KPN gaat 2-stapsverificatie voor inloggen op accounts verplichten
KPN gaat het gebruik van 2-stapsverificatie voor het inloggen op KPN-accounts verplichten, zo laat de telecomprovider aan klanten weten. Wanneer dit precies verplicht wordt is niet bekendgemaakt. Gebruikers van de telecomprovider kunnen de beveiligingsmaatregel zelf via de MijnKPN-omgeving inschakelen. Klanten die de maatregel al hebben ingeschakeld hoeven geen verdere actie te ondernemen.
Op dit moment maakt KPN gebruik van tweefactorauthenticatie via SMS. Iets waar niet alle klanten even blij mee zijn, zo blijkt uit een reactie op het KPN-forum. "Er is inmiddels al jaren bekend dat SMS geen veilige manier is van OTP, toch doen jullie heel erg je best met marketing om te doen laten overkomen alsof het wel veilig is", aldus een klant. "Het is schandalig dat anno 2025 zo'n groot bedrijf pretendeert beveiliging hoog in het vaandel te hebben staan maar vervolgens de meest basis beveiligingsmaatregel op een oude en onveilige manier geïmplementeerd heeft."
"Zoals jullie gemerkt hebben zijn we begonnen met het aanzetten en verplichten van Extra Veilig Inloggen, oftewel twee-staps-verificatie via SMS bij het inloggen. Dit is iets wat verplicht wordt in de toekomst en niet meer uit te zetten is als het eenmaal aan staat", laat een KPN-medewerker op het forum weten. "Momenteel is alleen nog 2FA via SMS beschikbaar, maar we zijn aan het kijken of we ook andere veilige alternatieve methodes kunnen toevoegen." KPN zegt binnenkort met meer informatie te zullen komen.
Reacties (19)
Gisteren, 13:37 door
Anoniem
Ik ben al niet meer in mijn beheeromgeving geweest sinds XS4All omgezet is naar KPN in 2022. Als ik wat moet wijzigen bel ik wel met de helpdesk van XS4All. Die zijn altijd vriendelijk en behulpzaam. Op 5 f-secure anti-virus scanners zit ik ook niet te wachten.
En anders moet ik maar een smartphone kopen, wat ik zo lang mogelijk uitstel vanwege de hoge kosten, electronic waste van oude telefoons en waste of time van Apps. Dat snapt KPN dus niet. Ze verkopen nog wel vaste telefoon abonnementen maar ze weten niet waarom iemand een vast nummer wil hebben.
Ik zit ook met een half oog naar Ziggo te kijken voor het geval KPN nog vervelender wordt. Maar het netwerk van KPN is beter als dat van Ziggo. Ik krijg nog post van Ziggo om de zoveel tijd om over te stappen met nummerbehoud.
En anders moet ik maar een smartphone kopen, wat ik zo lang mogelijk uitstel vanwege de hoge kosten, electronic waste van oude telefoons en waste of time van Apps. Dat snapt KPN dus niet. Ze verkopen nog wel vaste telefoon abonnementen maar ze weten niet waarom iemand een vast nummer wil hebben.
Ik zit ook met een half oog naar Ziggo te kijken voor het geval KPN nog vervelender wordt. Maar het netwerk van KPN is beter als dat van Ziggo. Ik krijg nog post van Ziggo om de zoveel tijd om over te stappen met nummerbehoud.
Gisteren, 13:54 door
Anoniem
Dit is iets wat verplicht wordt in de toekomst en niet meer uit te zetten is als het eenmaal aan staat", laat een KPN-medewerker op het forum weten. "Momenteel is alleen nog 2FA via SMS beschikbaar, maar we zijn aan het kijken of we ook andere veilige alternatieve methodes kunnen toevoegen." KPN zegt binnenkort met meer informatie te zullen komen.
Het klopt dat SMS geen goede beveiliging is (denk maar aan SIM swapping). Laten we maar zeggen dat het 'beginnetje' is, en het is is goed dat er tenminste nog IETS gedaan wordt. Het liefst heb ik een software token of hardware token om in te loggen, dus buiten alle apparaten en netwerken om. Dat is gewoon veel beter. Dus KPN, stuur ons een hardware token om met 2FA in te loggen.
Gisteren, 14:03 door
Anoniem
Kern van het probleem: digi-drammen. Stel je nou eens voor dat je iemand gewoon persoonlijk te woord staat.
Leuk om te vinden dan SMS niet meer 'veilig' is. De winst moet de kosten wel overstijgen. Als het zo belangrijk is: doe maar een hardware token. Maar ja, daar willen de banken nou net weer van af. Drammen om met een 'app' te gaan inloggen. Want dat is ZOOO veilig...
