CBP pleit voor tweestapsverificatie bij DigiD (en wij ook)

CBP pleit voor tweestapsverificatie bij DigiD (en wij ook)

08-10-2015 08:59 Laatste update: 27-04-2018 20:30

Het College Bescherming Persoonsgegevens (CBP) pleit voor een betere beveiliging van DigiD door middel van tweestapsverficiatie.

Stel: je surft naar Digi-D (in plaats van DigiD) om je overheidszaken aan te passen. Je logt in met je gebruikersnaam en wachtwoord, in de veronderstelling dat je te maken hebt met de overheidsvoorziening DigiD. Duizenden mensen hebben dit reeds gedaan.

Eén probleempje: je logt in bij een reclamebureau, dat direct over jouw inloggegevens beschikt. Gelukkig hebben zij alle data verwijderd, maar het kan ook in de verkeerde handen vallen. Dat moet volgens het CBP niet kunnen, die pleit dan ook voor een extra beveiligingslaag tijdens het inloggen.

Tweestapsverificatie
Volgens het CBP schiet de beveiliging van DigiD ernstig tekort, omdat er naast de login-gegevens geen extra beveiliging is. Volgens het CBP is tweestapsverificatie de oplossing.

Dan krijg je na het inloggen met je gebruikersnaam en wachtwoord een sms-bericht met een code, die je kunt invullen bij DigiD. Pas daarna kun je inloggen. Dit is al mogelijk bij DigiD, maar dan als optionele keuze die maar weinigen hebben ingeschakeld.

Phishing
"Bij de huidige staat van de beveiligingssituatie valt niet uit te sluiten dat onbevoegden DigiD-inloggegevens van gebruikers achterhalen, bijvoorbeeld door middel van phishing", schrijft het CBP.

"Zo kunnen onbevoegden misbruik maken van allerlei gevoelige gegevens die toegankelijk zijn met DigiD. Bijvoorbeeld van belastinggegevens of aanvraaggegevens bij de gemeente voor een persoonsgebonden budget."

8500
De 8500 accounts die hebben geprobeerd bij Digi-D in te loggen, zijn geblokkeerd door DigiD. De accounts zijn hier inmiddels over geïnformeerd.

Heb je nog geen tweestapsverificatie ingeschakeld bij jouw belangrijkste diensten? Doe dat dan. Onder andere Google, Facebook en Twitter ondersteunen allerlei manieren om een extra beveiligingslaag aan het inloggen toe te voegen.

Reactie DigiD
Het ministerie van Ministerie van Binnenlandse Zaken is het niet eens met de kritiek van het CBP: "Overheidsorganisaties maken zelf een afweging op welk niveau mensen kunnen inloggen bij ze. DigiD-basis met gebruikersnaam en wachtwoord is voor veel contact met de overheid voldoende."

"Daarnaast kunnen mensen zelf ervoor zorgen om sms-controle in te stellen. Meer dan de helft van de DigiD-gebruikers heeft dit geactiveerd." Ook werkt DigiD aan een app als alternatief van de sms-controle, waarmee mensen hun overheidszaken kunnen regelen.