Toon posts:

digid 2fa omzeilen met machtiging

Pagina: 1
Acties:

  • cosmo_roel
  • Registratie: November 2002
  • Laatst online: 22:05
Volgens mij kun je het DigiD betrouwbaarheidsniveau van voor een dienst beveiligd met DigiD effectief verlagen naar basis (enkel gebruikersnaam en wachtwoord) door jezelf te machtigen met de (gestolen) gebruikersnaam en wachtwoord van een "slachtoffer".

Als voorbeeld dienst Mijn Rijnstate. Je dient daar in te loggen met een extra controle. Correct, want het gaat om bijzondere persoonsgegevens (medisch). Voor het maken van een machtiging is echter slechts inloggen met gebruikersnaam en wachtwoord nodig. Je krijgt op het eind meteen de code te zien die de gemachtigde nodig heeft.

Weliswaar wordt de machtiger (slachtoffer) (uiteindelijk) op de hoogte gesteld (brief of email)*. En de identiteit van de gemachtigde (aanvaller) is bekend. Maar als het om gevoelige informatie gaat (geloof, medisch, whatever) kan dat misschien niet voldoende zijn, of te laat, als de gegevens lekken.

\* (Dit heb ik overigens niet gechekt, ik moest/mocht bij het machtigen, het was de eerste keer, nog een emailadres invullen om uberhaupt op de hoogte gesteld te worden van machtigingen. Ik neem aan dat het anders via post gaat.)

Ik kan voorbeelden verzinnen waarom het erg is, wellicht ten overvloede. In alle gevallen moet natuurlijk nog eerst het wachtwoord gestolen/afgeluisterd worden. Maar goed, daarna ben je klaar.
* Via Mijn Ziekenhuis communiceren dat behandeling van iemand niet door hoeft te gaan (misschien ver gezocht) of afspraak afzeggen.
* Werkelijke geloofsovertuiging van aangetrouwd familielid in eerwraakzuchtige familie achterhalen.
* Enz.

Ik heb dit gemeld bij NCSC, maar zij geven als antwoord (kort samengevat door mij) dat het om twee processen gaat die je afzonderlijk van elkaar moet zien. En dat het inlogniveau voor machtigen expres laag is om minder digivaardige gebruikers van dienst te zien. Een machtiging kan ook per post aangevraagd worden.

Dat kan zo zijn, maar effectief wordt volgens mij van iedere DigiD gebruiker, digivaardig of niet, het betrouwbaarheidsniveau zo verlaagd voor alle diensten waarvoor gemachtigd kan worden. Ik ben benieuwd of ik iets over het hoofd zie.

  • Killjoy
  • Registratie: November 2000
  • Laatst online: 21:55

Killjoy

Klingon lawn products

Zo te zien lijkt het jouw beschrijving redelijk te kloppen.

Echter: zo te zien moet de aanvaller daarnaast ook beschikken over bsn en geboortedatum van de persoon om de machtiging te kunnen instellen.

https://machtigen.digid.nl/machtigen/over-gemachtigd-worden

Dus er moet aan een heel aantal voorwaarden worden voldaan. En de machtiging is zichtbaar voor de persoon. En handelingen van de aanvaller worden gelogd, aangezien deze via diens persoonlijke DigiD moet inloggen.

https://machtigen.digid.nl/machtigen/over-iemand-machtigen

Wellicht kun je met Logius contact opnemen over welke risico afweging men heeft gemaakt bij de inrichting van de DigiD machtigen functionaliteit

Het is den ambtenaar verboden gedurende den werktijd alcoholhoudende dranken te gebruiken, bij zich te hebben of in de dienstlokalen te bewaren.


  • Montaner
  • Registratie: Januari 2005
  • Laatst online: 19:53
Je stelling klopt niet helemaal, je punt overigens wel ;). Degene wie je machtigt moet daarna toch nog steeds inloggen met 2FA? Zo blijft het aantal factors voor authenticatie gelijk. Het aantal factors om de authorisatie te verlenen is wel lager.

