Privacy - Wat niemand over je mag weten

2FA Verplichten voor Internet providers

01-09-2021, 11:50 door Vuurvliegje87, 12 reacties
Laatst bijgewerkt: 01-09-2021, 11:51
Beste Security.nl leden,

Ik vraag mij het volgende af, in hoeverre is een Internet Provider verplicht te voldoen aan de 2FA voor login op klantportaal.
In de huidige AVG staat het volgende:

Bedrijven en overheden die persoonsgegevens gebruiken moeten deze volgens de Algemene verordening gegevensbescherming (AVG) beveiligen. Zo voorkomen ze datalekken.

Volgens de AVG moeten bedrijven en overheden hiervoor passende technische en organisatorische maatregelen nemen:

- Organisaties moeten moderne techniek gebruiken om persoonsgegevens te beveiligen.
- Verder moeten ze niet alleen naar de techniek kijken, maar ook naar hoe ze als organisatie met persoonsgegevens omgaan. Wie heeft er bijvoorbeeld toegang tot welke gegevens?

BRON: https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/beveiliging/beveiliging-van-persoonsgegevens

Persoonlijk vind ik de suggestie dat een Wachtwoord afdoende is niet acceptabel meer, maar mijn ISP XS4ALL denkt daar anders over. zij geven gewoon aan dat het niet kan, en gaan tot nu toe niet verder in op mijn verzoek.

De punten die ik aanhaal zijn:
- Persoonsgegevens zijn in te zien in de portal (Adres, IP-Adres, IBAN)
- Diensten kunnen zonder extra controle wordt opgezegd of aangepast worden

Ook heb ik aangegeven dat zij een beveiligingsplicht hebben m.b.t. mijn persoonsgegevens.
en dat wachtwoorden regelmatig gelekt zijn en dus niet betrouwbaar meer zijn "mijns inziens"

Ik hoor graag wat jullie hiervan vinden, en of er mogelijk een juridische basis is om een ISP te dwingen tot betere beveiliging.

Alvast bedankt
Reacties (12)
01-09-2021, 12:32 door Anoniem
Ik denk dat je Internet provider het goed doet, ik zit er trouwens ook bij.
En goed gebruikersnaam en sterk wachtwoord is meer dan voldoende voor deze gegevens.

Waarom zou 2FA verplicht moeten zijn? Het moet bijvoorbeeld ook werkbaar en functioneel zijn. En de meeste gebruikers zijn nu niet echt heel technisch.
En XS4ALL, zal waarschijnlijk steeds meer richting KPN gaan, dus zo iets groot en complex implementeren kun je wel vergeten.

Maar als je het er niet mee bent, ga je toch ergens anders naar toe. Succes met zoeken, want ik zou geen ISP weten wat 2FA aanbiedt op het klantportaal.
01-09-2021, 13:22 door Anoniem
Door Vuurvliegje87:
Persoonlijk vind ik de suggestie dat een Wachtwoord afdoende is niet acceptabel meer, maar mijn ISP XS4ALL denkt daar anders over. zij geven gewoon aan dat het niet kan, en gaan tot nu toe niet verder in op mijn verzoek.
XS4ALL is per december einde verhaal. Ze zijn daar nu druk bezig met "opruimen" dwz alle diensten en mogelijkheden
die zij wel bieden en KPN niet uit te faseren per 1 oktober. Daarna wordt de hele boel gemigreerd naar KPN, dit
moet eind van het jaar afgerond zijn en dan wordt het licht uitgedaan.
Dus ik kan me voorstellen dat dit niet het moment is om nieuwe functionaliteit te gaan vragen.
Ik zou zeggen wacht de migratie naar KPN even af en ga dan daar weer vragen.

Overigens als je leest over "datalekken" dan betreft dat meestal niet het kraken van losse user accounts, maar het op
de een of andere manier via een lek downloaden van complete tabellen met gegevens van meerdere users.
Daar helpt 2FA niks tegen. Dus je moet het zeker niet zien als "een eis die ze wel moeten volgen om datalekken
te voorkomen". Het enige wat nu fout kan gaan is dat ze jouw specifieke password hacken, en dat moet je zelf voorkomen
door dit password nergens anders voor te gebruiken en liefst ook niet op te slaan in bijvoorbeeld een browser.
01-09-2021, 13:42 door Erik van Straten
1) De gesuggereerde [1] en m.i. gehypte voordelen van 2FA/MFA zijn sterk afhankelijk van het soort en wegen meestal niet op tegen de (zelden benoemde) nadelen;
2) Naarmate meer mensen 2FA gebruiken, zullen cybercriminelen zich aanpassen (en dat is niet moeilijk) waardoor de effectiviteit van 2FA alleen maar verder zal afnemen;
3) 2FA vanwege een zwak wachtwoord is 1FA, en zelfs minder als die tweede factor ook zwak is [4];
4) 2FA is dat niet als je voor account-reset maar 1 factor nodig hebt;
5) Voor diensten zoals POP3S, IMAPS en SMTPS werkt 2FA niet;
6) Cybercriminelen zijn zelden geïnteresseerd in de door jou genoemde persoonsgegevens van slechts één persoon. Wel zullen er zat graag toegang tot jouw mailbox krijgen (zie punt 5).

