Veilig inloggen, hoe doe je dat?

Burgers kunnen sms niet meer vertrouwen om extra veilig mee in te loggen. Daarom moet onder meer DigiD de inlogmethode wijzigen. Zes vragen over digitale identificatie.

Gij zult uw account met een extra code beschermen. Als de tien geboden in de 21ste eeuw zouden zijn gebeiteld, had Mozes dat als elfde gebod toegevoegd. Het zou de wereld een hoop cyberleed besparen, want wie inlogt met een wachtwoord én een tweede, fysiek, bewijs van z’n identiteit, is veel beter beschermd tegen diefstal van data.

Inloggen met een tijdelijke code via sms is de meestgebruikte tweede beveiligingsmethode. Het toont aan dat je in bezit bent van je mobiele telefoon – je bent die je bent. Dertien miljoen Nederlanders gebruiken DigiD om in te loggen bij 600 overheidsdiensten. Bij een deel van die diensten kun je alleen inloggen met een tijdelijke code die je via sms ontvangt, zoals bij het regelen van studiefinanciering of op Politie.nl voor het melden van een diefstal. Het is belangrijk dat die diensten goed beveiligd worden, om te voorkomen dat iemand je belastingaangifte of medisch dossier kan inzien.

Ook banken gebruiken dubbele authenticatie. Zo kunnen meer dan acht miljoen ING-klanten via een sms’je hun betalingen accorderen.

Sms raakt echter uit de gratie. Het Amerikaanse National Institute of Standards and Technology (NIST) wees vorig jaar in een rapport op de kwetsbaarheden van deze transportmethode. Hackers kunnen een telefoonnummer nabootsen en op die manier toegang krijgen tot de tijdelijke code. Zo kunnen ze – als ze je wachtwoord ook buitgemaakt hebben – toch inloggen. Het kost hackers steeds minder tijd en moeite om de sms’jes te achterhalen.

NIST raadt het gebruik van sms als extra beveiligingslaag af en vindt dat bedrijven alternatieve inlogmethodes moeten aanbieden. NIST benadrukt wel dat inloggen met een tijdelijke code via sms nog altijd veel veiliger is dan met alleen een wachtwoord.

Het NIST-rapport leidt tot aanpassingen van de beveiligingsmethoden bij overheidsdiensten. DigiD heeft als alternatief voor de sms-controle begin april de DigiD-app gelanceerd om veilig te kunnen inloggen. De overheid wil nog meer inlogmethodes toevoegen, de banken bouwen hun eigen digitale identiteit en techbedrijven als Apple en Google ontwikkelen eigen manieren om apparaten en data te beveiligen. Ingewikkeld? Ja. Onoverzichtelijk? Ja.

Vandaar: zes vragen over veilig inloggen.

1. Twee factor wat?

Wachtwoorden kunnen geraden, gestolen of gekraakt worden. Wie zijn account extra wil beveiligen kan bij het inloggen op een webdienst een extra controle invoeren. Een tijdelijke code wordt verzonden naar iets wat alleen jij in bezit hebt – een apparaat dat te vertrouwen is. Je mobiele telefoon krijgt een code van zes of acht willekeurige cijfers toegezonden, die je overtikt in de browser. De code blijft maar enkele minuten geldig, om misbruik te voorkomen.

Ook je account bij Google, Twitter, Facebook, Apple of PayPal is met zo’n controle in twee stappen (two factor authentication) te beveiligen, mits je dat zelf activeert. Het lijkt meer werk dan het is; het extra stapje bij het inloggen is meestal alleen nodig als je een computer of browser voor het eerst gebruikt om een webdienst te benaderen. Met de extra beveiligingslaag ben je minder kwetsbaar als je wachtwoord op straat zou komen te liggen.

2. Waarom is sms onveilig?

Zeker weten dat de telefoon in het bezit is van degene die inlogt, daar draait het om bij dubbele verificatie. Je toestel kan natuurlijk gestolen worden, maar voor fysieke diefstal moet een hacker meer moeite doen en het treft maar één slachtoffer.

Nu we ook sms-berichten kunnen ontvangen via chatdiensten (zoals Apple iMessage) kan een hacker de tijdelijke code meelezen zonder dat hij je telefoon in bezit heeft. Wie weet heb je die chatdienst slechts met een wachtwoord beveiligd; een hacker heeft dan aan twee gestolen wachtwoorden (niet zelden dezelfde) genoeg om je identiteit na te bootsen. Er is nog een reden dat NIST sms als beveiliingslaag afwijst: het kost hackers minder moeite om op grote schaal sms-verkeer af te luisteren of te manipuleren.