Blijft wel dat het bijzonder is. Een factor verlagen omdat het digibeten helpt is een non-argument, omdat je digibeet simpelweg kan vervangen door fraudeur.

  • cosmo_roel
  • Registratie: November 2002
  • Laatst online: 22:05
Oja, klopt, geboortedatum en BSN zijn ook nodig, dat was ik vergeten. Maar die zijn ook makkelijker te achterhalen de tweede factor: iets dat iemand heeft (zn telefoon). Goed alles bij elkaar is het veel werk, maar dat is security by obscurity. En je wordt als gemachtigde inderdaad zelf gelogd, maar je kunt evt een "ezel" daarvoor gebruiken.

@Montaner degene die gemachtigd wordt moet zelf inderdaad wel met 2fa inloggen. Maar hij is juist de hypothetische aanvaller.

Ik wacht nog op een nieuwe reactie van Logius (via NCSC).

  • Djordjo
  • Registratie: Mei 2007
  • Niet online
cosmo_roel schreef op woensdag 4 januari 2023 @ 11:13:
Volgens mij kun je het DigiD betrouwbaarheidsniveau van een dienst beveiligd met DigiD effectief verlagen naar basis (enkel gebruikersnaam en wachtwoord) door jezelf te machtigen met de (gestolen) gebruikersnaam en wachtwoord van een "slachtoffer".
Nee, het betrouwbaarheidsniveau van de dienst verandert niet, je zal bij de dienst altijd moeten inloggen met het betreffende betrouwbaarheidsniveau.
[...]
maar effectief wordt volgens mij van iedere DigiD gebruiker, digivaardig of niet, het betrouwbaarheidsniveau zo verlaagd voor alle diensten waarvoor gemachtigd kan worden.
Mocht je je zorgen maken dat je DigiD-gebruikersnaam en wachtwoord gestolen gaan worden en de dief zijn eigen DigiD gaat gebruiken om je gegevens in te zien: Je kunt verplichte 2FA instellen in je DigiD-account.

  • begintmeta
  • Registratie: November 2001
  • Niet online
cosmo_roel schreef op woensdag 4 januari 2023 @ 11:13:). … Voor het maken van een machtiging is echter slechts inloggen met gebruikersnaam en wachtwoord nodig. …
Zoals @Djordjo aangeeft kan men inderdaad instellen dat men bij elk DigID-gebruik 2FA/een SMS-code dient te gebruiken . In dat geval is dat ook nodig om een machtigingscode te verkrijgen.

Maar IMHO wel wat laks om het benodigde veiligheidsniveau voor het verkrijgen van de machtigingscode niet van het gebruiksdoel van de machtigingscode afhankelijk te maken.

  • Djordjo
  • Registratie: Mei 2007
  • Niet online
Dat is geen laksheid maar een bewuste keuze; afweging van risico (kans x impact) tegenover verslechterde toegankelijkheid van machtigingsvoorziening voor gros van de doelgroep.

  • Falcon
  • Registratie: Februari 2000
  • Laatst online: 18:32

Falcon

DevOps/Q.A. Engineer

Eens met @cosmo_roel, dit was mij ook al opgevallen. Onlangs voor mijn moeder ingesteld.

De textlengte van de sms met digicode mag van mij ook wel omhoog, zodat de code niet leesbaar is via de notificatie op iemand zijn mobiel display.

Ook je BSN kunnen instellen als gebruikersnaam is geen handige :P

[Voor 12% gewijzigd door Falcon op 04-01-2023 19:04]

"You never come second by putting other people first"


  • SVMartin
  • Registratie: November 2005
  • Niet online
Geef je de machtiging voor 1 dienst (in voorbeeld inloggen mijn Rijnstate), of voor alle DigiD diensten?

