Beveiliging inloggen bij Centraal Beheer - 2FA

[Erthanax]

Koop het dan vooral via haar eigen website. Dat is even duur als in de (web)winkel, maar bol.com steekt geen 50% van de verkoopprijs ex btw in zijn Ahold-zak.

[Methusalah]

Ik lees als ze toegang hebben tot je pc dat ze er echt achter zitten. Ik begrijp nu dat er bedoelt worden toegang op afstand.
Maar dan moet er wel iets aan vooraf gaan voor ze toegang hebben.

1 onbedachtzame klik van een gebruiker op een vage link is al genoeg om een hacker toegang te geven tot alles.

[alfatrion]

Wij zitten er anders in. Tweetrapsverificatie is in een aantal gevallen overbodig, bijvoorbeeld als je een vast-ip-adres hebt en/of altijd met hetzelfde apparaat inlogt.

Ik lees hierin 2FA: iets dat je kent (wachtwoord) en iets dat je hebt (ip adres).

[Jablan]

Met op de achtergrond een hele reeks kenmerken van apparaat en software als extra controles.

[Moneyman]

Met op de achtergrond een hele reeks kenmerken van apparaat en software als extra controles.

... waar je dus in de praktijk niets aan hebt als je computer overgenomen is...

[Jablan]

En dat is weer je eigen verantwoordelijkheid.

Waarbij het doel van de overname niet altijd de eigen gegevens zijn. Toevallig kwam vandaag een mail binnen met een beveiligingswaarschuwing, handmatig doorgestuurd door de webhoster. Inhoud: een bepaald ip-adres probeerde te vaak in te loggen. Dan jaag je het IP-adres door de zoekmachine en blijkt het een particulier te zijn, waarvan op 26 augustus de PC is omgetoverd in een bot-server, want voor die datum geen meldingen en vanaf 26 aug de een na de andere hackpoging vanaf dat adres.

[Moneyman]

En dat is weer je eigen verantwoordelijkheid.

Volledig eens. Maar dat is een totaal ander vraagstuk dan waar we het over hadden.

[Senso]

Ik ben helemaal niet blij met die zogenaamd "veiliger" tweestaps-verificatie. Naam en paswoord zou voldoende moeten zijn, samen met je IP adres, als je thuis aan de computer zit. De procedure gecompliceerder maken is lang niet altijd ook beter.
Niet zo lang geleden overleed mijn handy. Met als gevolg dat ik bij veel bedrijven en overheden niet meer op hun website terecht kon, inclusief mijn Digi-D, de bank en andere belangrijke contacten, zoals mijn verzekering en apotheek. Allen stuurden een inlog code naar mijn niet werkende telefoonnummer.
En als het om veiligheid gaat, maak ik me minder zorgen om mijn eigen computer dan om die van grote bedrijven en instanties, waar door lekken maar al te vaak de gegevens van honderdduizenden mensen op straat liggen.

[kweenie]

Dat is inderdaad een herkenbare catch 22. Telefoon gaat stuk, zodat je app het niet meer doet, maar om met de computer of op een andere telefoon in te kunnen loggen heb je die app nodig of verificatie via een sms, naar de telefoon die het niet meer doet. Heel onhandig.

[Moneyman]

Dat zijn wat mij betreft de uitzonderingen die niet de norm moeten bepalen. Bovendien is een en ander vaak snel en makkelijk op te lossen, hetzij door een nieuwe telefoon te kopen (wat je tóch al doet als de oude overleden is), hetzij door gebruik te maken van de backup/ achterdeur die er vaak ook is.

[kuklos]

Naam en paswoord zou voldoende moeten zijn, samen met je IP adres, als je thuis aan de computer zit.

Wat als je vanaf een ander IP adres wil inloggen?
Wat als je computer gehackt is?

[Metayatea]

Dag beste indiener van het verhaal,

Interessant.

Is er een manier waarop ik contact met u kan leggen voor wat meer context? Zou dit graag willen snappen en evt tech artikel over willen schrijven.

Vr gr

[Jablan]

Dat zijn wat mij betreft de uitzonderingen die niet de norm moeten bepalen.

Eens.

Oplossing voor de Catch22:
Simkaart in een ander apparaat doen en verder gaan met leven.

Vanaf een ander IP-adres inloggen is een nieuwe ronde met dubbele verificatie. Hinderlijk, nog steeds geen ramp.

[rwolters]

Ik ben helemaal niet blij met die zogenaamd "veiliger" tweestaps-verificatie. Naam en paswoord zou voldoende moeten zijn, samen met je IP adres, als je thuis aan de computer zit.

Dat werkt niet veilig met NAT-ing.

[alfatrion]

Als ik via mijn computer inlog op de website van Centraal Beheer (waar ik mijn verzekeringen heb maar ook spaargeld) heb ik genoeg aan een inlognaam en wachtwoord. That's it.

Heb je al een password manager?

Waarom is in dat geval 2FA overbodig?

Omdat je dan inlogt vanaf een bekende plek.

Waarom is dat geen 2FA?
https://en.wikipedia.org/wiki/Multi-fac ... entication

Ik ben helemaal niet blij met die zogenaamd "veiliger" tweestaps-verificatie. Naam en paswoord zou voldoende moeten zijn, samen met je IP adres, als je thuis aan de computer zit.

Dat werkt niet veilig met NAT-ing.

Wel als je het combineert met cookies.

[Jablan]

Waarom is dat geen 2FA?
https://en.wikipedia.org/wiki/Multi-fac ... entication

In de beleving van de gebruiker is het geen 2FA, technisch gezien natuurlijk wel.

[rwolters]

Ik ben helemaal niet blij met die zogenaamd "veiliger" tweestaps-verificatie. Naam en paswoord zou voldoende moeten zijn, samen met je IP adres, als je thuis aan de computer zit.

Dat werkt niet veilig met NAT-ing.

Wel als je het combineert met cookies.

Dat geeft geen consistente user experience in het geval cookies worden verwijderd. Of als je bepaalde sites slechts incidenteel bezoekt en de cookies expired zijn. En inconsistentie is niet wenselijk als het om security gaat.

Plus dat het nog steeds niet voldoet aan iets wat je weet en iets wat je hebt. En dat zijn toch echt de minimum vereisten als het om security gaat.

[alfatrion]

Dat geeft geen consistente user experience in het geval cookies worden verwijderd.

Dat is gewenst gedrag.

Of als je bepaalde sites slechts incidenteel bezoekt en de cookies expired zijn.

Een jaar komt over als een redelijke termijn.

Plus dat het nog steeds niet voldoet aan iets wat je weet en iets wat je hebt.

Natuurlijk wel. Je hebt je computer en je weet je wachtwoord.