"afgezien van ernstige incidenten die met een andere 2FA voorkomen hadden kunnen worden."
Die zijn er natuurlijk al heel lang. $24 miljoen zien gejat worden van je bankrekening, naast vele "kleinere" rampjes waar normale mensen duizenden euro zien verdwijnen. Als oprichter van Twitter je Twitter-account zien worden overgenomen. Twitter-account van een Amerikaans president, van Musk. Toegang tot interne systemen van Twitter, Reddit, of dichterbij Tmobile. Ga zo nog even door.

Slechte pers is een jaar later vergeten.

Kan hetzelfde worden gezegd over het brede gebruik van bluetooth, waarover ik lees dat het een onveilig protocol is?

Wat is het alternatief?
Een speciale applicatie op een computer met een OS (Android, iOS) dat door de VS wordt gecontroleerd?
Hoe veilig is dat?

Zolang Ursula v der Leyen voor 35 miljard een deal kan afsluiten met sms jes lijkt het me geen probleem.

Een FIDO2 key kan een alternatief zijn.

Fidokey. Passwordless icm. Linux. Als je wilt een volledig offline phone. Keuze genoeg.

Of niet meteen helemaal doorschieten maar accepteren dat "zelfs" een uptodate MS Authenticator op uptodate iOS veilig genoeg is. En sowieso veel veiliger dan SMS.

Ik ken dat geval niet. Maar weet vrij zeker dat als iemand anders dat smsje had gespoofd, ze achteraf zou hebben gezegd het niet te hebben verstuurd en er geen deal was.

'Dat was ik niet' roepen is met MFA niet zo makkelijk. Je account is dan al overgenomen.

Werkt dat ook met DigiD?
Op hun website kan ik daar namelijk geen informatie over vinden.

Op dit moment heb ik een "volledig offline phone" maar daar kan ik alleen maar mee bellen of SMS-tekstberichten mee ontvangen (en FM radio luisteren). Hoe zou dat dan een alternatief zijn voor SMS?

100% eens met Arnoud:

Voor de gemiddelde consument volstaat SMS prima. De inspanningen die je moet doen om SMS te spoofen zijn zo groot dat het niet realistisch is om dat als gangbaar aanvalsscenario voor de gemiddelde consument te beschouwen.

Anders wordt het als het gaat om toegang tot bijzonder gevoelige informatie of hele grote sommen geld. Als grote bank zou ik de afscherming van een beheeromgeving (met toegang tot kritische financiële systemen) met SMS als two factor als volkomen ontoereikend beschouwen. En ook als je bij de AIVD werkt, zou ik maar geen SMS als two factor gebruiken. Hetzelfde geldt voor een partij als ASML, ik zou ze niet aanraden om SMS als two factor te gebruiken om hun intellectueel eigendom te beschermen (overigens ook geen Google of Microsoft authenticator, maar dat terzijde).

Maar voor de bankrekening van de gemiddelde consument is SMS nog steeds prima.

Ze heeft er zelfs een motie van wantrouwen voor gekregen omdat ze die smsjes niet wilde delen, zelfs niet na een veroordeling door de rechter (rechters gaan alleen maar over onderdanen natuurlijk, niet over de EU heersers) die ze alleen kon overleven door de sociaal democraten iets toe te stoppen.

Een andere reden voor sms 2fa lijkt me dat veel bedrijven graag je telefoon nummer hebben. Facebook zeurt er om om de haverklap om, voor de "veiligheid", terwijl die al betrapt zijn het voor reclame te misbruiken.

Probleem: niet de klant of burger (of bijv. de consumentenbond) voert die risicoanalyse uit, maar een organisatie met heel andere belangen. De klant of burger heeft er meestal geen idee van welke afwegingen de organisatie heeft gemaakt.

Dat nog los van het feit dat het in de praktijk meestal knap lastig is om alle mogelijke risico's te inventariseren en iets zinvols te zeggen over de impact per incident en vooral over de kans dat zo'n incident plaatsvindt.

Maar stel de organisatie doet haar stinkende best met als resultaat dat jaarlijks bijv. 1% van alle klanten/burgers een schade van zeg gemiddeld 1000 Euro zal lijden (bijvoorbeeld doordat criminelen hun accounts overnemen nadat de slachtoffers een link in een phishingmail hebben geopend, en vervolgens hun e-mailadres, wachtwoord en de code uit de SMS (of TOTP-app) op de nepwebsite invullen; zwakke MFA is immers niet phishing-bestendig).