Leuk om te vinden dan SMS niet meer 'veilig' is. De winst moet de kosten wel overstijgen. Als het zo belangrijk is: doe maar een hardware token. Maar ja, daar willen de banken nou net weer van af. Drammen om met een 'app' te gaan inloggen. Want dat is ZOOO veilig...
Gisteren, 14:37 door
Anoniem
Door Anoniem:
Het liefst heb ik een software token of hardware token om in te loggen, dus buiten alle apparaten en netwerken om. Dat is gewoon veel beter. Dus KPN, stuur ons een hardware token om met 2FA in te loggen.
Hoe vaak komt simswapping nu voor in Nederland? Moet je dan meteen heel Nederland lastig vallen met die hoax?Dit is iets wat verplicht wordt in de toekomst en niet meer uit te zetten is als het eenmaal aan staat", laat een KPN-medewerker op het forum weten. "Momenteel is alleen nog 2FA via SMS beschikbaar, maar we zijn aan het kijken of we ook andere veilige alternatieve methodes kunnen toevoegen." KPN zegt binnenkort met meer informatie te zullen komen.
Het klopt dat SMS geen goede beveiliging is (denk maar aan SIM swapping). Laten we maar zeggen dat het 'beginnetje' is, en het is is goed dat er tenminste nog IETS gedaan wordt. Het liefst heb ik een software token of hardware token om in te loggen, dus buiten alle apparaten en netwerken om. Dat is gewoon veel beter. Dus KPN, stuur ons een hardware token om met 2FA in te loggen.
Gisteren, 14:45 door
Anoniem
Belangrijk dat er iets gedaan wordt inderdaad. Accounts phishen is aan de orde van de dag, met alle gevolgen van dien. Dit zijn vaak ook maar kiddo's waarvoor sim-swapping net even een stap te ver is. 99% van abuse en dat wat eruit voortkomt kan je hiermee inperken.
Geen maatregelen nemen tot de veiligere optie kan worden aangeboden is not done
Geen maatregelen nemen tot de veiligere optie kan worden aangeboden is not done
Gisteren, 15:25 door
Anoniem
Door Anoniem:
Blijf lekker geloven in je eigen schijnveiligheid wereldje zou ik zeggen.Door Anoniem:
Het liefst heb ik een software token of hardware token om in te loggen, dus buiten alle apparaten en netwerken om. Dat is gewoon veel beter. Dus KPN, stuur ons een hardware token om met 2FA in te loggen.
Hoe vaak komt simswapping nu voor in Nederland? Moet je dan meteen heel Nederland lastig vallen met die hoax?Dit is iets wat verplicht wordt in de toekomst en niet meer uit te zetten is als het eenmaal aan staat", laat een KPN-medewerker op het forum weten. "Momenteel is alleen nog 2FA via SMS beschikbaar, maar we zijn aan het kijken of we ook andere veilige alternatieve methodes kunnen toevoegen." KPN zegt binnenkort met meer informatie te zullen komen.
Het klopt dat SMS geen goede beveiliging is (denk maar aan SIM swapping). Laten we maar zeggen dat het 'beginnetje' is, en het is is goed dat er tenminste nog IETS gedaan wordt. Het liefst heb ik een software token of hardware token om in te loggen, dus buiten alle apparaten en netwerken om. Dat is gewoon veel beter. Dus KPN, stuur ons een hardware token om met 2FA in te loggen.
https://www.security.nl/posting/892238/%27Oplichters+proberen+simkaarten+klanten+KPN+en+Odido+over+te+nemen%27
https://www.security.nl/posting/894334/Odido+meldt+toename+van+aantal+slachtoffers+van+sim-swapping
Dus ja het gebeurt en nee het is geen hoax.
Gisteren, 15:42 door
Anoniem
Door Anoniem:
https://www.security.nl/posting/892238/%27Oplichters+proberen+simkaarten+klanten+KPN+en+Odido+over+te+nemen%27
https://www.security.nl/posting/894334/Odido+meldt+toename+van+aantal+slachtoffers+van+sim-swapping
Dus ja het gebeurt en nee het is geen hoax.
Dat is social engineering en betekent niet dat 2FA d.m.v. SMS onaanvaardbaar onveilig is.Door Anoniem:
Blijf lekker geloven in je eigen schijnveiligheid wereldje zou ik zeggen.Door Anoniem:
Het liefst heb ik een software token of hardware token om in te loggen, dus buiten alle apparaten en netwerken om. Dat is gewoon veel beter. Dus KPN, stuur ons een hardware token om met 2FA in te loggen.
