image

Consumentbond: helft populaire websites biedt geen 2FA-beveiliging aan

dinsdag 8 november 2022, 09:04 door Redactie, 28 reacties

Ongeveer de helft van de populaire websites die Nederlanders bezoeken biedt geen optie voor het beveiligen van accounts door middel van tweefactorauthenticatie (2FA), zo stelt de Consumentenbond op basis van eigen onderzoek. Het gaat onder andere om de websites van webwinkels, energieproviders, e-maildiensten van Nederlandse internetproviders alsmede een deel van de telecomaanbieders.

"Een goede beveiliging van je mailomgeving is van groot belang. Criminelen hebben anders toegang tot een zee van privé-informatie, en kunnen via de 'herstel via mail'-optie je andere accounts overnemen. Toch heeft geen enkele internetprovider 2FA op zijn mailomgeving", aldus de Consumentenbond. Het gaat dan om Caiway, Freedom Internet, KPN, Online.nl, Solcon, T-mobile Thuis, ZeelandNet en Ziggo.

Zeker gezien het aantal datalekken van de laatste jaren is het een goede zaak als de toegang tot online omgevingen met persoonlijke gegevens kan worden beschermd met een extra slot", zo stelt de Consumentenbond. Een deel van de aangesproken bedrijven belooft 2FA alsnog te gaan invoeren in 2023. Onder andere Bol.com, BudgetEnergie, Ohra, Budgetthuis.nl en Caiway, Delta zeggen dit te zullen doen. Ook de Consumentenbond.nl zelf wil volgend jaar 2FA introduceren als een optie om het account beter te beschermen.

Reacties (28)
08-11-2022, 09:05 door Anoniem
Xs4all biedt wel mfa aan. Oh wacht….
08-11-2022, 09:30 door Erik van Straten
Als je uitsluitend webmail gebruikt: in https://security.nl/posting/773644 leg ik uit waarom de gangbare vormen van MFA steeds minder helpen tegen aanvallen door cybercriminelen.

Als je een programma op je PC of een app op je smartphone gebruikt, wil je geen MFA - want dan zou je, elke keer als die software aan de mailserver vraagt of er nieuwe mail is, MFA moeten gebruiken.
08-11-2022, 10:41 door Anoniem
"Ook de Consumentenbond.nl zelf wil volgend jaar 2FA introduceren als een optie om het account beter te beschermen."

Misschien is het dan beter om je mond te houden als je de optie zelf nog niet eens aanbiedt.
08-11-2022, 10:42 door Anoniem
Het valt me van Freedom erg tegen. Ik weet dat ze alles in een noodtempo hebben moeten opbouwen, en ik weet dat de webmail en het forum een MFA optie hebben, maar waarom niet de klantenpagina? (Eerlijk is eerlijk: je kunt regels aanmaken vanwaar ingelogd mag worden, en wat de permissies en wachtwoord per login zijn; je kunt dus je klantenportall uitsluiten van de hele wereld behalve je thuis-IP).
08-11-2022, 11:11 door BerryVHouten
Ook is het nog steeds niet mogelijk om op een makkelijke manier je account te verwijderen (zoals bij Coolblue, Hema en Klaverblad).
Hoe moeilijk is het om de knop 'account verwijderen' te activeren onder het kopje mijn account? Kennelijk nog erg lastig.

2FA ondersteuning hebben bovenstaande partijen overigens ook nog nooit van gehoord :(
08-11-2022, 11:24 door Anoniem
Door Erik van Straten:
Als je een programma op je PC of een app op je smartphone gebruikt, wil je geen MFA - want dan zou je, elke keer als die software aan de mailserver vraagt of er nieuwe mail is, MFA moeten gebruiken.
Precies, dat is een probleem. Standaard mail client-server protocollen zoals POP3 en IMAP zijn niet MFA vriendelijk.

Bedrijven als Microsoft hebben dat "opgelost" door die gewoon niet meer te ondersteunen. Dwz niet de bestaande
client software. Je moet nu "modern authentication" hebben en dat ondersteunen de bestaande programma's niet.

Ik kan me wel voorstellen dat de internet aanbieders niet staan te dringen om dit even kapot te maken, zoals Microsoft
zelf wel gedaan heeft in hun outlook.com/office365 omgeving. Zij kunnen dan nog zeggen "gebruik ons product Outlook"
maar dat kan een internetprovider niet maken natuurlijk.
08-11-2022, 11:28 door Anoniem
Door Erik van Straten: Als je uitsluitend webmail gebruikt: in https://security.nl/posting/773644 leg ik uit waarom de gangbare vormen van MFA steeds minder helpen tegen aanvallen door cybercriminelen.