Wie bepaalt of dat acceptabel is? Wordt er een vangnet ingericht voor die slachtoffers, of is dat risico geheel voor hen? Wordt er bijgehouden hoeveel slachtoffers er vallen en hoe groot hun schade is? Hoe voorspel je welk deel van de slachtoffers geen melding doet van oplichting (bijv. vanwege schaamte)? Hoe transparant is de organisatie over de (regelmatig herhaalde?) risicoanalyses en/of evaluaties? Hoe weten klanten/burgers of de organisatie de waarheid spreekt als zij zegt daar 100% transparant over te zijn?

De onophoudelijke stroom aan datalekken toont aan dat zeer veel organisaties liegen dat de zij de veiligheid van gegevens van klanten/burgers het "allerbelangrijkst" vinden. Dat terwijl een datalek vaak imagoschade oplevert (als dat uitlekt). Als klanten of burgers schade lijden doordat criminelen met hun gegevens konden inloggen, is dat, in de praktijk, nooit de schuld van de organisatie die een digitaal systeem heeft opgetuigd.

Voorbeeld: als het Kifid niet meteen "grof nalatig" roept en de klant (deels) schadeloos gesteld wordt, is dat allesbehalve een schuldbekentenis van de bank, maar vindt dat plaats "uit coulance". Oftewel, de bank heeft ongetwijfeld een risicoanalyse uitgevoerd, maar in de eersts plaats van de risico's die zij zelf loopt.

Veiliger?

Ik garandeer je dat voor 99,9% van de mensen echt niemand met een eigen telefoonpaal op de proppen komt, specifiek naast jou werkplek voor jouw SMS code.

Wellicht voor belangrijke mensen zoals de shell ceo of de MP.

SMS is prima veilig, juist omdat het ook op een Nokia 3210 werkt ipv een gehackte smartphone.

Net als wachtwoorden opschrijven en thuis verstoppen. Er is echt geen Russische hacker die jouw wachtwoordenboekje thuis gaat zoeken hoor, maar ze proberen wel jouw digitale kluizen te kraken.

Telefoonpaal? "Hoi ik ben e.r. en ben mijn telefoon verloren hier op vakantie in Verwegland. Zet ajb mijn 06 om naar deze nieuwe." Of geef een paar tientjes aan de callcentermedewerker in een lagelonenland.

Dan krijg je geen SMS code zonder in te loggen met een naam en wachtwoord.
En degene van wie het nummer origineel is, heeft dan geen [2345]G meer en kan dus geen SMS-tekstberichten meer ontvangen.

De wet AVG heeft het al in zich: Artikel 32 zegt: "Rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook .........passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen, ......." Voldoet SMS daar in deze tijd nog aan?

voor degeen die denken dat telefoon en sms diensten veilig zijn:

https://www.youtube.com/watch?v=wVyu7NB7W6Y

valt nog best tegen

Is jouw link naar YouTube veilig? :-/

De relevantie van hetgeen te beveiligen valt wordt bij 2FA nog wel eens over het hoofd gezien. En het kan knap omslachtig zijn. Ook als dat SMSje helemaal niet komt. Makers hebben nogal eens weinig verstand dat je hun producten gebruikt om te gebruiken. Niet om hun belangrijkheid te moeten voelen.

Los daarvan een aardige case. Ik stap over naar een nieuwe accessprovider. Die ook een leuke aanbieding heeft voor een SIM erbij. Doe dat ook maar. Kan ik mijn nummer houden? Ja meneer, maar het wordt steeds lastiger om het nummer "los" te krijgen van de huidige SIM boer. Ok, doe maar een nieuw nummer dan. Lekker idee ook, want mijn nummer nu staat in veel te veel spam databases. Ik heb geen tijd voor al dat gezeik.