Hoe vaak komt simswapping nu voor in Nederland? Moet je dan meteen heel Nederland lastig vallen met die hoax?Dit is iets wat verplicht wordt in de toekomst en niet meer uit te zetten is als het eenmaal aan staat", laat een KPN-medewerker op het forum weten. "Momenteel is alleen nog 2FA via SMS beschikbaar, maar we zijn aan het kijken of we ook andere veilige alternatieve methodes kunnen toevoegen." KPN zegt binnenkort met meer informatie te zullen komen.
Het klopt dat SMS geen goede beveiliging is (denk maar aan SIM swapping). Laten we maar zeggen dat het 'beginnetje' is, en het is is goed dat er tenminste nog IETS gedaan wordt. Het liefst heb ik een software token of hardware token om in te loggen, dus buiten alle apparaten en netwerken om. Dat is gewoon veel beter. Dus KPN, stuur ons een hardware token om met 2FA in te loggen.
https://www.security.nl/posting/892238/%27Oplichters+proberen+simkaarten+klanten+KPN+en+Odido+over+te+nemen%27
https://www.security.nl/posting/894334/Odido+meldt+toename+van+aantal+slachtoffers+van+sim-swapping
Dus ja het gebeurt en nee het is geen hoax.
En als je dat wel vindt, vraag ik me af of je nog durft auto te rijden.
Gisteren, 15:45 door
Tintin and Milou
Door Anoniem:
https://www.security.nl/posting/892238/%27Oplichters+proberen+simkaarten+klanten+KPN+en+Odido+over+te+nemen%27
https://www.security.nl/posting/894334/Odido+meldt+toename+van+aantal+slachtoffers+van+sim-swapping
Dus ja het gebeurt en nee het is geen hoax.
Dit zijn wel specifieke aanvallen en niet gericht op zo iets als MijnKPN. Maar de kans is gewoon klein, en SMS is een goede snel en goedkope oplossing. Al zie ik veel liever ook TOTP als implementatie.Door Anoniem:
Blijf lekker geloven in je eigen schijnveiligheid wereldje zou ik zeggen.Door Anoniem:
Het liefst heb ik een software token of hardware token om in te loggen, dus buiten alle apparaten en netwerken om. Dat is gewoon veel beter. Dus KPN, stuur ons een hardware token om met 2FA in te loggen.
Hoe vaak komt simswapping nu voor in Nederland? Moet je dan meteen heel Nederland lastig vallen met die hoax?Dit is iets wat verplicht wordt in de toekomst en niet meer uit te zetten is als het eenmaal aan staat", laat een KPN-medewerker op het forum weten. "Momenteel is alleen nog 2FA via SMS beschikbaar, maar we zijn aan het kijken of we ook andere veilige alternatieve methodes kunnen toevoegen." KPN zegt binnenkort met meer informatie te zullen komen.
Het klopt dat SMS geen goede beveiliging is (denk maar aan SIM swapping). Laten we maar zeggen dat het 'beginnetje' is, en het is is goed dat er tenminste nog IETS gedaan wordt. Het liefst heb ik een software token of hardware token om in te loggen, dus buiten alle apparaten en netwerken om. Dat is gewoon veel beter. Dus KPN, stuur ons een hardware token om met 2FA in te loggen.
https://www.security.nl/posting/892238/%27Oplichters+proberen+simkaarten+klanten+KPN+en+Odido+over+te+nemen%27
https://www.security.nl/posting/894334/Odido+meldt+toename+van+aantal+slachtoffers+van+sim-swapping
Dus ja het gebeurt en nee het is geen hoax.
Gisteren, 16:10 door
Anoniem
Het is natuurlijk goed dat KPN eindelijk tweestapsverificatie verplicht gaat stellen. Maar laten we wel eerlijk blijven: het voelt een beetje alsof ze in 2025 pas komen vertellen dat de aarde rond is. 2FA is al jaren de standaard, en niet voor niets. Dat ze nu trots aankondigen dat het “Extra Veilig Inloggen” heet, doet eerder denken aan marketing dan aan echte innovatie.
Maar wat nog vreemder is: waarom alleen via SMS? Iedereen die iets van beveiliging volgt, weet dat sms-authenticatie niet de veiligste optie is. Sim-swapping en onderschepping van sms’jes zijn geen nieuwe dreigingen. Sterker nog, al jaren adviseert de securitywereld om alternatieven zoals authenticator-apps of hardware tokens aan te bieden. Dus ja, KPN zet een stap, maar wel eentje van een paar jaar geleden.
