lekker op marktplaats zetten, dan nemen wij het wel goedkoop van je over :)
Je kan een sweex dan nemen, daar kan je met plain text auth over HTTP inloggen dus dat lost al je problemen op :)

Ik denk dat het een prima voorwaarde is aan een systeem waarvan het management direct aan het internet hangt wat zoveel impact kan hebben op je privacy en gevoelige gegevens.

De oplossing is, local users aanmaken en voor remote beheer een VPN opzetten naar je thuisnetwerk voor beheer.
Maar volgens mij moet er ook een 'cloud admin' zijn met MFA

Overigens werkt Google Authenticator ook zonder een actieve internetverbinding

Nee gebruik gewoon MFA. een wachtwoord is achterhaald.
Een beetje beheerder weet dat. Juist heel goed dat ze dit pushen. Je mag de zooi wel aan mij doneren.

Dat is juist m.b.t. e-mail, maar geldt volgens mij niet in alle gevallen voor passkeys, en zeker niet voor fatsoenlijke TOTP-apps (zoals Aegis).

Ook hier vóór de extra veiligheidsmaatregelen.
Ik gebruik de Unifi Network Controller in een Proxmox container en heb de verplichte MFA nog niet gezien maar ga er nu naar opzoek om het aan te zetten.

Waarom zou in vredesnaam tegen MFA zijn?
Ik kan echt geen goede reden bedenken om het niet te willen.

Dat heet gewoon TOTP en daar zijn vele apps voor beschikbaar, ook zonder dat jou gedrag wordt geanalyseerd voor advertenties.

Graag op marktplaats aub!

Waarom wil je geen MFA?

Ik ben serieus benieuwd waarom je dit ene probleem vindt.

Waarom zou je geen MFA willen gebruiken? Je bent tegen extra beveiligingen?

Ik heb trouwens nog geen enkele popup/forceer/advies gehad voor passkeys te gaan gebruiken bij Unifi.

Maar voor Unifi Network, kun je eventueel dit zelf hosten.
Unifi Video werkt alleen volgens mij met cloud accounts, maar weet ik niet zeker.

Geen MFA willen gebruiken? Waarom zou je dat niet willen?
Ik heb nog geen enkele push gehad richting passkey.

De meeste authenticator doen het ook gewoon zonder Internet. Dus dat is geen redenen, afgezien dat je de juiste kennis blijkbaar niet hebt. Eigenlijk iedere authenticator doet dit.

Hoe wil je trouwens in inloggen op je controller, als je controller geen Internet heeft?

Maar op de Unifi Netwerk controller kun je ook gewoon lokaal inloggen, met een lokaal account. Moet je natuurlijk wel eerst een IP verbinding kunnen maken naar je controller, gewoon op een TCP port.

Dus vanaf buitenaf, een VPN... O wacht.... Je had geen Internet meer toch?

Je local account van je "controller" heeft toch geen MFA nodig? enkel je ui.com account.

Omdat het schijnveiligheid oplevert, het risico op account-lockout vergroot en omdat het afleidt van waar je op moet letten: of je bij de juiste partij authenticeert.

Zie https://security.nl/posting/838325, mijn posting daar onder, en bijv. (lang) https://tweakers.net/nieuws/218918/playstation-network-krijgt-ondersteuning-voor-passkeys.html?showReaction=19644790#r_19644790.

Wat een onzin. Alsof "gewoon username + password" mensen WEL laat opletten of ze bij de juiste partij authenticeren.

Zet je motorhelm maar af, dat leidt af van opletten in het verkeer.

[sarcasme]

Klopt. Ik zie wekelijks mensen klagen dat hun account is geblokkeerd omdat ze de 2e factor niet hebben doorgegeven. Want we hebben ze geleerd om die niet door te geven als ze zelf niet inloggen. En zonder die lastige 2e factor worden ze ook niet midden in de nacht wakker door de piep van hun telefoon als iemand anders username en wachtwoord goed heeft ingevuld.

Alleen maar lastig die 2e factor.
[/sarcasme]

Peter

Tip: https://www.security.nl/posting/778668/TOTP+Authenticators+drama

Of het nu echt schijnveiligheid is, is denk ik een twijfel. Want met alleen een username/password heb je exact hetzelfde probeem. Nu heb je alleen nog MFA wat een mogelijke extra veiligheid geeft. Als de push notificatie van een ander IP komt dan primaire authenticatie, kan dit juist een extra risico analyse mogelijkheid geven.

Ik ben benieuwd hoe dit locked accounts kan geven trouwens.

