image

Ziggo voorziet webmail van tweefactorauthenticatie als extra beveiligingsoptie

donderdag 24 november 2022, 08:15 door Redactie, 31 reacties
Laatst bijgewerkt: 25-11-2022, 11:04

Ziggo heeft tweefactorauthenticatie (2FA) als extra beveiligingsoptie voor de eigen webmail geïntroduceerd. De internetprovider had 2FA al voor 'Mijn Ziggo' ingevoerd, maar biedt het nu ook als optie voor webmail. Eerder deze maand kwam de Consumentenbond met eigen onderzoek waaruit bleek dat ongeveer de helft van de populaire websites die Nederlanders bezoeken geen 2FA-optie biedt voor het beveiligen van accounts.

"Een goede beveiliging van je mailomgeving is van groot belang. Criminelen hebben anders toegang tot een zee van privé-informatie, en kunnen via de 'herstel via mail'-optie je andere accounts overnemen. Toch heeft geen enkele internetprovider 2FA op zijn mailomgeving", aldus de Consumentenbond begin deze maand. Het gaat dan om Caiway, Freedom Internet, KPN, Online.nl, Solcon, T-mobile Thuis, ZeelandNet en Ziggo.

De laatstgenoemde laat tegenover Security.NL weten dat het 2FA nu ook voor webmail heeft toegevoegd. "Naast de bestaande maatregelen hebben we inmiddels een volgende stap gezet in het beschermen van de persoonlijke gegevens van onze klanten", aldus een woordvoerder over de 2FA-optie. Die voegt toe dat de beveiligingsmaatregel 'authenticatie in twee stappen' het moeilijker voor derden maakt om ongeautoriseerd toegang te krijgen tot de persoonlijke gegevens van de klant.

Ziggo maakt voor 2FA bij Mijn Ziggo gebruik van een via sms verstuurde code. "Sommige banken gebruiken een authenticatie-apparaat. Dit apparaat maakt dan een eenmalige pincode. Er is tegenwoordig maar één apparaat dat je zo goed als altijd bij je hebt: je mobieltje. Daarom kiezen veel organisaties voor een sms-code als tweede beveiligingscheck", aldus de provider in een uitleg over de beveiligingsmaatregel. Voor webmail wordt gewerkt met een authenticator.

Update

Ziggo laat tegenover Security.NL weten dat er ook testen lopen met andere 2FA-methodes dan sms, maar wanneer deze beschikbaar komen is nog onbekend.

Update 2

Een woordvoerder van Ziggo laat aanvullend weten dat bij Ziggo Webmail gebruik wordt gemaakt van ‘authenticatie in twee stappen’ en verloopt de authenticatie bij het inloggen via applicaties zoals Google Authenticator of Microsoft Authenticator.

Reacties (31)
24-11-2022, 08:20 door Anoniem
Dat wil ik ook wel voor mijn KPN-webmail; kom op KPN!
24-11-2022, 08:24 door Anoniem
Als het niet word afgedwongen, zal een heel groot deel van de klanten het niet gebruiken omdat men geen idee heeft waar het over gaat en waarom het belangrijk is. En als er dan eens sprake van is dat hun account gekaapt is, dan zou de reactie zomaar eens kunnen zijn: tja, je moet wel goed beveiligen en dat doe je niet want je gebruikt niet de beschikbare 2FA.

En voor hen die het wel snappen en gaan gebruiken, zal ook het begrip voor 2FA in de werkomgeving toenemen. Dat is dan een voordeel.
24-11-2022, 08:39 door Anoniem
en als je dan je telefoon kwijt raakt? Dan kan je geen nieuwe kopen, want ik kan mij niet authentiseren. Wat als mijn telefoon provider failliet gaat. Of ik raak mijn nummer op een andere wijze kwijt? Wat gebeurd en dan? Welke backup methode is er beschikbaar? We creëren één grote SPOF (Single Point of Failure).
24-11-2022, 08:39 door Anoniem
Toch jammer dat er zoveel engineering werk gaat naar het implementeren van onveilige 2FA oplossingen als SMS in plaats van FIDO2 beveiligingssleutels en passkeys. Met 2FA SMS blijven Ziggo klanten onnodig vatbaar voor phishingaanvallen.
24-11-2022, 08:41 door Anoniem
Wil bijna zeggen? Nu pas.....? Daarbij is SMS niet meer heilig maar goed beter als niets.

Het gebruiken van een Auth App zoals bijvoorbeeld de Google/Microsoft Authenticator zal een betere oplossing zijn met een OTP. Daarop kan je ook nog weer een extra PIN zetten of met je vinger als je dat zou willen?

Langzaam wordt het wel wat. Alleen jammer dat er constant op gewezen moet worden. Zoiets is dan toch redelijk basaal?
24-11-2022, 08:43 door Anoniem
Moet je we eerst een app downloaden, kom op zeg ze hebben gewoon weer de boot gemist. Alles in het voordeel
van die spyware bedrijven.
24-11-2022, 08:47 door majortom - Bijgewerkt: 24-11-2022, 08:49
Ik zie hier niet zoveel toegevoegde waarde. Ja, je maakt het inloggen via het web interface moeilijker, maar connecties direct naar de IMAP/POP/SMTP server zijn nog steeds op basis van basic authentication. De zwakste schakel zal altijd prooi zijn voor eventuele aanvallers.

Verder wordt alleen SMS ondersteund in combinatie met 2FA. Dat betekent dus dat ik een extra persoonsgegeven, nl mijn telefoonnummer, moet verstrekken aan Ziggo. Waarom kun je niet gewoon kiezen uit bijvoorbeeld TOTP en SMS voor de 2FA?
24-11-2022, 08:51 door Anoniem
SMS... dat is een lekke, onbeveiligd systeem. Waarom niet gewoon TOTP. Is een industrie standaard, en er zijn genoeg apps op je telefoon die dat kunnen. Maar nee... Ziggo valt terug op eeuwen oude technieken.

TheYOSH
24-11-2022, 08:59 door Anoniem
Door majortom: Ik zie hier niet zoveel toegevoegde waarde. Ja, je maakt het inloggen via het web interface moeilijker, maar connecties direct naar de IMAP/POP/SMTP server zijn nog steeds op basis van basic authentication. De zwakste schakel zal altijd prooi zijn voor eventuele aanvallers.

Verder wordt alleen SMS ondersteund in combinatie met 2FA. Dat betekent dus dat ik een extra persoonsgegeven, nl mijn telefoonnummer, moet verstrekken aan Ziggo. Waarom kun je niet gewoon kiezen uit bijvoorbeeld TOTP en SMS voor de 2FA?

bij 90% van de Ziggo klanten is je telefoonnummer al bekend helemaal als je ook Vodafone klant bent dus daar zie ik niet echt een probleem. IMAP/POP/SMTP ondersteunen simpelweg geen 2FA dus daar zal je ook nooit verbetering zien tenzij ze iets gaan implementeren als OAUTH.
24-11-2022, 09:23 door Anoniem
Door majortom: Ik zie hier niet zoveel toegevoegde waarde. Ja, je maakt het inloggen via het web interface moeilijker, maar connecties direct naar de IMAP/POP/SMTP server zijn nog steeds op basis van basic authentication. De zwakste schakel zal altijd prooi zijn voor eventuele aanvallers.

Verder wordt alleen SMS ondersteund in combinatie met 2FA. Dat betekent dus dat ik een extra persoonsgegeven, nl mijn telefoonnummer, moet verstrekken aan Ziggo. Waarom kun je niet gewoon kiezen uit bijvoorbeeld TOTP en SMS voor de 2FA?

Ja, Ziggo heeft natuurlijk je telefoonnummer niet als je abonnee bent bij ze....
24-11-2022, 09:28 door Anoniem
Door majortom: Ik zie hier niet zoveel toegevoegde waarde. Ja, je maakt het inloggen via het web interface moeilijker, maar connecties direct naar de IMAP/POP/SMTP server zijn nog steeds op basis van basic authentication. De zwakste schakel zal altijd prooi zijn voor eventuele aanvallers.

Verder wordt alleen SMS ondersteund in combinatie met 2FA. Dat betekent dus dat ik een extra persoonsgegeven, nl mijn telefoonnummer, moet verstrekken aan Ziggo. Waarom kun je niet gewoon kiezen uit bijvoorbeeld TOTP en SMS voor de 2FA?

