Het komt niet alleen zo over; het is het ook. Gewoon probleem maken om niets. Maar als je graag een slechte relatie hebt met je werkgever, ga vooral je gang.

Wellicht dat je strikt juridisch in je gelijk staat, de relatie met je werkgever zal je snel verzieken op deze manier. En een app die een one-time-password genereert, is dat werkelijk iets om je druk over te maken ? Impact op je privacy is in ieder geval volstrekt afwezig.


Mehhh ik kan thuis geen webmail lezen, omdat ik weiger om vanaf mijn PC prive een VPN verbinding te maken en/of webmail te benaderen. Moet een werkgever dan een laptop of desktop voor thuis leveren ?

In mijn geval is het meestal vrij simpel. Voor veel apps geldt dat ze alleen op Android of iOS werken, ik geef aan, dat ik een Windows Phone heb. Soms is dat best handig...

Helaas Anoniem 14:59:
http://allaboutwindowsphone.com/software/content/SecureAuthOTP.php

JA!

Deze houding is zeer slecht. Dit is precies wat bedrijven en overheid doen... Het is maar 1 klein dingetje... Oh ja, over 6 maanden doen we nog een paar hele kleine dingetjes... En zo opeens wordt je privé getrackt omdat het allemaal maar kleine dingetjes zijn. Of te wel, "je hebt vast niets te verbergen!" Dit noemen ze function creep: https://victoriamcintosh.com/function-creep-the-frankenstein-of-privacy/

Het is gewoon een principe kwestie, Wil de baas dat ik thuis werk, dan zorgt de baas voor de middelen. En anders niet! Dus moet ik een app op een telefoon, dan zorgt de baas eerst voor een werk telefoon. En anders is het jammer.

TheYOSH

Spot on! Als je op zo'n manier met je werk bezig bent dan ben je de grindbak van de onderneming en benijd ik je collega's niet.

Ik ben meestal van mening dat werknemers wel een punt hebben maar....

- Zolang de werkgever je niet dwingt om een telefoon aan te schaffen
en
- Zolang de app geen security of privacy risico is

Waarom wil je het dan niet?

Gewoon omdat het je recht is? Er zijn vast nog veel meer dingen waar je recht op hebt i.r.t. je werkgever maar geen probleem van maakt omdat je er geen last van hebt. Dit klikt als zeuren om het zeuren en ik weet dat dit in de praktijk ook gebeurt, zeker bij gemeenten hoor ik regelmatig dat medewerkers hun prive telefoon weigeren te gebruiken voor een TOTP app.

Als je je zo opstelt naar je werkgever moet je niet gek staan te kijken als deze ook gebruik gaat maken van AL zijn rechten en dat kon wel eens minder goed voor je uitpakken.

Het recht aan je zijde hebben betekent nog niet dat het redeklijk is

Neen, het is geen problemen maken om niets. Je privé foon is privé en zoals Arnoud zegt: de baas hoort voor de spullen te zorgen die je nodig hebt om je werk te doen. Zelf wil ik ook mijn privé telefoonnummer niet voor mijn werk gebruiken. Anderzijds is twee telefoons meenemen ook niet alles, dus je zou kunnen overwegen om zelf een dual sim foon te kopen.

Dat lijkt me niet. Waarom zou dat de relatie verzieken? Mensen die geen app willen kunnen toch zo'n kleine token-generator krijgen, die dingen kosten een paar euro. Waarom zou de werkgever zich druk maken als mensen het liever niet op hun eigen mobiel willen, om wat voor reden dan ook?

Het levert ook mogelijke problemen op als je je eigen mobiel gebruikt. Wat als je mobiel stuk gaat, en de reparatie duurt een week of twee a drie? Wat als je toestel gestolen wordt en je kan niet direct een nieuwe kopen (dingen zijn toch 7 a 800 euro, niet iedereen heeft dat even liggen). Je kan jezelf dan in de situatie brengen dat je je werk niet meer fatsoenlijk kan doen, en dat je prive onverwachte en/of ongewenste uitgaven moet gaan maken omdat er verwacht wordt dat je een app kan gebruiken.

Ik vind het in elk geval niet vreemd dat er mensen zijn die zelf de vrijheid willen hebben om met hun persoonlijk eigendom te doen en laten wat ze zelf willen, zonder dat dat invloed heeft op hun mogelijkheden hun werk te kunnen doen. Als ik op mijn werk kom, wil ik daar kunnen werken, ook als ik mijn telefoon thuis ben vergeten, of als 'ie kapot is, of als ik vergeten ben hem op te laden, of als ik besluit van provider te wisselen en hij doet het in de tussentijd een paar dagen niet, of gewoon omdat ik besloten heb geen telefoon meer te hebben.


Ja. Als jou werkgever van jou verlangt dat jij thuis werkt of mail leest wel ja. Als jij het zelf graag wil doen om een of andere reden niet. Als het noodzakelijk is om je functie te kunnen vervullen dan moet je ook daar de middelen voor krijgen, of die in ieder geval desgewenst kunnen aanvragen o.i.d.

Tjonge jonge, bezwaar maken dat iets als de Google Authenticator op je telefoon komt - een app die je ook privé al vaak nodig hebt als je ergens 2FA wil gaan gebruiken (van Google, tot DropBox, van Facebook tot Synology).

Wat een bizarre instelling. Ik gebruik een Getnord Walrus telefoon. Geen smartphone, want geen behoefte aan. Daarom ben ik nu de grindbak van de onderneming? Wat is dat voor een idioterie? Ik kan bellen en gebeld worden en zit niet zoals de helft van de afdeling de halve dag op mijn telefoon te candycrushen, appen of faceboeken maar nu ben ik ineens het probleem?

Ik ben benieuwd of mijn werkgever een versie van een dergelijke app voor mijn telefoon (belt goed, maar is niet "smart") weet te vinden... Zo niet (waarschijnlijk!), dan zullen we in overleg moeten gaan over een alternatief. (Telefoon van de zaak?)

Nou, je trekt je nokia koelkast uit 2001 uit je zak en vraagt of ze voor jouw telefoon ook een app hebben.

Ja, ik gebruik nog steeds een 6310. Mag wel eens een nieuwe batterij in maar verder doet'ie het nog prima.

