Identiteitsbewijs als 2e factor & identificatieplicht

Wat ik niet snap: hoe kan ING en DigID afdwingen dat je je rijbewijs gebruikt? Ik heb geen ING, wel DigID, maar gebruik mijn rijbewijs niet (ik wist niet eens dat dat kon).

Ik denk dat je er zelf voor hebt gekozen, dan kun je er toch ook weer vanaf?

Hoe werkt dat dan? Je telefoon wordt dan als NFC-lezer gebruikt om je rijbewijs te scannen of zo? Want zonder tussenkomst van telefoon lijkt dit me niet kunnen. Voor zover ik weet hebben (de meeste?) laptops geen ingebouwde NFC-lezer.

Ik heb nog nooit NFC voor mijn ing app moeten gebruiken dus waar dat vandaan komt? ( ja je kan hem gebruiken om hem 1 malig te activeren, maar je kan ook een foto van maken zonder NFC )

Maar wat is nu het extra risico? Je hebt altijd een ID en telefoon mee. Ze kunnen niet zomaar in je telefoon komen zonder juiste pincode. Vingerafdruk etc. En een NFC ziin dezelfde gegevens als dat er op je ID staat.

NFC gebruik je 1x om te kunnen activeren. Digid en bij ING. ( wellicht ook andere banken )

laurens0619 schreef op vrijdag 21 april 2023 @ 09:51:
Als je dat mapje + pincode verliest dan hebben mensen direct al je factors in handen (opgeslagen wachtwoorden, authenticators, SMS OTP maar ook NFC/ID bewijs).

Dat is exact de situatie die al decennia geldt voor bankpassen. Als je je pas + pin verliest is je bankrekening leeg.

Er is dus geen moer veranderd, je PIN moet je prive houden.

Voor de PIN van je telefoon geldt dat ook. Vingerafdruk gebruiken zorgt er in ieder geval voor dat je veel minder vaak (publiekelijk) je PIN in moet voeren, dus verkleint het risico op "verliezen" van je PIN al aanzienlijk.

Maar ik zie niet echt hoe er nu opeens een groter(?) risico is ontstaan t.o.v. 20 jaar geleden toen mensen hun bankpassen allemaal bij elkaar in een portemonnee hadden zitten.

Dat pasje is helemaal geen 2de factor. Die wordt alleen gebruikt bij het activeren en niet inloggen. Bij activeren heb je meer gegevens nodig.


Bij DigiD heb je de brief met activeringscode en gebruikersnaam en wachtwoord nodig. Bij 1ste x activeren heb je een code gehad die je moet onthouden/opslaan. Dus in het geval van DigiD lukt dat niet zomaar.

ING is enige risico als je toegang hebt tot de telefoon en de app op een nieuwe toestel installeerd. En de ING pas hebt.

Dus ja als je veilig wil werken, pinpas niet bij telefoon hoes doen. Maar je kan altijd nog bellen bij de bank als je achterkomt dat jeje pinpas en/of telefoon gestolen is. Dan kunnen ze het blokken. ( dit is natuurlijk standaard procedure )

Ofwel een portemonnee met je pasjes en een telefoon in de andere zak.

Daarnaast is de chip europees verplicht op je rijbewijs/id.

[ Voor 7% gewijzigd door corporalnl op 21-04-2023 10:57 ]

laurens0619 schreef op vrijdag 21 april 2023 @ 09:51:
Steeds vaker zie ik dat de NFC chip in mijn rijbewijs gebruikt wordt door applicaties als 2e factor. Bijvoorbeeld: DigiD en ING.

Op zich een prima methode (something you have en cryptografisch) behalve dat ik in Nederland ook een identificatieplicht heb en een ID altijd bij mij moet dragen. Tel daarbij op dat veel mensen hun rijbewijs in een mapje dragen bij hun telefoon en het is compleet; Als je dat mapje + pincode verliest dan hebben mensen direct al je factors in handen (opgeslagen wachtwoorden, authenticators, SMS OTP maar ook NFC/ID bewijs).