[1] M.i. bull shit (verouderde marketing talk van verkopers van clouddiensten), uit https://www.bleepingcomputer.com/news/security/cisa-don-t-use-single-factor-auth-on-internet-exposed-systems/:
A joint study [2] by Google, New York University, and University of California San Diego found that using MFA can block up to 100% of automated bots, 99% of bulk phishing attacks, and roughly 66% of targeted attacks.

Microsoft Director of Identity Security Alex Weinert also said [3] that "your password doesn’t matter, but MFA does! Based on our studies, your account is more than 99.9% less likely to be compromised if you use MFA."
In welke gevallen is een inbraakpoging op een cloudaccount feitelijk geen targeted attack?

[2] https://security.googleblog.com/2019/05/new-research-how-effective-is-basic.html?/en-US/index.html
[3] https://techcommunity.microsoft.com/t5/Azure-Active-Directory-Identity/Your-Pa-word-doesn-t-matter/ba-p/731984/?/en-US/index.html

[4] Uit https://www.digitaltrustcenter.nl/ondernemersverhalen/hackers-kraken-e-mailaccount-van-softwarebedrijf:
Volgens het onderzoeksrapport van Northwave gebruikte de medewerker een zwak wachtwoord, dat bovendien al voor verschillende accounts gebruikt werd. Dat wachtwoord was door een eerder datalek op internet te vinden. Vervolgens hebben de hackers de tweefactorauthenticatie kunnen omzeilen. Op dit account stond de telefonisch 2FA-optie aan, een automatische robotcall naar het telefoonnummer van de gebruiker, waarna de gebruiker door simpelweg op hekje (#) te drukken de inlogpoging kan goedkeuren. De hackers bleven de authorisatie aanvragen net zolang (8 keer) tot de gebruiker dacht dat de laptop deze authenticatie nodig had en dus op hekje drukte. Zo verschafte de medewerker onbedoeld de aanvallers toegang tot het e-mailaccount.

Mijn advies: gebruik lange random gegenereerde wachtwoorden en laat deze onthouden door een wachtwoordmanager (en maak minstens 1 back-up van de database na elke wijziging daarin). En gebruik die wachtmoordmanager uitsluitend op een betrouwbaar device (dat heb je sowieso nodig hebt als je veilig wilt inloggen op een clouddienst en daar vertrouwelijke en/of noodzakelijkerwijs authentieke informatie mee wilt uitwisselen). Los van dit alles: dubbel-check de domeinnaam en het verbindingstype voordat je gegevens invoert op een internetserver.
01-09-2021, 14:35 door MathFox
Mijn mening is dat het gebruik van loginnaam/wachtwoord authenticatie voldoet voor minder kritische Internet toepassingen als fora, etc. Ik zie dan wel graag dat de beheerders en moderatoren van belangrijke fora gebruik maken van 2FA.
Ik ben zelf als gebruiker redelijk bekend met het gebruik van USB-sleutels (Yubikey) en de impact van deze 2FA methode op je gebruikelijke manier van werken is minimaal. Ik weet ook dat deze sleutels de authenticatie aanzienlijk versterken.

Voor wat betreft het "lekken" van informatie. Sterke authenticatie doet niets tegen lekkende insiders. (Zoals de GGD-ers die nu voor de rechter staan.) Het helpt ook niet tegen programmeer- en configuratiefouten waardoor gegevens gelekt worden. Het helpt tegen derden die naar jouw gegevens op zoek zijn, maar als jij specifiek het doelwit bent zul je waarschijnlijk in een van de phishing vallen trappen die voor je worden uitgezet. 2FA maakt phishing aanzienlijk lastiger, dat wel.

En ik denk dat we in een overgangsfase zitten waarbij 2FA op steeds meer sites mogelijk gemaakt wordt en op den duur ook verplicht gesteld gaat worden voor serieuze data.
01-09-2021, 19:37 door Anoniem
En ik denk dat we in een overgangsfase zitten waarbij 2FA op steeds meer sites mogelijk gemaakt wordt en op den duur ook verplicht gesteld gaat worden voor serieuze data.

