 76 54 32", dan komt dat ook direct zo in beeld. Naar mijn mening zou het iets moeten zijn als: "06 - 98 76 XX XX" of "06 - 98 XX 54 XX".
Een telefoonnummer kan namelijk weer gebruikt worden om bij andere diensten in te kunnen loggen.
- Wijzig DigiD instellingen
Je kan hier je voorkeurs login methode wijzigen:
- Wachtwoord;
- Wachtwoord met sms-code
Het nadeel hiervan is dat je dit kan wijzigen zonder verdere bevesting. Zet je 'm dus vanaf "wachtwoord met SMS-code" om naar "wachtwoord", dan wordt er bijvoorbeeld niet een bevestingsmail gestuurd. Er wordt ook geen SMS gestuurd. Er wordt niet naar je wachtwoord gevraagd. Helemaal niks.
Het lijkt me cruciaal dat je zeker weet dat de eigenaar van het DigiD account de instellingen aan 't wijzigen is.
----------------------------------------------------
Het zijn dus twee kleine dingen, waarbij eigenlijk alleen het tweede ding (wachtwoord met sms-code) een risico vormt. Immers kan je een hele stap van verificatie wegnemen. Daarnaast vragen ze WEL om je wachtwoord als je het telefoonnummer probeert te veranderen. (Dat is toch niet consistent: voor het veranderen van je telefoonnummer vragen ze wel je wachtwoord, maar voor het uitschakelen van verificatie door middel van je telefoonnummer vragen ze geen wachtwoord).
Het eerste ding (het volledig laten zien van een telefoonnummer) is natuurlijk niet zo heel erg. Maar Google laat, bijvoorbeeld, enkel de laatste vier cijfers zijn van een telefoonnummer (als je inlogt met verificatie via je telefoon). Dat vind ik al een stuk beter.
Hoe het nu werkt, is in principe prima voor vrijwel elke andere site - maar we hebben het hier over een account waarmee je overheidszaken kan regelen. Dan lijkt het mij dat je niet teveel info laat zien totdat iemand is ingelogd (ookal is het maar een telefoonnummer). En áls iemand al is ingelogd, dat je dan wel nog een bevestiging 'vraagt' als instellingen worden gewijzigd.
Nou ja, dat was m'n kritiek en de - in mijn ogen - 'foutjes' die me op het eerste gezicht opvallen. Wat vinden jullie van DigiD? Is het prima zo? Kan de beveiliging nog beter?
:strip_icc():strip_exif()/u/242838/brilsmurf.jpg?f=community)
:strip_exif()/u/38491/klus.gif?f=community)
:strip_exif()/u/243981/luckyy_oranje.gif?f=community)
/u/199665/Naamloos-1.png?f=community)