Beveiliging inloggen bij Centraal Beheer - 2FA

[Benno123]

Als ik via mijn computer inlog op de website van Centraal Beheer (waar ik mijn verzekeringen heb maar ook spaargeld) heb ik genoeg aan een inlognaam en wachtwoord. That's it.
In tijden waarin de online veiligheid superbelangrijk is en nog steeds belangrijker wordt zie ik graag oplossingen als 2FA en passwordless inloggen voor toegang tot mijn financiele dienstverleners. CB loopt hier derhalve hopeloos achter de feiten aan.

Uiteraard heb ik even navraag gedaan bij CB: "Het enige wat wij op dit moment kunnen zeggen is dat het zeker het plan is om 2FA te implementeren. Hier is men dus wel mee bezig en er wordt aan gewerkt. Ik kan hier voor je alleen geen termijn bij noemen wanneer dit daadwerkelijk zover is."

Ik heb ze nog een suggestie gedaan voor een nieuwe 'Even Apeldoorn Bellen' reclame; een CB klant wienst account gehacked wordt omdat de beveiliging bij CB niet op orde is.

Zijn er meer mensen die dit wel eens aangekaart hebben (of zouden willen aankaarten, bijvoorbeeld via een bericht op Facebook messenger aan CB)?
Misschien kan @Radar er ook eens aandacht aan geven in de uitzending, CB is echt niet meer van deze tijd.

[Jablan]

Wij zitten er anders in. Tweetrapsverificatie is in een aantal gevallen overbodig, bijvoorbeeld als je een vast-ip-adres hebt en/of altijd met hetzelfde apparaat inlogt. Op je mobiel is een app beter dan een browser, omdat de app ook allerlei kenmerken van het toestel doorstuurt als extra controle.

Je idee voor een nieuwe CB-commercial is goed *grijns*

[Lady1234]

Misschien kan die klant dan beter zijn eigen computer beveiligen?

[PGros]

Sterk wachtwoord kiezen!

[Justmeagain]

Waarom klagen in Radar en niet bij de CB?

[PGros]

Lezen is moeilijk!
Dat heeft hij gedaan.

[Moneyman]

Waarom klagen in Radar en niet bij de CB?

Lezen is moeilijk!
Dat heeft hij gedaan.

Ik lees slechts dat TS navraag heeft gedaan, niet dat er een klacht is ingediend. Lezen is inderdáád moeilijk, zo blijkt.

[PGros]

Dan lees ik ook niet dat TS loopt te klagen bij Radar zoals Justmeagain schreef. Hij vraagt hier gewoon of meer mensen dit wel eens aangekaart hebben.

[angel1978]

Dan lees ik ook niet dat TS loopt te klagen bij Radar zoals Justmeagain schreef. Hij vraagt hier gewoon of meer mensen dit wel eens aangekaart hebben.

Dit idd niet gelezen dan:

Misschien kan @Radar er ook eens aandacht aan geven in de uitzending, CB is echt niet meer van deze tijd.

[Moneyman]

Dan lees ik ook niet dat TS loopt te klagen bij Radar zoals Justmeagain schreef.

Dat TS hier klaagt, kan je zelf lezen. Dit hele topic is niet anders te definiëren dan één groter klacht. Je kunt ook gewoon toegeven dat je justmeagain ten onrechte terecht wees.

Maar ontopic: ik snap de klacht van TS wel. En ik herken 'm van bijvoorbeeld Nationale Nederlanden. Ik vermoed dat veel grote partijen de beveiliging feitelijk nog niet op orde hebben.

Wij zitten er anders in. Tweetrapsverificatie is in een aantal gevallen overbodig, bijvoorbeeld als je een vast-ip-adres hebt en/of altijd met hetzelfde apparaat inlogt.

Waarom is in dat geval 2FA overbodig?

[Methusalah]

Wij zitten er anders in. Tweetrapsverificatie is in een aantal gevallen overbodig, bijvoorbeeld als je een vast-ip-adres hebt en/of altijd met hetzelfde apparaat inlogt. Op je mobiel is een app beter dan een browser, omdat de app ook allerlei kenmerken van het toestel doorstuurt als extra controle.

Je idee voor een nieuwe CB-commercial is goed *grijns*

Huh, geen van bovenstaande is een argument om geen 2fa te hebben. Niets van wat je zegt is een beveiliging of maakt het moeilijker om een account over te nemen.

