Door Erik van Straten: 2FA (MFA) is ruk.

Laat de overheid een wachtwoordmanager adviseren die wél op domeinnamen checkt.

Door Erik van Straten: 2FA (MFA) is ruk.

Laat de overheid een wachtwoordmanager adviseren die wél op domeinnamen checkt.

Door Anoniem: "Een minderheid (39%) realiseert zich dat kwaadwillenden via privémail ook toegang tot andere accounts kunnen krijgen, of zelfs bankgegevens kunnen inzien (30%). "

Word hiermee bedoelt dat dit het geval is indien je daadwerkelijk "bankstukken" in je mail hebt staan? Met alleen mijn mailadres kan je je ING wachtwoord niet resetten, daar is het mobiele nummer voor nodig om een SMS code te ontvangen.

Door Erik van Straten: 2FA (MFA) is ruk.

Laat de overheid een wachtwoordmanager adviseren die wél op domeinnamen checkt.

Door Erik van Straten: 2FA (MFA) is ruk.

Laat de overheid een wachtwoordmanager adviseren die wél op domeinnamen checkt.

Door Anoniem: Het probleem met een "wachtwoordmanager" is dat je niet (zeker) kunt weten of anderen die ook kunnen gebruiken om jouw wachtwoorden eruit te halen. Dat is namelijk het grote probleem met alle software op een computer die op internet is aangesloten.
Dan is mijn kaartenbak met gecodeerde wachtwoorden toch nog wel wat veiliger, zeker in combinatie met SMS 2FA.
En als dat niet veilig genoeg is, dan is Internet gewoon niet geschikt om belangrijke zaken als financien te regelen.

DAT zou de overheid dan ook moeten adviseren, net als bij beleggen:
met internetbankieren kunt u uw geld kwijtraken...

Door Erik van Straten: 2FA (MFA) is ruk.

Laat de overheid een wachtwoordmanager adviseren die wél op domeinnamen checkt.

Door Erik van Straten: Laat de overheid een wachtwoordmanager adviseren die wél op domeinnamen checkt.

Dat is een digitaal hulpje dat de wachtwoorden bedenkt, onthoudt en veilig voor je bewaart. En dat hoeft niet veel te kosten. Er zijn heel goede gratis wachtwoordmanagers.’ ‘Kijk op www.veiliginternetten.nl welke wachtwoordmanager bij jou past.’

Door Anoniem:
als 30% van de mensen voldoende kennis heeft om auto te rijden, maar we jagen iedereen de snelweg op, dan is het een kwestie van wachten totdat de pl**%# uitbreekt.

Door Anoniem: Dat heeft net zoveel nieuwswaarde als 65+ ers doen minder aan triathlons... duh...
De meeste hoeven niet mee te doen met de waan van de dag, sommige kunnen niet eens mee doen met de waan van de dag, de nieuwste innovatie verzonnen door en voor stuiterkonijnen met teveel rode kleurstof en nepcola met lange koolstofketens..

Bankzaken kun je ook prima doen bij een balie, dat hoeft niet op een telefoon, die je dan weer elke 2 jaar nieuw moet kopen om weer mee te kunnen doen. Wij van WC-Eend vinden dat er mee gepoept moet worden.. of was het meer zeiken? (pun intended)

Door _R0N_:
Leuk voor mensen die hier rondhangen maar voor de gemiddelde gepensioneerde is dat te ingewikkeld.
Je moet buiten je eigen bubbel denken en denken in de beleving van je oma.

Definities
Het onderzoek gaat over tweestapsverificatie voor online diensten. Respondenten kregen in de vragenlijst de volgende toelichting over tweestapsverificatie te lezen:
Tweestapsverificatie betekent dat er twee stappen nodig zijn om in te loggen op een online dienst. Naast het invoeren van een gebruikersnaam/e-mailadres en wachtwoord is er nog iets anders nodig. Dat kan een code zijn die je ontvangt op je telefoon of een ander apparaat of via een e-mailadres. Maar dat kan ook zijn dat je moet bevestigen dat je wil inloggen via een melding.)[sic]

Door M.J.: Als persoon besteed je met zo'n virtuele "wachtwoordmanager" dan ook de controle over je eigen beveiliging weer uit aan een extern systeem waar je geen zicht op hebt. Dat is inherent juist onveilig.