Nou, vind ik niet. De werkgever doet hier aannames die hij niet mag of hoort te doen. Hij rekent dus net even iets te makkelijk naar zichzelf toe. Om mee te drijven op de "2FA! 2FA! 2FA!"-hype verwacht'ie ineens dat jij "toch wel" een smartphone waar je een app op kan installeren bij je hebt. Als dat 1) toevallig wel het geval is en 2) je hebt er geen bezwaar tegen dat op je privetelefoon te installeren, dan is dat mooi meegenomen voor je werkgever... en ook voor jou want je hoeft niet een extra telefoon mee te sjouwen. Maar als 1) danwel 2) niet zo is dan heeft'ie niet te mokken, dan is het gewoon jammer maar helaas en dat was het dan.

Dat weet je niet. Want hoe werkt dat OTP genereren? Met een verbinding leggen naar google's "otp generator"-dienst mischien?

Buiten dat als de werkgever z'n huiswerk goed gedaan heeft kan'ie ook, in voorkomende gevallen, een briefje met OTPs verstrekken, en als die op zijn krijg je een nieuwe.

Als de werkgever wil dat je thuis email leest wel ja. Maar dan moet'ie daar weer een gegronde reden toe hebben want het immers buiten werktijd.

vreemd dat je bij een bedrijf werkt die 2FA implementeert en geen GSM van de zaak hebt.

Wie weet is het wel net andersom en is de werkgever bezig steeds meer van de werknemers te vragen hun privézaken voor het werk in te richten en daarmee een slechte relatie met de werknemers te veroorzaken. Dan komt er een punt dat mensen er genoeg van hebben en zich niet meer lekker voelen bij het volgende stapje dat in die richting gezet wordt, ook al is het op zich een vrij onbenullig stapje.

Hoe het ook is, waarom vinden jullie het eigenlijk zo vanzelfsprekend dat een werkgever over de privéspullen van een werknemer kan beschikken? Als een werknemer daar bezwaar tegen heeft, om wat voor reden dan ook, dan is het de werkgever die niet een probleem om niets moet gaan maken maar gewoon moet regelen dat de voorzieningen die voor het werk nodig zijn door de werkgever geregeld worden. Als de werkgever daar moeilijk over doet dan is hij/zij de grindbak van de onderneming die voor een slechte relatie zorgt.

Ik maak hoe dan ook bezwaar tegen alles van google om MIJN spullen. Dus waarom niet tegen de 'authenticator'?

Ik zie het al... de baas wil graag een extra slot op MIJN auto. Want dat is handig voor werk ofzo. Dan lacht iedereen 'm uit. Nu is het MIJN telefoon en dan moet het zomaar kunnen? Hij kan MIJN middelvinger krijgen.

Zou de Max der Maxen zijn eigen hotels en tickets financieren?
BYOD is er in realiteit vooral omdat de werkgever er niet of amper in wil voorzien.
Besparen op een snelle laptop, maar vervolgens je media-generating mannetjes (M/V/T) een uursalaris betalen. Te kortzichtig om vooruit te denken.
En vervolgens nu van mijn telefoon gebruik willen maken.
Nee, sorry, ik leen die van de CEO of CFO wel - want privacy is geen probeem, toch?
Misschien is die onderneming hier een grindbak waar je dus beter niet al te lang moet parkeren.
Maar ik verbaas mij over de bijval van de werkgevert alhier in de responses.

Dat je privé en zakelijk gewoon graag gescheiden houdt. Daar is niets mis mee, nu begint het met een app, maar waar is het einde?

En anders: omdat je je niet verantwoordelijk wilt voelen voor het wel of niet werken van die app, vaak kunnen ze niet volledig mee in de reguliere backup van je teleloon (denk aan Google Authenticator) en mag je het dus steeds weer opnieuw instellen als je van telefoon wisselt, moet herinstalleren, etc etc. Dus aan de baas c.q. IT afdeling om daar een oplossing voor de bedenken, waarbij een keygenerator aan je sleutelbos bijv. een prima oplossing kan zijn.

Tja, als het nou een school was geweest..
dan was het geen ennnnkel prrrobleem geweest...
hierrrr met die ipad!

van jou??
nietttsss mmeee te makennnn!

De Google authenticator legt helemaal geen verbinding om een OTP te genereren. Het OTP is alleen gebaseerd op een wachtwoord plus de actuele tijd.
Het enige wat van belang is, is dat de klok in je device (en de host) correct blijft lopen.

De werkgever kan ook een token verstreken.
(Z’n digitale sleutelhanger die codes uitkost)


Bij een app van de werkgevers ziten vaak ook voorwaarden in het gebruik.
Kan voor komen dat je toestemming geeft om je telefoon automatisch te laten wissen op afstand.
Een collega is dit overkomen op zijn privé toetel.
Een registratie foutje van de iT afdeling met vervelende gevolgen.
Als zijn persoonlijke foto’s van jaren pleite en natuurlijk geen recente backup.
Gevaletje van sorry en jammer joh.

INKOPPERTJE:

Je moet natuurlijk tegen je baas zeggen dat hij regelmatig security.nl moet lezen!

Ja, typisch hè. Een school mag het wel eisen en een werkgever niet:

https://www.security.nl/posting/587068/Juridische+vraag%3A+mag+de+school+van+onze+dochter%2C+die+werkt+met+iPad+onderwijs%2C+zonder+onze+toestemming+beheersoftware+op+haar+iPad+installeren%3F

Neem beter de Authy app (*). Want die heeft een backup feature die je zeker zal waarderen als je je telefoon kwijt zou raken!

(*) https://play.google.com/store/apps/details?id=com.authy.authy&hl=nl

Een belangrijke reden om die sleutelhanger dingen niet te willen is dat je ze kunt uitlenen. Er staat nergens dat het voor
thuiswerken is, wellicht is dat zo maar wellicht ook niet, de werkgever wil waarschijnlijk checken of iedereen alleen zijn
eigen account gebruikt en niet dat van een collega die andere privileges heeft en zijn wachtwoord gegeven heeft, en
een goede manier om dat te borgen is via 2nd factor authenticatie. Maar dan moet het niet net zo makkelijk zijn om de
second factor uit te lenen of in de la achter te laten!

Een manier om dat te regelen is het op een telefoon app of met een belletje of sms te doen, want een telefoon leent
men niet uit en een prive telefoon zeker niet.
Je kunt dan zeggen "dan moet de werkgever een telefoon beschikbaar stellen" maar als dat een telefoon enkel en alleen
voor dit doel is (de werknemer gebruiikt em niet voor zijn normale bereikbaarheid) dan heb je dus weer dat nadeel
wat je ook met een sleutelhanger hebt: de werknemer zit er niet mee de telefoon op het werk te laten liggen op een
plek waar collega's er ook bij kunnen.

