Hoe kan ik nou inloggen op DigiD met sms zonder mobiele telefoon?

| AE 6743 | Security | 63 reacties

mobieltje-sms-bellen-06.pngEen lezer ontving een mail van zijn verzekeraar met deze strekking:

Vanaf 1 juli 2014 wijzigt het inloggen op Mijn De Friesland. Vanaf dan kunt u alleen nog inloggen met DigiD + extra controlestap via sms. Deze wettelijke wijziging zorgt ervoor dat uw persoonsgegevens nog beter beveiligd zijn.

Dat “wettelijke wijziging” intrigeert mij dan als eerste. Waar staat in de wet dat er sms-verificatie moet gebeuren als mensen inloggen met DigiD? Nergens, althans niet letterlijk.

Het gaat hier (natuurlijk) om de privacywet, de Wet bescherming persoonsgegevens. Die schrijft voor dat je “adequate” beveiliging van persoonsgegevens moet hanteren. Wat precies “adequaat” is, staat niet in de wet. Dat moet je zelf bepalen (en kunnen motiveren) op basis van dingen als het soort gegevens, het soort aanvallen en de impact van misbruik. Ook de stand der techniek, wat is er tegenwoordig normaal en gebruikelijk, weegt hierin mee.

Vandaag de dag is tweefactorauthenticatie een bekende techniek. Niet meer alléén een wachtwoord, alleen een biometrische code of een pasje maar minstens twee van die dingen. Het idee is dat een aanvaller niet allebei die dingen onder controle kan krijgen. In de context van DigiD kom je dan al snel uit bij een controle per sms. Je kunt mijn laptop hacken maar hoe onderschep je dan óók de smsen (sms’s? Ruud?) op mijn telefoon.

Voor de techniek valt dus wat te zeggen, alleen heeft deze lezer geen mobiele telefoon en die wil hij ook niet. Wat nu? Wie een oplossing weet, ik hoor het graag en verloot een boek.

Arnoud