Door Erik van Straten:
[...]
https://www.politie.nl/binaries/content/assets/politie/onderwerpen/sim-swapping/6760e70d-7e6e-44cd-a27d-6ff44a73e55b.pdf

Door Anoniem:
> Houd uw software up-to-date, inclusief uw
> browser, antivirus en het besturingssysteem.

Hoe houd je software up-to-date?
Veel mensen hebben geen idee, heb ik gemerkt.

> Gebruik speciale authenticatie-apps die als alternatief voor verificatiecodes per sms kunnen dienen.

Door Erik van Straten: [...] speciaal voor u bedacht door NITWITS

Het ministerie van Justitie en Veiligheid wil Nederlanders weerbaarder maken tegen cybercrime, waarbij het stimuleren van het gebruik van tweestapsverificatie (2FA) bij e-mail een van de pijlers is. In een nieuwe campagneflight, die in november 2025 van start gaat, wordt specifiek gericht op 65-plussers. Deze doelgroep blijkt 2FA minder in te stellen; de kennis over 2FA blijkt beperkt en veel mensen ervaren onzekerheid over hun digitale vaardigheden. Door met deze campagne 65-plussers te stimuleren 2FA op hun e-mail toe te passen, wordt het vertrouwen in hun eigen kunnen versterkt.

Door Briolet: [...]
Bij Ziggo of GMail kan ik ook 2FA gebruiken voor webmail, maar zolang je daarnaast nog via het IMAP protocol bij de mail kunt komen, geeft 2FA alleen maar een vals gevoel van veiligheid.

Door Erik van Straten: 2FA (MFA) is ruk.

Laat de overheid een wachtwoordmanager adviseren die wél op domeinnamen checkt.

Door Anoniem:
Zoiets heet FIDO2.

Door Anoniem:Bankzaken kun je ook prima doen bij een balie, dat hoeft niet op een telefoon, die je dan weer elke 2 jaar nieuw moet kopen om weer mee te kunnen doen.

Door Anoniem: Dit soort uitspraken maakt het allemaal nog ingewikkelder dan het al is.
Voor "Mijn Ziggo" account is SMS-2FA verplicht maar niet voor Ziggo (web)Mail...
Dus of het werkt bij jou anders of er klopt iets niet?

Door Briolet:
Hoezo ingewikkelder? Ik citeer alleen een stuk uit het onderzoek waar ze het over mail in combinatie met 2FA hebben. En in het Ziggo verhaal heb ik het alleen over de webmail en niet over het Ziggo account.

Ziggo heeft een tijd geleden aangeraden om ook 2FA voor webmail aan te zetten vanwege de veiligheid. En daar stoor ik me aan omdat je de gebruikers zand in de ogen strooit. (Het aanzetten doe je binnen de webmail omgeving bij de veiligheidsinstellingen) Ook het citaat uit het onderzoek heeft het over het aanzetten van 2FA voor mail, terwijl dat alleen voor webmail mogelijk is. Ook zij gaan er niet op in dat 2FA bij webmail gewoon zinloos is als je niet gelijktijdig de toegang via IMAP onmogelijk maakt.

Het idee van 2FA is dat als je wachtwoord lekt, de gebruiker een 2e autenticatie nodig heeft om werkelijk in te kunnen loggen. Bij de meeste mail applicaties zoals bij Ziggo of GMail bied een 2FA geen enkele extra beveiliging omdat iemand die in bezit is van een gelekt wachtwoord, gewoon via het IMAP protocol kan inloggen en dan is er geen 2FA voorzien.