Of bedoel je soms een whitelisted IP bij de dienst waardoor je alleen van dat IP in kan loggen? Valt te omzeilen met IP spoofing.

Het zelfde apparaat gebruiken? Zo goed als alle diensten hebben de mogelijkheid om extra goedgekeurde apparaten toe te voegen (wat dan ook heel makkelijk kan als je geen 2fa aan hebt staan).

[Mk]

De redenering zal zijn; wat kan iemand die (doordat er geen 2FA wordt gehanteerd) met de toegang tot mijn rekening? Het is een spaarrekening waar waarschijnlijk je eigen betaalrekening bij een andere bank aan is gekoppeld. En die alleen weer met 'bewijs' kan worden veranderd in een ander nummer.

[Jablan]

Wij zitten er anders in. Tweetrapsverificatie is in een aantal gevallen overbodig, bijvoorbeeld als je een vast-ip-adres hebt en/of altijd met hetzelfde apparaat inlogt.

Waarom is in dat geval 2FA overbodig?

Omdat je dan inlogt vanaf een bekende plek. Stel, dat je wisselt van internetleverancier, dan zal de eerste keer inloggen wel weer met een extra controlestap plaatsvinden. Daarna wijzigt er niets meer en heeft de tweetrapsverificatie geen enkele toegevoegde waarde.

[Cro]

Wij zitten er anders in. Tweetrapsverificatie is in een aantal gevallen overbodig, bijvoorbeeld als je een vast-ip-adres hebt en/of altijd met hetzelfde apparaat inlogt.

Waarom is in dat geval 2FA overbodig?

Omdat je dan inlogt vanaf een bekende plek. Stel, dat je wisselt van internetleverancier, dan zal de eerste keer inloggen wel weer met een extra controlestap plaatsvinden. Daarna wijzigt er niets meer en heeft de tweetrapsverificatie geen enkele toegevoegde waarde.

Uiteraard is dat er wel, je wil immers niet dat een bad actor die bijvoorbeeld op jouw computer is geraakt of op jouw netwerk zonder verdere controle overal kan inloggen met alleen een username en wachtwoord.

[Jablan]

Daar ben je zelf verantwoordelijk voor.

[Moneyman]

Daar ben je zelf verantwoordelijk voor.

Datvis een behoorlijk zwak argument. Het hele idee van 2FA is daar juistheid gebaseerd. Ik vind je onderbouwing voor je eerdere statement uitermate zwak.

[Jablan]

Dat mag

Omgekeerd heb ik nog geen goede statements gezien, dat meervoudige verificatie de online veiligheid een enorme booster geeft. In het dagelijks leven is het eerder een rem om ergens in te loggen dan een pro, zeker als je het meerdere keren per dag voor je neus krijgt. Tijdrovend ...

[16again]

Omgekeerd heb ik nog geen goede statements gezien, dat meervoudige verificatie de online veiligheid een enorme booster geeft.

Twijfelt daar dan iemand aan?
https://en.wikipedia.org/wiki/Multi-fac ... entication

Authentication methods that depend on more than one factor are more difficult to compromise than single-factor methods.

In het dagelijks leven is het eerder een rem om ergens in te loggen dan een pro, zeker als je het meerdere keren per dag voor je neus krijgt. Tijdrovend ...

Jouw alternatieven leveren in op veiligheid, en geven extra gebruiksgemak. Beide genoemde methoden zijn weldegelijk in gebruik.

[Moneyman]

Dat mag

Omgekeerd heb ik nog geen goede statements gezien, dat meervoudige verificatie de online veiligheid een enorme booster geeft. In het dagelijks leven is het eerder een rem om ergens in te loggen dan een pro, zeker als je het meerdere keren per dag voor je neus krijgt. Tijdrovend ...

Dit leest wel als een enorm achterhaald statement, en staat aardig gelijk aan bewijs vragen dat de aarde rond is. Hetgeen evident is, wordt meestal niet beargmenteerd.

[kweenie]

Het is een spaarrekening waar waarschijnlijk je eigen betaalrekening bij een andere bank aan is gekoppeld. En die alleen weer met 'bewijs' kan worden veranderd in een ander nummer.

In denk dat dit inderdaad de achterliggende gedachte is. Als iemand die de inloggegevens heeft, alleen geld naar jouw tegenrekening kan overmaken, en niet naar zijn eigen rekening, dan is het risico beperkt.