Blij dat ik niet met werkgevergestapo te maken heb als dit soort figuren. Wat moet het een drama zijn een slavendrijver boven je te hebben die denkt dat werknemers zijn eigendom zijn.

Dan maar een chip implanteren zodat je zeker weet dat werknemers die niet uitlenen? Meestal neem je al je ledematen liever met je mee naar huis toch?

Enneh - privé telefoons worden echt wel eens uit handen gegeven aan huisgenoten, vrienden of vreemden die vragen of ze even mogen bellen. Gelukkig maar, want anders zou niemand meer behulpzaam zijn voor iemand anders.

maar moet dit wel op de mobiel?
kan toch ook via een codegenerator zoals dit b.v.:

https://www.channelbiz.es/wp-content/uploads/2012/06/token_seguridad.jpg

Daar is niets vreemds aan. Bij een werkgever zit je daar om (tegen betaling) voor die werkgever te werken. Bij een school zit een leerling er om iets te leren. Die werkt niet voor de school, de school is er voor de leerling (al zal menige leerling dat heel anders ervaren ;-) ). Dat is een wezenlijk andere situatie.

Ja grappig he ;) Ik reageer hier dan ook met zo'n beetje hetzelfde antwoord. Als het een telefoon van de zaak is kan de werkgever het eisen. Als het een privetoestel is niet. Maar als jij niet aan de beveiligingsvoorschriften voldoet met je privetelefoon kan de werkgever je dan wel de toegang tot bedrijfsapplicaties ontnemen. Hij mag stellen dat je zonder 2FA geen toegang tot bedrijfsgegevens mag krijgen.
Blijft de keus over aan de werknemer met zijn privetoestel: Of niet meer bij de bedrijfsgegevens, of een telefoon van de zaak aanvragen.

Als het uitgangspunt van de werkgever is dat werknemers bij voorbaat niet te vertrouwen zijn dan moet je niet raar staan te kijken als de werknemers dat haarfijn aanvoelen en de werkgever ook niet vertrouwen. Dat wantrouwen levert weerstand op tegen het verplicht installeren van apps op hun privételefoon, hoe onschadelijk die verder misschien ook zijn.

Ik heb ooit een werkgever gehad die overwoog om de al in gebruik zijnde RFID-toegangspasjes ook te gebruiken om je nabijheid bij een werkstation te controleren en dat automatisch te blokkeren als je erbij wegliep. De verwachting was dat dat goed zou werken omdat je je pasje nodig had om binnen te kunnen komen, en in sommige gevallen om afdelingen met een hoger beveiligingsniveau te kunnen betreden, waardoor mensen sowieso al gewend waren het pasje voor de zekerheid altijd bij zich te dragen (formeel moest je het zichtbaar dragen maar dat deed niemand). Ik heb de invoering ervan niet meegemaakt en weet niet hoe het in de praktijk uitpakte.

Rond dezelfde tijd heb ik ergens gelezen dat er een ziekenhuis was dat het had ingevoerd en dat de RFID-chips daar in een polsbandje waren ondergebracht zodat mensen er gedurende de dag al helemaal niet over na hoefden te denken.

En dat was allemaal meer dan tien jaar geleden. Als dat soort mogelijkheden toen al voorhanden waren zou ik raar staan te kijken als het tegenwoordig niet te doen is.

Besten,

Bekijk het eens nuchter. Als ik op het werk achter mijn bureau ga zitten, zien mijn collega's wie er zit en toegang heeft totbedrijfsgevoelige data en/of persoonsgegevens. Als ik van elders werk niet.
Als ik van elders werk, zal de werkgever duidelijk willen vaststellen aan wie er toegang krijgt; als het gaat om toegang tot persoonsgegevens is dat zelfs een wettelijke verplichting. En we weten allemaal dat usernaam/wachtwoord niet meer voldoet als authenticatiemiddel. Een 2FA methode, waarmee de werknemer zichzelf eenduidig kan identificeren, helpt dan. Daarbij is een middel als een werktelefoon, of token, wat iemand makkelijk uit handen kan geven niet het beste middel. Het beste is een een biometrisch kenmerk, maar ook een privételefoon is al beter. Daar zijn mensen zuiniger op, dat bewijst deze discussie.
De werkgever moet zijn authenticatiebeleid op orde hebben en mag verwachten dat zijn werknemers daaraan meewerken.
Dat is, zoals Arnoud zegt, niet wettelijk vast te leggen. Hangt mede of van functie en bevoegdheden.
Een goede uitleg van totp en de bijbehorende apps (hoeft geen google te zijn) zou al helpen.

Als toevoeging: Binnen onze organisatie hebben we medewerkers die geen app op hun privételefoon willen, maar ook niet de app op hun werktelefoon vanuit de appstores van Google of Apple willen downloaden met hun eigen google of apple account. Dat mag een beheerafdeling dan gaan doen en supporten. De vraag is, hoever je kunt gaan om je werkgever op kosten te jagen.

Dat is geen probleem want het is 2-factor authenticatie. Iemand die je telefoon leent heeft niks aan die app als die
niet ook je usernaam en password weet.

(zucht, je moet hier ook alles uitleggen)

Als het hier gaat om de veiligheid van (privacy gevoelige) data dan loopt iedereen hier te hinniken dat het maar een schande
is als mensen ivm hun functie zomaar allerlei dingen kunnen bekijken, dat dat allemaal goed gelogd moet worden, en in
de gaten gehouden moet worden of dat allemaal wel goed gebeurt.
Maar als er besproken wordt hoe je goed kunt borgen dat alleen de geautoriseerde persoon iets kan raadplegen en niet
een collega kan opzadelen met allerlei logrecords dan is het ineens weer "waarom vertrouwt de werkgever me niet".

Zo kom je nooit ergens en zo kun je altijd blijven zeiken over de situatie. Het is nooit goed en het wordt nooit wat, en
als het wat dreigt te worden steken we een spaak in het wiel.

Tuurlijk, je wordt prive getracked, door een one time password generator. Vergelijken even geen appels met peren. De vraag is hier *niet* of je werkgever je mag tracken.