Voorheen had mijn rijbewijs geen NFC chip en was het dus minder gevaarlijk als die gestolen zou worden, hij kon niet als 2e factor gebruikt worden. Tegenwoordig heeft mijn rijbewijs dat helaas wel.
Het kenteken hebben ze vroeger ook gesplitst in 2 delen: een deel wat je altijd bij je moet hebben (maar bij diefstal weinig waard is) en een deel wat je alleen voor autorisatie gebruikt (overschrijven).

Het liefst zou ik ditzelfde ook voor mijn ID willen hebben. Een ID waarmee ik wel aan mijn identificatieplicht voldoe, maar waar ik niet meer kan autoriseren. De enige methode die ik nu zie is een rijbewijs aanvragen zonder NFC chip of de NFC chip vernietigen om mijn rijbewijs.

Ik vroeg mij af hoe jullie hier tegenaan kijken of jullie andere oplossingen zien voor dit risico

De gewoonte die je omschrijft is vergelijkbaar met het bewaren van een briefje met de pincode bij je pinpas. Hele volksstammen deden/doen dat ook.

Nu zou dus de gewoonte zijn om telefoon en id-bewijs en pincode bij elkaar te bewaren. Dan zijn mensen gewoon niet goed bezig.

Ik begrijp dus niet goed waarom je de oplossing ziet in het aanpassen van het rijbewijs/id-bewijs. Want dat zou ook betekenen dat er weer een pasje bijkomt. En dat het verwarrend wordt welk pasje je waarvoor moet gebruiken.

laurens0619 schreef op vrijdag 21 april 2023 @ 11:07:
Het verschil is dat een pincode op een briefje bewaren een keuze is.
Mijn 2e factor/ID bij mij dragen is geen keuze, dat is verplicht vanuit de overheid

Maar je gebruikt de pas niet bij transacties. Bij DigiD identificeer je je eenmalig met een id-bewijs. Je stelt dan een pincode in. Die gebruik je vervolgens om toegang te krijgen tot de DigiD app.

Dus zelfs als je telefoon en pas verliest, moet de vinder nog altijd èn de telefooncode èn de DigiD pincode weten om toegang te krijgen.

Ik zit niet bij ING, maar zo te zien werkt het daar op vergelijkbare wijze.

Persoonlijk zie ik dit niet als een serieus groot risico, acceptabel. Fysiek kunnen ze mijn rijbewijs stelen, klopt. Echter moeten ze nog altijd een gebruikersnaam en wachtwoord weten te onthutselen. Sjah, prima, geen idee hoe dit anders is dan enige andere 2-factor. Gewoon zsm de relevante instanties contacteren zodat de verloren kaarten/IDs geblokkeerd worden, ik neem aan dat dit gewoon mogelijk is.

eric.1 schreef op vrijdag 21 april 2023 @ 11:21:
Persoonlijk zie ik dit niet als een serieus groot risico, acceptabel. Fysiek kunnen ze mijn rijbewijs stelen, klopt. Echter moeten ze nog altijd een gebruikersnaam en wachtwoord weten te onthutselen. Sjah, prima, geen idee hoe dit anders is dan enige andere 2-factor. Gewoon zsm de relevante instanties contacteren zodat de verloren kaarten/IDs geblokkeerd worden, ik neem aan dat dit gewoon mogelijk is.

De enige catch zou kunnen zijn (maar beetje vergezocht): je rijbewijs is in handen van iemand die ook over je inloggegevens beschikt. Die kan dan dus de app activeren en over je rekening beschikken. Bij verlies/diefstal van je rijbewijs doe je aangifte bij de politie, maar ik vraag me af of dat dan ergens "geblokkeerd" wordt, analoog aan een pinpas. Dus of de bank bij activatie kan controleren of een ID-bewijs als verloren/gestolen geregistreerd staat. Anders zou je de bank daar zelf over moeten informeren dat er geen activaties met dat document plaats mogen vinden ofzo. De inloggegevens zijn wel een extra barrière voor dit scenario, dus lijkt me ook weer niet een heel groot issue.