En dan de communicatie: “Het wordt verplicht en niet meer uit te zetten als het eenmaal aan staat.” Dat klinkt eerder als: we hebben nu iets ingevoerd, en jullie moeten het maar slikken. Waarom niet gewoon meteen een modern en veilig alternatief aanbieden? De techniek is er, de vraag ook. Kortom: goed dat KPN wakker wordt, maar misschien een beetje te laat en met een slaperige start.
Maar wat nog vreemder is: waarom alleen via SMS? Iedereen die iets van beveiliging volgt, weet dat sms-authenticatie niet de veiligste optie is. Sim-swapping en onderschepping van sms’jes zijn geen nieuwe dreigingen. Sterker nog, al jaren adviseert de securitywereld om alternatieven zoals authenticator-apps of hardware tokens aan te bieden. Dus ja, KPN zet een stap, maar wel eentje van een paar jaar geleden.
En dan de communicatie: “Het wordt verplicht en niet meer uit te zetten als het eenmaal aan staat.” Dat klinkt eerder als: we hebben nu iets ingevoerd, en jullie moeten het maar slikken. Waarom niet gewoon meteen een modern en veilig alternatief aanbieden? De techniek is er, de vraag ook. Kortom: goed dat KPN wakker wordt, maar misschien een beetje te laat en met een slaperige start.
Gisteren, 16:18 door
Anoniem
Door Tintin and Milou:
Nee SMS is geen goede oplossing.Door Anoniem:
https://www.security.nl/posting/892238/%27Oplichters+proberen+simkaarten+klanten+KPN+en+Odido+over+te+nemen%27
https://www.security.nl/posting/894334/Odido+meldt+toename+van+aantal+slachtoffers+van+sim-swapping
Dus ja het gebeurt en nee het is geen hoax.
Dit zijn wel specifieke aanvallen en niet gericht op zo iets als MijnKPN. Maar de kans is gewoon klein, en SMS is een goede snel en goedkope oplossing. Al zie ik veel liever ook TOTP als implementatie.Door Anoniem:
Blijf lekker geloven in je eigen schijnveiligheid wereldje zou ik zeggen.Door Anoniem:
Het liefst heb ik een software token of hardware token om in te loggen, dus buiten alle apparaten en netwerken om. Dat is gewoon veel beter. Dus KPN, stuur ons een hardware token om met 2FA in te loggen.
Hoe vaak komt simswapping nu voor in Nederland? Moet je dan meteen heel Nederland lastig vallen met die hoax?Dit is iets wat verplicht wordt in de toekomst en niet meer uit te zetten is als het eenmaal aan staat", laat een KPN-medewerker op het forum weten. "Momenteel is alleen nog 2FA via SMS beschikbaar, maar we zijn aan het kijken of we ook andere veilige alternatieve methodes kunnen toevoegen." KPN zegt binnenkort met meer informatie te zullen komen.
Het klopt dat SMS geen goede beveiliging is (denk maar aan SIM swapping). Laten we maar zeggen dat het 'beginnetje' is, en het is is goed dat er tenminste nog IETS gedaan wordt. Het liefst heb ik een software token of hardware token om in te loggen, dus buiten alle apparaten en netwerken om. Dat is gewoon veel beter. Dus KPN, stuur ons een hardware token om met 2FA in te loggen.
https://www.security.nl/posting/892238/%27Oplichters+proberen+simkaarten+klanten+KPN+en+Odido+over+te+nemen%27
https://www.security.nl/posting/894334/Odido+meldt+toename+van+aantal+slachtoffers+van+sim-swapping
Dus ja het gebeurt en nee het is geen hoax.
Goedkoop ja maar goede nee.
Dat een webwinkel een sms verificatie doet zal me bijvoorbeeld een worst wezen ik verwacht daar niet te veel van en er hangt altijd nog de payment provider tussen maar een ISP waar al je overige netwerk veiligheid van afhangt is gewoon een domme zet dat is een heel ander threat landscape.
We weten al jaren dat SMS niet meer hoort tot goede methodiek waar ook nog eens geen encryptie mogelijk is en het protocol heeft niet patchbare kwetsbaarheden waar ook geen aandacht meer aan besteed wordt omdat zowat alle bedrijven phase out en deprecation status aan het voeren zijn ervan dat het de investering en een rewrite niet waard is.
Je mag beter verwachten van een ISP. Dit is equivalant van een provider die nu SSL 3.0 zou aanbieden en overweegt in de toekomst te kijken naar TLS 1.2 wetend dat men meteen naar TLS 1.3 had kunnen gaan met gelijke tijd investering.
