CBP: 'Inloggen op DigiD niet veilig genoeg'
Inloggen bij DigiD is niet veilig. Dat zegt het College Bescherming Persoonsgegevens. Onder andere het feit dat tweestapsverificatie met een sms niet verplicht is, noemt de privacy-waakhond kwalijk.
Het CBP schrijft dat vandaag op zijn blog.
Reclamebureau
Het college noemt specifiek de langlopende zaak tegen een reclamebureau uit Brabant met de ongelukkige naam Digi-D. De overheid ligt al jaren in de juridische clinch met het bureau over de merknaam DigiD.
Brieven
Dagelijks proberen tientallen mensen in te loggen op de site van Digi-D, waarbij zij hun gebruikersnaam en wachtwoord doorspelen naar het reclamebureau. Ook sturen mensen hun gegevens per brief of mail naar Digi-D op, bijvoorbeeld om hulp te vragen bij het inloggen.
Niet genoeg maatregelen
Het CBP deed onderzoek naar hoe de overheid samenwerkte met het reclamebureau. Hoewel er volgens het CBP inmiddels veel maatregelen zijn getroffen, is de beveiliging van het echte DigiD nog steeds onder de maat.
Tweestapsverificatie
Onder andere het feit dat de tweestapsverificatie van DigiD optioneel is, vindt het CBP een slechte zaak. Burgers kunnen ervoor kiezen om naast een gebruikersnaam en wachtwoord ook een sms te ontvangen met een speciale code. Daardoor kunnen kwaadwillenden niets met alleen een wachtwoord, en hebben zij ook de telefoon van een slachtoffer nodig. Die optie is echter niet verplicht.
Verplicht
Het CBP raadt aan om het inloggen met een telefoonnummer verplicht te maken voor alle burgers. Logius, de beheerder van DigiD, gaf een paar jaar geleden nog aan dat zo'n verplichting technisch erg lastig is.