Sinds Google Authenticator wél cloud-backups van de TOTP-shared-secrets kan maken (op onveilige wijze, https://tweakers.net/nieuws/218610/#r_19611942), zijn er veel minder van dit soort klachten, maar ze zijn er nog wel (mogelijk t.g.v. oude instellingen).

Eén recent voorbeeld uit de Play Store app:

De overall score is 3.3 (van 5), t g.v. het grote aantal keren dat gebruikers een 1 gaven - de meesten omdat zij al hun codes kwijt bleken te zijn na het verlies, de diefstal of het irreparabel defect raken van hun oude toestel.

Je kunt natuurlijk een andere app kiezen, zoals de privacy- en security-ramp Authy: een wachtwoord-reset gebruikt, naar verluidt (ik heb dit niet getest) uitsluitend een SMS (SIM-hijack = iemand anders heeft al jouw TOTP-codes). Voor een opsomming "waarom geen Authy", zie https://tweakers.net/nieuws/207532/#r_18549330.

Niet alleen die twee apps zijn Kwalitatief Uitermate Teleurstellend, helaas moet ik kennelijk mijn kort hierboven genoemde URL nogmaals noemen: https://www.security.nl/posting/778668/TOTP+Authenticators+drama.

Maar: feel free not to believe a grumpy old man en droom dan maar lekker verder.

Lockout vanuit je MFA is er niet meer, en je hebt de recovery codes niet bewaard.

Maar Backup is natuurlijk altijd belangrijk, helaas voor de meeste gebruikers is dit iets waar ze niet over nadenken.

Maar is nog steeds veiliger dan geen MFA. Wil niet zeggen, dat er geen security issues in zitten natuurlijk.

Ik sla hier meestal mijn TOTP codes op in KeePassXC, werkt best heel goed. Vaak ook nog met Auth, maar sinds dat niet meer op desktops goed werkt, ben ik daar minder blij mee. Maar werkt nog steeds goed, ook al is de beveiliging niet optimaal. Bij geen van mijn opgeslagen TOTP log ik password less in.

KeePassXC ondersteund ook PassKey, dus wil daar binnen kort eens naar kijken en onderzoeken.

Maar opletten moet je altijd, ook met alleen een UserID / Wachtwoord, ongeacht op welke site je dit gebruikt. Met MFA, heb je echter wel altijd een extra beveiligingsstap bij de meeste websites.

@ Tintin and Milou: ik schrijf niet in mijn eigen belang, en waarschijnlijk ook niet in het jouwe (ervaren ICT'er).

Mensen met flutwachtwoorden wordt, omdat zij flutwachtwoorden gebruiken, MASSAAL 2FA aanbevolen; de acties zijn niet van de lucht.

Gevolg: cybercriminelen gaan EvilGinx2 en dergelijke inzetten. Uit https://www.security.nl/posting/838322/Politiediensten+halen+phishing-as-a-service+platform+LabHost+offline:
Gebruik 2FA is een "stop met vapen, neem een cigaret!" advies.

Dat koppelen aan cloud heeft ook zijn (beheer) voordelen. Als de klant maar een keuze heeft. Die keuzevrijheid wordt inmiddels door veel fabrikanten vergeten.

Wat betreft wachtwoorden. Tja, hier genoeg mensen die totaal niet geïnteresseerd zijn in IT-middelen. Dus ieder paswoord is er eentje teveel.

Klopt, her gebruik van wachtwoorden, gemakkelijke wachtwoorden, website hacks zijn een groot problemen. Maar een groot gedeelte wordt wel opgelost icm TOPT/MFA.

Is het perfect, zeker niet, maar het lost wel de boven staande problemen op.

Sorry niet mee eens. Deze "oplossingen, zoals EvilGinx2" worden ook al gebruikt met gewone wachtwoorden.

Dat dit soort oplossingen juist steeds meer gebruikt worden, betekend dat MFA dus werkt, want ze moeten nieuwe oplossingen verzinnen en gebruiken.

TOTP is maar tijdelijk in gebruik, dus moeten ze zowel de gebruikersnaam/wachtwoord en TOTP code hebben, die maar tijdelijk geldig is.
Bij Push notifications, is het wat lastiger voor de eind gebruiker te bekijken, maar kan ook nog steeds.

Ik heb het absoluut niet met je "Advies" eens. MFA is een flinke verbetering voor eind gebruikers. Maar het lost niet ineens alle problemen magisch op.

MFA limiteerd enorm de risico's voor een gebruiker, maar haalt niet alles weg.

Een pincodebetaling is 2FA: je moet de pincode kennen en de pas (met chip met private key) in je bezit hebben.