Gisteren, 17:14 door
Anoniem
Waarom zou je om te willen weten hoeveel MB je gebruikt hebt met 2FA lastig gevallen moeten worden?
Ze hebben een APP, naar ik hoop is dat goed dichtgetimmerd... Laat die 2FA onzin lekker wachten totdat je iets belangrijks gaat doen als abbo veranderen, of zaken bijkopen of uitzetten...
Nu is het 'your password must contain 8 characters, upper and lower case, a symbol, a number, a hieroglyph, a haiku, a musical note, urine sample, hawk feather and a drop of unicorn blood."..
Oftewel, teveel onzin voor te simpele eieren... Waarom eieren gemaakt voor de roerei in fort knox leggen?
Overigens is die KPN app wel een van de allerslechtste in de wereld..
Inloggen via een webpagina, 2FA via sms, wanneer je wat wilt aanpassen ga je weer naar een webpagina... Zelfs Tele2 kon dat al 10 jaar geleden alles in de APP..
Ze hebben een APP, naar ik hoop is dat goed dichtgetimmerd... Laat die 2FA onzin lekker wachten totdat je iets belangrijks gaat doen als abbo veranderen, of zaken bijkopen of uitzetten...
Nu is het 'your password must contain 8 characters, upper and lower case, a symbol, a number, a hieroglyph, a haiku, a musical note, urine sample, hawk feather and a drop of unicorn blood."..
Oftewel, teveel onzin voor te simpele eieren... Waarom eieren gemaakt voor de roerei in fort knox leggen?
Overigens is die KPN app wel een van de allerslechtste in de wereld..
Inloggen via een webpagina, 2FA via sms, wanneer je wat wilt aanpassen ga je weer naar een webpagina... Zelfs Tele2 kon dat al 10 jaar geleden alles in de APP..
Gisteren, 17:16 door
Anoniem
Blijkbaar wordt er over het hoofd gezien dat er voor gewone mobiele telefoons alleen maar 2FA via SMS mogelijk is.
Gisteren, 17:18 door
Anoniem
Dus (gratis) TOTP (https://www.google.com/search?q=totp+authenticators)
is weer te moeilijk voor KPN/Vmware/xxxfone en al die andere zelf benoemde top IT bedrijven?
Ik vind het te BELACHELIJK voor woorden dat deze zelf benoemde top IT bedrijven blijven hangen op sms.
Gratis advertentie slogan:
Een totp, dat is een topper, een beveiliging zo scherp door VULZELFIN voor het echte werk.
is weer te moeilijk voor KPN/Vmware/xxxfone en al die andere zelf benoemde top IT bedrijven?
Ik vind het te BELACHELIJK voor woorden dat deze zelf benoemde top IT bedrijven blijven hangen op sms.
Gratis advertentie slogan:
Een totp, dat is een topper, een beveiliging zo scherp door VULZELFIN voor het echte werk.
Gisteren, 17:32 door
Anoniem
Door Anoniem: Dus (gratis) TOTP (https://www.google.com/search?q=totp+authenticators)
is weer te moeilijk voor KPN/Vmware/xxxfone en al die andere zelf benoemde top IT bedrijven?
Ik vind het te BELACHELIJK voor woorden dat deze zelf benoemde top IT bedrijven blijven hangen op sms.
Gratis advertentie slogan:
Een totp, dat is een topper, een beveiliging zo scherp door VULZELFIN voor het echte werk.
is weer te moeilijk voor KPN/Vmware/xxxfone en al die andere zelf benoemde top IT bedrijven?
Ik vind het te BELACHELIJK voor woorden dat deze zelf benoemde top IT bedrijven blijven hangen op sms.
Gratis advertentie slogan:
Een totp, dat is een topper, een beveiliging zo scherp door VULZELFIN voor het echte werk.
Echt tijd voor sociale dienstplicht, zeker voor tech nerds. Zes maandjes op de helpdesk, zodat ze een beetje leren waarom "moeilijk" slaat op _klanten_ en niet op de IT afdeling.
In tegenstelling tot ambtenaren hebben echte bedrijven klanten die _wel_ weg kunnen lopen , en dat doen als het "gewoon telkens blokkeert" .
Gisteren, 17:37 door
Anoniem
Door Anoniem: Dus (gratis) TOTP (https://www.google.com/search?q=totp+authenticators)
is weer te moeilijk voor KPN/Vmware/xxxfone en al die andere zelf benoemde top IT bedrijven?