Als je een programma op je PC of een app op je smartphone gebruikt, wil je geen MFA - want dan zou je, elke keer als die software aan de mailserver vraagt of er nieuwe mail is, MFA moeten gebruiken.

Bij Microsoft en Google werkt dat wel met 2FA omdat je je dan vanuit Outlook aan moet melden in een browservenster. Dus dan meld je je 1x keer aan met 2FA om je account toe te voegen maar ik zie internetproviders een dergelijk systeem niet zomaar even optuigen. Een andere optie is een app password, ook dat ben ik tot nu toe enkel bij Microsoft en Google tegengekomen. Het meest ellendige aan 2FA vind ik persoonlijk dat je nagenoeg altijd moet beschikken over een smartphone en daar dus compleet van afhankelijk bent, fijn als je telefoon kapot gaat.
08-11-2022, 11:36 door Briolet
Het gaat onder andere om … e-maildiensten van Nederlandse internetproviders alsmede een deel van de telecomaanbieders.

MFA op webmail van een email provider lijkt me ook zinloos als je niet gelijktijdig de POP3 en IMAP toegang blokkeert. En veel mensen willen ook via IMAP bij hun mail kunnen komen.
08-11-2022, 12:51 door Anoniem
Dus als je een factor van de 2FA voor je e-mail kwijtraakt, dan werkt de 'herstel via mail'-optie voor al je accounts ook niet meer. Dat is inderdaad veel veiliger.

Toen ik bij XS4All kwam, kon je volgens de site langs bij het hoofdkantoor voor een password reset. Bij het tonen van je ID-kaart. Geen flauw idee hoe dat tegenwoordig geregeld is. Gewoon stoppen met betalen tot je afgesloten wordt, en dan een nieuwe provider kiezen? Zoiets?

Bij Google kan je gewoon een half jaar je account niet gebruiken, en daarna ruimen ze hem op. Ook superveilig hier dat 2FA. Duidelijk een vooruitgang met 1FA.
08-11-2022, 13:25 door Anoniem
T-Mobile heeft (sinds kort) 2FA op de beheeromgeving van je account, op E-Mail zie ik de toegevoegde waarde niet...
Zijn er mensen die hun mail account van hun ISP gebruiken? (okay, behalve je oma op Ziggo).
08-11-2022, 14:05 door Anoniem
Door Anoniem: T-Mobile heeft (sinds kort) 2FA op de beheeromgeving van je account, op E-Mail zie ik de toegevoegde waarde niet...
Zijn er mensen die hun mail account van hun ISP gebruiken? (okay, behalve je oma op Ziggo).

Nee allemaal Gmail gebruiken, dat is slim....
08-11-2022, 14:08 door Anoniem
Websites die jou persoonlijke telefoon nummer
vereisen zijn er te weinig dat zouden ze ook kunnen schrijven.

The Matrix
08-11-2022, 15:22 door Briolet
Door Anoniem: Websites die jou persoonlijke telefoon nummer
vereisen zijn er te weinig dat zouden ze ook kunnen schrijven.

The Matrix

Wat heeft MFA met je telefoonnummer van doen? Het kan, maar vaak ook zonder. b.v. via een authenticator app of via DigiD.(In dat laatste geval krijgt de website je telefoonnummer niet te zien)
08-11-2022, 16:08 door Anoniem
Door Anoniem: Websites die jou persoonlijke telefoon nummer
vereisen zijn er te weinig dat zouden ze ook kunnen schrijven.

The Matrix
Als je daar zo bang voor bent, neem je toch een prepaid nummer voor die ongein? Meeste mobieltjes hebben een dubbele sim mogelijkheid.
Maar ja. Paniek schoppen nisvjouw specialiteit.
08-11-2022, 16:29 door Anoniem
Ik moet zo effies mijn 4G internet betalen. Iets meer dan twee tientjes in de maand maar ongelimiteerd.

Op de site gebruiken ze een heel antiek systeem om in te loggen. Zeker geen 2FA. Het enige wat je daar kunt doen is mijn 4G internet betalen. De login is enkel nodig om te weten voor welke simkaart.