Maar ja, komt ie. Op de weg terug naar huis bedenk ik me waar mijn nummer overal bekend is. Voor al dat 2FA. Maar ook bijvoorbeeld bij paypal. Zodat als iemand een probleem met een betaling heeft, ik altijd bereikbaar ben. Wat ik ook graag doe! Resultaat is nu dus, dat ik zeker nog een paar maanden mijn oude nummer moet doorbetalen. De oude SIM in een reservetelefoon moet prikken (is al link, want is ander device!). Je weet nooit of er ergens weer een 2FA kan komen, van een site die ik even vergeten was. Maar goed, dat is allemaal beheersbaar. En belangrijk, want het wemelt van de half demente chatbots die gelijk identiteitsfraude pìepen als je van nummer verandert.

Wat ik wel vermoed is dat 2FA door SIM boeren wordt misbruikt om je te dwingen bij hun te blijven. Dat abbonnement is voor hun namelijk veel meer waard dan dat tientje in de maand. In beurswaarde! Als je even niet aan 2FA gedacht had, dan ga je nog spijt krijgen om bij ze weg te zijn gegaan! En smeken of je je oude nummer terug mag.

Wel kittig bedacht jongens van de securities, die 2FA! Mijn juridische vraag in dit geheel is dan weer meer op wie ik al die schade kan verhalen. Al zal het antwoord geheid "bij niemand" zal zijn.

Zeker wel, kijk maar naar de s achter http
Artikel van veritadium getiteld Exposing The Flaw In Our Phone System

Wellicht relevant voer voor dit topic
https://www.greenleap-consultancy.nl/blogs/moderne-tweefactorauthenticatie-2fa-door-de-cyberbeveiligingswet/

Wat zou er bij ICS business nou fout bij kunnen gaan:
• 2FA via SMS;
• Code voor online creditcard-betaling via SMS;;
• Doorgeven e-mailadres kan telefonisch;
• Doorgeven 06-nummer kan telefonisch - of "ga naar"
www.mijn-icsbusiness.nl (hoe phishy wil je de domeinnaam hebben, naast dat 2FA via SMS dus niet in alle gevallen nodig lijkt).

Overigens ondersteunt www.mijn-icsbusiness.nl geen HSTS (zie https://internet.nl/site/www.mijn-icsbusiness.nl/3356427/#sitetls) en mijn-icsbusiness.nl resolvt niet (die domeinnaam is niet bekend in DNS). Ga dus naar https://www.mijn-icsbusiness.nl (tik er "https://" vóór om terugval naar http:// te voorkomen) om ervoor te zorgen dat de verbinding niet gekaapt kan worden (zie https://security.nl/posting/895516).

Uit https://www.icsbusiness.nl/service/actueel/dubbele-beveiliging/ na het openklappen van "Q&A 'Dubbele beveiliging, oftewel twee staps verificatie'":

In die laatste situatie: "Mijn ICS Business.nl" is géén geldige domeinnaam. Maar als het telefoonnummer, waarvan de "laatste 4-cijfers" [sic] van een telefoonnummer zijn dat u niet (meer) in uw bezit heeft, kunt u (indien 2FA via SMS vereist is) sowieso niet meer inloggen en zult u dus de Servicedesk moeten bellen. Ik ben benieuwd hoe u vervolgens moet uitsluiten dat het niet iemand anders is dan u die de servicedesk belt - zodat de Servicedesk-medewerker niet iemand anders toegang geeft tot uw account.

Overigens stuurt https://www.mijn-icsbusiness.nl mijn browser door naar https://www.icscards.nl/web/commercial/business/sca-login. Als business klant van ICScards zult u dus op z'n minst moeten onthouden dat de volgende drie basisdomeinnamen van de echte "ICS Cards" zijn:
1) icsbusiness.nl en *.icsbusiness.nl
2) www.mijn-icsbusiness.nl
3) icscards.nl en *.icscards.nl

Domeinnamen met minimale (of grotere) afwijkingen van de direct hierboven genoemde drie zijn hoogstwaarschijnlijk van phishing-websites.

lmao, thanks needed that.

Het verbaast me dat bedrijven met zulke "gevoelige informatie" nog steeds schaamteloze fouten mogen maken. Hoe kan je al als een creditcard bedrijf falen rondom de basis security. Dit roept al direct al vragen bij me op of de "geavanceerde security" goed ingericht is (*clown face*).

Dit is een basis die elk bedrijf moet hebben voor een uitgaande "beveiliging" voor hun doelgroep/publiek.

Subdomeinen zijn niet voor niks een ding...