Straks kom je nog met de vraag of je werkgever je mag verplichten een wachtwoord te gebruiken, omdat hij dat in de toekomst mogelijk zou kunnen vervangen door een biometrische controle ofzo.


Ik weet niet waar jij werkt, maar als dat het uitgangspunt is, dan neem ik ontslag. Veel plezier bij je onbetrouwbare werkgever ;)

Dit vind ik persoonlijk geen slecht idee, zeker als je bijvoorbeeld met thin clients werkt waar dan de sessie ook aan dat pasje hangt. Zo werkte dat bij de sun rays die in 2001 op het FHQ van een zekere computerconferentie-in-het-gras te vinden waren. De beheerder zelf deed er wel een wachtwoord bij en het ging om chipkaartjes niet om NFC kaartjes, maar toch.

Mischien wil je om veiligheidsredenen met meerdere sessies werken, bijvoorbeeld echt gevoelige dingen alleen in de sessie op de thin client je eigen kantoor en voor het "even mail checken" aan een terminal elders pak je een andere sessie. Maar het idee lijkt redelijk natuurlijk. Je loopt weg, je sessie gaat op slot.

Dat zal ook aan de bedrijfscultuur en hoe het in de markt gezet werd gelegen hebben. Als je nog contact hebt met oud-collegae mischien leuk eens te vragen hoe dat gegaan is.

Zo was daar ook die "nfc-ring" die laatst gecrowdfund is. En oh ja, even later de abn-amro die met een namaker in zee ging om er een betalen-per-nfc-ring-pilot van te bakken. Grappig (*kuch*) toch hoe de eerste publieke toepassing zo vaak neerkomt op "de consument 'helpen' zijn geld te laten rollen".

Terwijl "klink vastpakken terwijl je een nfc-ring draagt en de deur gaat open" een veel natuurlijkere match is dan "geef iemand een hand en je bent geld kwijt".

(Ja, ik weet dat dat laatste hyperbool is, technisch gezien. De fysieke handeling past nog steeds niet goed bij logische handeling als je het per nfc-ring probeert te doen, met veel "oeps dat bedoelde ik eigenlijk niet" false positives.)

Ik denk dat het iets zegt over het niveau waarop erover wordt nagedacht. Vingerafdrukken worden ook regelmatig ingezet waarna er weer ophef over is. Ook dat het zo vaak "one size fits all^Wnone" moet zijn. Als je je automatiseringswerk goed had gedaan dan kun je makkelijk een pasje en ook een ring ondersteunen. De iButton was ook ooit hip, en zelfs als ring te krijgen. Daat kun je ook zowel inloggen als deuropenen mee doen. Zelfs nog veiliger dan de rfid/nfc rommel die toch echt enorm beperkt zijn in hun cryptografische mogelijkheden wegens chronisch gebrek aan stroom.

In plaats daarvan zie je dat er een proprietary turn key solution ingekocht wordt, waar vervolgens niemand echt blij mee is. Ik concludeer dus dat de techniek niet eens de beperkende factor is, maar het gebrek aan nadenken over hoe de handeling en de techniek goed op elkaar af te stemmen.


Ik ben beter dan dat. En nu?

("Beste,", ook in meervoud, is slechte stijl en aanhef is hier niet gebruikelijk bovendien.)

Je collegae kijken mee over je schouder wat je "digitaal" aan het doen bent?

Dat eerste, ja, vele mogelijkheden daartoe. Dat tweede weet ik niet eigenlijk.

Dat is de huidige hype. Net als allerlei industrie-allianties die proberen "wachtwoorden uit te bannen". Daar hebben ze allerlei methodes voor verzonnen die stuk voor stuk minder flexibel en robuust zijn dan het aloude wachtwoord. Wat niet wegneemt dat er vele zwakke wachtwoorden in gebruik zijn, maar zolang de software geen arbitraire maximumlengte op je wachtwoord zet kun je het zelf vrij simpel versterken. En hoe wachtwoorden technisch netjes te implementeren is ook veel meer over bekend dan alle nieuwe (toch-niet-zo-)"betere" vervangers. Waar dus ook regelmatig allerlei fouten en gaten in zitten.

Zo kun je de discussie mooi naar je toetrekken, natuurlijk, maar dat maakt het niet automatisch waar. Als je hier een tijdje mee had gelezen dan had je ondertussen geweten dat een biometrisch kenmerk is [x] ongeschikt als wachtwoord. Je kan het hooguit gebruiken als gebruikersnaam.

En om nou te zeggen dat iedereen zuiniger is op privespullen dan spullen van de baas, dat is niet automatisch waar. Ook je "bewijs" is dat niet: Het argument is dat er een grens wordt overschreden en de baas zich (het gebruik van) privemiddelen toe-eigent, iets waar hij niet toe gerechtigd is

Maar niet automatisch met privespullen. De baas moet de benodigde arbeidsmiddelen verstrekken. Mits en maar tenzij het gebruikelijk is dat anders te doen, zoals de koksmessen. Maar die usance bestaat niet zonder meer bij telefoons. De uitzondering heet "BYOD" en blijkt vaak geen goed idee wegens bijvoorbeeld de niet onredelijke eis dat de administrator dan remote wipe-toegang op je privetelefoon krijgt. Ook zijn er nog genoeg mobiele telefoons in omloop die niet geschikt zijn voor de app van de baas.

Dat helpt niet degen het zich privemiddelen voor arbeidsdoeleinden toeeigenen danwel per decreet zichzelf beschikbaar stellen.

De werkgever probeert hier voor een dubbeltje op de eerste rang te zitten en is daarmee reeds oneigenlijk bezig. Want hoezo moet de werknemer zijn eigen google- of apple-store-account meenemen voor een bedrijfstelefoon?

Dat doet jouw toegevoegde vraag compleet en volslagen teniet.

en


Twee-factor authenticatie is dat niet meer zodra 1 van die factoren gecompromitteerd is. Je kunt niet uitsluiten (zeker niet op een gerootte smartphone) dat het "geheim" dat apps als Authy/Google Authenticator etc. gebruiken, kan worden uitgelezen (bijv. door kwaadaardige software).