Bij Apple webmail heeft 2FA wel zit omdat je daar niet simpel via IMAP kunt inloggen. Voor IMAP toegang tot je mail vanuit een onbekende cliënt moet je bij Apple eerst een apart wachtwaard aanmaken binnen je Apple account. Lekker omslachtig, maar daarvoor wel een stuk veiliger omdat dat wachtwoord alleen op dat device werkt.

Door Briolet:
[..]
Met heeft blijkbaar vooral het gebruik van 2FA bij mail bekeken. Maar dan kan het minder gebruiken ook komen doordat 65 plussers slimmer zijn en doorhebben dat 2FA bij mail geen zin heeft. Bij Ziggo of GMail kan ik ook 2FA gebruiken voor webmail, maar zolang je daarnaast nog via het IMAP protocol bij de mail kunt komen, geeft 2FA alleen maar een vals gevoel van veiligheid.

Door Anoniem: Je kunt (nog) een "app password" (dus specifiek voor die client) aanmaken , waarmee je bij de imap mail kunt - maar NIET de rest het account .

Door Erik van Straten: Bij iemands e-mail kunnen is DESASTREUS GENOEG. Een "app password" is gewoon een wachtwoord, niks 2FA.

En alsof OAUTH2.0 zo'n veilige zegen is.

Door Anoniem:
[...]
Wat je blijkbaar ontgaan is, is dat gmail (en andere serieuze mailplatformen - [Ziggo weet ik niet] dus hard aan het weggaan zijn van "imap met HET platform password" . IMAP en POP3 staan default al uit bij gmail.

Je kunt _niet meer_ met "je" google username/password via IMAP mail ophalen .

Je kunt (nog) een "app password" (dus specifiek voor die client) aanmaken ,
waarmee je bij de imap mail kunt - maar NIET de rest het account .

https://support.google.com/accounts/answer/185833

[...]

Kortom - als je imap bij gmail gebruikt is dat niet (meer) hetzelfde als
inloggen met username/password.

Door Anoniem:Je hebt het zeker al een tijdje niet meer echt uitgezocht ?
…
Wat je blijkbaar ontgaan is, is dat gmail (en andere serieuze mailplatformen - [Ziggo weet ik niet] dus hard aan het weggaan zijn van "imap met HET platform password" .
IMAP en POP3 staan default al uit bij gmail.

Je kunt _niet meer_ met "je" google username/password via IMAP mail ophalen ..

Door Anoniem:
[...]
Je hebt het zeker al een tijdje niet meer echt uitgezocht ?
[...]

Door Briolet:
Dat is me inderdaad ontgaan dat IMAP bij gmail uit te zetten is. (Bij ziggo kan dat niet) Webmail gebruik ik zelden en dus krijg ik ook de settings zelden onder ogen. GMail gebruik ik wel op meerdere devices via IMAP. En omdat ik de mail uiteindelijk allemaal op mijn eigen mailserver wil hebben is IMAP het meest handige omdat ik het daarmee simpel tussen servers kan verplaatsen.

Door Erik van Straten: 2FA (MFA) is ruk.

Laat de overheid een wachtwoordmanager adviseren die wél op domeinnamen checkt.

Door Anoniem:

[..]
Hoe je POP3 danwel IMAP moet instellen bij Gmail is mij onduidelijk en lijkt
me nogal gecompliceerd, zeker als je 2FA hebt ingesteld voor je Google account
en dat nu daarvoor dus blijkbaar niet nodig is?

Dus dan denk je dat je veilig(er) bent doordat je met 2FA werkt maar is de
'achterdeur' gewoon onbeveiligd :-(

Door Erik van Straten: Met 2FA (Multi Factor Authenticatie) worden in de praktijk SMS of Authenticator apps bedoeld - verreweg het meest gebruikt.