Het enige wat overheden kunnen bedenken is steeds meer plakbandjes te plakken over de fundamentele fouten in het rechtssysteem en de uitvoering van de kerntaken van de overheid. Deze plakbandjes veroorzaken immers altijd weer meer werk voor overheidsdienaren (of moeten we zeggen belastingparasieten). De keerzijde is echter dat er steeds meer lekken ontstaan. Als de rechtshandhaving werkelijk voor ons zou werken, dan kon je alleen een (mobiel) telefoonnummer via het gemeenteloket (gekoppeld aan de gemeentelijke basisadministratie) krijgen. Juridisch adequate beveiliging is door achterhaalde bestuurskunde opleidingen praktisch onhaalbaar.

Artikel 32 AVG (GDPR) zegt:
“Rekening houdend met de stand van de techniek, de uitvoeringskosten, de aard, omvang, context en het doel van de verwerking, alsook met de risico’s… treft de verwerkingsverantwoordelijke en de verwerker passende technische en organisatorische maatregelen…”

Er zijn dus geen harde voorschriften zoals “geen SMS-2FA”. Maar “stand van de techniek” en “passende maatregelen” betekent dat je up-to-date moet zijn en moet kunnen motiveren waarom een gekozen methode nog adequaat is, gezien het actuele dreigingslandschap.

Waarom SMS-2FA steeds meer als onveilig wordt gezien
- Kwetsbaar voor sim-swapping: aanvallers kunnen telefoonnummer kapen via telecomproviders.
- Interceptie via SS7-lek: wereldwijde telecommunicatie-infrastructuur heeft structurele kwetsbaarheden.
- Phishing & social engineering: OTP-codes via SMS zijn makkelijk over te nemen.
- Geen cryptografische binding: SMS is niet end-to-end beveiligd en kan worden doorgestuurd.

Veel autoriteiten en experts (NIST, CISA, ENISA) raden SMS-2FA inmiddels af, of beschouwen het slechts als “better than nothing, but not strong MFA”.

de trend is duidelijk: voor risicovolle verwerkingen (zoals toegang tot gevoelige persoonsgegevens, financiële transacties, gezondheidsdata) is SMS-2FA niet meer verdedigbaar.

Het is goed om verschil te maken in de soort gegevens die het betreft:
Hoge risico's: SMS niet voldoende. Denk aan banken, zorg, overheid, of grote accountsystemen.
Lage risico's: Het kan nog, mits alternatieven (zoals app-based TOTP, FIDO2) niet haalbaar zijn én je compenseert met andere maatregelen.

De grens verschuift. Hoewel de AVG geen specifieke technologie voorschrijft, betekent de consensus van beveiligingsexperts en de "stand van de techniek" dat SMS 2FA voor het beveiligen van gevoelige persoonsgegevens en/of voor diensten met een aanzienlijk risico op misbruik bij accountovername, nu al als niet adequaat moet worden beschouwd.

Voor minder kritieke toepassingen kan het nog even duren voordat toezichthouders (zoals de Autoriteit Persoonsgegevens) concrete boetes opleggen specifiek vanwege SMS 2FA, tenzij er een datalek is waarbij SMS 2FA de oorzaak was. Echter, proactief overstappen op sterkere authenticatiemethoden is vanuit het oogpunt van risicobeperking en naleving van de AVG (met name de verantwoordingsplicht) sterk aan te raden. Organisaties die nog op SMS 2FA vertrouwen, lopen een toenemend risico op reputatieschade, datalekken en mogelijke boetes.

2fa smels like bullshit and is bullshit
dus als het wachtwoord kan onderschept worden dan ook een sms enz enz

Het is een hinderpaal en zet ouderen die geen gsm hebben aan tot het aankopen van een gsm.
zelfs github als je contact wil nemen moet je ingelogd zijn om te kunnen zeggen dat de 2fa niet werkt .Beveiligen doe je anders

wat heb je aan 2fa bij een wordpress waar men gewoon binnenwandelt of een systeem waar men met sqlinjectie zo binnen kan .

Dus enkele dummy roepers aan de zijkant bemoeilijken een hele groep van goede werking

Sowieso beter dan helemaal geen 2e factor.

Dat kan je best roepen, geen probleem, lijk me, heel makkelijk te doen.
Ja, dat is natuurlijk een detail. Je bent je account dan voorlopig wel kwijt.