Poll
image

Verplichten 2FA:

maandag 10 januari 2022, 17:42 door Redactie, 18 reacties
Goed idee
60.17%
Alleen indien TOTP
20.35%
Slecht idee
12.96%
Geen idee
6.52%
Reacties (18)
10-01-2022, 18:42 door Anoniem
Geen idee aangezien de vraag niet bevat waarvoor 2FA verplicht wordt. Ik gebruik bijvoorbeeld geen 2FA als ik op mijn pc aanlog of de pincode van mijn SIM-kaart opgeef bij het starten van mijn telefoon, en dat vind ik prima zo. Voor bankzaken wil ik daarentegen absoluut niet zonder.
10-01-2022, 19:24 door Anoniem
Best vervelend als je wilt inloggen op een niets zeggende webshop, als je daar telkens alles 2fa moet doen.

Alleen daar waar van belang zou ik denken.
11-01-2022, 08:48 door Anoniem
Als 21.62% zegt dat het een slecht idee is, dan moet er toch nog eens uitgelegd worden wat 2FA inhoudt.
11-01-2022, 08:54 door Anoniem
Nieuwe Poll. Wat is 2FA?

1) 2 Formule Autoindustrialisatie
2) 2 Factor Automatisatie
3) 2 Factor Aliënificatie
4) 2 Factor Verstappisatie
5) Alle antwoorden zijn fout.
11-01-2022, 10:21 door Anoniem
Zolang troep zoals in het geval van microsoft https://reports.exodus-privacy.eu.org/en/reports/com.azure.authenticator/latest/ als vereiste worden gesteld, pas ik voor de functionaliteit die het schuil houd.

Dat hele persoonsgebonden microsoft gebeuren is een gezwel van een visie.
11-01-2022, 10:46 door Anoniem
Door Anoniem: Als 21.62% zegt dat het een slecht idee is, dan moet er toch nog eens uitgelegd worden wat 2FA inhoudt.
Nee, zie reactie 18:42. Er is uitleg nodig over wat verplichten inhoudt. Het hangt erg af van waarvoor. De vraag is te simpel. Ieder OS en iedere applicatie op werk: jazeker. Alle beheeraccounts: yup. Privé Facebook en Gmail: ja graag. Thuis-PC: niet verplicht nee. De smartphone zelf: nee dank je. De auto: nee. De Xbox: ook niet.
11-01-2022, 11:02 door Anoniem
Zonder context is "Geen idee" het enige juiste antwoord. Meer dan 90% van de deelnemers aan dit 1 vraags security examen is gezakt ;)
11-01-2022, 11:04 door Anoniem
Leuk. Van elke webshop waar je in wilt loggen zo'n eigen calculatortje.
Of moet het allemaal in een spionage-app? Iets van een middel dat erger is dan de kwaal...
En nee, ook niet per SMS. Een webshop hoeft mijn telefoonnummer niet te hebben.
11-01-2022, 13:43 door Anoniem
Door Anoniem: Leuk. Van elke webshop waar je in wilt loggen zo'n eigen calculatortje.
Of moet het allemaal in een spionage-app? Iets van een middel dat erger is dan de kwaal...
En nee, ook niet per SMS. Een webshop hoeft mijn telefoonnummer niet te hebben.

Dit dus... Ik heb er voor mijn werk als 6 op mijn mobiel, plus 2 in een browser app anders had ik die er ook bij...

Correctie 7 op mijn mobiel en 4 in mijn browser... nog steeds alles werk...
12-01-2022, 10:45 door aamaanaa
je hoeft tegenwoordig niet eens meer een mobile te hebben... bijvoorbeeld keepasxc op je pc instaleren, en daarin heb je TOTP. Mischien niet de allerbeste oplossing, maar het verost je wel van een mobiel apperaat.
12-01-2022, 15:24 door Anoniem
Verplichten nee, waar mogelijk proberen toe te passen jazeker <3.
13-01-2022, 21:14 door MathFox
Door Anoniem: Verplichten nee, waar mogelijk proberen toe te passen jazeker <3.
Mijn mening is "Waar relevant toepassen!" Als je met bedrijfsgeheimen of persoonsgegevens van derden werkt, dan wel toegang hebt tot systemen waarmee financiële transacties voorbereid en gedaan worden voldoet alleen naam+wachtwoord niet meer. Twee factor authenticatie met (bijvoorbeeld) een USB sleutel is met een redelijk budget in te voeren.