Wat in deze wedren tussen enerzijds criminelen en anderzijds beveiligers/eindgebruikers steeds vergeten wordt, is dat verreweg de sterkste beveiliging nogal altijd wordt gevormd door persoonlijke bekendheid met elkaar, in combinatie met persoonlijke normen van goede trouw. Door alles te digitaliseren, wordt de beveiliging van veel zaken steeds verder ondermijnd.

Om dat deels te compenseren, worden er dan steeds meer foefjes en technieken (zoals 2FA etc. etc.) ontwikkeld. De enorme, cumulatieve kosten van die foefjes worden nooit genoemd.

Ik weet het niet, maar ik hoop dat er een overgangsfase gaat komen waarin bedrijven en overheden de meerwaarde van persoonlijke contacten tussen dienstverleners en klanten/gebruikers/burgers weer gaan zien en weer gaan bouwen aan een infrastructuur van intermenselijk vertrouwen.

M.J.
02-09-2021, 07:37 door Anoniem
Ik weet het niet, maar ik hoop dat er een overgangsfase gaat komen waarin bedrijven en overheden de meerwaarde van persoonlijke contacten tussen dienstverleners en klanten/gebruikers/burgers weer gaan zien en weer gaan bouwen aan een infrastructuur van intermenselijk vertrouwen.

M.J.
Of, als je dat niet doet, dan zouden de IT security mensen wel heel goed betaald moeten worden. Want alles staat en valt met integriteit. En dan nog wordt alle data van jou en mij om de haverklap gestolen.

Ik ben het helemaal eens met jouw opmerking.
02-09-2021, 09:24 door Vuurvliegje87
Mensen bedankt voor jullie feedback!

Ik ben het eens dat het niet helpt tegen een groot lek, dat begrijpt iedereen.
Wat ik wel vind is dat MFA/2FA en in mijn geval met YubiKey, een sterke factor is tegen een gerichte aanval.
Verder vind ik de suggestie dat XS4ALL het licht uit gaat doen, en over gaat in KPN geen reden om af te zien van beveiliging.
Ik heb aangegeven in mijn Mail aan XS4ALL dat het een "Optionele" functie zou moeten zijn "opt-in".

Verder denk ik dat het zeer zeker de moeite waard is om op kleine schaal hacks te doen voor Hackers.
Dit valt namelijk het minst op, en je kan mensen met de verkregen informatie wel mooi Phishen.

Een mooi scenario zou zijn:
Iemand vindt mijn account in Haveibeenpowned, en gaat mijn wachtwoord proberen.
Nu heb ik inderdaad een extreem sterk wachtwoord, maar mijn moeder daar in tegen die gebruikt nog de naam van haar overleden kat of hond.
En boem men in binnen, en klaar om iemand helemaal over te nemen met Phishing en ID-fraude.

Mede omdat ik de impact ken van dit soort zaken, vind ik dat een Privacy First provider, en eigenlijk elk bedrijf dat heel veel persoonsgegevens verwerkt, de klant beter moet kunnen bedienen met in dit geval 2FA.

Nog sterker, zelfs het bedrijf DELA heeft op mijn verzoek een MFA optie toegevoegd voor al hun klanten.
Nog sterker, zelfs verplicht!

Voor nu wens ik iedereen een hele fijne werkdag toe.
Mvg, Stefan
02-09-2021, 09:52 door botbot
Ook heb ik aangegeven dat zij een beveiligingsplicht hebben m.b.t. mijn persoonsgegevens.
en dat wachtwoorden regelmatig gelekt zijn en dus niet betrouwbaar meer zijn "mijns inziens"

Als jij mensen kundig genoeg acht om 2FA te gebruiken, waarom ben je zelf dan niet in staat om voor iedere site waar je een account hebt een uniek 25 karakter random wachtwoord in te stellen? Als er dan ergens eentje gelekt wordt is er niets aan de hand.

Mijn telefoon is een keer stuk gegaan en het was best wel een klusje om de niet gebackupte (de nieuwere) 2FA auths weer op mijn telefoon te krijgen. Heeft heel wat heen en weer mail gekost om bij bepaalde bedrijven je 2FA gereset te krijgen. Ik hoef niet zo nodig overal 2FA te hebben.

