image

Overheid start campagne voor inschakelen tweefactorauthenticatie

dinsdag 6 februari 2024, 10:42 door Redactie, 13 reacties

De Rijksoverheid is vandaag de campagne 'Dubbel beveiligd is dubbel zo veilig' gestart waarin burgers worden opgeroepen om tweefactorauthenticatie (2FA) voor hun socialmedia- en e-mailaccounts in te schakelen. Uit een peiling van de Rijksoverheid blijkt dat 24 procent van de Nederlanders 2FA voor e-mail gebruikt en 15 procent dit voor hun socialmedia-account heeft ingesteld.

"Terwijl deze wel het meest effectief is tegen hacking, één van de meest voorkomende vormen van cybercrime. Met de nieuwe campagne ‘Dubbel beveiligd is dubbel zo veilig’ wil de Rijksoverheid meer Nederlanders stimuleren om voor e-mail en andere accounts gebruik te gaan maken van tweestapsverificatie", zo meldt het ministerie van Justitie en Veiligheid. Het ministerie merkt op dat zodra aanvallers toegang tot een e-mailaccount hebben het mogelijk is om wachtwoorden van andere accounts te resetten.

"De campagne zet in op bewustwording om het instellen van inloggen in twee stappen te stimuleren. Met herkenbare voorbeelden worden de momenten zichtbaar wanneer e-mail gehackt kan worden en wat de gevolgen zijn voor andere accounts. Op dubbelzoveilig.nl wordt uitgelegd hoe je inloggen in twee stappen instelt voor de populairste platforms", zo laat het ministerie verder weten.

De campagne start op het Nova College in Haarlem. Bij een speciaal ‘Dubbelcheckpoint’ wordt aan studenten gevraagd of ze al inloggen in twee stappen hebben ingesteld voor e-mail. Zo niet, dan krijgen ze hulp. De komende weken gaat dit ‘Dubbelcheckpoint’ langs meerdere scholen om het belang van inloggen in twee stappen onder de aandacht van jongeren te brengen. Op dubbelzoveilig.nl wordt uitgelegd hoe 2FA voor de populairste platforms is in te stellen.

Reacties (13)
06-02-2024, 10:49 door majortom - Bijgewerkt: 06-02-2024, 10:54
burgers worden opgeroepen om tweefactorauthenticatie (2FA) voor hun socialmedia- en e-mailaccounts in te schakelen
Hoe doe ik dat als ik IMAP gebruik? Voor webmail kan ik het me voorstellen, maar als er via een achterdeur ook de mogelijkheid tot IMAP/POP is, dan staat die gewoon open (met dezelfde credentials) en is het een nutteloze actie 2FA op webmail te zetten, tenzij er andere credentials voor webmail dan voor IMAP/POP gebruikt moeten worden (wat meestal niet het geval is).

Overigens is het wederom onduidelijk of de dubbelzoveilig URL een overheidsurl is, zeker als je ziet dat een Let's Encrypt certificaat wordt gebruikt.
06-02-2024, 10:56 door Anoniem
Is 2FA niet al achterhaald? Was het niet beter te refereren naar moderne authenticatie i.e. MFA hiervoor te gebruiken? Bijzonder hoe zulke achterhaalde campagnes weer worden bedacht.
06-02-2024, 11:22 door Anoniem
Het is te triest voor woorden dat DigiD geen ondersteuning biedt voor 2FA / MFA via standaard methoden als TOTP codes of een hardware key / pass key.
06-02-2024, 11:41 door Anoniem
Door Anoniem: Is 2FA niet al achterhaald? Was het niet beter te refereren naar moderne authenticatie i.e. MFA hiervoor te gebruiken? Bijzonder hoe zulke achterhaalde campagnes weer worden bedacht.
Oh absoluut maar ja overheid heh? Bedoel tot 2023 hadden ze nog sites die niet eens https afdwongen.

Overheid en advies is gelijk aan ellende.
06-02-2024, 11:43 door Anoniem
2FA is leuk en hip.

Tot je telefoon in de wc valt en je geen enkel wachtwoord meer kan wijzigen via je 'overheidscampagne' '2FA' e-mail. Nooit meer. Tenminste niet op dat e-mail adres waar je jezelf hebt buitengesloten.

https://www.youtube.com/watch?v=cSaQx1jgM-I (0:39)
Maurice Moss from the IT Crowd shows us a Cell Phone tip!
IronmorganFilms
13 subscribers
86,904 views 5 Oct 2011
06-02-2024, 11:49 door Anoniem
Door Anoniem: Is 2FA niet al achterhaald? Was het niet beter te refereren naar moderne authenticatie i.e. MFA hiervoor te gebruiken? Bijzonder hoe zulke achterhaalde campagnes weer worden bedacht.

2FA is een vorm van MFA. en als mensen nu alleen username + pw hebben dan is de overstap naar 2FA al een grootte winst naae 3FA gaan de meeste niet doen en dan zijn er weer mensen die denken dan doe ik wel niets. Daarnaast hoeveel aanbieders ken jij die 3FA aankunnen?

Hoop wel dat ze inderdaad afraden om sms als MFA te pakken maar soft of hardtoken.
06-02-2024, 11:52 door Anoniem
Door majortom: Hoe doe ik dat als ik IMAP gebruik? Voor webmail kan ik het me voorstellen, maar als er via een achterdeur ook de mogelijkheid tot IMAP/POP is, dan staat die gewoon open (met dezelfde credentials) en is het een nutteloze actie 2FA op webmail te zetten, tenzij er andere credentials voor webmail dan voor IMAP/POP gebruikt moeten worden (wat meestal niet het geval is).

