Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

Waarom is deze RFC nodig?

Technical debt, tijd heeft zaken ingehaald. Twee factor authenticatie voor DVP en DVZA moeten vergelijkbaar zijn en ook voldoen aan de stand der techniek.

Oplossingsrichting

Het gebruik van SMS als tweede factor wordt door experts als minder betrouwbaar gezien. Ook Logius DigiD gaat het gebruik van Digid met SMS als tweede factor afbouwen verminderen. Zie https://www.security.nl/posting/672857/Overheid+wil+inloggen+via+DigiD+met+sms-code+terugdringen+ten+gunste+van+app.

Aanpassing van

Richtlijnen voor het gebruik van Digid substantieel of hoger door DVZA's en aanpassing van normenkader A9.4.1 Deze norm is in AS 1.2.0 ook al uitgebreid en in dit geval zou dat ook moeten. Zie ook /RFC0006+Expliciete+eisen+2-factor+authenticatie

Impact op rollen

DVP en DVZA

Impact op beheer


Impact op RnA

NVT

Impact op Acceptatie

Als dit onderdeel is van de acceptatie

PIA noodzakelijk
  •   
Gerelateerd aan (Andere RFCs, PIM issues)RfC0056
Eigenaar

VZVZ-SC/R&S, Former user (Deleted) 

Implementatietermijn

1.5.0: verplichting Verplichting om naast sms/email een veiliger methode dan sms/email als tweede factor te bieden.

1.6.0: Nieuwe aanpassingen worden in overleg met Security Management en deelnemers doorgevoerd.

Motivatie verkorte RFC procedure (patch)

Twee factor authenticatie voor DVP en DVZA moeten vergelijkbaar zijn en ook voldoen aan de stand der techniek.

...