En het feit dat je IBAN bekend is bij het portal van Xs4All doet er ook niet echt toe als ze een databreach hebben en gewoon de hele klantentabel uit hun database wordt getrokken. Dan kun jij wel in moeten loggen met 2FA, maar als die tabel via een lek in de achterdeur naar buiten verdwijnt dan ben je je gegevens gewoon kwijt. Daarnaast het bestellen van producten, die alleen op jouw adres geleverd kunnen gaan worden, tja. da's lastig als dat gebeurd. Maar dat valt mijn inziens niet onder fraude, (er steelt niemand iets van je), maar eerder onder vandalisme (grote bedragen voor producten die mensen opzettelijk bestellen op jouw adres) / kattekwaad (je zoontje die een film besteld).
02-09-2021, 13:23 door Anoniem
Door Vuurvliegje87: Mensen bedankt voor jullie feedback!

Ik ben het eens dat het niet helpt tegen een groot lek, dat begrijpt iedereen.
Wat ik wel vind is dat MFA/2FA en in mijn geval met YubiKey, een sterke factor is tegen een gerichte aanval.
Verder vind ik de suggestie dat XS4ALL het licht uit gaat doen, en over gaat in KPN geen reden om af te zien van beveiliging.
Ik heb aangegeven in mijn Mail aan XS4ALL dat het een "Optionele" functie zou moeten zijn "opt-in".
Technische en procesmatig maakt dit niet uit.
Ik zou trouwens veel meer de voorkeur hebben voor idin of inloggen met iets van openid/saml/google/microsoft/facebook.
De meeste gebruikers begrijpen dit veel meer dan zo iets al YubiKey.

Verder denk ik dat het zeer zeker de moeite waard is om op kleine schaal hacks te doen voor Hackers.
Dit valt namelijk het minst op, en je kan mensen met de verkregen informatie wel mooi Phishen.
Mvg, Stefan
Is het de moeite echt waard?
Gebruikers die een te gemakkelijk wachtwoord hebben, gaan dit niet gebruiken. Gebruikers die bijvoorbeeld een YubiKey hebben, begrijpen al veel meer waar ze mee te maken hebben.

Dus wat voegt dit nu echt toe?
Ik begrijp je gedachte, maar de toevoeging is zeer gelimiteerd tot hele specifieke personen.
15-09-2021, 09:22 door Anoniem
Door Anoniem: Ik denk dat je Internet provider het goed doet, ik zit er trouwens ook bij.
En goed gebruikersnaam en sterk wachtwoord is meer dan voldoende voor deze gegevens.

Waarom zou 2FA verplicht moeten zijn? Het moet bijvoorbeeld ook werkbaar en functioneel zijn. En de meeste gebruikers zijn nu niet echt heel technisch.
En XS4ALL, zal waarschijnlijk steeds meer richting KPN gaan, dus zo iets groot en complex implementeren kun je wel vergeten.

Maar als je het er niet mee bent, ga je toch ergens anders naar toe. Succes met zoeken, want ik zou geen ISP weten wat 2FA aanbiedt op het klantportaal.
Vimexx heeft google 2FA, NeoStrada ook...
15-09-2021, 10:58 door Anoniem
Ik verbaas me in hoge mate over elke reactie die 2fa niet noodzakelijk ziet en zelfs tegenargumenten geeft dat het op den duur minder effectief wordt als je het teveel gaat gebruiken.
De hele wereld gaat over naar 2fa, een wachtwoord is niet afdoende, hoe sterk die ook is. Deze provider kan heel simpel iets maken met SMS verificatie, dat moet een hacker ook nog je SIM kapen of je SMS verkeer routeren om jouw account te hacken, niet onmogelijk, wel weer een stuk lastiger. En daar gaat het om, niets is voor 100% te beveiligen, de goede beveiliging van gisteren is morgen zwak, je moet het ze zo moeilijk mogelijk maken.
15-09-2021, 14:02 door Anoniem
2FA: Niks mis mee op portalen van banken, isp's, e.d. Maar als bedrijven als Google hier ongevraagd mee komen, doet mijn nekharen rijzen: Dan bevindt ik me op een ander ip/locatie met mijn pc, wordt erom gevraagd bij inloggen terwijl ik de 2fa NIET ingeschakeld heb. ("Wat moet je met mijn nummer?", is het eerste wat bij me opkomt). En spampot Gmail -zo lek als een zeef- is m.i. 2fa-onwaardig.
Ik doe geen bankzaken oid bij of met Google. Ik wil slechts mijn yt-playlist raadplegen.

Zomaar een voorbeeld van 2fa-misbruik. Want dat account gebruik ik slechts voor mijn pc. Dan maar weer naar mijn 'gebruikelijke' vpn-ip want geen gezeur.

Een kanttekening: Browsers op mijn pc zijn 'slechts' evt met fingerprinting te volgen want virtueel exposed.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.