1) Zijn "oplossingen" (lees: stompzinnige lapmiddelen) voor een ander probleem dat hierdoor JUIST NIET wordt aangepakt: WAARDELOZE WACHTWOORDEN. Pure symptoombestrijding van een ander probleem dus;

2) Zijn NIET phishing-resistent;

3) Vergroten de kans op account-lockout, want die TWEEDE FACTOR kun je EENVOUDIG en ONVERWACHT kwijtraken.

4a) 2FA middels SMS is -ruimschoots aangetoond- ruk. Waarom lees je bijvoorbeeld in (PDF) https://www.politie.nl/binaries/content/assets/politie/onderwerpen/sim-swapping/6760e70d-7e6e-44cd-a27d-6ff44a73e55b.pdf;

4b) 2FA middels een Authenticator-app is -eveneens ruimschoots aangetoond- ruk. Van Authenticator apps wordt opzettelijk VERZWEGEN dat het om privacy-invasieve en vaak onveilige WACHTWOORDMANAGERS gaat: zie https://security.nl/posting/796707 (en de pagina's waar ik daarin naar verwijs, met name https://www.security.nl/posting/778668/TOTP+Authenticators+drama verwijzend naar wetenschappelijk onderzoek van Conor Gilsenan et al).

Als je phishing-resistente bedoelt, ZEG DAT ER DAN BIJ. Maar dan zal ik dáár de steevast verzwegen nadelen van beschrijven.

Uit https://open.overheid.nl/documenten/799e24f9-b932-413f-90b3-4acb58a56710/file:
Wanneer staan serieuze security-professionals eindelijk op tegen de "pappen en nathouden"-mentaliteit van Microsoft nakakelende overheden? En met serieuze security-professionals bedoel ik niet de Anonieme reageerder op https://security.nl/posting/912452.

Door Anoniem:
Probleem is dus dat er achter je rug om allerlei dingen worden veranderd
wat zeker voor de gewone computergebruiker niet (meer) bij te houden is.

En dat is niet zozeer de gesuggereerde onwil van 65-plussers e.d.

maar vooral een kwestie van door de stortvloed van foutieve informatie
gecreerde chaos zodat je het wel moet opgeven en maar hopen dat het niet fout gaat.

Door Anoniem:
Nu overschat je de invloed van dit forum nogal. Het is een echo kamer met hoofdzakelijk technerds, en in mijn inschatting vooral scholieren/studenten .

Door Anoniem: SMS MFA is gewoon een goede, gemakkelijke en eenvoudige oplossingen. Persoonlijk gebruik ik liever keypass database, op mijn onedrive. Maar hoe vaak ik mijn vader al hem moeten helpen hiermee, dat de sync niet meer werkte icm de google drive...... Met mijn vader kan ik hier nog over praten.

Mijn moeder begrijpt eigenlijk alleen SMS goed.

Ook al mee gemaakt, dat de keepass database niet meer te openen was, iets met een persoon die plotseling was overleden.
Of waarbij het OS niet meer wou starten, maar de database lokaal was bewaard.

Zie daar een perfect voorbeeld, van hoe het in de praktijk werkt.

Door Anoniem: Dit krijg je als techneuten oplossing gaan bedenken.

Door Anoniem: SMS is zeker niet het veiligste, maar voor heel veel doeleinden gewoon heel erg goed en eenvoudig, iedereen begrijp en kan dit ook, daarom werkt het zo goed voor heel veel doeleinden.

Door Anoniem: Als je naar password managers gaat, wat sommige techneuten adviseren, moet je ook denken aan backup van die database bijvoorbeeld.

Door Anoniem: Wat ik mis: e-mail is onveilig en kan onderweg gelezen worden.

Het is dus NIET geschikt voor het mailen van kopieën ID en andere vertrouwelijke informatie. Wanneer maakt de rijksoverheid dat eindelijk eens bekend?
En wanneer worden essentiële aanbieders (overheid, financiële instellingen, energiebedrijven) nu eindelijk eens een keer verplicht om standaard een beveiligd kanaal aan te bieden en niet meer te mailen?