Ik snap de afweging wel, bij digibeten oplichten is die 2e factor echt geen belemmering.

  • begintmeta
  • Registratie: November 2001
  • Niet online
Djordjo schreef op woensdag 4 januari 2023 @ 18:22:
Dat is geen laksheid maar een bewuste keuze; afweging van risico (kans x impact) tegenover verslechterde toegankelijkheid van machtigingsvoorziening voor gros van de doelgroep.
Dat het bewust is klopt natuurlijk. ik ben wel benieuwd naar het onderzoek dat de basis voor kans, impact en verslechterde toegankelijkheid is. Mijn (ongetwijfeld te nauwe) beeld is dat de meeste mensen die zelf de machtigingsprocedure kunnen doorlopen 2FA ook nog wel zouden kunnen afhandelen, en mensen die dat niet kunnen zullen ook met de hele procedure zonder 2FA moeite hebben. Maar dat zel men ongetwijfeld onderzoeken/hebben onderzocht , al denk ik dat de groepen die moeite hebben slecht voor onderzoek te bereiken zijn.
SVMartin schreef op woensdag 4 januari 2023 @ 22:31:
Geef je de machtiging voor 1 dienst (in voorbeeld inloggen mijn Rijnstate), of voor alle DigiD diensten?

Ik snap de afweging wel, bij digibeten oplichten is die 2e factor echt geen belemmering.
Volgens mij 1 dienst, anders zou het wel een heel uitgebreide machtiging worden. En 2FA is natuurlijk inderdaad ook niet onoverkomelijk.

  • Djordjo
  • Registratie: Mei 2007
  • Niet online
SVMartin schreef op woensdag 4 januari 2023 @ 22:31:
Geef je de machtiging voor 1 dienst (in voorbeeld inloggen mijn Rijnstate), of voor alle DigiD diensten?
Je geeft de machtiging af voor 1 dienst. De dienstaanbieder bepaalt wat mogelijk is met de machtiging. Bij de Belastingdienst bijvoorbeeld kun je een specifieke machtiging geven voor de aangifte voor een bepaald belastingjaar. Handig voor hulp bij aangifte door bijvoorbeeld een ouderenbond.

  • cosmo_roel
  • Registratie: November 2002
  • Laatst online: 22:05
Die instelling voor altijd 2fa is een goede tip. Dat voorkomt dit. Dank. De digivaardigen zijn zo weer beveiligd. De digibeten waren toch al f*cked. En de rest ertussenin is hier waarschijnlijk niet interessant genoeg voor 😉.

  • oak3
  • Registratie: Juli 2010
  • Laatst online: 25-01 16:41
Ik weet heel zeker dat hier een uitgebreide risicoanalyse over is geschreven en dat alle voors en tegens hier tegen elkaar zijn afgewogen. En er waarschijnlijk andere mitigerende maatregelen zijn genomen die misschien niet zichtbaar zijn. Ik kan me ook niet voorstellen dat dit soort dingen niet in periodieke pentesten naar boven komen en ergens op risicolijsten staan.

En dit is echt een belangrijke nuance:
cosmo_roel schreef op woensdag 4 januari 2023 @ 11:13:
Weliswaar wordt de machtiger (slachtoffer) (uiteindelijk) op de hoogte gesteld (brief of email)*. En de identiteit van de gemachtigde (aanvaller) is bekend. Maar als het om gevoelige informatie gaat (geloof, medisch, whatever) kan dat misschien niet voldoende zijn, of te laat, als de gegevens lekken.
Het risico is beperkt tot 1 gebruiker waarbij de aanvaller zichzelf nota bene bekend maakt met alle gegevens die nodig zijn om actie te ondernemen. Als die aanvaller wat met die gegevens doet is het waarschijnlijk strafbaar en heb je een makkelijke case. En ik verwacht dat als dit in bulk wordt gedaan dat daar monitoring op staat.
Pagina: 1


Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee