Maar kennelijk slaat de overheid de spijker ook op ontwerp-niveau soms mis. Veel websites van overheidsorganisaties bieden de burger de mogelijkheid om via DigiD in te loggen om zelf zaken te regelen. Dat gaat via het menu'tje hiernaast. Maar precies van hoe het geregeld is krijg ik nou jeuk.
Waarom?
Let op de optie binnen het rode kader. Vanuit een veiligheidsperspectief is de overweging van de sms-code natuurlijk dat er getrapte veiligheid ontstaat: een inlogger kent én het wachtwoord, én heeft de telefoon met het opgegeven telefoonnummer bij zich. Logisch bestaan er twee mogelijkheid:
1) Ik ben de rechtmatige eigenaar van het account
2) Ik ben niet de rechtmatige eigenaar van het account en probeer binnen te dringen.
Laten we allereerst de eerste mogelijkheid beschouwen: ik ben de rechtmatige eigenaar van het account. Ik krijg de keuze geboden: inloggen mét, of zonder sms-code. Met sms-code kost meer tijd, dus die optie sla ik over. Immers weet ik toch dat ik rechtmatig inlog, dus ik ben er niet bij gebaat om dat verder te verifiëren.
Onder mogelijkheid twee echter probeer ik binnen te dringen. Nu wordt me de keus geboden: proberen in te breken met sms-code of zonder sms-code. Mijn doel is om zo snel en gemakkelijk mogelijk in het account binnen te dringen. Bovendien heb ik mogelijk het telefoontoestel van de accounthouder niet bij me. Dus ik kies: zonder sms-code: sneller en minder obstakels die tegen me kunnen werken.
Conclusie: het gebruik van sms-authenticatie is nutteloos geworden. Zowel gebruiker 1) als 2) zullen het niet gebruiken als ze de keus krijgen. Het kan niet zo goed niet als keuze worden aangeboden, en zoals het er nu staat biedt het een schijnveiligheid.
Geen opmerkingen:
Een reactie posten