Door Anoniem:
Is dit een falen van keepass wat geen lokale offline (offsite) backup heeft,

of van SMS MFA wat niet gereset kan worden behalve door het opsturen van een kopie paspoort van de nog levende eigenaar?

Alles wat je in OneDrive stopt, kan je elk moment kwijtraken. Dat is de les denk ik. Mijn vriend zegt dat OneDrive een sync is. Niet een backup.

Door Erik van Straten: In reactie op https://security.nl/posting/912530:
Je pareert mijn stellingen niet. En het allergrootste probleem is niet dat techneuten moeilijke oplossingen bedenken, maar dat veilige authenticatie via internet hartstikke lastig is.

Goede techneuten verzinnen vanalles om dat juist minder lastig te maken, maar zij kunnen geen wonderen verrichten.

Hoed je echter voor marketingmalloten! Voorbeeld, MFA = iets dat je:
• weet;
• bent;
• hebt.

Klopt, maar nooit vertellen zij erbij dat het om "secrets" moet gaan die niet eenvoudig in handen van kwaadwillenden moeten kunnen vallen (denk aan afkijken, kopiëren, stelen, imiteren, simuleren, brute-forcen enzovoorts).

Bovendien: via internet inloggen vindt altijd plaats middels een shared secret (of een wiskundig trucje met hetzelfde resultaat: een asymmetrisch sleutelpaar waarbij dat shared secret gesplitst is in het secret zelf en een soort afgeleide daarvan. Na inloggen vervangt een session cookie o.i.d. alle asymmetrische hocus pocus - een ouderwets shared secret dat niet in een "secure enclave" o.i.d. wordt opgeslagen).

"Wat je bent of hebt" wordt dus altijd vertaald naar iets "wat je (of een apparaat) weet". Oordeel zelf maar in welke gevallen dat werkelijk een verbetering oplevert - én waarvan de gebruiker alle risico's en andere nadelen overziet, en daar ook naar handelt.

Zolang niemand anders dan de server en degene die het account aanmaakte zo'n shared secret te weten komt of kan raden, moet het wel om dezelfde persoon gaan (die inlogt) als degene die het account aanmaakte.

Stomme dingen die je kunt doen (en minstens de halve wereld doet) zijn:
1) shared secrets zélf hergebruiken,
en/of:
2) raadbare shared secrets gebruiken,
en/of:
3) shared secrets zelf niet secret houden (bijv. pincode laten afkijken);
maar ook:
4) shared secrets invoeren op de verkeerde server;
5) jouw device of account laten hacken (= game over);
6) jouw shared secrets vergeten of er geen veilige én up-to-date én toegankelijke backups van hebben.

Ja. Maar SMS-2FA:
• beschermt niet tegen nep-websites (phishing);
• kan tot account-lockout leiden bij een gewijzigd telefoonnummer;
• is géén vervanger voor een sterk wachtwoord, want het is een zwakke tweede factor.

Mensen kunnen onmogelijk zélf voor elk account een uniek en sterk wachtwoord onthouden (naast dat de meeste mensen bar slecht zijn in het bedenken van sterke wachtwoorden).

Perfecte en vooral eenvoudige+veilige oplossingen bestaan niet en komen er niet.
Deal with it.

Authenticator-app
This page provides information on using an Authenticator app and why we recommend it.This page provides information on how to access the Canon printer manuals and how to request updates.

Waarom een authenticator-app?
Een authenticator-app is een vorm van Multi-Factor Authenticatie (MFA) en biedt verschillende voordelen die bijdragen aan de verhoogde beveiliging van accounts en gevoelige informatie.

We willen stoppen met het gebruik van tekstberichtcodes voor MFA, omdat deze methode niet veilig genoeg is. Tekstberichten zijn vatbaar voor phishing en kunnen onderschept worden. Daarnaast zijn er vaak problemen met het ontvangen van tekstberichten in het buitenland.

De voordelen (voor jou) van het gebruik van de authenticator-app in plaats van SMS:

• Veilig: verhoogt de beveiliging van je TU Delft-account aanzienlijk en beschermt je tegen phishing-aanvallen.