Hier zijn twee opties voor: Application passwords, of OAuth authenticatie. De eerste is vooral afhankelijk van ondersteuning bij de e-mailprovider. Die tweede is afhankelijk van zowel de e-mailprovider als technische ondersteuning in de e-mail client. Volgens mij is OAuth authenticatie niet goed gestandaardiseerd voor e-mail, waardoor het niet overal even goed werkt.

De term 'dubbel zo veilig' echter is echter wel wat misleidend in deze campagne. MFA is dubbel (2x) zo veilig als wachtwoorden. MFA is een fundamenteel onderdeel van digitale beveiliging. Als je geen MFA gebruikt, dan ben je niet 'minder veilig', je bent dan gewoon onveilig.
06-02-2024, 12:10 door Anoniem
Door majortom:
burgers worden opgeroepen om tweefactorauthenticatie (2FA) voor hun socialmedia- en e-mailaccounts in te schakelen
Hoe doe ik dat als ik IMAP gebruik? Voor webmail kan ik het me voorstellen, maar als er via een achterdeur ook de mogelijkheid tot IMAP/POP is, dan staat die gewoon open (met dezelfde credentials) en is het een nutteloze actie 2FA op webmail te zetten, tenzij er andere credentials voor webmail dan voor IMAP/POP gebruikt moeten worden (wat meestal niet het geval is).

Daarom is er de push naar 'app specific passwords' . Een lang + random password dat _alleen_ voor imap werkt (en ook alleen gebruikt wordt door een mailclient) .
Oa bij Office365 instelbaar .


En - OAUTH2 .
Dat is een access token verstrekt na een weblogin + 2FA .

En nu mogen alle fetchmail nerds heel boos worden "maar ik gebruik 64 random letter password en dat is ook zo super secure en ik mag zelf weten of mijn mail hackbaar is en google mag fetchmail niet blokkeren en en en en" .

Oftewel - OAUTH2 is inderdaad ruk als je automated API access (of het nou imap of iets anders is) wilt doen .
06-02-2024, 13:28 door Anoniem
Door Anoniem: Is 2FA niet al achterhaald? Was het niet beter te refereren naar moderne authenticatie i.e. MFA hiervoor te gebruiken? Bijzonder hoe zulke achterhaalde campagnes weer worden bedacht.

Wat is moderne authenticatie?

En 2FA is MFA .......

Ik heb Yubikey voor 2FA, ik zie niet in hoe dat achterhaald is
06-02-2024, 13:32 door Anoniem
Door Anoniem: 2FA is leuk en hip.

Tot je telefoon in de wc valt en je geen enkel wachtwoord meer kan wijzigen via je 'overheidscampagne' '2FA' e-mail. Nooit meer. Tenminste niet op dat e-mail adres waar je jezelf hebt buitengesloten.

https://www.youtube.com/watch?v=cSaQx1jgM-I (0:39)
Maurice Moss from the IT Crowd shows us a Cell Phone tip!
IronmorganFilms
13 subscribers
86,904 views 5 Oct 2011

2FA != SMS

Ik gebruik zelf Yubikeys en heb alle codes gebackedup naar een 2de key en ook nog naar een software auth

En als je sms telefoon in de zee valt, dan vraag je gewoon een nieuwe SIM aan, duw je die in een burner en kun je weer inloggen

Ik zie het probleem niet, behalve dat de meeste platformen niks beters ondersteunen dan SMS als 2FA terwijl je met een budget SMS verkeer kunt decoden uit de lucht , en je hebt ook een SIM swap risico in veel landen , en het andere nadeel is dat de meeste platformen weer geen Yubis actief supporten , en ook dat de meeste gebruikers dom zijn en niks snappen behalve Huisdier123! als wachtwoord overal
06-02-2024, 14:06 door Anoniem
Door Anoniem: Het is te triest voor woorden dat DigiD geen ondersteuning biedt voor 2FA / MFA via standaard methoden als TOTP codes of een hardware key / pass key.

Beschrijf jij eens een goede procedure (als in - veilig) om een hardware key aan een persoon te koppelen ?
06-02-2024, 15:10 door Anoniem
Door Anoniem:
Door Anoniem: 2FA is leuk en hip.

Tot je telefoon in de wc valt en je geen enkel wachtwoord meer kan wijzigen via je 'overheidscampagne' '2FA' e-mail. Nooit meer. Tenminste niet op dat e-mail adres waar je jezelf hebt buitengesloten.

2FA != SMS

Ik zie de telefoon van Moss als de tweede factor. Als die telefoon stuk gaat heb je geen tweede factor meer en moet je op een of andere manier de 2FA van je account af halen.

Bij DigiD is dit geen probleem. Maar bij Apple, Google of Microsoft wel. Die gaan om kopieën van je paspoort vragen of zoiets. Dat betekent dat een aanvaller met datzelfde kopie ook de 2FA van je account af kan halen zonder dat je het weet. Terwijl je ligt te slapen 's nachts.

Ik zie niet hoe dat veiligheid toevoegt aan je account.
06-02-2024, 19:06 door Anoniem
Europese Digitale Identiteit is de beoogde oplossing.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.