Het risico (de kans) bij pincodebetalingen neemt toe naarmate meer "betaalterminals" of (Geldmaat) ATM's nep zijn (en meer geld naar een andere ontvanger wordt overgemaakt of elders meer geld uit de muur rolt).

De praktijk is dat het aantal van dat soort incidenten per tijdseenheid laag is.

Het aantal nepwebsites explodeert en PhaaS-gangs worden heel soms opgepakt - nadat zij veel mensen enorm hebben benadeeld (of ons allemaal, indien de betrokken banken "uit coulance" de financiële schade van slachtoffers vergoeden).

Er bestaan veiliger alternatieven, maar het advies van Tintin and Milou is om 2FA te blijven of alsnog te gaan gebruiken. Want met 2FA zou zelfs een flutwachtwoord geen probleem meer zijn.

Ik laat enig oordeel aan weldenkende lezers over.

Voor de Google authenticator is geen permanente internetverbinding nodig. Die werkt alleen op basis van de tijd zoals de meeste vergelijkbare authenticators.

Je zult hooguit eens per maand (of per jaar) een internetverbinding nodig hebben om de klok van je device weer met de correcte tijd te synchroniseren. En zelfs dat is niet nodig als je een eigen tijdserver op je netwerk installeert en die voor al je apparaten gebruikt. Of als je periodiek de klok met de hand gelijk zet.

In het geval van TOTP: omdat de godganse dag overal en nergens codes overkloppen gruwelijk irritant is. Om die reden zou ik het dan ook willen bestempelen als een van de meest ondoordachte beveiligingsmaatregelen ooit; vanuit het oogpunt van een gemiddelde gebruiker gezien voegt het alleen maar extra frictie toe, zonder er zelf een direct voordeel van te hebben. Het is ook niet voor niets dat diverse diensten het maar zijn gaan verplichten, want anders blijft een groot deel van de gebruikers gewoon vertrouwen op gebruikersnaam/wachtwoord. Dat geeft al aan dat het dus niet gebruiksvriendelijk genoeg is en teveel is opgesteld vanuit de visie van techneuten, zonder rekening te houden dat bezoekers er wel gebruik van moeten willen maken.

Ik gebruik zelf overigens gewoon netjes overal 2FA uit veiligheidsoverwegingen, maar dat neemt niet weg dat ik TOTP wel bijzonder onhandig in gebruik vind.

Typische IT gedachte. Te veel in techniek denken, en te weinig in gebruikers ervaring.

TOTP is zeker een goede verbetering bij een gebruikersnaam+wachtwoord inlog.

Wat zou jij als gebruikersvriendelijk alternatief zien Erik?

Vanuit de optiek van een gebruiker moet een systeem gewoon maar weten met wie het te maken heeft zonder dat er enige interactie nodig is (dus geen username, password of codes invoeren) zonder dat je iets nodig hebt (pasje, smartphone, etc), het mag nul false-positives of false-negatives geven en het moet volledige privacy bieden (behalve als de gebruiker iets wil achterhalen, dan moet alles gelogd zijn). Ieder systeem wat niet de gedachte van een gebruiker kan lezen is dus niet goed genoeg.

Ik gebruik het gratis bitwarden wachtwoord manager met bitwarden extentie in de browser werkt als een speer. Niks geen gedoe met authenticators. Er zit een ingebouwde authenticator in voor TOTP en passkeys kan je ook opslaan.

Ik heb een selfhosted Vaultwarden server in Proxmox ben er heel tevreden over.

wat is het nut van 2fa als je op hetzelfde netwerk zit, sterker nog, als je cat7 kabel in de udm se zit?
elkekeer alsje je netwerk wilt bekijken of de cameras wilt zien via de browser op je eigen netwerk... via de app hoeft dat dan weer niet.. vreemd..

Wat is het nut van 1FA, sterker, het doorgeven van een user-ID indien je de enige bent die erbij kan? Inderdaad: geen.

Maar dát er situaties bestaan waarin alleen de geautoriseerde beheerder erbij kan, is -terecht- geen uitgangspunt van Ubiquity.

Inloggen doe je namelijk nooit voor jezelf, maar om te voorkómen dat een ongeautoriseerde toegang krijgt tot iets waar jij bij mag.

Mogelijk is dat omdat je met een browser eenvoudiger gefopt kunt worden om in te loggen op een pagina van een AitM (Attacker in the Middle, die -als zijnde jou- inlogt op jouw Uniquity spulleboel) dan met hun app.

Google Authenticator (of een andere TOTP app) is prima zonder een internetverbinding te gebruiken. Je moet wel zorgen dat je klokje gelijk loopt.