• Biedt je een robuustere en stabielere manier van inloggen (al je accounts centraal beheerd in één app). Betrouwbaar en snel: je hoeft niet langer te wachten op een sms-bericht.

• Offline toegang: geen internetverbinding of telefoonnetwerk nodig.

• Internationaal: problemen met inloggen via sms in het buitenland behoren tot het verleden.

Belangrijk: Vergeet niet om de "Cloud Back-up" functie in de Microsoft Authencator App in te schakelen! Mocht je de smart-device of App kwijtraken, dan kan je de wachtwoordcodes alsnog herstellen door aan te melden met het gekoppelde Microsoft 'herstel-account' in de Microsoft Authenticator App.

Microsoft
Mijn testaccount @ gmail.com >

Autofill on Microsoft Authenticator was discontinued in mid-August 2025 as part of Microsoft's efforts to streamline autofill.

Microsoft
Mijn testaccount @ gmail.com
————————————————————
Passwordless account
This account does not have a password. You can use this device to sign in instead.
————————————————————
One-time password code
1234 5678
————————————————————
Update how you sign in or verify >
————————————————————
Review recent activity >
————————————————————
Reset device notifications >

Your backup will be stored in your Microsoft account. Your personal Microsoft account will provide an additional layer of encryption. Learn More [1]

Door Erik van Straten: Helaas barst het op internet van "2FA/MFA adviezen" door (vaak Anonieme) nitwits die de bijbehorende risico's verzwijgen of er zelfs glashard over liegen.

Zo hebben de eindeloze bezuinigingen op ondersteunend personeel bij (o.a.) de TU Delft geleid tot het "pay peanuts" syndroom, blijkend uit bijv. de "Nederlandstalige" pagina https://ict-servicedesk.tudelft.nl/nl/authenticator-app/ (snapshot: https://archive.is/mC3Hr), die begint met (idioterie vet gemaakt door mij):
Zucht.

Na een mix van Engels en Nederlands

zie ik verderop (ik voeg wat "returns" toe voor de leesbaardheid):
Dat laatste is een ordinaire leugen.

• Biedt je een robuustere en stabielere manier van inloggen (al je accounts centraal beheerd in één app). Betrouwbaar en snel: je hoeft niet langer te wachten op een sms-bericht.

Hallo: sinds wanneer heb je geen internetverbinding nodig om in te kunnen loggen op https://login.tudelft.nl/mfa?

Door Erik van Straten: CONCLUSIE

Door Erik van Straten: Helaas barst het op internet van "2FA/MFA adviezen" door (vaak Anonieme) nitwits die de bijbehorende risico's verzwijgen of er zelfs glashard over liegen.

Zo hebben de eindeloze bezuinigingen op ondersteunend personeel bij (o.a.) de TU Delft geleid tot het "pay peanuts" syndroom, blijkend uit bijv. de "Nederlandstalige" pagina https://ict-servicedesk.tudelft.nl/nl/authenticator-app/ (snapshot: https://archive.is/mC3Hr), die begint met (idioterie vet gemaakt door mij):
Zucht.

Na een mix van Engels en Nederlands zie ik verderop (ik voeg wat "returns" toe voor de leesbaardheid):
Dat laatste is een ordinaire leugen.

Zie verderop.

Hallo: sinds wanneer heb je geen internetverbinding nodig om in te kunnen loggen op https://login.tudelft.nl/mfa?

Yes, toch a voordeel!

M.b.t. Betrouwbaar: op pagina 10 (van 11) in het soort document (https://filelist.tudelft.nl/ICT%20Handleidingen/2%20-%20Nieuwe%20handleidingen/NetID/TUD%20SSO%20MFA%20Handleiding%20%28NL%29.pdf) dat de meeste mensen niet (helemaal) lezen - laat staan studenten, promovendi en medewerkers van een TU (weet ik uit ervaring), staat:

Maar als je dat doet, en een aanvaller verkrijgt toegang tot jouw Microsoft account, dan kan die aanvaller alle secrets uit jouw Microsoft Authenticator app "restoren" op diens smartphone (mits met hetzelfde besturingssysteem: iOS of Android).