Ik vind het te BELACHELIJK voor woorden dat deze zelf benoemde top IT bedrijven blijven hangen op sms.
Gratis advertentie slogan:
Een totp, dat is een topper, een beveiliging zo scherp door VULZELFIN voor het echte werk.
Als je het zelf zo goed kan, waarom werk je dan zelf niet in die branche.grote mond is makkelijker, lijkt dan net of jouw mening belangrijk is.is weer te moeilijk voor KPN/Vmware/xxxfone en al die andere zelf benoemde top IT bedrijven?
Ik vind het te BELACHELIJK voor woorden dat deze zelf benoemde top IT bedrijven blijven hangen op sms.
Gratis advertentie slogan:
Een totp, dat is een topper, een beveiliging zo scherp door VULZELFIN voor het echte werk.
Door Anoniem:
Goedkoop ja maar goede nee.
Dat een webwinkel een sms verificatie doet zal me bijvoorbeeld een worst wezen ik verwacht daar niet te veel van en er hangt altijd nog de payment provider tussen maar een ISP waar al je overige netwerk veiligheid van afhangt is gewoon een domme zet dat is een heel ander threat landscape.
We weten al jaren dat SMS niet meer hoort tot goede methodiek waar ook nog eens geen encryptie mogelijk is en het protocol heeft niet patchbare kwetsbaarheden waar ook geen aandacht meer aan besteed wordt omdat zowat alle bedrijven phase out en deprecation status aan het voeren zijn ervan dat het de investering en een rewrite niet waard is.
Je mag beter verwachten van een ISP. Dit is equivalant van een provider die nu SSL 3.0 zou aanbieden en overweegt in de toekomst te kijken naar TLS 1.2 wetend dat men meteen naar TLS 1.3 had kunnen gaan met gelijke tijd investering.
Ik ben groot voorstander van TOTP voor dit soort authenticaties. Werkt voor personen die hier mee werken een stuk gemakkerlijk.Door Tintin and Milou:
Nee SMS is geen goede oplossing.Door Anoniem:
https://www.security.nl/posting/892238/%27Oplichters+proberen+simkaarten+klanten+KPN+en+Odido+over+te+nemen%27
https://www.security.nl/posting/894334/Odido+meldt+toename+van+aantal+slachtoffers+van+sim-swapping
Dus ja het gebeurt en nee het is geen hoax.
Dit zijn wel specifieke aanvallen en niet gericht op zo iets als MijnKPN. Maar de kans is gewoon klein, en SMS is een goede snel en goedkope oplossing. Al zie ik veel liever ook TOTP als implementatie.Door Anoniem:
Blijf lekker geloven in je eigen schijnveiligheid wereldje zou ik zeggen.Door Anoniem:
Het liefst heb ik een software token of hardware token om in te loggen, dus buiten alle apparaten en netwerken om. Dat is gewoon veel beter. Dus KPN, stuur ons een hardware token om met 2FA in te loggen.
Hoe vaak komt simswapping nu voor in Nederland? Moet je dan meteen heel Nederland lastig vallen met die hoax?Dit is iets wat verplicht wordt in de toekomst en niet meer uit te zetten is als het eenmaal aan staat", laat een KPN-medewerker op het forum weten. "Momenteel is alleen nog 2FA via SMS beschikbaar, maar we zijn aan het kijken of we ook andere veilige alternatieve methodes kunnen toevoegen." KPN zegt binnenkort met meer informatie te zullen komen.
Het klopt dat SMS geen goede beveiliging is (denk maar aan SIM swapping). Laten we maar zeggen dat het 'beginnetje' is, en het is is goed dat er tenminste nog IETS gedaan wordt. Het liefst heb ik een software token of hardware token om in te loggen, dus buiten alle apparaten en netwerken om. Dat is gewoon veel beter. Dus KPN, stuur ons een hardware token om met 2FA in te loggen.
https://www.security.nl/posting/892238/%27Oplichters+proberen+simkaarten+klanten+KPN+en+Odido+over+te+nemen%27
https://www.security.nl/posting/894334/Odido+meldt+toename+van+aantal+slachtoffers+van+sim-swapping
Dus ja het gebeurt en nee het is geen hoax.
Goedkoop ja maar goede nee.
Dat een webwinkel een sms verificatie doet zal me bijvoorbeeld een worst wezen ik verwacht daar niet te veel van en er hangt altijd nog de payment provider tussen maar een ISP waar al je overige netwerk veiligheid van afhangt is gewoon een domme zet dat is een heel ander threat landscape.