Ik zie de meerwaarde van 2FA niet voor blogs en fora zoals het forum hier.
14-01-2022, 12:10 door Anoniem
Allemaal de telefoon koppelen aan alles smart her en der. Heel goed idee, met die QR paspoorten erbij. Volledige track & trace.
Sarcasme..
14-01-2022, 12:50 door Wim ten Brink
Ik weet heel goed wat 2FA is maar de verplichting ervan zie ik, als developer, niet zitten. Ja, het gebruik van username/password is tegenwoordig niet voldoende meer, maar de mate van beveiliging hangt mede af van hoe belangrijk de data erachter is. Voor een webwinkel zie ik een veel betere oplossing:
1. Klant logt in met username/password.
2. Klant selecteert producten en plaatst bestelling.
3. Het systeem stuurt een orderbevestiging naar de klant.
4. De klant bevestigt de bestelling door op een link te klikken in de email.
Dit is ook een soort van 2FA maar dan alleen op het moment dat het van belang is, namelijk het moment van bestellen. Een ander moment voor deze 2FA zou zijn op het moment dat de gebruiker zijn profiel wil inzien of wijzigen.
Maar dan is tevens de discussie wat voor 2FA je dan wilt. Ik weet dat er authenticator apps zijn maar de veiligheid daarvan vind ik twijfelachtig. De afhankelijkheid van een mobiele telefoon maakt dit namelijk lastig. Een TOTP vind ik ook lastig omdat gebruikers hun email account kunnen verliezen of een wijziging ervan niet hebben doorgegeven. Dan komt deze nimmer aan. Sowieso vind ik het een risico dat accountgegevens via een email reset of TOTP verstuurd kunnen worden, omdat ik ooit een domein had overgenomen die 6 maanden in quarantaine zat. Daar kwam spontaan een email op binnen van Twitter, waarmee ik toegang kon krijgen tot de Twitter account van de vorige eigenaar van het domein. (Die was overigens overleden.) Hoe? Simpel: "forgot my password" aanklikken en een reset-mail komt binnen en *POEF*, nu was het mijn Twitter-account. Een paar keer klikken en het account was bij Twitter verwijderd maar ik had er kwade bedoelingen mee kunnen hebben...
Kortom, iedere 2FA die per email werkt is in principe onveilig. Ieder systeem dat met password resets per email werkt is onveilig! TOTP is onveilig als dit per email gebeurt! En dan heeft het geen meerwaarde...
En dan kom je bij authentication apps terecht, waarmee je iedereen uitsluit die niet een goede mobiele telefoon heeft. Mijn moeder, bijvoorbeeld, die wel een Android telefoon heeft, maar met een aangepast scherm voor slechtzienden en zo de authenticator app niet kan gebruiken. Mensen zijn sowieso al te afhankelijk aan het worden van die mobiele ondingen.
Maar goed, wegens mijn werk is beveiliging gewoon mijn hoofdtaak geworden dus ik weet er best veel af. En er zijn veel misverstanden hier. Zo had ik een discussie met iemand die vond dat een wachtwoord in de browser door een hash-functie moest gaan voordat deze naar de server (via SSL) werd verstuurd. Alleen, dat werkt dus niet omdat dan de hash het wachtwoord is en niet het oorspronkelijke wachtwoord. Een aanvaller kan nog steeds de hash opvangen en dan gebruiken bij zijn eigen server-aanroepen. Dat is dan schijnveiligheid...
Dus wat dan? Encryptie werkt ook niet wegens dezelfde reden. Als de hacker in staat is de communicatie tussen client en server te lezen dan heb je al een probleem. Daarom heb je dan ook SSL en is het extra vervelend als mobiele providers hier trucjes mee uithalen via een man-in-the-middle aanval om de communicatie dan toch mee te kunnen lezen. Dit gebeurt dan door een certificaat van de provider die ook op het mobiele apparaat aanwezig is. Iedere aanroep via SSL gaat dan via het certificaat van de provider in plaats van de website. En deze is goedgekeurd dus de browser zegt niets. De provider stuurt het verzoek dan door aan de website via het certificaat van de website en krijgt een response terug die het kan uitlezen en via het eigen certificaat weer aan de gebruiker terugstuurt. En ja, dit gebeurt al in de praktijk bij mobiele apparatuur!
Iedereen wil eigenlijk meelezen met al het dataverkeer tussen bezoeker en website. Zo ook Apple, die nu een soort-van eigen proxy aan het bouwen is voor hun Apple mobieltjes. Zogenaamd om de privacy te beschermen maar ze kunnen dan in principe ook gewoon meelezen.
Nee, beveiliging is veel lastiger dan mensen denken en klakkeloos "2FA" roepen als oplossing is gewoon een gebrek aan kennis op dit gebied. Maar goed, schijnveiligheid telt ook mee, he?
15-01-2022, 11:59 door Anoniem
Door Wim ten Brink: Zo ook Apple, die nu een soort-van eigen proxy aan het bouwen is voor hun Apple mobieltjes. Zogenaamd om de privacy te beschermen maar ze kunnen dan in principe ook gewoon meelezen.