Nou heb ik die twee tientjes gemakkelijk. Ze staan nog sneller terug op mijn paypal dan dat ik ze kan uitgeven. Een beetje kinderachtig dus, als ik hier die volstrekt onveilige en helemaal niet 2FA inlog zou posten. Al weet ik dat er beroepsbroeders zijn die de humor daar dusdanig van inzien dat ik vervolgens tot 2097 ongelimiteerd 4G internet ga hebben. Tenzij het met 2FA zou zijn. Dan was ik mooi de lul.
08-11-2022, 16:36 door Anoniem
neem een yubiKey , die is resistent tegen phishing
08-11-2022, 16:59 door Anoniem
Is 2fa niet alweer achterhaald? Volgens mij bied Windows inloggen met pincode aan, dat zou weer veiliger zijn.
08-11-2022, 17:11 door Anoniem
Amerikaanse websites worden onder druk gezet om SSL https uit te zetten...
Zo dat de inlichtingendiensten meer info kunnen achterhalen...
08-11-2022, 17:28 door Anoniem
Door Anoniem: "Ook de Consumentenbond.nl zelf wil volgend jaar 2FA introduceren als een optie om het account beter te beschermen."

Misschien is het dan beter om je mond te houden als je de optie zelf nog niet eens aanbiedt.

Ik vind dit niet een steekhoudend argument!!
08-11-2022, 18:02 door Anoniem
Door BerryVHouten: Ook is het nog steeds niet mogelijk om op een makkelijke manier je account te verwijderen (zoals bij Coolblue, Hema en Klaverblad).
Hoe moeilijk is het om de knop 'account verwijderen' te activeren onder het kopje mijn account? Kennelijk nog erg lastig.

2FA ondersteuning hebben bovenstaande partijen overigens ook nog nooit van gehoord :(
Klaverblad stuurde hartje zomer een bericht dat je automatisch een account kreeg of je moest binnen twee weken reageren. Dat in vakantietijd, vrij naargeestige methodes.
Coolblue weigert mijn account te verwijderen (misbruik mailadres met onzin zonder toestemming), reden blijft onduidelijk.
Bijna geen één bedrijf wat nog een beetje fatsoenlijk richting hun klanten is. Gelukkig de plaatselijke Chinees wel.
08-11-2022, 18:17 door Erik van Straten
Een lang {1}, niet te raden {2} en uniek {3} wachtwoord is essentieel - en MFA zou daar geen alternatief voor moeten zijn.

{1} tegen brute-force aanvallen
{2} tegen aanvallen met veel gebruikte wachtwoorden of met o.a. op social media gepubliceerde informatie
{3} tegen aanvallen met een door jou hergebruikt wachtwoord komende vanaf een gehackte server

Veel nut heeft dat niet als zo'n wachtwoord door een "Attacker in the Middle" kan worden onderschept, of als dat wachtwoord zelfs via een onversleutelde verbinding kan worden "afgeluisterd"; MFA helpt dan natuurlijk ook niet.

Uit https://www.darkreading.com/remote-workforce/unencrypted-traffic-weak-e-mail-passwords-still-undermining-wifi-security:
07-11-2022, door Robert Lemos: Unencrypted Traffic Still Undermining Wi-Fi Security

An analysis by RSA Conference's security operations center found 20% of data over its network was unencrypted and more than 55,000 passwords were sent in the clear.
[...] Cisco and NetWitness captured 55,525 cleartext passwords from 2,210 unique accounts [...]
Nb. het gaat hier om bezoekers van een conferentie over informatiebeveiliging...

Meer info: https://blogs.cisco.com/security/rsa-conference-2022-security-operations-center-findings-report (met verwijzing naar pdf-rapport).

Absurd dat er kennelijk nog steeds (mail-) servers zijn die authenticatie via afluisterbare of te AitM'en (Attacker in the Middle) verbindingen accepteren.
08-11-2022, 18:43 door Erik van Straten
Door Anoniem: Bij Microsoft en Google werkt dat wel met 2FA omdat je je dan vanuit Outlook aan moet melden in een browservenster.
Maar is dat wel veiliger, of kunnen aanvallers een nepsite laten oppoppen en jouw gegevens kapen?

Sowieso is OAuth controversieel, zie bijvoorbeeld https://www.pmail.com/devnews.htm: het wordt kleinere ontwikkelaars door de big tech onmogelijk gemaakt om een mail client voor bijv. gmail te maken.

