Koppelcode Digid

Pagina: 1
Acties:

Vraag


Acties:
  • 0 Henk 'm!

  • I-King
  • Registratie: Maart 2003
  • Laatst online: 08:56
Als ik op de laptop wil inloggen met Digid kan ik de app gebruiken. Ik moet dan eerst een 4-letterige koppelcode intikken. Dan weer op volgende klikken, daarna scan ik een QR code en dán gebruik ik nog de 5-cijferige code op mijn telefoon.
Ik heb het gevoel dat de koppelcode overbodig is, maar waarom wordt dit gehanteerd? Wat zie ik over het hoofd?

De animatie geeft nog de optie zónder koppelcode weer, maar waar ging dat mis? https://www.digid.nl/inlogmethodes/digid-app/animatie

Alle reacties


Acties:
  • 0 Henk 'm!

  • n9iels
  • Registratie: November 2017
  • Niet online
De koppelcode functioneert als een one-time password, vergelijkbaar zoals Google Authenticator dat ook doet. Ik denk dat men gebruik maak van een soortgelijk principe. De 4-letterige code wordt gegeneerd op basis van een shared secret en de huidige tijd. De QR code die de server terug geeft bevestig je dat jij inderdaad probeert in te loggen bij die specifieke overheidswebsite en fysiek aanwezig bent om een QR code te kunnen scannen. De daadwerkelijke inlog-actie wordt ook gedaan op basis van informatie in deze QR code. De pincode tot slot is om te bevestigen dat jij ook de eigen naar de telefoon bent, en voorkomt dat een gesloten telefoon misbruikt kan worden.

Technisch gebeurd er ongeveer dit:
  1. Bij het activeren van de app wordt er een geheime sleutel uitgewisseld tussen jou telefoon de DigiD server. Daarnaast zal er ook een sleutel-paar (publieke sleutel en bijbehorende geheime sleutel) worden gemaakt en uitgewisseld (ik ben niet exact zeker welke kan deze sleutel genereert en hoe deze uitgewisseld wordt)
  2. Bij het inloggen wordt aan de hand van deze geheime sleutel + de huidige tijd een 4-letterige code gegenereerd
  3. Aangezien de server deze geheime sleutel ook weet kan deze 4-letterige code ook aan die kant gegenereerd worden en zo vergeleken met jou invoer.
  4. Als de codes overeen komen maakt de server een QR code met daarin informatie over bij welke website je wilt inloggen. Deze informatie wordt met de publieke sleutel versleutelt en in de QR code gestopt.
  5. De telefoon die de QR code scant kan met de op de telefoon aanwezige geheime sleutel de inhoud leesbaar maken. Zodra jij als eigenaar je pincode correct intypt zal de telefoon een berichtje sturen naar de server met: "Alles is OK! Je kunt nu veilig toegang verlenen".
Note: Ik ben geen cryptograaf :) Dus ik durf niet met zekerheid te zeggen of alles 100% klopt.

[ Voor 3% gewijzigd door n9iels op 03-03-2020 22:13 ]