Ophef over 2-factor authenticatie-advies Australische overheid
Op internet is ophef ontstaan over advies van de Australische overheid om de twee-factor authenticatie van de Australische DigiD-tegenhanger uit te schakelen als men naar gebieden gaat waar geen mobiel bereik is. Via een 'myGov-account' kunnen Australische burgers allerlei zaken met de overheid regelen, zoals belastingen en kindertoeslag, maar ook het bijhouden van een online gezondheidsdossier.
Om in te loggen is er een gebruikersnaam en wachtwoord nodig. Voor extra veiligheid kunnen gebruikers ook twee-factor authenticatie gebruiken. In dit geval wordt er tijdens het inloggen een code naar de mobiele telefoon gestuurd, die naast het wachtwoord moet worden opgegeven. Via het officiële myGov-Twitteraccount verscheen er deze week echter een waarschuwing om deze extra beveiligingsmaatregel uit te schakelen als men ergens naar toe gaat waar geen mobiel bereik is, omdat de code anders niet kan worden verstuurd en gebruikers niet op hun account kunnen inloggen.
Het advies zorgde voor een golf van kritiek. Sommige Twitteraars vragen zich af waarom er niet met een hardwarematige token wordt gewerkt voor het genereren van de codes of een app die dit kan, zoals de Google Authenticator. Deze app genereert codes waarmee Google-gebruikers op hun account kunnen inloggen. In een reactie op alle kritiek stelt de Australische overheid dat gebruikers die twee-factor authenticatie uitschakelen als extra beveiliging tijdens het inloggen nog altijd geheime vragen moeten beantwoorden.
Men snapt blijkbaar nog steeds niet dat 'digitale' overheid geen 1-op-1 vervanging van een brief is.
Men snapt blijkbaar nog steeds niet dat 'digitale' overheid geen 1-op-1 vervanging van een brief is.
Bovenstaande gaat over de ophef advies 2fa uitschakelen wegens gebrek aan GSM dekking. Geen GSM dekking bedenk dat het nogal een uitgestrekt land is. Niet zo klein als NL.
Overheid en automatisering is niets anders dan de gangbare automatisering. Wat wordt geleerd om te automatiseren: kijk wat de mensen voor handelingen doen en maak ze overbodig door de digitale varianten.
Berichtafhandeling voor de administratie en marketing is het gangbare bekende process. Je kant er hele suites voor kopen.
Als er iets verweten moet worden is het de automatiseerders (geen innovaties) met de betreffende opdrachtgevers (bekende startsituatie) .
Men snapt blijkbaar nog steeds niet dat 'digitale' overheid geen 1-op-1 vervanging van een brief is.
Als je geen bereik hebt om een SMS te ontvangen voor de 2FA. Denk je dan wel dat je daar een brief kan ontvangen? En deze ook nog veilig kan ontvangen?
Ofwel wat je roept slaat helemaal nergens op.
Of een brief nu trouwens veiliger is dan een 2FA.....
Nee hoor, IT is toch ideaal voor 'fails' en als het overheid is komt het in de publiciteit.
Als een bedrijf iets fout doet dan wordt daar niet zo over gebabbeld en dan lijkt het net of bedrijven het beter doen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