Dit is inderdaad het gevoel wat ik ook krijg. Ziggo kan nu in ieder geval zeggen dat de situatie is verbeterd na het Consumentenbond-onderzoek. Maar dit had iets beter doordacht kunnen worden voor het aanbieden ervan. Laten we hopen dat dit de eerste MVP is in hun Scrum project en dat deze zaken als het uitfaseren van basic authentication en het aanbieden van andere 2FA opties naast SMS nog op de backlog staan.
24-11-2022, 09:43 door Anoniem
Freedom Internet heeft wel 2FA die he kunt instellen. Maar die kun je gewoon omzeilen. Ze doen daar graag aan theater. 1.5 Jaar geleden gemeld maar ze doen er niks aan. Bijzondere club wel.
24-11-2022, 09:57 door majortom
Door Anoniem:
Door majortom: Ik zie hier niet zoveel toegevoegde waarde. Ja, je maakt het inloggen via het web interface moeilijker, maar connecties direct naar de IMAP/POP/SMTP server zijn nog steeds op basis van basic authentication. De zwakste schakel zal altijd prooi zijn voor eventuele aanvallers.

Verder wordt alleen SMS ondersteund in combinatie met 2FA. Dat betekent dus dat ik een extra persoonsgegeven, nl mijn telefoonnummer, moet verstrekken aan Ziggo. Waarom kun je niet gewoon kiezen uit bijvoorbeeld TOTP en SMS voor de 2FA?

Ja, Ziggo heeft natuurlijk je telefoonnummer niet als je abonnee bent bij ze....
Ik ben klant, maar ze hebben echt mijn mobiele telefoonnummer niet.
24-11-2022, 09:59 door Erik van Straten
Door majortom: Ik zie hier niet zoveel toegevoegde waarde. Ja, je maakt het inloggen via het web interface moeilijker, maar connecties direct naar de IMAP/POP/SMTP server zijn nog steeds op basis van basic authentication.
Sterker, veel mensen hebben geen idee van IMAP/POP/SMTP (dat stel je 1x in of iemand anders doet dat voor je) en zouden kunnen denken dat een zwak wachtwoord geen probleem meer is zodra 2FA is ingeschakeld.
24-11-2022, 10:16 door Anoniem
Ziggo maakt voor 2FA gebruik van een via sms verstuurde code.

Weer een of andere manager bij Ziggo die graag compliant wil zijn maar geen idee waar ie mee bezig is.

SMS anno 2022 invoeren als 2FA... Really..?!?

Xs4all had vroeger al TOTP op haar webmail. De enige accessprovider die ICT correct impementeerde...
24-11-2022, 11:11 door Anoniem
Door majortom: Ik zie hier niet zoveel toegevoegde waarde. Ja, je maakt het inloggen via het web interface moeilijker, maar connecties direct naar de IMAP/POP/SMTP server zijn nog steeds op basis van basic authentication. De zwakste schakel zal altijd prooi zijn voor eventuele aanvallers.

Verder wordt alleen SMS ondersteund in combinatie met 2FA. Dat betekent dus dat ik een extra persoonsgegeven, nl mijn telefoonnummer, moet verstrekken aan Ziggo. Waarom kun je niet gewoon kiezen uit bijvoorbeeld TOTP en SMS voor de 2FA?

Inderdaad, proberen te authenticeren middels imap/pop is nog steeds mogelijk op"oude" manier....
24-11-2022, 11:27 door Anoniem
Door Anoniem: Moet je we eerst een app downloaden, kom op zeg ze hebben gewoon weer de boot gemist. Alles in het voordeel van die spyware bedrijven.
Wakker worden! Voor webmail heb je geen app nodig, alleen een web.
24-11-2022, 11:34 door Anoniem
Door Anoniem: Toch jammer dat er zoveel engineering werk gaat naar het implementeren van onveilige 2FA oplossingen als SMS in plaats van FIDO2 beveiligingssleutels en passkeys. Met 2FA SMS blijven Ziggo klanten onnodig vatbaar voor phishingaanvallen.
Onzin, SMS is 1.000 keer beter als geen MFA. FIDO2 is voor nerds en high secure omgevingen. Als je dat aan een leek gaat opdringen, haken die helemaal af. Als je MFA voor een grote doelgroep wil inzetten gebruik je of SMS of TOTP.
24-11-2022, 11:58 door Anoniem
Door Anoniem:
Door majortom: Ik zie hier niet zoveel toegevoegde waarde. Ja, je maakt het inloggen via het web interface moeilijker, maar connecties direct naar de IMAP/POP/SMTP server zijn nog steeds op basis van basic authentication. De zwakste schakel zal altijd prooi zijn voor eventuele aanvallers.