3. Waarom gebruiken we nog sms bij DigiD?

Logius is de instantie die DigiD levert aan 600 overheidsinstellingen. „We onderkennen het potentiële risico van sms en werken aan versterking van DigiD waarbij op een andere manier iemands identiteit wordt vastgesteld”, zegt een Logius-woordvoerder.

Er is sinds deze maand een DigiD-app waarmee je een QR-code moet scannen – zo’n vierkante variant op de streepjescode. Studenten loggen sinds dit voorjaar al zo in, binnenkort kan iedereen de DigiD app gebruiken. Daarnaast kunnen DigiD-gebruikers met een volgende versie van de app de draadloze chip op identiteitsdocumenten uitlezen. Door dit eenmalig te doen versterken ze hun DigiD aanzienlijk en door dit bij elke inlog te doen wordt het hoogste betrouwbaarheidsniveau behaald. Uiteindelijk zal elk paspoort, ID-kaart of elektronisch rijbewijs als een smartcard gebruikt kunnen worden, maar het duurt nog tot 2028 voordat de laatste Nederlander zijn document vernieuwd heeft.

4. Op welke andere manier kunnen we inloggen?

DigiD is straks niet meer de enige methode om in te loggen bij overheidsdiensten. De Wet Generieke Digitale Infrastructuur (GID), die nog door de Tweede Kamer geloodst moet worden, regelt ruimte voor commerciële initiatieven, waarbij de burger zijn ‘favoriete’ inlogmethode mag kiezen. Dat verkleint het risico dat één storing of hack de hele digitale overheid platlegt. Toen Diginotar, leverancier van beveiligingscertificaten, in 2011 gehackt werd, werkte DigiD niet meer.

Die verdeel-en-heersstrategie levert wel een stapel nieuwe afkortingen en technieken waarop menig burger de tanden zal stukbijten. De kortst mogelijke samenvatting: je kunt bij overheden en zorginstellingen straks veiliger inloggen met DigiD. Dat kan ook met iDIN, een methode die de Nederlandse banken ontwikkelden om je bij webwinkels te identificeren. De andere methode is Idensys, een afsprakenstelsel waarmee je bij overheidsdiensten én bedrijven kunt inloggen. Je zult DigiD niet kunnen gebruiken voor webwinkels.

5. ING verstuurt nog codes per sms; is dat veilig?

Zit je achter je computer om bankzaken te doen, dan is voor de uiteindelijke betaalopdracht meestal een smartcardreader nodig, die een tijdelijke code genereert met behulp van bankpas en pincode. Bij ING doen ze het anders. ING is de enige Nederlandse bank die tijdelijke codes via een sms’je stuurt, zonder aparte hardware. Dat is makkelijker – hoef je je collega’s niet lastig te vallen met de vraag wie er een Rabo- of ABN-Amro reader bij de hand heeft – maar het kan veiliger. De mobiele ING-app kan ook internetbetalingen accorderen; dan hoef je de tijdelijke code niet over te tikken van een sms’je. Ook kun je QR-codes inscannen met de ING-app, zodat je voor overboekingen de pc niet hoeft te gebruiken.

ING is niet van plan sms te schrappen als bezorgmethode van tijdelijke codes; het is een laagdrempelige manier die ook werkt op oudere telefoons. Volgens ING hebben zich nog geen problemen voorgedaan. Om misbruik te voorkomen, krijgt de bank meerdere malen per dag van mobiele providers informatie over wie er van nummer gewisseld is.

6. Hoe bescherm ik mijn webaccounts?

Denk aan het elfde gebod: activeer altijd dubbele verificatie. Sms is niet de enige manier om je webaccount te beschermen met een extra identiteitscheck. De QR-code is een goed alternatief. Bijvoorbeeld: als je chatdiensten als WhatsApp en Signal in een webbrowser wilt gebruiken kan dat zodra je een QR-code gescand hebt met de mobiele app op je telefoon.

Google heeft een eigen Authenticator-app, die tijdelijke codes kan genereren voor Dropbox, Evernote en talloze andere webdiensten. Authenticator is gekoppeld aan je Google-account en aan je telefoon (iOS en Android). De link met je telefoon wordt gelegd via een QR–code.

Apple ontwierp een methode waarbij het ene Apple-apparaat het andere kan verifiëren via je Apple ID, in combinatie met een viercijferige code. Je moet bij Apple nog wel één mobiel telefoonnummer via sms verifiëren. Wie deze methode gebruikt, hoeft geen persoonlijke vragen (favoriete kleur, merk van je eerste auto) meer te verzinnen voor de Apple-helpdesk. Zulke beveiligingsvragen kunnen makkelijk geraden worden en zijn geen veilige manier om je te identificeren.