Studenten vinden lekken in 'opvolger' DigiD
Ben je wel eens je DigiD-wachtwoord vergeten? Dan ben je niet de enige. Per jaar vragen 1,3 miljoen Nederlanders opnieuw een DigiD-wachtwoord aan, dat ze vervolgens per post krijgen toegestuurd. Die 1,3 miljoen Nederlanders - en anderen die moeite hebben hun DigiD-wachtwoorden te onthouden - zouden misschien liever op een andere manier inloggen, met een account dat ze vaker gebruiken dan DigiD.
Het goede nieuws: de overheid wil dat mogelijk maken, zodat je straks bijvoorbeeld met je bank-account kunt inloggen bij de Belastingdienst. Maar hoe veilig is dat eigenlijk?
Dat kan beter, concluderen twee studenten Security en Network Engineering van de Universiteit van Amsterdam. Zij namen een deel van het nieuwe systeem, dat naast DigiD moet gaan bestaan, onder de loep. "We schrokken van wat we vonden", zegt Peter Boers, een van de studenten. "We zijn geen beveiligings-experts, maar we vonden vrij eenvoudig een aantal veiligheidsrisico's."
Die zijn na melding van de Boers en zijn collega-onderzoeker Jelte Fennema gedicht. De studenten vonden de kwetsbaarheden al in de lente van 2016, maar brengen hun bevindingen nu pas naar buiten.
Digidentity
De overheid wil dat commerciële bedrijven zich kunnen opwerpen als alternatief voor DigiD. Hoe dat precies werkt is erg onoverzichtelijk - er wordt gesmeten met weinig sexy namen als 'Idensys' en 'IDIN' - maar het komt er op neer dat je zelf moet kunnen kiezen hoe je inlogt: via DigiD of op een andere manier. De Belastingdienst voert daar nu al proeven mee uit.
Een van de bedrijven die een alternatief voor DigiD wil zijn is het Haagse bedrijf Digidentity - extra interessant omdat dat bedrijf juist lange tijd de ontwikkelaar van DigiD was. De onderzoekers van de Universiteit van Amsterdam besloten de pilot van dat bedrijf onder de loep te nemen.
De studenten ondervonden dat ze geautomatiseerd konden proberen in te loggen op de loginpagina van Digidentity. Daarbij probeert de computer heel vaak in te loggen om een account te kraken. Het is goed gebruik om daarop te letten: bij internetbedrijven als Google en Facebook, maar ook bij banken, kom je daar niet mee weg.
Berekeningen
Digidentity lette daar echter niet op, hoewel de studenten uiteindelijk niet echt inlogden op andermans account. "Maar uit onze berekeningen blijkt dat dat mogelijk was", zeggen de studenten. Afhankelijk van hoeveel ze wisten van hun slachtoffer, zou dat naar schatting tussen de 7 uur en 48 dagen duren.
Daarnaast waren er andere slordigheden: zo was de Android-app waarmee gebruikers hun login beschermen, te kraken. Daarvoor moest een aanvaller wel zogenoemde root-toegang hebben tot het apparaat: redelijk vergaande toegang.
Heel slordig
"Heel slordig", reageert hoogleraar computerbeveiliging Bart Jacobs van de Radboud Universiteit op de kwetsbare loginprocedure. "Ze houden dus niet goed in de gaten wat er gebeurt op hun server, dat lijkt me niet heel professioneel."
Digidentity zegt in een reactie de problemen vorig jaar al te hebben gedicht, en blij te zijn met onderzoekers die kwetsbaarheden melden. "Het gaat bovendien om een pilot, die juist is bedoeld om problemen op te sporen" , zegt directeur Walther van Bentum. Het was - en is - tijdens de pilot echter wel al mogelijk om in te loggen bij de Belastingdienst.
Het ministerie van Binnenlandse Zaken zegt dat het strenge eisen stelt aan de beveiliging van het systeem.
Conciërge
Er is bovendien fundamentelere kritiek op het systeem. "Het nieuwe systeem werkt een beetje als een conciërge die je sleutels bewaart", zegt onderzoeker Jaap-Henk Hoepman, ook van de Radboud Universiteit. "Het risico bestaat dus ook dat hij iemand anders binnenlaat dan jij, of zelf een kijkje gaat nemen." Hij vraagt zich bovendien af wat er gebeurt als bedrijven als Facebook zich willen aansluiten bij het systeem en wat dat betekent voor de privacy van gebruikers.
Hoepmans collega Jacobs verwoordt het minder diplomatiek: hij noemt bedrijven als Digidentity 'authenticatiepooiers', omdat zij het inloggen regelen. Jacobs werkt daarom aan een eigen inlogsysteem, dat heel anders werkt en waarbij privacy centraal staat. Daarbij kiest iemand zelf welke gegevens hij wel en niet wil delen.
Dat systeem is ontworpen vanuit de gedachte 'privacy by design', waarbij de privacy en niet de verzameling van data centraal staat. Jacobs wil zijn loginsysteem binnenkort aanbieden, waarna de overheid kan besluiten om het te gebruiken.