Door Anoniem: Ik hoop dat je snapt dat 99.9% van de gebruikers dit soort dingen totaal boven de pet gaat [...] Ik waarschuw al langer dat de gangbare MFA (SMS, voice call en TOTP) niet helpen tegen "evil proxy" websites (uitleg: https://security.nl/posting/773644). Desondanks zie ik op deze site en op tweakers.net veel mensen anderen aanraden om TOTP te gebruiken "want veel veiliger dan SMS/voice". Vooral na het lezen van de publicatie zet ik daar grote vraagtekens bij - met name voor minder digitaalvaardige gebruikers (ik vermoed minder dan 99.9%, maar heb geen idee welk deel). Want op zich is het mooi dat TOTP veiliger is dan SMS/voice, maar als TOTP-secrets onversleuteld bij app-makers worden geback-upped, je betaalt met privacy en/of je, na verlies van toegang tot je smartphone, zelf geen toegang meer tot je TOTP-beveiligde accounts hebt, vraag ik mij af wat 'veiliger" is. Uit dat oogpunt begrijp ik ook beter dat DigiD met SMS als 2FA-methode werkt (als je de DigiD-app niet wilt gebruiken). Door ...