Want Microsoft Authenticator is een stomme wachtwoordmanager met een niet versleutelde database.

Ook account lockout is supersimpel: ik heb zojuist Microsoft Authenticator geïnstalleerd op m'n Android smartphone. Inderdaad stond "Cloud backup" standaard uit: aangezet.

Daar moest ik een Microsoft account voor hebben: voor "create" gekozen en een test-Gmail account opgegeven. De bevestigingsmail met pincode arriveert in mijn spambox.

Mijn nieuwe MS account heb ik verder aangemaakt zonder dat er ergens om een wachtwoord werd gevraagd (alles, behalve m'n gmail checken, vond overigens plaats in de Microsoft Authenticator app). Na het aanmaken van het account krijg ik een melding dat de backup is mislukt. En de knop "Cloud backup" is weer uitgezet.

Microsoft Authenticator gesloten en weer geopend: er staat ineens een entry in!

TUSSENDOOR-OPMERKING: {
Helaas leidt het drukken op die entry er NIET toe dat ik (met mijn standaard browser) word ingelogd op mijn Microsoft-account. Daarmee zou phishing met nepsites iets lastiger zijn voor cybercriminelen, want dan wordt de juiste domeinnaam (opgeslagen in de database) gebruikt. Belangrijker, uit https://support.microsoft.com/en-us/account-billing/changes-to-microsoft-authenticator-autofill-09fd75df-dc04-4477-9619-811510805ab6:
Omgekeerd, als Authenticator vanuit een browser wordt geopend, zou Authenticator kunnen checken of de domeinnaam klopt - maar laat dat na. In plaats daarvan krijg je een een push-melding - óók als je op een AitM (Attacker in the Middle) nepsite probeert in te loggen, of als je tig onverwachte notifications zat bent en daarom maar akkoord gaat.
}

Als ik in de beschreven MS Authenticator entry op > druk, zie ik details van die entry:

Okay dan. Ik ga naar Settings en zet Cloud Backup opnieuw aan: nu lukt het wel om een backup te maken! Onder die instelling staat overigens:
[1]: https://aka.ms/authappbackuprecovery (let op: .ms is *niet* van Microsoft maar van MontSerrat - laat je niet foppen met domeinnamen zoals nl-aka.ms en dergelijke, of http-only links zoals http://ajax.ms).

Genoemde [1] stuurt door naar https://support.microsoft.com/en-us/account-billing/back-up-your-accounts-in-microsoft-authenticator-bb939936-7a8d-4e88-bc43-49bc1a700a40 - waarin niets te vinden is over een "additional layer of encryption".

Bovendien: ik heb nog steeds nergens een nieuw wachtwoord ingevoerd. Die database is dus niet of op zinloze wijze versleuteld.

En als klap op de vuurpijl: voor het geval dat ik mijn smartphone verlies of in de plee laat vallen, heb ik nu een backup van mijn Microsoft Authenticator database in Microsoft's cloud.

Wel jammer dat ik juist die smartphone nodig heb om de backup van de Microsoft Authenticator Database vanuit mijn wachtwoorloze Microsoft account terug te kunnen zetten...

Anoniem @08:27 heeft op één punt gelijk: SMS is stukken eenvoudiger. Maar nog onverstandiger.

Door Anoniem: Begrijp ik dat he beste is om alleen een wachtwoord middels een wwoord manager die ook domeinnamen checkt?

Door Erik van Straten:
De combinatie van:
• Een zo lang mogelijk, random gegenereerd (met zoveel mogelijk verschillende tekens {1}), uniek wachtwoord per account, en
• Software die checkt of de domeinnaam klopt vóórdat het wachtwoord wordt vrijgegeven,
— levert één sterke authenticatiefactor op. Dat is het minste dat ik aanraad.

