Overheid start campagne voor inschakelen tweefactorauthenticatie
De Rijksoverheid is vandaag de campagne 'Dubbel beveiligd is dubbel zo veilig' gestart waarin burgers worden opgeroepen om tweefactorauthenticatie (2FA) voor hun socialmedia- en e-mailaccounts in te schakelen. Uit een peiling van de Rijksoverheid blijkt dat 24 procent van de Nederlanders 2FA voor e-mail gebruikt en 15 procent dit voor hun socialmedia-account heeft ingesteld.
"Terwijl deze wel het meest effectief is tegen hacking, één van de meest voorkomende vormen van cybercrime. Met de nieuwe campagne ‘Dubbel beveiligd is dubbel zo veilig’ wil de Rijksoverheid meer Nederlanders stimuleren om voor e-mail en andere accounts gebruik te gaan maken van tweestapsverificatie", zo meldt het ministerie van Justitie en Veiligheid. Het ministerie merkt op dat zodra aanvallers toegang tot een e-mailaccount hebben het mogelijk is om wachtwoorden van andere accounts te resetten.
"De campagne zet in op bewustwording om het instellen van inloggen in twee stappen te stimuleren. Met herkenbare voorbeelden worden de momenten zichtbaar wanneer e-mail gehackt kan worden en wat de gevolgen zijn voor andere accounts. Op dubbelzoveilig.nl wordt uitgelegd hoe je inloggen in twee stappen instelt voor de populairste platforms", zo laat het ministerie verder weten.
De campagne start op het Nova College in Haarlem. Bij een speciaal ‘Dubbelcheckpoint’ wordt aan studenten gevraagd of ze al inloggen in twee stappen hebben ingesteld voor e-mail. Zo niet, dan krijgen ze hulp. De komende weken gaat dit ‘Dubbelcheckpoint’ langs meerdere scholen om het belang van inloggen in twee stappen onder de aandacht van jongeren te brengen. Op dubbelzoveilig.nl wordt uitgelegd hoe 2FA voor de populairste platforms is in te stellen.
Overigens is het wederom onduidelijk of de dubbelzoveilig URL een overheidsurl is, zeker als je ziet dat een Let's Encrypt certificaat wordt gebruikt.
Overheid en advies is gelijk aan ellende.
Tot je telefoon in de wc valt en je geen enkel wachtwoord meer kan wijzigen via je 'overheidscampagne' '2FA' e-mail. Nooit meer. Tenminste niet op dat e-mail adres waar je jezelf hebt buitengesloten.
https://www.youtube.com/watch?v=cSaQx1jgM-I (0:39)
Maurice Moss from the IT Crowd shows us a Cell Phone tip!
IronmorganFilms
13 subscribers
86,904 views 5 Oct 2011
2FA is een vorm van MFA. en als mensen nu alleen username + pw hebben dan is de overstap naar 2FA al een grootte winst naae 3FA gaan de meeste niet doen en dan zijn er weer mensen die denken dan doe ik wel niets. Daarnaast hoeveel aanbieders ken jij die 3FA aankunnen?
Hoop wel dat ze inderdaad afraden om sms als MFA te pakken maar soft of hardtoken.
Hier zijn twee opties voor: Application passwords, of OAuth authenticatie. De eerste is vooral afhankelijk van ondersteuning bij de e-mailprovider. Die tweede is afhankelijk van zowel de e-mailprovider als technische ondersteuning in de e-mail client. Volgens mij is OAuth authenticatie niet goed gestandaardiseerd voor e-mail, waardoor het niet overal even goed werkt.
De term 'dubbel zo veilig' echter is echter wel wat misleidend in deze campagne. MFA is dubbel (2x) zo veilig als wachtwoorden. MFA is een fundamenteel onderdeel van digitale beveiliging. Als je geen MFA gebruikt, dan ben je niet 'minder veilig', je bent dan gewoon onveilig.
Daarom is er de push naar 'app specific passwords' . Een lang + random password dat _alleen_ voor imap werkt (en ook alleen gebruikt wordt door een mailclient) .
Oa bij Office365 instelbaar .
En - OAUTH2 .
Dat is een access token verstrekt na een weblogin + 2FA .
En nu mogen alle fetchmail nerds heel boos worden "maar ik gebruik 64 random letter password en dat is ook zo super secure en ik mag zelf weten of mijn mail hackbaar is en google mag fetchmail niet blokkeren en en en en" .
Oftewel - OAUTH2 is inderdaad ruk als je automated API access (of het nou imap of iets anders is) wilt doen .
Wat is moderne authenticatie?
En 2FA is MFA .......
Ik heb Yubikey voor 2FA, ik zie niet in hoe dat achterhaald is
Tot je telefoon in de wc valt en je geen enkel wachtwoord meer kan wijzigen via je 'overheidscampagne' '2FA' e-mail. Nooit meer. Tenminste niet op dat e-mail adres waar je jezelf hebt buitengesloten.
https://www.youtube.com/watch?v=cSaQx1jgM-I (0:39)
Maurice Moss from the IT Crowd shows us a Cell Phone tip!
IronmorganFilms
13 subscribers
86,904 views 5 Oct 2011
2FA != SMS
Ik gebruik zelf Yubikeys en heb alle codes gebackedup naar een 2de key en ook nog naar een software auth
En als je sms telefoon in de zee valt, dan vraag je gewoon een nieuwe SIM aan, duw je die in een burner en kun je weer inloggen
Ik zie het probleem niet, behalve dat de meeste platformen niks beters ondersteunen dan SMS als 2FA terwijl je met een budget SMS verkeer kunt decoden uit de lucht , en je hebt ook een SIM swap risico in veel landen , en het andere nadeel is dat de meeste platformen weer geen Yubis actief supporten , en ook dat de meeste gebruikers dom zijn en niks snappen behalve Huisdier123! als wachtwoord overal
Beschrijf jij eens een goede procedure (als in - veilig) om een hardware key aan een persoon te koppelen ?
Tot je telefoon in de wc valt en je geen enkel wachtwoord meer kan wijzigen via je 'overheidscampagne' '2FA' e-mail. Nooit meer. Tenminste niet op dat e-mail adres waar je jezelf hebt buitengesloten.
2FA != SMS
Ik zie de telefoon van Moss als de tweede factor. Als die telefoon stuk gaat heb je geen tweede factor meer en moet je op een of andere manier de 2FA van je account af halen.
Bij DigiD is dit geen probleem. Maar bij Apple, Google of Microsoft wel. Die gaan om kopieën van je paspoort vragen of zoiets. Dat betekent dat een aanvaller met datzelfde kopie ook de 2FA van je account af kan halen zonder dat je het weet. Terwijl je ligt te slapen 's nachts.
Ik zie niet hoe dat veiligheid toevoegt aan je account.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