Verder wordt alleen SMS ondersteund in combinatie met 2FA. Dat betekent dus dat ik een extra persoonsgegeven, nl mijn telefoonnummer, moet verstrekken aan Ziggo. Waarom kun je niet gewoon kiezen uit bijvoorbeeld TOTP en SMS voor de 2FA?

Inderdaad, proberen te authenticeren middels imap/pop is nog steeds mogelijk op"oude" manier....

Er zit wel een verschil in hoe je het wachtwoord kan bemachtigen: de ene lees je uit met toetsaanslagen en de ander staat in een veilige container op je telefoon waar niet elke malware zo maar bij kan.
24-11-2022, 12:16 door Anoniem
Door Anoniem:
Door Anoniem: Moet je we eerst een app downloaden, kom op zeg ze hebben gewoon weer de boot gemist. Alles in het voordeel van die spyware bedrijven.
Wakker worden! Voor webmail heb je geen app nodig, alleen een web.
Gewoon de link volgen die hier boven staat kom je op de pagina van ziggo en dan wordt er gevraagd om een of
andere app te downloaden van Microsoft of Google. Ik ben hier al gestopt om dat ik mij begon te ergeren. Maar het
kan ook zijn dat ik mij heb vergist dus probeer het je hoeft niet in te loggen en dan zie je het wel, ik hoor het hier graag! Trouwens ik heb wel Windows op een computer staan maar mijn voorkeur is toch Linux, en die stond er niet bij
maar nogmaals ik kan mij vergist hebben.
24-11-2022, 12:41 door Anoniem
Nu maar hopen dat het niet verplicht wordt, ook Ziggo vertrouw ik echt niet mijn 06-nummer toe.
Ziggo lekt privégegevens, jaren geleden al gemeld maar probleem bestaat nog steeds. Opnieuw melden doe ik niet meer, mijn laatste ervaring van het melden van een datalek bij 'n gemeente is niet zo heel goed bevallen. Dankjewel kan er niet af, maar een louche advocaat op je afsturen kan dan weer wel. Meld nergens ooit meer iets.
24-11-2022, 12:45 door Anoniem
Wat ziggo heeft, heeft vendor lock-in en ergo third party USA dus ook.
Waar zijn je data nog veilig? Waar worden ze niet met alles en de gootsteen gedeeld?

We komen met z'n allen in een steeds leukere wereld te leven.

Steekneus, snuf en snuitje en de rest.
24-11-2022, 13:09 door majortom
Door Anoniem:
Door Anoniem:
Door majortom: Ik zie hier niet zoveel toegevoegde waarde. Ja, je maakt het inloggen via het web interface moeilijker, maar connecties direct naar de IMAP/POP/SMTP server zijn nog steeds op basis van basic authentication. De zwakste schakel zal altijd prooi zijn voor eventuele aanvallers.

Verder wordt alleen SMS ondersteund in combinatie met 2FA. Dat betekent dus dat ik een extra persoonsgegeven, nl mijn telefoonnummer, moet verstrekken aan Ziggo. Waarom kun je niet gewoon kiezen uit bijvoorbeeld TOTP en SMS voor de 2FA?

Inderdaad, proberen te authenticeren middels imap/pop is nog steeds mogelijk op"oude" manier....

Er zit wel een verschil in hoe je het wachtwoord kan bemachtigen: de ene lees je uit met toetsaanslagen en de ander staat in een veilige container op je telefoon waar niet elke malware zo maar bij kan.
En op je PC, en op je laptop, en op je tablet, ...
24-11-2022, 13:31 door Briolet
Door Anoniem:
Door majortom: Ik zie hier niet zoveel toegevoegde waarde. …

… IMAP/POP/SMTP ondersteunen simpelweg geen 2FA dus daar zal je ook nooit verbetering zien tenzij ze iets gaan implementeren als OAUTH.

En daarom genereert deze actie van Ziggo alleen schijnveiligheid. Het invoeren van 2FA heeft alleen zin als ze de ondersteuning van het IMAP/POP/SMTP protocol afschaffen.

