Tweet

Op de veiligheid van DigiD is genoeg af te dingen /10 reacties

Kritiek

Hoewel de overheid de DigiD presenteert als een goed en veilig middel voor authenticatie, hebben andere partijen – waaronder het Genootschap van Informatiebeveiligers (GvIB) – daar grote bedenkingen bij. Samenvattend komen deze bedenkingen uit op het ontbreken van een gecontroleerde uitgifte van de activeringscode, het uitlekken van de DigiD zelf en de SMS-authenticatie.

• Geen enkele controle of brief aankomt
  Na de aanvraagprocedure op het internet wordt de DigiD activeringscode op aanvraag binnen 5 dagen per normale post bezorgd. Er is geen extra controle of de brief überhaupt wel is aangekomen op het juiste adres.
• Geen gecontroleerde uitgifte
  Daarbij vindt er geen gecontroleerde uitgifte plaats, waardoor de authenticiteit van de aanvrager in het geding is. Een GBA-adres zegt namelijk vaak dat iemand ook op dat adres woont, maar wil lang niet altijd zeggen dat de desbetreffende persoon er ook woont: denk bijvoorbeeld aan verslaafden die een GBA-adres hebben bij de opvang, maar feitelijk ergens anders verblijven. Bovendien is het in veel gevallen nog een klein kunstje om brieven uit een brievenbus te vissen of gewoonweg de post te onderscheppen voordat deze de rechtmatige ontvanger heeft bereikt.
  Kwaadwillenden kunnen dus gemakkelijk – indien zij beschikken over een BSN en GBA-adres van een persoon – in zeer korte tijd een nieuwe DigiD voor iemand aanvragen.
  De post hoeft alleen maar bij hen terecht te komen om verder te gaan. BSN en GBA-adres zijn daarbij vaak niet het grootste probleem om te achterhalen – BSN staat tegenwoordig zelfs op je zorgpasje en meestal woont iemand ook gewoon op het GBA-adres. De verdergaande authenticatie met SMS is dan ook geen probleem meer, voor 10 euro kan je tegenwoordig al een simpel prepaidtoestel kopen bij een winkel als het Kruidvat, waarmee je dus direct bij aanvragen al een nummer in kunt voeren en niet hoeft te wachten op een afzonderlijke activeringscode voor het aanmelden van de mobiele telefoon.
• Gevaar van phishing
  Deze moeite hoeft echter niet gedaan te worden als de gebruikersnamen met bijbehorende wachtwoorden gewoon uitlekken. Dit kan ter goeder trouw gebeuren – bijvoorbeeld echtelieden die elkaars belasting invullen en ondertekenen, maar later scheiden – of ter kwader trouw – hierbij is phishing een treffend voorbeeld. Denk echter ook eens aan het briefje met gebruikersnaam en wachtwoord daarop genoteerd. Ook al wordt men er expliciet op gewezen dat men dit nooit mag doen, is het de dagelijkse praktijk. Vooral als men bedenkt dat de gemiddelde burger maar zo’n 2 keer per jaar contact heeft met de overheid, is het voor sommige mensen een grote moeite om hun inloggegevens te onthouden. Met name als het gaat om de ingewikkelde wachtwoorden zoals DigiD zelf ze aanraadt.

Ook misbruik op middenniveau mogelijk

Ook misbruik van DigiD op het middenniveau is gemakkelijk mogelijk. Bovendien heeft men niet per se het oude nummer nodig om een nieuw nummer in te voeren. Gebruikersnaam en wachtwoord zijn hiervoor voldoende, omdat men hiermee gemakkelijk alle persoonlijke gegevens kan inzien – dus ook het telefoonnummer – en wijzigen. Weliswaar wordt er dan weer een activeringscode per post verzonden, maar zoals eerder vermeld is post makkelijk te onderscheppen en kan niet gecontroleerd worden of diegene die de brief krijgt ook de rechtmatige ontvanger is… Overigens appreciëren veel mensen ook niet dat zij hun mobiele nummer aan de overheid af moeten geven, maar dat is meer een punt van privacy dan veiligheid.

Overigens verwachtten enkele deskundigen dat het met de misbruik van gegevens op het middenniveau niet zo’n vaart zal lopen omdat veel processen niet volledig elektronisch worden afgehandeld (Informatiebeveilging april 2005): uittreksels, bevestigingen van aanvragen of verhuizingen – allemaal worden ze per post naar het GBA-adres gestuurd. Daarnaast zou het betalen van leges ook een barrière vormen om iets namens een ander aan te vragen. Nu zijn dit maar enkele voorbeelden van maatregelen die gemeentes namen en nog steeds nemen, maar als iemand moeite doet om achter de gegevens te komen, is het wel erg naïef om te denken dat deze persoon dan ook geen klein bedrag aan leges over zou hebben om aan een uittreksel of ander papierwerk te komen. Over het verzenden van documenten per post hebben we het tenslotte al een paar keer eerder gehad.

Veel tips

Natuurlijk leunt DigiD zelf ook niet achterover. Zij zorgen ervoor dat de verbindingen beveiligd zijn en dat elke combinatie van gebruikersnaam en wachtwoord uniek zijn. Daarnaast geven ze veel tips waarmee de mensen zelf fraude kunnen voorkomen, maar feitelijk komen die er allemaal op neer dat je vooral zelf goed moet opletten dat je voorzien bent van virusscanners, firewalls en up-to-date browsers. Plus dat je zelf ook nog een oogje in het zeil moet houden bij verdachte mails en sites waarin gevraagd wordt naar de DigiD-gebruikersnaam en -wachtwoord.

De kritiekpunten richten zich echter maar gedeeltelijk op deze tips, want iedereen weet inmiddels wel dat ze zorgvuldig met wachtwoorden om moeten gaan. Het kwalijke is echter dat iemand aan de hand van BSN en GBA-gegevens meteen een nieuwe DigiD voor iemand anders aan kan vragen – hierbij geldt precies dezelfde procedure als bij het aanvragen van een eerste DigiD met alle bijbehorende kritiekpunten (overigens schromen sommige instanties ook niet om een DigiD voor iemand aan te vragen).

Een oplossing zou bijvoorbeeld zijn om identificatie bij overhandiging van de activeringscode te vragen. De eNIK zou in principe ook een optie zijn, ware het niet dat de ervaring leert dat de nieuwste technieken alweer even snel achterhaald zijn en zo op die manier een schijnveiligheid creëren. Schijnveiligheden zijn juist de dingen waar we voor op moeten passen in de wereld van het internet, want niets is wat het lijkt. Bovendien is een gezonde dosis terughoudendheid nooit verkeerd geweest, want hoe je het ook bekijkt… De mens is en blijft de zwakste schakel.