We weten al jaren dat SMS niet meer hoort tot goede methodiek waar ook nog eens geen encryptie mogelijk is en het protocol heeft niet patchbare kwetsbaarheden waar ook geen aandacht meer aan besteed wordt omdat zowat alle bedrijven phase out en deprecation status aan het voeren zijn ervan dat het de investering en een rewrite niet waard is.
Je mag beter verwachten van een ISP. Dit is equivalant van een provider die nu SSL 3.0 zou aanbieden en overweegt in de toekomst te kijken naar TLS 1.2 wetend dat men meteen naar TLS 1.3 had kunnen gaan met gelijke tijd investering.
Echter als ik verder kijk, naar heel veel ouderen, is SMS gewoon een stuk eenvoudiger. Dat weten en begrijpen ze al, is ook veel gemakkelijk uit. te leggen via een klantenservice.
Bij het verliezen of resetten van je telefoon, blijft dit ook gewoon werken, (nadat je weer een nieuwe SIM kaart hebt natuurlijk). Maar met TOTP codes moet je backups regelen, applicaties gebruiken. Voor ons als ITer geen probleem. Maar dit zou ik aan mijn moeder echt niet 123 kunnen uitleggen.
Uiteindelijk gaat het om een risico analyse, wat exact noodzakelijk is.
https://www.security.nl/posting/896338/Wanneer+is+het+gebruik+van+SMS+voor+2FA+geen+%22adequate%22+beveiligingsmaatregel+meer%3FUiteindelijk is het een risico-analyse. Als jij als organisatie de kans op sim-swapping of andere aanvallen op het SMS-kanaal verwaarloosbaar acht (bv. gezien de aard van je dienst) of je hebt aanvullende maatregelen om dergelijke aanvallen te mitigeren, dan is dat AVG-technisch prima te verantwoorden. Je moet er dus vooral over nagedacht hebben.
Ik ben absoluut groot voorstander van TOTP hiervoor en baal ook dat ze niet gewoon beide aanbieden, maar SMS is een enorme verbetering en veel eenvoudiger in gebruikt.
Gisteren, 19:28 door
Anoniem
Door Anoniem: Dus (gratis) TOTP (https://www.google.com/search?q=totp+authenticators)
is weer te moeilijk voor KPN/Vmware/xxxfone en al die andere zelf benoemde top IT bedrijven?
Ik vind het te BELACHELIJK voor woorden dat deze zelf benoemde top IT bedrijven blijven hangen op sms.
Gratis advertentie slogan:
Een totp, dat is een topper, een beveiliging zo scherp door VULZELFIN voor het echte werk.
Inderdaad! En dan niet te spreken over de slechte voortgang van hun router-firmware, sommige mensen moesten jaren wachten totdat ze over konden naar een nieuwere firmware.is weer te moeilijk voor KPN/Vmware/xxxfone en al die andere zelf benoemde top IT bedrijven?
Ik vind het te BELACHELIJK voor woorden dat deze zelf benoemde top IT bedrijven blijven hangen op sms.
Gratis advertentie slogan:
Een totp, dat is een topper, een beveiliging zo scherp door VULZELFIN voor het echte werk.
Elke keer als er een nieuwe firmware wordt aangekondigd diuirt het meestal nog maanden of jaren voordat deze daadwerkelijk bij me thuis geinstalleerd is, en de knop om het handmatig te kunnen is grijs. (kun je niet oo drukken, terwijl ik toch echt op een oudere versie zit)
Ik gebruik liever zelf iets zoals Aegis authenticator, maar KPN heeft voor mij de keuze voor 2FA al gemaakt; SMS, lol.
KPN is goed in klanten trekken, maar slecht in waarmaken.
De WiFi van hun router (Xperia box 12 in mijn geval) was zo langzaam dat ik er een WiFi-accespoint aan gehangen heb (NIET van KPN) via ethernet, zucht...
Op het forum wordt je veelal weggewuift door hun admins en gezegd dat "het wordt opgelost" terwijl je maanden of zelfs jaren aan het lijntje wordt ggehouden. "binnenkort" klinkt dat bekend?
Nu weer met de AppleTV box app, die is er niet, "nog niet" maar "binnenkort" (die belofte was alweer een jaar geleden ofzo...)
Waardeloos KPN, is dit waarvoor we ons zuurverdiende geld voor betalen??
Gisteren, 20:12 door
Anoniem
Door Anoniem:
Elke keer als er een nieuwe firmware wordt aangekondigd diuirt het meestal nog maanden of jaren voordat deze daadwerkelijk bij me thuis geinstalleerd is, en de knop om het handmatig te kunnen is grijs. (kun je niet oo drukken, terwijl ik toch echt op een oudere versie zit)
Ik gebruik liever zelf iets zoals Aegis authenticator, maar KPN heeft voor mij de keuze voor 2FA al gemaakt; SMS, lol.
