DigiD en Veiligheid
Voor mijn studie heb ik mij verdiept in de veiligheid van DigiD. Zeker nu ook de belastingdienst hier gebruik van maakt een hot issue. Opvallend is dat op de veiligheid nog heel wat af te dingen valt.
Veiligheid niveaus
In het geval van digid is de identicatie geregeld om 3 niveaus. Allereerst is er een basis niveau welke veiligheid moet bieden voor de meeste handelingen. Het midden niveau is geschikt voor de wat meer privacy gevoelige informatie. Als laatste is er het hoge beveiligingsniveau welke extra veiligheid zou moeten bieden, deze is alleen nog in ontwikkeling.
Bij het basisniveau (welke op dit moment het meest gebruikt wordt) is het mogelijk om na aanvragen in te loggen met een gebruikersnaam en wachtwoord. Het middelste niveau biedt als aanvulling hierop een code per sms.Â
Aanvraag accountÂ
Wanneer de burger een account aanvraagt bij DigiD moet deze een aantal persoonlijke gegevens opgeven waaronder het sofinummer. DigiD controleert deze gegevens en stuurt daarop een activeringscode via de post. Wanneer de gebruiker deze heeft ingevoerd is het account geactiveerd en kunnen de services die overheidsinstanties bieden via het internet gebruikt worden. Deze procedure kan makkelijk misbruikt worden door kwaadwilligen.
Er is namelijk geen enkele garantie dat de brief met de activeringspapieren ook aankomt op het GBA-adres. De brief wordt met de reguliere post verzonden, er is geen extra controle of deze ook aankomt op het juiste adres. Hiernaast is er geen controle op de uitgifte. Een persoon kan een DigiD aanvragen voor iemand anders. De persoonsgegevens die daarvoor nodig zijn zijn zeer algemeen ze zijn altijd wel op persoonlijke pasjes gedrukt.Hierna moet de kwaadwillige de brief onderscheppen, het GBA adres is vaak niet moeilijk te achterhalen. Het enige wat rest is de brief van de postbode afhandig maken of de brief uit de brievenbus te vissen. De sms authenticatie is dan ook geen probleem meer. Goedkope mobieltjes zijn overal te verkrijgen. Op deze manier kunnen malafide personen zich digitaal voordoen als een echt bestaat ander persoon, wat uiteraard het slachtoffer niet ten goede komt.
Phising
Een andere manier om de handen te leggen op de gebruikersnaam en wachtwoord van de gebruiker is met behulp van phising. Phising is eigenlijk niet meer als het voordoen van een bepaalde instantie of persoon (in dit geval digid). Een look-a-like digid site is snel gemaakt. En de gemiddelde internetgebruiker is nog sneller voor de gek te houden.
Geheugen steuntje
Je DigiD code is niet iets wat je dagelijks gebruikt. Vooral bij een moeilijk wachtwoord is het dus logisch dat deze door veel mensen even wordt opgeschreven. Natuurlijk kan zon briefje makkelijk in de verkeerde handen terechtkomen. DigiD geeft wel aan dat de combinatie niet opgeschreven dient te worden, maar de praktijk is natuurlijk weer anders.
Zelfde wachtwoord
Voor veel mensen zijn meerdere wachtwoorden onthouden erg veel werk. Logisch dus om vaker hetzelfde wachtwoord te gebruiken. Dit wachtwoord is opgeslagen bij tientallen sites. Het is hierdoor vaak alleen nog een kwestie van achterhalen van de DigiD gebruikersnaam, welke vaak ook hetzelfde is om gewoon de naam van de betreffende persoon is.
Conclusie
DigiD is nog lang niet zo veilig als het zou moeten zijn. Vooral als we in de toekomst meer gebruik zouden maken van deze is verbetering noodzakelijk. De overheid legt de verantwoordelijkheid naar mijn mening teveel bij de burger. De gemiddelde internetter is in mijn ogen erg naïef en zich van geen kwaad bewust. Verder is het hoogste beveiliginsniveau nog niet eens voltooid, voor de meeste handelingen is een gebruikersnaam en wachtwoord voldoende. Tijd dus voor de overheid om haar eigen verantwoordelijkheid te nemen.