Als een werknemer een oudere smartphone heeft die geen securityupdates meer ontvangt (of die de gebruiker niet wenst te installeren, om welke reden dan ook), dan moet je als werkgever helemaal niet moeten willen dat gebruikers zo'n device als authenticatiemiddel gebruiken. Sterker, ik zou dat laakbaar gedrag vinden, helemaal als gebruikers vervolgens ook met die smartphone volledige in kunt loggen (e-mail lezen, Sharepoint etc). Als zo'n smartphone in verkeerde handen valt, en niet grondog gelocked is, kan de vinder in 1x overal bij. Hoezo 2FA?

LOL. Nou, veel succes met een one time password. Zonder bijbehorende username/password combinatie. Vrij nutteloos.


Tja, da's je eigen keuze om je smartphone te rooten, en kwetsbaarder te maken.


Natuurlijk kan je dat geheel uitsluiten. Als die credentials niet aanwezig zijn op je telefoon, valt er ook niets uit te lezen. Ook kan je uitsluiten dat je telefoon geroot is. Jij weet toch ook wel of je telefoon wel/niet geroot is, en of deze wel/niet de aanvullende credentials bevat bij je OTP. Als ook de lokaties waar deze OTPs gebruikt kunnen worden ?


Ach, je zou zo mijn Google Authenticator mogen bekijken, en een OTP overschrijven. Je zal er niks mee kunnen beginnen. De resterende credentials staan niet op mijn telefoon. En je zal ook geen idee hebben welke aan de hand van de gebruikte omschrijvingen bij mijn Google Authenticator codes, waarvoor welke code voor bedoeld is......

Verder weet ik niet wat voor huisgenoten of vrienden jij hebt, dat je kennelijk bang moet zijn om je telefoon even uit handen te geven. En een onbekende die mijn telefoon leent en vervolgens lekker kan gaan neuzen in mijn apps, een OTP code kan overschrijven, en binnen de 60 seconden voordat deze verloopt deze kan gaan gebruiken ?

You gotta be fucking kidding.


Helemaal niet oneigenlijk, zolang je zelf akkoord bent. Dat hij je niet juridisch kan dwingen, wil niet zeggen dat hij het niet mag vragen. En dat je zaken niet in onderling overleg kunt regelen. Niets oneigenlijks aan (net zoals een weigering van jouw kant niet oneigenlijk is).

Nu stelt de werkgever dat je ofwel een bedrijfstoestel kan krijgen om de app op te zetten, ofwel een loonsverhoging van 50 euro, indien je je eigen toestel gebruikt. Zie je nog steeds een juridisch probleem, of kijk je er plotseling anders tegen aan ? ;))

Je maakt *wel* bezwaar tegen een app om een OTP te genereren, op je prive telefoon, en *geen* bezwaar tegen remote wipe-toegang op je prive telefoon ? LMFAO. Een werkgever zal *nooit* remote wipe toegang krijgen op mijn prive telefoon.

Zo'n verzoek is een veel betere reden om de werkgever te vertellen dat hij dan maar een zakelijk toestel dient te verschaffen.

Google Authenticator op mijn prive phone ? No problem.

Remote Wipe op mijn prive phone ? Never.

Ik vraag me af hoe jij zo'n verzoek als ''redelijk'' kan zien (tenzij je in gezamenlijk overleg een zakelijke container op je telefoon installeert, en de remote wipe *enkel* bij die data kan. Systeembeheerders hebben niets te maken met de prive data op je telefoon; ze behoren geen toegang te hebben tot dergelijke data, laat staan wipe rechten.

als jij het normaal vindt dat een professionele relatie verziekt dreigt te worden omdat van een medewerker zoveel mogelijk ja-en-amen verwacht wordt getuigt alleen al van waarom de wetgeving waar we het over hebben bar hard nodig is...
steek die hand lekker in eigen boezem!

Like Like Like!

Vrouwe justitia is geblindoekt, heeft een zwaard en een weegschaal.

Wat niet wordt uitgebeeld in die sculpturen is dat ze echter altijd veel te laat uit haar nest komt en dan ook nog de laatste 20 jaar van de film gemist heeft.

Maar dat was het ergument dus wel: Jouw weigering zou "de werkgever op kosten jagen" zijn. Maar dat is het dus niet. Hij mag het vragen, maar niet verlangen.

Uh, ja, want daarmee laat'ie mij indirect voor een door hem verlangd arbeidsmiddel betalen. En dat mag niet.

Best kans (IBGJ) dat als ik hiermee naar de rechter stap ik de loonsverhoging samen met een verstrekt toestel kan afdwingen.


Dat is niet wat er staat. Lees het nog eens, als je uitgelachen bent. En nu zorgvuldig.

De remote wipe-eis is niet onredelijk vanuit de werkgever gezien, maar als dat de prijs is om je eigen device voor werkdoeleinden te gebruiken dan blijkt dat hele "BYOD" ineens zo'n goed idee niet meer. Dus nee, wat jij zegt dat er staat, staat er gewoon niet.

Door me in de werkgever te verplaatsen. Zo moeilijk is dat niet. Als ik admin was van zo'n tent dan was dat voor mij ook een puntje, en dan zou ik dat dus ook als voorwaarde voor "BYOD" toestaan naarvoren schuiven. Hoewel ik tegelijkertijd prima begrijp dat mensen daar geen zin in zouden hebben, ik zelf als werknemer zeker ook niet.

Andere pet, andere blik. Uiteindelijke plaatje voor mij zou zijn dat ik dat "BYOD"-gedoe waarschijnlijk toch maar niet zou doen. Want "geen goed idee". Wat er dan ook staat.

Zodra er bedrijfseigen data op staat dus wel. Tenminste de wipe-rechten op precies die data.

Het punt was dus inderdaad dat dat een behoorlijke showstopper is om als werknemer mee te doen met de "BYOD"-hype.

Denk dat je de vraag ook kan omdraaien. Welke verplichting geeft je werkgever dat je altijd je telefoon bij je hebt? Je geeft immers aan dat je vanaf december niet meer kan inloggen zonder die speciale 2FA app op je telefoon. Dus zonder telefoon kan je niet meer werken.

Wat als je telefoon defect is, kan je werkgever dan eisen dat je gelijk een nieuwe koopt? Lijkt me namelijk niet. Denk dat je die vraag wel terug kan leggen bij je werkgever hoe daar mee om te gaan.

Inderdaad typisch, want die leerling heeft die keus niet : een ipad van de school aanvragen (mits dat niet het al geval was maar daar voorzag de aanleidende ironische opmerking precies niet in).