Je schetst het wel heel zwart-wit, en ik lees tussen de regels door dat je MFA alleen ziet als TOTP.

Het is gewoon een feit dat veel mensen flutwachtwoorden gebruiken, en daarbij (en dat is een nog veel groter probleem) wachtwoorden hergebruiken. Het is een utopie om te denken dat mensen dat gedrag gaat aanpassen. Je kan prima complexiteiteisen gaan afdwingen, resultaat is dat de wachtwoorden weer gewoon op post-it memo's aan de monitors hangen, van de regen in de drup.

Dus, dat nemende als uitgangspunt is een MFA methode (ongeacht welke) een verbetering. In de omgevingen die ik beheer zie ik echt vaak dat aanmeldpogingen vanuit het buitenland geblokkeerd worden door geen geldige MFA challenge return. Gebruiker maar weer dwingen zijn wachtwoord te wijzigen, maar zonder die extra barriere zat mister X allang mee te lezen in de systemen.

Dat er betere/slechtere MFA toepassingen zijn is helder; gebeld worden is volledig no-go (MFA fatigue) en SMS is ook kwetsbaar. TOTP al wat beter, authenticator apps weer een stapje hoger, passkeys, hardwaretokens en biometrisch voor nu maar even bovenaan de ladder.

Zijn ze perfect? Nee, zeker niet. Maar dat is echt anders dan zeggen dat we het helemaal maar niet moeten doen.

Het zou reageerders sieren als ze vóóraf enkele andere, aan het onderwerp gerelateerde, posts van bewust niet anonieme posters zouden lezen (notabene zélfs vóórkomend elders in deze pagina), voordat ze één reactie van zo iemand uit haar context sleuren - die ging over TOTP.

#vermoeiend

aangezien je default gedwongen wordt om een UI account te gebruiken was mij helemaal niet bekend dat dit kon

ubiquiti is gewoon rommel : het heeft een vals gevoel van veiligheid de vele knopjes die eigenlijk er gewoon voor decor staan. Na enkele testen heeft het toestel gestopt met werken zonder enige reactie.

fortigate , watchguard , baracuda, cisco, dlink om er enkele op te noemen die wel een juiste werking vertonen als firewall.
Nadeel is dat de persoon iets van moet kennen.

Maar één gouden regel toestelen die niet aan internet hoeven gewoon geen internet laten zien.Elk beter bedrijf heeft een intern netwerk.

En toch maken ze hele mooie en goede producten, die goed aangeschreven staan

Probeer je nu te trollen of niet.
Foritygate heeft grote security issues gehad, baracuda email appliances, dlink heeft tegenwoordig ook gewoon cloud beheer. Cisco, heeft ook de nodige cloud producten.

Klopt, maar ook niet elk bedrijf heeft zin om zijn beheersinterface te onderbouwen.
Cloud is zeker niet perfect, maar bied wel voordelen, en nadelen.

Maar Unifi netwerk Controller kan je gewoon onprem draaien. Dus je hele post slaat eigenlijk nergens op.

Een password kan ge-bruteforced worden, gestolen, afkijken, laten slingeren, vertellen tegen iemand terwijl er wordt meegeluisterd, herhaald gebruiken. Kortom, onveilig. Met MFA komt er een extra laag bovenop, die het iedere boef een stuk moeilijker maakt. Passkey is zeker de toekomst, maar helaas nu nog even niet. Dus voor 99% van de gewone werknemers, is MFA de enige mogelijkheid om in te loggen. Dit is absoluut geen schijnveiligheid, maar bittere noodzaak. Ik ga mijn werknemers echt niet met alleen een wachtwoord laten inloggen.

Toch wel knap dat je enterprise oplossingen in 1 rij weet te noemen met consumentenelektronica (Dlink). Ubiquiti is niet zaligmakend, maar voor het merendeel van de gebruikers voor de prijs een prima product.

Helemaal eens met je statement dat wat niet aan het internet hoeft je niet moet koppelen. Maar omdat het hier om netwerkapparatuur gaat die toch echt een interfacing zijde heeft beetje nodeloos hier….

Hoe vervelender het is des te veiliger het wordt.
De beste beveiliging is dus een ellenlange discussie voeren op internet over wat wel en niet veilig is.
Dat zou verplicht moeten worden gesteld voordat je ook maar ergens een lichtknopje mag omschakelen.
Het liefst wordt dat afgedwongen door een heel groot bedrijf dat dat niet enkel doet vanwege checkbox compliancy of bad news damage control maar ook vanwege de vendor lockin opportunity.
Was er ergens maar een volledig vrij en open platform dat immuun is tegen vervelende business beslissingen die bij klanten door de strot wordt geduwd.