Kalentum schreef op vrijdag 21 april 2023 @ 09:55:
Wat ik niet snap: hoe kan ING en DigID afdwingen dat je je rijbewijs gebruikt? Ik heb geen ING, wel DigID, maar gebruik mijn rijbewijs niet (ik wist niet eens dat dat kon).

Ik denk dat je er zelf voor hebt gekozen, dan kun je er toch ook weer vanaf?

Ze dwingen niet af dat je je rijbewijs gebruikt, ze dwingen af dat je een kaart met een NFC chip erin gebruikt. Dat is dus een ID-kaart of rijbewijs nieuwe dan ...

Daar kunnen ze genoeg informatie vanaf halen om te controleren dat jij het bent, of in ieder geval dat jij een fysieke kopie van je echte identiteitsbewijs hebt.

Beetje offtopic, maar een vraag aan mensen met een rijbewijs met nfc chip. Wordt die constant door je telefoon uitgelezen als hij in een hoesje achter je telefoon zit? (Werkt bv google pay nog?)

(ik ben met aanschaf september 2013 een van de laatste zonder)

In Belgie is het voor bijna alles je telefoon tegenwoordig. Of het dan nog echt tweetraps is vraag ik me af als de app op je telefoon voor de beveiliging een andere app op de telefoon gebruikt

laurens0619 schreef op vrijdag 21 april 2023 @ 12:06:
@Bolderkar
Mijn schoonmoeder met een Android telefoon kreeg continue gekke geluidjes als een NFC pas in het hoesje zat Die werd idd continu uitgelezen. Vriendin met Android heeft er geen last van dus zal wel toestel specifiek zijn

Met mijn s22 heb ik het constant als ik mijn seizoenskaart in het hoesje stop. Zou wel ruk zijn als mijn nieuwe rijbewijs dat ook.doet.

laurens0619 schreef op vrijdag 21 april 2023 @ 12:12:
Voor mijn KNAB internet bankieren heb ik voor de activatie een NFC scan + selfie scan nodig. Ik weet niet hoe groot de betrouwbaarheid van die selfie scans is maar het zit iig wel in de hoek van something you are

Bij mijn Belfius bankapp is het mijn vinger, als er een tweetraps nodig is dan is dat de app itsme (en mijn vinger ).

Een cijfercode kan ook wel, meestal kun je kiezen heel soms wordt de code geforceerd.

Bolderkar schreef op vrijdag 21 april 2023 @ 12:10:
[...]


Met mijn s22 heb ik het constant als ik mijn seizoenskaart in het hoesje stop. Zou wel ruk zijn als mijn nieuwe rijbewijs dat ook.doet.

Er zijn steeds meer hoesjes die dat blokkeren.

laurens0619 schreef op vrijdag 21 april 2023 @ 12:41:
[...]

Voor betalingen is dat waarschijnlijk. Maar welke gegevens heb je nodig voor de registratie van de app?
edit:
ik heb even zitten lezen over die itsme kaart en zie dat je die kunt registeren met pinpas met code of je e-id met code. Belangrijk dus om die code geheim te houden

It's me, ja het is een lus. It's me vereist mijn bank authenticatie bij het installeren (dus de eerste keer heb ik het bakje van mijn bank nodig om mijn bankpas in te stoppen voor codes) en mijn bank it's me. Bij lid worden van de bank is wel ooit de identiteitskaart gebruikt maar ze vertrouwen daarna op elkaar.

It's me is niet alleen voor banken, ook de overheidswebsites maken er veel gebruik van. Maar het systeem is dacht ik opgezet door de banken, omdat die toch al weten wie je bent.

[ Voor 12% gewijzigd door Marzman op 21-04-2023 13:00 ]

laurens0619 schreef op vrijdag 21 april 2023 @ 11:43:
Ik werd alleen getriggered door het topic laatst waarin werd verteld dat er steeds vaker een smartphone + pincode wordt gestolen..

Als je telefoon + PIN gestolen worden is dat toch minstens gedeeltelijk aan de gebruiker te wijten. Hoe jat iemand de PIN van je telefoon? Zijn dat dan dezelfde mensen die hun PIN op hun bankpas schreven?