In beide situaties zou moeten gelden dat als de baas van de omgeving waar de zogenaamde ondergeschikte zich in bevindt extra eisen stelt ten aanzen van het werkgereedschap, het over de brug zal moeten komen als het het volledig admin beheer over dat gereedschap wil hebben.

Iets dat je terecht mag weigeren als het jouw eigendommen betreft.

'Typisch'

Maar dan is het geen 2FA meer, en dat is wat ik betoogde.

1) Ik ken mensen die hun smartphone bewust rooten. Waarom zouden zij dat niet mogen met hun privé smartphone? Hoe wil je dat als werkgever managen?
2) Er bestaat malware die dat doet;
3) Er worden smartphones verkocht met allerlei troep aan boord die "naar huis belt";
4) Er is een flinke markt in tweedehands spul;
5) Je kunt zelfs niet uitsluiten dat een uitgeleende smartphone (bewust of door onwetendheid) van een "handige" app met bijwerkingen is voorzien.

De smartphone waar ik dit op tik is niet door mij geroot. Maar ik weet niet 100% zeker dat er geen apps op staan die rootrechten hebben weten te bemachtigen. Of die screenshots kunnen maken als de 2FA code wordt getoond, terwijl "die handige keyboard app met de nieuwste emoticons" gebruikersnaam en wachtwoord kaapt.

Natuurlijk gaat mijn vermoeden wel richting de 100% op deze smartphone, maar waarom zou elke andere werknemer haar of zijn smartphone zo "schoon" moeten houden als jij en ik doen?

Daar komt bij: ik kom nauwelijks apps tegen waarbij ik kan aangeven dat ik, elke keer dat ik ze opstart, mijn wachtwoord opnieuw wil invoeren. Bijv. Outlook werkt meteen na ontgrendelen van het scherm, terwijl 2FA vereist is voor Office365. Heel af en toe moet ik mijn wachtwoord wijzigen en alleen op dat moment moet ik mijn 2FA code invoeren (notabene op dezelfde smartphone, nauwelijks 2FA dus). Buiten de schermvergrendeling is dat tussendoor dus sowieso 0FA.

Ongelofelijk hoe weinig sommige bezoekers van security.nl nadenken en/of weten over security. Aan de andere kant, goed dat je er bent: lees, zet je grijze massa aan het werk en inventariseer de risico's!

Zo'n app heeft een "shared secret" op basis waarvan (samen met andere parameters, in elk geval datum/tijd) een code wordt gegenereerd - terwijl op de server hetzelfde gebeurt zodat vastgesteld kan worden dat de (door jou ingevoerde) 2FA code klopt. Als een aanvaller die parameters in handen krijgt, is die authenticatiefactor weg (vergelijkbaar met het RSA SecurID incident in 2011, zie https://www.security.nl/posting/32416/RSA+vervangt+SecurID+tokens en de oorspronkelijke berichtgeving). Met de kennis van die gegevens kun je elke toekomstige code berekenen.

Ik zie mensen smartphones gebruiken die mij qua leeftijd en vervuiling (met vage apps, ik weet niet waar allemaal vandaan gedownload) die mij aan vreselijk stinkende vaatdoekjes doen denken. Typisch de mensen die zeggen dat ze toch niks te verbergen hebben. Als je als werkgever 2FA vereist (vanuit securityoverwegingen neem ik aan) ben je wel heel erg naïef als je daarbij geen securityeisen stelt aan de daarvoor gebruikte apparatuur.

Ook heb ik meegemaakt dat het zoontje van de receptioniste op de zaak kwam en ik hem om het WiFi wachtwoord hoorde vragen zodat hij een spelletje kon spelen op z'n smartphone. Voordat ze kon antwoorden zei hij: "Oh laat maar, hij doet het al". Hij bleek de vorige smartphone van zijn moeder te hebben (die dus niet gewist was).

Ik vind dat je als werkgever geen eisen mag stellen aan privébezittingen van je werknemers - integendeel, je zou moeten verbieden dat apparatuur (smartphones, laptops, USB sticks, thuisnetwerk, ...) voor werkgerelateerde zaken worden gebruikt tenzij ze aan een duidelijk pak eisen voldoen. Maar daar hoort dan wel een redelijke compensatie tegenover te staan.

Het gaat hier om de vraag of het per se met een app op de privé-smartphone van de werknemer moet worden gerealiseerd. Een "sleutelhanger" kan uitgeleend worden, met je smartphone ga je voorzichtiger om, is de redenatie.

Als die "sleutelhanger" alleen geschikt is om toegang tot het bedrijfsnetwerk te krijgen, een token dat met een pincode moet worden geactiveerd dat de werknemer niet voor andere doeleinden kan gebruiken, zoals met een U2F-token bijvoorbeeld wel kan, dan is er geen enkele reden om dat ding uit te lenen voor een ander doel dan toegang tot het bedrijfsnetwerk verschaffen, en om het te laten werken moet de pincode ook "uitgeleend" worden. Om ongelukjes en slordigheden te voorkomen (het ding dient echt als sleutelhanger en iemand leent de sleutelbos even uit - iets waar je net zo voorzichtig mee omgaat als met een smartphone, lijkt me) kom je met een pincode om het token te ontsluiten al ver.

Wat dan overblijft is een werknemer die willens en wetens een ander toegang verschaft tot het bedrijfsnetwerk. Zou een app op de privésmartphone dat tegenhouden omdat uitlenen een drempel is? Lijkt me niet, als iemand doelbewust een ander toegang wil verschaffen dan is die ook wel bereid om daar moeite voor te doen. Bijvoorbeeld door die smartphone toch uit te lenen, of door live codes door te geven aan degene aan wie toegang wordt verschaft, of door er domweg even naast te komen zitten, of door zelf de gevraagde vertrouwelijke gegevens zelf te verzamelen in plaats van de opdrachtgever toegang te geven. Als er inderdaad goed gelogd wordt dan wordt de activiteit vastgelegd ongeacht wie het account gebruikt en is dat uiteindelijk waaraan je kan zien of er iets raars gaande is.

Volgens mij blijft er helemaal niet zoveel over van dat "goed borgen" met een smartphone dat alleen de geautoriseerde persoon iets kan raadplegen. Je komt hoe dan ook uit op een punt dat je niet alles voor kan zijn en dus op het punt dat je aangewezen bent op een zekere mate van ouderwets vertrouwen in elkaar. En nee, met vertrouwen in elkaar dek je niet alle risico's af, maar dat doe je evenmin met vertrouwen in de aanname dat een privésmartphone zoveel extra voorzichtigheid oplevert dat je daarmee iets wezenlijks borgt. Om slordigheden en ongelukken te voorkomen kan je ook andere middelen inzetten, om kwaadwilligheid te blokkeren is ook die smartphone niet genoeg.

