...
Waarom is deze RFC nodig? | Technical debt, tijd heeft zaken ingehaald. Twee factor authenticatie voor DVP en DVZA moeten vergelijkbaar zijn en ook voldoen aan de stand der techniek. |
---|---|
Oplossingsrichting | Het gebruik van SMS als tweede factor wordt door experts als minder betrouwbaar gezien. Ook Logius DigiD gaat het gebruik van Digid met SMS als tweede factor afbouwen verminderen. Zie https://www.security.nl/posting/672857/Overheid+wil+inloggen+via+DigiD+met+sms-code+terugdringen+ten+gunste+van+app. |
Aanpassing van | Richtlijnen voor het gebruik van Digid substantieel of hoger door DVZA's en aanpassing van normenkader A9.4.1 Deze norm is in AS 1.2.0 ook al uitgebreid en in dit geval zou dat ook moeten. Zie ook /RFC0006+Expliciete+eisen+2-factor+authenticatie |
Impact op rollen | DVP en DVZA |
Impact op beheer | |
Impact op RnA | NVT |
Impact op Acceptatie | Als dit onderdeel is van de acceptatie |
PIA noodzakelijk | |
Gerelateerd aan (Andere RFCs, PIM issues) | RfC0056 |
Eigenaar | VZVZ-SC/R&S, Former user (Deleted) |
Implementatietermijn | 1.5.0: verplichting Verplichting om naast sms/email een veiliger methode dan sms/email als tweede factor te bieden. 1.6.0: Nieuwe aanpassingen worden in overleg met Security Management en deelnemers doorgevoerd. |
Motivatie verkorte RFC procedure (patch) | Twee factor authenticatie voor DVP en DVZA moeten vergelijkbaar zijn en ook voldoen aan de stand der techniek. |
...