Het liefste zou ik zoiets al DigiD willen gebruiken voor identificatieplicht. Dan kan ik die 2e factor veilig thuis in een kluis laten. Dan wordt het iig voor mij een keuze om die bij mij te dragen.

Als mijn telefoon en PIN gejat wordt heeft de dief ook mijn DigID...

Maar verder eens: momenteel is dit een laag risico, alleen als ik de lijnen doortrek zie ik dit in de toekomst wel veranderen.

Daarmee begint je verhaal wel te lijken op de angst die mensen hadden voor de eerste auto's (zulke snelheden zijn slecht voor de mens!) of stoommachines (de koeien geven geen melk meer!)

Op je hoede zijn, voorzichtig met je gegevens omspringen, niet t egoed van vertrouwen zijn, allemaal helemaal OK. Maar je zorgen gaan maken over wat er zou kunnen gaan gebeuren in de toekomst als bepaalde zelfbedachte doemscenario's uit zouden kunnen komen klinkt me minder gezond in de oren.

Ik vind dat nogal wat voor een "something you have" factor die je altijd bij je draagt...
De aanvallen zijn nu nog veelal phishing gedreven maar voor nu prima oplossing, ik vind hem alleen niet houdbaar zodra de aanvallers hier wel op gaan focussen.

Je focust enorm op de something you have factor, maar het hele idee van MFA is dat something you know ook essentieel is. Alleen als je van something you know, something you have maakt (door je PIN of credentials ergens op te schrijven) ondermijn je je eigen veiligheid. Dat klopt, maar dat is een risico dat je als gebruiker zelf neemt, en heeft niets met technologie te maken.

Ik zat (tot een uur geleden) bij de ABNAMRO.

Ik had een nieuwe pas aangevraagd en daarvoor 3 brieven binnen gekregen.
Helaas kon ik niet achter mijn pincode komen (1 van de drie brieven bevat mijn pincode met een doorkijk sticker), dit kwam omdat de brief niet goed gemaakt was en dat de sticker niet goed los liet.

Ik heb toen maar gebeld met de bank om ervoor te zorgen dat ze mij een nieuwe brief ging leveren.

Ik kreeg iemand aan de lijn en die wilde eerst allerlei gegevens hebben voordat ze mij ging helpen (op zich prima).Daarna ging zij aan de slag om het in gang te zetten.
Ik moest toen met mijn abnamro bank app mijn paspoort gaan scannen om dit proces in gang te zetten. Toen ik vroeg wat er overgezonden werd (misschien ook de biometrische gegevens die in je paspoort staan), hoe lang dit bewaard wordt en hoe ik die bewaar termijn kon verkorten kreeg ik als antwoord dat zei daar niets van wist en dan maar naar een vestiging moest gaan.

Die zit helaas in mijn geval 25 kilometer van mijn huis verwijdert. Er was helaas geen manier om een andere methode te vinden, dus ik heb mijn rekening opgezegd.

Je kan je rekening opzeggen door het geld naar een andere bank over te boeken en dan in de app aan geven dat je de rekeningen wil opzeggen. Hier kreeg ik uiteindelijk een technische fout op.
Ik heb toen de app gestopt en opnieuw gestart. Daar stond een taak klaar om de opzegging door te zetten. Dit kon ik gewoon via de app afmaken zonder een ID te scannen.

Conclusie van mijn kant: Ik snap niet zo goed wat deze bank denkt te doen op deze manier. Ze zijn onduidelijk wat ze met de gegevens doen (AVG??) en het beleid is niet eenduidig doorgevoerd, immers kan ik mijn rekeningen gewoon opzeggen via de app, maar niet via de telefoon een fout melden die ze eenvoudig hadden kunnen herstellen. Dat ik mij moet identificeren om een foutief geleverde pincode opnieuw aan te vragen, terwijl de brief waar de pincode inzit zonder tekenbevestiging zo in mijn brievenbus stopt.

In ieder geval, ze zijn een rekening houder armer.

Digid heeft drie niveaus:

1: wachtwoord
2: sms code
3: Rijbewijs of ID