Blij dat iemand hier al wat van heeft gezegd. Volgens mij is dit óf een werkgever die zich na het lezen van dit stuk persoonlijk benadeeld voelt, óf een werknemer die totaal geen idee heeft van wat voor impact dit soort dingen kunnen hebben.

Heb jij wel eens daadwerkelijk bij een bedrijf gewerkt? Ergens op een kantoor ofzo, waar hele afdelingen vol mensen
zitten die hun werk moeten doen binnen de regels gesteld door de directie, de IT afdeling, de overheid, enz?
En daarbij ook nog moeten omgaan met dingen als ziekte, vakantie etc.

Je praat zo theoretisch en je wekt niet de indruk dat je snapt wat er "op de vloer" gebeurt in een typisch bedrijf, en
dat je in de hand kunt houden wat mensen (zeker Nederlanders) zelf wel even regelen als jij niet naast ze staat.

Buiten de discussie over privacy zou ik bij zo'n mededeling al direct ander werk gaan zoeken. Want als een extra mobiel er al niet af kan, dan valt er voor mij op de lange termijn ook niks te halen. En in het ergste geval staat de toko al op kiepen (tip: vraag bij de KvK de laatste jaarrekeningen van je bedrijf op, dan heb je snel gezien hoe de financiele vlag erbij hangt). Zorg dat je op tijd weg bent, dan zit je niet met al je collega's tegelijk in dezelfde vacature-vijver te vissen (wat wel het geval is bij een failissement). Dus beste werkgever, besef ook welk signaal je op deze manier afgeeft.

Daar heb je natuurlijk helemaal gelijk in :-) maar in dit geval was de vraag waarom een werknemer bezwaar had tegen een TOTP app op zijn privé telefoon. Het risico dat jij beschrijft is een risico dat de werkgever accepteert (of niet). Ik zie zo 1,2,3, namelijk geen reële privacy of security risico's voor de werknemer bij gebruik van een TOTP app op zijn privé telefoon. (er vanuitgaande dat het een TOTP app is die geen verbindingen naar buiten/werkgever legt)

Ja hoor, ik heb er tientallen jaren op zitten. En je hoeft niet onbeschoft te worden om je punt te maken, je kan ook argumenten gebruiken in plaats van een sneer.
Dan zal ik wel niet hebben gewerkt bij wat jij typische bedrijven vindt. Wat ik gewend ben is dat mensen ervan doordrongen zijn dat ze hun werk onder hun eigen userid doen en hun aanloggegevens niet met anderen delen. Dat is ook niet nodig omdat hun userid ze de rechten geeft die ze voor hun werk nodig hebben. Met de userid van een directe collega van de eigen afdeling kunnen ze gewoonlijk niets wat ze niet al zelf kunnen, en met de userid van iemand van een andere afdeling, als ze daarover zouden beschikken, zouden ze andere dingen kunnen maar weer niet bij hun eigen spullen kunnen, dus dat maakt het ook niet echt makkelijk. Verder ben ik ook gewend dat er enige sociale controle is, dat mensen het laten aan elkaar laten merken als ze iets bedenkelijk vinden, en dat leidinggevenden genoeg leiding geven om van hun kant mensen aan te spreken op gedrag dat niet deugt.

Vanuit dat perspectief leek het mij het meest waarschijnlijk dat het probleem niet primair op de werkvloer speelde maar dat het ging om bijvoorbeeld thuiswerkers die zonder pottenkijkende collega's om zich kwade bedoelingen tot uitvoer wilden brengen. En dan zaten we over twee verschillende onderwerpen te praten.

Als mensen zelf van alles gaan regelen dan zijn de rechten die ze nodig hebben om hun werk te kunnen doen kennelijk niet goed geregeld. Als je met je eigen user tot je beschikking hebt wat je nodig hebt om je werk te doen dan zal de behoefte om de user van een ander te "lenen" niet zo snel optreden. Als je mensen met technische maatregelen gaat tegenwerken maar niet zorgt dat ze hun werk kunnen doen dan bereik je alleen dat ze hun best gaan doen om de maatregelen te omzeilen.

Als ik jou was zou ik me afvragen waarom het beeld dat jij hebt van wat zij voor hun werk nodig hebben zo afwijkt van het beeld dat ze daar zelf kennelijk van hebben. Misschien zijn ze niet alleen maar aan het dwarsliggen maar hebben ze een legitiem punt.

Dit zie je met name veel in het MKB waar medewerkers vaak meerdere petten op hebben en veel werkzaamheden 'erbij doen'. In die situaties kun je geen 'separation of duties' toepassen. En de baas denkt vaak alleen aan zijn eigen portemonee, dus investeringen (tijd, geld, middelen, opleidingen enz) zijn vaak schaars. Ik vermoed dat jij in een grote corporate (hebt ge)werkt en daar is deze 'zogenaamde theorie' dagelijkse praktijk. Zonder due diligence gebeurt daar niks.
Ik denk dat de hele discussie dus voortvloeit uit het feit dat jullie beide mekaars werksituatie niet kennen. Draai eens een dagje met elkaar mee, er zal een wereld voor je open gaan!

Daar lijkt het inderdaad op. :-)
Ik zie niet hoe in zo'n context die werknemers wel wordt toevertrouwd dat ze al die taken uitvoeren maar ze tegelijkertijd niet de rechten toevertrouwd wordt die ze ervoor nodig hebben en het als een probleem wordt gezien als ze dat oplossen door dan maar elkaars credentials en tokens te gebruiken. Dan kom je ook in die situatie uit op rechten die niet aansluiten bij de taken die mensen moeten uitvoeren. Je bent niet goed bezig als je van werknemers eist dat ze taken uitvoeren die je ze niet toestaat om uit te voeren.

Aangezien ik niet weet wat het inkomstenmodel is van "gratis" apps als Google Authenticator en Authy, leert mijn ervaring mij dat je in dergelijke situaties betaalt met je privacy.

