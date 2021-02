Dat is interessant, de AP is dus van mening dat intern ook 2FA/MFA verplicht is. Of ben ik de enige die daar verbaasd over is?



Na aanleiding van het DigiD-assesment debacle bij de GGD ben ik die normen nog eens doorgelopen. Daar staat dat 2FA op basis van source IP filtering (plus naam/wachtwoord) verplicht is voor beheersdiensten. Daar verbaasde ik mij dan weer over, dat source IP als 2FA gezien moet worden.



Zo lijkt het er op dat we (gelukkig!) toch nog naar een altijd 2FA wereld toe gaan. Hopelijk volgt snel daarna een ' phishing-resistente' vereiste, waar bij veel vormen van 2FA nog geen sprake van is.