Het kan heel goed wat Apple wil hoor! Met mix chains van Chaum https://en.wikipedia.org/wiki/David_Chaum#Anonymous_communication. Tor gebruikt dit principe ook.

Ik begrijp dat Apple een soort Tor netwerk is, maar dan met twee hops in plaats van drie zoals bij Tor. Voor elke node geldt dat het de afzender kan zien en de ontvanger kan zien. Maar niet daarvoor of daarachter. De inhoud van de berichten is met verschillende lagen geëncrypt waar elke node een laagje afpelt.

Helaas zijn er al weer Europese providers die dit initiatief de grond in boren, waaronder Vodafone. Om juridische redenen lijkt het.
15-01-2022, 15:39 door Anoniem
Door Anoniem: Als 21.62% zegt dat het een slecht idee is, dan moet er toch nog eens uitgelegd worden wat 2FA inhoudt.

Nee. Niet alles heeft dezelfde beveiligingsvereisten.

Als jij voor alles 2FA wil gebruiken moet je dat zelf weten. Verplicht maken is voor veel toepassingen als het schieten met een kanon op een mug.

Ik leid uit de antwoorden op de stelling af dat maar ~20% van respondenten een vraag correct kan verwerken.
16-01-2022, 21:00 door botbot - Bijgewerkt: 16-01-2022, 21:05
Door Anoniem: Als 21.62% zegt dat het een slecht idee is, dan moet er toch nog eens uitgelegd worden wat 2FA inhoudt.

Ehh omdat als ik mijn 2FA device kwijt raak ik *nergens* ook maar *iets* meer kan doen. Want bij mijn mail moet het via mijn device, wat het kan per definitie niet per mail. Omdat ik geen zin heb om op www.koop-nu-cheap-crap.nl 2FA toe te passen. Omdat verplichten inhoud dat ik geen keuze heb. Omdat je het dan misschien wel verplicht moet doen bij het intikken van je wachtwoord bij inloggen, of bij elk sudo commando, ga weg, dat wil ik niet. Omdat het niet verplicht kan worden, hoe wil je dat handhaven? Omdat....

Dus in plaats van uit te leggen aan de 21% wat 2FA is, moet je zelf misschien eens beter nadenken over de gevolgen van verplichten van dingen. Dat moet in de huidige "we gaan vaccineren verplichten"-maatschappij waar we in zitten toch wel logisch zijn, dat je heeeeeel goed moet nadenken over de gevolgen van verplichting van shit.
16-01-2022, 21:18 door botbot - Bijgewerkt: 16-01-2022, 21:20
Door Anoniem: Zonder context is "Geen idee" het enige juiste antwoord. Meer dan 90% van de deelnemers aan dit 1 vraags security examen is gezakt ;)

Nee. Dit soort dingen verplichten is een slecht idee. Want wie gaat bepalen waar het verplicht wordt? Overal is per definitie slecht. Dus gaat de overheid dat bepalen? We hebben toch wel gezien de afgelopen jaren dat de overheid nou niet echt bepaald goed is in nadenken over gevolgen van verplichting. Op websites verplichten? GMail mwoa... als ik mij 2FA device telefoon niet bij de hand heb, en de rest inricht dat het of met mijn telefoon doe, of via mail, kan ik dus nergens meer bij. Ook niet inloggen bij security.nl of koop-goedkope-shit.nl of ...

Slecht Idee is het goede antwoord hier. Verplichten van dingen moet een last resort zijn, bijvoorbeeld bij levensbedrijgende situaties, autogordels, derde remlicht.

Maar andere levensreddende veiligheiseisen bij de auto bijvoorbeeld is het ook gewoon een slecht idee (verplichten van een snelheisregistratiemeter in de auto die alles doorstuurt zodat we "niet te hard rijden kunnen" afdwingen, slecht idee).

Inloggen bij fok.nl is geen levensbedreigende situatie. Inloggen bij het EPD systeem, mwoa, misschien wel. Maar bij beide wordt het verplicht als je het verplicht bij inloggen bij websites. En zoals gezegd, wie gaat dan bepalen waar het wel of niet verplicht wordt?

Dus in ieder geval kunnen we concluderen dat *jij* voor het examen bent gezakt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.