Los daarvan kun je een 2FA app vergelijken met een sleutel van een extra slot op een voordeur. En dus kun je zo'n app op een onveilige smartphone vergelijken met een sleutel onder de deurmat. Als dat tot insluipers leidt (bijv. omdat de werknemer haar wachtwoord in een wachtwoordmanager op dezelfde smartphone bewaart, of in een naar zichzelf gestuurd mailtje dat ze steeds opent op die smartphone), ligt het voor de hand dat de werkgever de schuld op de werknemer afschuift (hoe kun je zo stom zijn om de sleutel(s) van mijn bedrijf onder een deurmat te bewaren).

Dat risico moet je als werknemer niet willen nemen, en als werkgever moet je dat jouw werknemers niet in de schoenen willen schuiven. Dan kun je net zo goed gele plakkers met wachtwoorden op schermen gedogen, en werkgevers die dat doen vind ik geen knip voor de neus waard.

In plaats daarvan horen werkgevers -die om security geven- hun werknemers handvatten te bieden om veilig met wachtwoorden om te gaan. Een "wachtwoord" (of tijd + device afhankelijke pincode), gegenereerd door een app op een potentieel onveilige smartphone, is mogelijkerwijs risicovoller dan post-its met wachtwoorden op schermen.

Ter aanvulling op eerder genoemde risico's: naast dat die persoon -als deze wachtwoord en gebruikersnaam kent- dan zelf kan inloggen, kan die persoon de code ook doorgeven aan een handlanger bij een toetsenbord op de zaak (met name flexplekken zijn ideaal om ongestoord foute dingen te kunnen doen, maar na enig rondkijken weet je vaak wel wanneer wie in welke ruimte op de zaak aanwezig is en kun je wellicht de identiteit van het slachtoffer achter haar eigen toetsenbord spoofen).

Klinkt vergezocht, maar pesten op het werk moet je niet onderschatten, evenmin als bijv. wantrouwige partners. En dit zou ook een social engineering truc van een pentester kunnen zijn om binnen te dringen in een bedrijfsnetwerk. En als een pentester dit kan bedenken, kan een crimineel dat ook. Bedrijsfraude is vaak een groot probleem, en CEO-achtige fraude is denkbaar als je op deze wijze toegang weet te krijgen tot een account van een medewerker die grote bedragen mag overmaken (denk maar aan Pathé).

Overigens ook een leermoment voor mij: bij smartphones van de zaak (zeker met een 2FA app erop) hoort de instructie dat deze nooit uitgeleend mogen worden. Ontdaan van lockscreen is daar vaak veel bedrijfsinformatie op toegankelijk (denk aan het adresboek, WhatsApp historie en wellicht bewaarde SMS-jes met wachtwoorden) en e-mail verzenden kan meestal zonder wachtwoord te hoeven invoeren.

Met enige social engineering (bijv. als je van de zaak naar jouw auto loopt, een onbekendie die zegt dat hij z"n smartphone vergeten is en i.v.m. een defecte auto de ANWB wil bellen) zou men toegang tot "jouw" werk-smartphone kunnen krijgen en een mail/appje/SMS sturen dat je blijft overwerken en het alarm er niet op moet of iets dergelijks (denk als een kwaadwillende!).

On topic: je moet als werknemer geen software en/of data op jouw privé-smartphone willen hebben die een risico voor jouw werkgever vormt (en daarmee het voortbestaan van het bedrijf en de baanzekerheid van collega's en jouzelf in gevaar kan brengen). Het kan niet zo zijn dat er allerlei eisen aan jouw smartphone, de apps erop en het gebruik ervan zouden moeten worden gesteld omdat (toegang hebben tot) die smartphone als (partieel) authenticatiemiddel op jouw werk wordt gebruikt.

Vanuit security-oogpunt bezien is BYOD, ook om de in deze draad genoemde redenen, een slecht idee.

Goedgemaakt: Yubikey met vingerafdruklezer *

Smartphone gered.

Binnenkort zal het niet meer anders kunnen als de marktleider wereldwijd dit gaat doordrukken.
https://venturebeat.com/2018/11/20/you-can-now-sign-into-your-microsoft-account-without-a-password/

Gelukkig staat daar weer een andere ontwikkeling haaks op : bescherming van je vrije tijd
https://www.volkskrant.nl/nieuws-achtergrond/hoe-houd-ik-na-werktijd-m-n-baas-buiten-de-deur-en-waarom-dat-soms-goed-is~bad5f820/
Weg met de app, weg met de yabyubbikey verleidingen.

Werkgevers dit dit vragen zonder er een telefoon bij te leveren zijn ook de werkgevers die van je eisen dat je op je privé telefoon bereikbaar bent voor hun.
Het zijn niet de werknemers die hier iets van vinden die de grindbak van de onderneming zijn, het zijn de werkgevers die het vragen die het uitschot onder de werkgevers zijn!

In zijn algemeenheid wel, maar in het geval van de Google Authenticator vast niet omdat die geheel autonoom werkt. Op de server wordt een complex wachtwoord ingesteld, speciaal voor de auhtenticator. Vervolgens tik je dat wachtwoord in op je telefoon bij de installatie. Of je leest dat wachtwoord via een QR code in.

Hierna heb je niets meer met dat wachtwoord te maken, alleen met het ervan afgeleide OTP. Voor de generatie van een OTP heeft de Authenticator geen externe verbinding nodig. Alleen een op tijd lopende klok.

Dat wachtwoord zal inderdaad ergens als hash op de telefoon staan en als je de telefoon uitleent, zal iemand anders die hash naar zijn telefoon kunnen kopiëren en gebruiken om zelf een correct OTP te genereren.

Stiekum over de BYOD-uitzondering heengelezen?

Wat de technische werking van de app zelf is staat volledig los van de vraag in welke mate je betaald voor die functionaliteit met je privacy. De app kan alle dingen doen zoals jij beschrijft, maar daarnaast ook nog je adresboek, contactgeschiedenis, browserhistory, device informatie, locatiegegevens en dergelijke op regelmatige basis delen met de maker van de app.
Let wel: ik zeg niet dat deze specifieke app dat allemaal doet, wellicht is deze volmaakt onschuldig, maar dat het het autonoom functioneren van een app niet noodzakelijkerwijs betekent dat het niet ten koste gaat van je privacy. Het is zeer wel mogelijk dat een app zelfstandig een zekere functionaliteit levert maar tevens al je persoonlijke gegevens uitleest en deelt.

Ik heb het er juist over dat deze specifiek app het niet doet.