Wat ze nu doen kun je vergelijken met een huis waar je de voordeur beveiligd met een 3-sters slot met aanvullende puntsloten voor extra inbraakwerende vertraging, terwijl je niets doet aan de achterdeur van bordkarton. Dit onder het motto dat je zelf toch alleen de voordeur gebruikt, dus die wil je goed beveiligd hebben.
24-11-2022, 13:56 door Briolet
Door majortom: Verder wordt alleen SMS ondersteund in combinatie met 2FA. Dat betekent dus dat ik een extra persoonsgegeven, nl mijn telefoonnummer, moet verstrekken aan Ziggo. Waarom kun je niet gewoon kiezen uit bijvoorbeeld TOTP en SMS voor de 2FA?

Hoe kom je daarbij? Op het ziggo account zelf moet dat inderdaad via sms. Als ik de instructie voor webmail lees op de ziggo site, gaat deze 2FA via een authenticator app. Je hoeft dus geen telefoonnummer aan ziggo te geven.

En omdat ze je geen mail kunnen sturen als je de toegang tot de telefoon kwijt bent, krijg je een herstel code die je goed moet bewaren.
24-11-2022, 14:26 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Moet je we eerst een app downloaden, kom op zeg ze hebben gewoon weer de boot gemist. Alles in het voordeel van die spyware bedrijven.
Wakker worden! Voor webmail heb je geen app nodig, alleen een web.
Gewoon de link volgen die hier boven staat kom je op de pagina van ziggo en dan wordt er gevraagd om een of andere app te downloaden van Microsoft of Google. Ik ben hier al gestopt om dat ik mij begon te ergeren. Maar het kan ook zijn dat ik mij heb vergist dus probeer het je hoeft niet in te loggen en dan zie je het wel, ik hoor het hier graag! Trouwens ik heb wel Windows op een computer staan maar mijn voorkeur is toch Linux, en die stond er niet bij maar nogmaals ik kan mij vergist hebben.
Sorry, je hebt toch gelijk, want je moet inderdaad een authenticator app installeren!
Ik ging ervan uit dat je je telefoonnummer moet doorgeven en dat ze je dan bij het inloggen op de site een SMS-code sturen, maar dat blijkt alleen zo te gaan bij het Mijn Ziggo-account.
24-11-2022, 15:13 door Anoniem
Sorry, je hebt toch gelijk, want je moet inderdaad een authenticator app installeren!
Geeft niets hoor, ik dacht ook dat mijn telefoonnummer genoeg was maar helaas niet.
24-11-2022, 22:42 door Anoniem
2FA via sms is een heel slecht idee wel eens van sim swap gehoord?
25-11-2022, 06:10 door Anoniem
Door Anoniem: 2FA via sms is een heel slecht idee wel eens van sim swap gehoord?
De slechtste beveiliging is de mens, je moet je verstand gebruiken en dat geldt ook voor je eigen gegevens
maar dank sociale media zijn die gemakkelijk te vinden met alle gevolgen van dien.
25-11-2022, 10:47 door Anoniem
Door Anoniem: 2FA via sms is een heel slecht idee wel eens van sim swap gehoord?
Hoe vaak is dit dan voorgekomen in Nederland bij gewone mensen? Graag een linkje hiervoor.
27-11-2022, 10:55 door Anoniem
Door Anoniem:
Door majortom: Ik zie hier niet zoveel toegevoegde waarde. Ja, je maakt het inloggen via het web interface moeilijker, maar connecties direct naar de IMAP/POP/SMTP server zijn nog steeds op basis van basic authentication. De zwakste schakel zal altijd prooi zijn voor eventuele aanvallers.

Verder wordt alleen SMS ondersteund in combinatie met 2FA. Dat betekent dus dat ik een extra persoonsgegeven, nl mijn telefoonnummer, moet verstrekken aan Ziggo. Waarom kun je niet gewoon kiezen uit bijvoorbeeld TOTP en SMS voor de 2FA?

bij 90% van de Ziggo klanten is je telefoonnummer al bekend helemaal als je ook Vodafone klant bent dus daar zie ik niet echt een probleem. IMAP/POP/SMTP ondersteunen simpelweg geen 2FA dus daar zal je ook nooit verbetering zien tenzij ze iets gaan implementeren als OAUTH.


er staat niemand of niets in de weg om de basic auth van IMAP/POP/SMTP een TOTP code te laten zijn of bevatten naast de std password.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.