Door Erik van Straten: 2FA (MFA) is ruk. Laat de overheid een wachtwoordmanager adviseren die wél op domeinnamen checkt. Bij U2F is de domeinnaam onderdeel van de gegevens waaruit de response wordt gegenereerd, waardoor het aan meerdere domeinen te koppelen is zonder daarvoor iets op het token te hoeven opslaan/instellen en waardoor het bij een fake domein een onbruikbare code afgeeft. Dat is een vorm van 2FA die daar rekening mee houdt, dus "2FA is ruk" in het algemeen is een beetje onzin in mijn ogen. Niet dat ik dat voor internetbankieren of hogere DigiD-niveaus vind volstaan. Wat ik zou zien zitten is de combinatie van het gebruik van de domeinnaam en wat de Rabo- en ING-scanners hebben: een display voor what you see is what you sign en een numerieke keypad voor de pincode van het apparaat. Maak daar à la FIDO een open standaard van, test wel implementaties van verschillende leveranciers grondig, en maak het mogelijk dat je dat op het gemeentehuis, bankkantoren en waar het nog meer handig is aan je ...