KPN is goed in klanten trekken, maar slecht in waarmaken.
De WiFi van hun router (Xperia box 12 in mijn geval) was zo langzaam dat ik er een WiFi-accespoint aan gehangen heb (NIET van KPN) via ethernet, zucht...
Op het forum wordt je veelal weggewuift door hun admins en gezegd dat "het wordt opgelost" terwijl je maanden of zelfs jaren aan het lijntje wordt ggehouden. "binnenkort" klinkt dat bekend?
Nu weer met de AppleTV box app, die is er niet, "nog niet" maar "binnenkort" (die belofte was alweer een jaar geleden ofzo...)
Waardeloos KPN, is dit waarvoor we ons zuurverdiende geld voor betalen??
Firmware remote upgraden voor 3.500.000 doe je inderdaad ook even op een avond. Gewoon doen, wat kan er fout gaat?Door Anoniem: Dus (gratis) TOTP (https://www.google.com/search?q=totp+authenticators)
is weer te moeilijk voor KPN/Vmware/xxxfone en al die andere zelf benoemde top IT bedrijven?
Ik vind het te BELACHELIJK voor woorden dat deze zelf benoemde top IT bedrijven blijven hangen op sms.
Gratis advertentie slogan:
Een totp, dat is een topper, een beveiliging zo scherp door VULZELFIN voor het echte werk.
Inderdaad! En dan niet te spreken over de slechte voortgang van hun router-firmware, sommige mensen moesten jaren wachten totdat ze over konden naar een nieuwere firmware.is weer te moeilijk voor KPN/Vmware/xxxfone en al die andere zelf benoemde top IT bedrijven?
Ik vind het te BELACHELIJK voor woorden dat deze zelf benoemde top IT bedrijven blijven hangen op sms.
Gratis advertentie slogan:
Een totp, dat is een topper, een beveiliging zo scherp door VULZELFIN voor het echte werk.
Elke keer als er een nieuwe firmware wordt aangekondigd diuirt het meestal nog maanden of jaren voordat deze daadwerkelijk bij me thuis geinstalleerd is, en de knop om het handmatig te kunnen is grijs. (kun je niet oo drukken, terwijl ik toch echt op een oudere versie zit)
Ik gebruik liever zelf iets zoals Aegis authenticator, maar KPN heeft voor mij de keuze voor 2FA al gemaakt; SMS, lol.
KPN is goed in klanten trekken, maar slecht in waarmaken.
De WiFi van hun router (Xperia box 12 in mijn geval) was zo langzaam dat ik er een WiFi-accespoint aan gehangen heb (NIET van KPN) via ethernet, zucht...
Op het forum wordt je veelal weggewuift door hun admins en gezegd dat "het wordt opgelost" terwijl je maanden of zelfs jaren aan het lijntje wordt ggehouden. "binnenkort" klinkt dat bekend?
Nu weer met de AppleTV box app, die is er niet, "nog niet" maar "binnenkort" (die belofte was alweer een jaar geleden ofzo...)
Waardeloos KPN, is dit waarvoor we ons zuurverdiende geld voor betalen??
Nee, zo werkt het dus niet.
En bug oplossing is vaak ook last en complex, omdat sommige box alleen bij bepaalde situaties voor komt, die thuis gebruikers hebben, met alle mogelijke wifi of LAN devices van de meest vage merken uit het jaar nul.
Gelukkig weten we het hier allemaal veel beter, en zijn we verbaast dat KPN het allemaal zo doet.
Gisteren, 20:20 door
Anoniem
Bij Ziggo ook al verplicht. Al een aantal jaar niet meer kunnen inloggen. Aangezien ik Ziggo niet mijn 06-nummer toevertrouw. Als je ziet hoe zij met datalekken omgaan.
De prijs is nu boven de 40 euro p/m uitgekomen, veel te duur voor wat je krijgt. Echter geen concurrent die het voor minder doet. TV (inclusief teletekst en lokaal opnemen) + Internet (via draadje en 25/50 zou al genoeg zijn) meer niet nodig.
De prijs is nu boven de 40 euro p/m uitgekomen, veel te duur voor wat je krijgt. Echter geen concurrent die het voor minder doet. TV (inclusief teletekst en lokaal opnemen) + Internet (via draadje en 25/50 zou al genoeg zijn) meer niet nodig.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?