Door Anoniem: Een andere optie is een app password, ook dat ben ik tot nu toe enkel bij Microsoft en Google tegengekomen.
Hoewel de pagina https://support.microsoft.com/en-us/account-billing/manage-app-passwords-for-two-step-verification-d6dc8c6d-4bf7-4851-ad95-6d07799387e9 nog bestaat (archief: https://archive.ph/dl44x), lijkt Microsoft gestopt te zijn met "app passwords" (zo'n app password is effectief niks anders dan een lang, uniek en niet te raden wachtwoord; zie ook mijn vorige bijdrage).

Door Anoniem: Het meest ellendige aan 2FA vind ik persoonlijk dat je nagenoeg altijd moet beschikken over een smartphone en daar dus compleet van afhankelijk bent, fijn als je telefoon kapot gaat.
Eens, en het gevolg daarvan is dat op veel servers downgrade-attacks mogelijk zijn om toch in te kunnen loggen - waarmee het hele beveiligingsmodel ondergraven kan worden.

Door (andere?) Anoniem: neem een yubiKey , die is resistent tegen phishing
Voor zover ik weet alleen in U2F/FIDO2 modus, en weinig servers ondersteunen dat.
08-11-2022, 18:51 door Anoniem
Door Anoniem:
Door Anoniem: Websites die jou persoonlijke telefoon nummer
vereisen zijn er te weinig dat zouden ze ook kunnen schrijven.

The Matrix
Als je daar zo bang voor bent, neem je toch een prepaid nummer voor die ongein? Meeste mobieltjes hebben een dubbele sim mogelijkheid.
Maar ja. Paniek schoppen nisvjouw specialiteit.

Profilering is d.m.v je 06 een vorm van controle en dit is een realiteit.
08-11-2022, 19:16 door Anoniem
Een YubiKey of fysieke beveiligingssleutel beschermt tegen phishing en een MIT

Maar:
We highly recommend security keys to those who regularly use public Wi-Fi, as traffic over Wi-Fi can be easily intercepted, and using public Wi-Fi makes you more susceptible to hacks. Using a security key makes it so that even if someone intercepts your data, they won’t be able to log in to your accounts. We also recommend security keys to anyone dealing with secure information online such as financial information, and to celebrities and other important persons who want an extra layer of security.
08-11-2022, 19:20 door Anoniem
Door Anoniem: T-Mobile heeft (sinds kort) 2FA op de beheeromgeving van je account, op E-Mail zie ik de toegevoegde waarde niet...
Zijn er mensen die hun mail account van hun ISP gebruiken? (okay, behalve je oma op Ziggo).

Ja ik. Al zo’n 20 jaar, toen het nog @home was. Een mail adres verander je niet zomaar… en daarbij, die lui van gmail krijgen van mij een dikke vinger met hun datahonger.
08-11-2022, 22:23 door Anoniem
Je moet het gewoon een beetje de norm veranderen. Dan hebben de meeste websites gewoon MFA:
- je logt in met iets dat je hebt (mailadres) en iets dat je weet (wachtwoord)
- maar je kan ook inloggen met iets dat je bent (je naam), dan kan je het zelfs adaptive MFA gaan noemen.
08-11-2022, 23:17 door Anoniem
Veel onderhouders van websites moeten van hun managers bezuinigen op juist dit soort veiligheidsmaatregelen.
Amerikaanse kranten blokkeren EU-inwoners liever, dan er geld aan kwijt te zijn.
Ze draaien zelfs met onveilig javascript.

De veiligheid van de bezoeker is van ondergeschikt belang, zijn of haar data zijn waar men aan verdient.
Internet lijkt veel op dansen op de rand van de vulkaan tegenwoordig.
Wordt het ook nog een soort van titanic-achtige ondergang?
08-11-2022, 23:28 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Websites die jou persoonlijke telefoon nummer
vereisen zijn er te weinig dat zouden ze ook kunnen schrijven.

The Matrix
Als je daar zo bang voor bent, neem je toch een prepaid nummer voor die ongein? Meeste mobieltjes hebben een dubbele sim mogelijkheid.
Maar ja. Paniek schoppen nisvjouw specialiteit.

Profilering is d.m.v je 06 een vorm van controle en dit is een realiteit.
Wie zegt dat er geprofileerd wordt op jouw 06 nummer? Welk complot zegt dat?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.