Op 2 FebruAri is het 2FA-dag
Gebruik je services uit de onderstaande lijst en heb je nog geen 2FA ingesteld? Wellicht een goed idee om dat vandaag nog te doen? Heb je aanvullingen op de lijst? Laat het het even weten, dan voeg ik ze toe aan de lijst.
Zie https://2fa.day
Ik heb geen begrip voor het knipperlichtbeleid van de overheid m.b.t. 2FA.
Bijvoorbeeld: Bij de Belastingdienst kan ik inloggen via DigiD met alleen naam en wachtwoord, en bij het UWV moest ik het met naam, wachtwoord en SMS-controle, anders kon het alleen met de DigiD-app.
Nu is het UWV wel een zelfstandig bestuursorgaan en de Belastingdienst is rijksoverheid, maar feitelijk zijn het beide overheidsorganen. Beiden zijn namelijk direct verantwoording schuldig aan het rijk/verantwoordelijk ministerie.
Dus waarom zulke significante verschillen op het gebied van Security?
Actueel is dat zeker bij de Belastingdienst die zoveel mentale ellende heeft aangericht (Toeslagenschandaal) Want het is niet onvoorstelbaar dat er tussen de slachtoffers mensen zijn die ten gevolge van digitale frauduleuze handelingen door derden, te denken aan wraaklustige ex-familie bijvoorbeeld, vanwege het verhoogde security risico bij 1FA als fraudeurs zijn gebrandmerkt.
Ik heb geen begrip voor het knipperlichtbeleid van de overheid m.b.t. 2FA.
Bijvoorbeeld: Bij de Belastingdienst kan ik inloggen via DigiD met alleen naam en wachtwoord, en bij het UWV moest ik het met naam, wachtwoord en SMS-controle, anders kon het alleen met de DigiD-app.
Nu is het UWV wel een zelfstandig bestuursorgaan en de Belastingdienst is rijksoverheid, maar feitelijk zijn het beide overheidsorganen. Beiden zijn namelijk direct verantwoording schuldig aan het rijk/verantwoordelijk ministerie.
Dus waarom zulke significante verschillen op het gebied van Security?
Actueel is dat zeker bij de Belastingdienst die zoveel mentale ellende heeft aangericht (Toeslagenschandaal) Want het is niet onvoorstelbaar dat er tussen de slachtoffers mensen zijn die ten gevolge van digitale frauduleuze handelingen door derden, te denken aan wraaklustige ex-familie bijvoorbeeld, vanwege het verhoogde security risico bij 1FA als fraudeurs zijn gebrandmerkt.
UWV kan meer eisen stellen, want niemand is verplicht daar gebruik van te maken.
Laten we ook niet vergeten dat niet alle 2FA gelijk geschapen is. Hardware security tokens (FIDO2) zijn de heilige graal op dat gebied. Dus als je toch bezig bent: kijk ook gelijk of je je 2F kan upgraden van bijvoorbeeld SMS naar FIDO2.
Ik heb geen begrip voor het knipperlichtbeleid van de overheid m.b.t. 2FA.
Bijvoorbeeld: Bij de Belastingdienst kan ik inloggen via DigiD met alleen naam en wachtwoord, en bij het UWV moest ik het met naam, wachtwoord en SMS-controle, anders kon het alleen met de DigiD-app.
Nu is het UWV wel een zelfstandig bestuursorgaan en de Belastingdienst is rijksoverheid, maar feitelijk zijn het beide overheidsorganen. Beiden zijn namelijk direct verantwoording schuldig aan het rijk/verantwoordelijk ministerie.
Dus waarom zulke significante verschillen op het gebied van Security?
Actueel is dat zeker bij de Belastingdienst die zoveel mentale ellende heeft aangericht (Toeslagenschandaal) Want het is niet onvoorstelbaar dat er tussen de slachtoffers mensen zijn die ten gevolge van digitale frauduleuze handelingen door derden, te denken aan wraaklustige ex-familie bijvoorbeeld, vanwege het verhoogde security risico bij 1FA als fraudeurs zijn gebrandmerkt.
UWV kan meer eisen stellen, want niemand is verplicht daar gebruik van te maken.
Hoe kom je daar nu bij? Niemand verplicht om gebruik te maken van het UWV!?
Vertel dat eens aan een willekeurige uitkeringsgerechtigde. Die lacht je rond uit. Ik ben werkloos geweest en om WW te ontvangen moest ik regelmatig inloggen op https://www.uwv.nl/Particulieren/mijnuwv/index.aspx om mijn zg. werkmap bij te werken anders volgen er sancties.
Mijn suggestie: zoek eerst eens informatie voordat je hier iets komt melden. Foute,verkeerde informatie tot en met flagrante onzin neemt overal al genoeg toe de laatste jaren.
Terug on-topic....
Onderwerp: Internetsecurity die beter als niets met 2FA wordt ondersteund dan met 1FA. Wat jij stelt is de dood in de pot, want het komt er feitelijk op neer - en dat zal elke securityspecialist bevestigen, dat de drempel laag houden om toegang te krijgen tot beveiligde internetlocaties niets meer of minder is dan de veiligheidsdrempel verlagen of in stand houden zoals - in mijn voorbeeld - De Belastingdienst die riskant genoegen neemt met 1FA waarbij nota bene onze uiterst persoonlijk financiële situatie is betrokken, zoals vereist bij belastingaangifte of aanvraag toeslagen.
Onbegrijpelijk en hoe meer ik er over nadenk is het feitelijk te absurd voor woorden dat de Belastingdienst voor autorisatie bij inlog net zo weinig vereisten stelt als een willekeurige webshop die theezakjes verkoopt.
Laten we ook niet vergeten dat niet alle 2FA gelijk geschapen is. Hardware security tokens (FIDO2) zijn de heilige graal op dat gebied. Dus als je toch bezig bent: kijk ook gelijk of je je 2F kan upgraden van bijvoorbeeld SMS naar FIDO2.
Top, dank voor de aanvulling!
Ik heb een link toegevoegd aan de website.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.