TL;DR: Beste rijksoverheid / digid / logius, maak de digid app a.u.b. als APK download beschikbaar (dat kan vrij eenvoudig) en idealiter daarna ook als open source beschikbaar. Verder overweeg HOTP en TOTP (in combinatie met FreeOTP) als vervanging van SMS voor 2FA.

TL;DR2: Beste mede-burger, laat digid weten dat je ook een APK beschikbaar wilt hebben. Stuur hiervoor via Twitter een berichtje naar @digidwebcare of een e-mail naar info@digid.nl . Voor het gemak, een voorbeeld tweet/email: “Beste Digid, graag zou ik Digid app via een Android APK download willen installeren. Zou u die beschikbaar willen stellen? #digidandroid”

SMS uitfasering

Pakweg een maand geleden meldde tweakers.net al dat Digid SMS ging uitfaseren en zojuist kwam het ook op radar (avrotros) langs. Ze halen hierbij de publicaties aan van digitaleoverheid.nl en dit tweedekamer kamerstuk.

Het is bijzonder dat de overheid in het verleden geen 2FA codes via e-mail heeft geactiveerd voor Digid, maar wel SMS. Verder is een tijd geleden de “standaard” keuze veranderd, namelijk de Digid app in plaats van SMS. SMS vervangen is op zich niet verkeerd, maar dan moet de vervanging wel goed zijn, en dat is de Digid app nu nog zeker niet. Helaas noemen ze als vervanging nog geen hotp of totp, want dat zou de Digid app meteen overbodig maken voor de 2FA (en het zou weer meteen gemeenschapsgeld schelen).

Terms of service van Google

Het plan ligt er nu om SMS uit te faseren, terwijl de Digid app niet eens zonder de Google Play store te verkrijgen is. Dat is bijzonder, gezien om de Google Play store te kunnen gebruiken, je een Google account moet hebben, deze gekoppeld moet hebben aan jouw Android toestel en akkoord moet zijn gegaan met de Terms of Service van Google. Lijkt me dat je als overheid toch juist veiligheid en privacy wilt voor jouw burgers?

Blijkbaar beseffen (nog steeds) veel mensen niet dat een Android toestel perfect bruikbaar is zonder een Google account en dat je die stap kunt overslaan bij het instellen van jouw telefoon.

Te weinig animo

Eind vorig jaar, had ik met Digid contact hierover op Twitter. Achterliggende gedachten: snelste reactietijd en redelijk “publiek”. Toen ik kreeg een eerlijk (en dus tof) antwoord van de eerstelijns helpdesk met de mededeling dat zij de vraag niet kunnen beantwoorden en dat dit telefonisch besproken kon worden:

Een medewerker van Digid gaf in een telefoongesprek aan dat er erg weinig vraag is naar een APK download (het voelde alsof ik de eerste was die erom vroeg).

Misschien gebruik je de Google Play store wel, maar misschien wil je wel de mogelijkheid om er vanaf te stappen (en we weten dat dit niet binnen een week geregeld is). Dus bij deze een oproep aan iedereen, laat horen dat je hier behoefte aan hebt bij Digid, anders verandert er niets.

Stuur hiervoor via Twitter een berichtje naar @digidwebcare of een e-mail naar info@digid.nl . Voor het gemak, een voorbeeld tweet/email: “Beste Digid, graag zou ik Digid app via een Android APK download willen installeren. Zou u die beschikbaar willen stellen? #digidandroid”

Toekomst

Laten we vooral het wiel niet opnieuw uitvinden. De rijksoverheid zou kunnen stoppen de Digid app als ze hotp/totp gebruiken. Daarvoor zijn namelijk ook open source apps beschikbaar. In plaats van gemeenschapsgeld in een maatwerk closed-source Digid 2FA Android applicatie te stoppen, zou de overheid een groot deel van dat bedrag kunnen besparen en (deels) kunnen herinvesteren om FreeOTP te verbeteren. Diens code is wel openbaar en dan heeft iedereen er baat bij (zie ook public money, public code).