Dat vormt, op een internet vol phishing-sites (en {2}) m.i. het beste compromis tussen beveiliging en gebruiksgemak.

{1} Helaas heeft elke website een andere policy voor maximale lengte en toegestane tekens. Dit is puzzelen geblazen; zie ook https://infosec.exchange/@dumbpasswordrules.

{2} Server-beheerders die geen tijd=geld gaan verspillen aan gebruikers die claimen dat ze niet meer in kunnen loggen (doordat ze hun wachtwoord vergeten zijn of omdat hun account gehacked is en de crimineel het wachtwoord veranderd heeft: wie spreekt dan de waarheid?).

Daar horen wel een aantal randvoorwaarden bij, digiënemaatregelen zeg maar:
1) Een beslist "schoon" apparaat (zonder malware of spyware);
2) Een browser die waarschuwt bij elke http:// verbinding (+ dat u stopt);
3) Sterke versleuteling van de wwdb (wachtwoorden-database);
4) Een "ijzersterk" master-ww voor die versleuteling i.v.m. backups. Nb. Openen van de wwdb (vrijgeven master-ww) met biometrie of desnoods pincode is acceptabel (denk dan om afkijken!);
5) Een veilige oplossing die voorkómt dat je jouw master password vergeet;
6) Minstens één backup (kopie!) van de wwdb na élke wijziging;
7) Bewaar ook minstens één vorige wwdb backup ("known good");
8) Wees alert bij onverwachte waarschuwingen en berichten i.r.t. inloggen;
9) Verzeker je maximaal van de juiste domeinnaam bij aanmaken account.

Nb. eerder schreef ik https://security.nl/posting/840236/Veilig+inloggen met toelichtingen.

DAARNA (met die basis) kun je sterkere authenticatie overwegen, waaronder een "tweede factor" (bij voorkeur op een ander apparaat). Of (minstens 2) FIDO2 hardware keys voor de belangrijkste accounts.

Maar dat levert wel altijd extra gedoe op dat vaak afleidt van zaken waar je, juist tijdens inloggen, op moet letten.

Mede daarom waarschuw ik tegen zwakke 2FA/MFA waarbij de inlogger zelf de domeinnaam (websitenaam) moet checken: vooral "minder handige" internetters worden knettergek van het aantal verschillende handelingen dat zij moeten uitvoeren tijdens inloggen. Dat maakt social engineering stukken eenvoudiger - waardoor zwakke MFA het inloggen juist onveiliger maakt.

Door Erik van Straten:
De combinatie van:
• Een zo lang mogelijk, random gegenereerd (met zoveel mogelijk verschillende tekens {1}), uniek wachtwoord per account, en
• Software die checkt of de domeinnaam klopt vóórdat het wachtwoord wordt vrijgegeven,
— levert één sterke authenticatiefactor op. Dat is het minste dat ik aanraad.

Dat vormt, op een internet vol phishing-sites (en {2}) m.i. het beste compromis tussen beveiliging en gebruiksgemak.

{1} Helaas heeft elke website een andere policy voor maximale lengte en toegestane tekens. Dit is puzzelen geblazen; zie ook https://infosec.exchange/@dumbpasswordrules.

{2} Server-beheerders die geen tijd=geld gaan verspillen aan gebruikers die claimen dat ze niet meer in kunnen loggen (doordat ze hun wachtwoord vergeten zijn of omdat hun account gehacked is en de crimineel het wachtwoord veranderd heeft: wie spreekt dan de waarheid?).

Daar horen wel een aantal randvoorwaarden bij, digiënemaatregelen zeg maar:
1) Een beslist "schoon" apparaat (zonder malware of spyware);
2) Een browser die waarschuwt bij elke http:// verbinding (+ dat u stopt);
3) Sterke versleuteling van de wwdb (wachtwoorden-database);
4) Een "ijzersterk" master-ww voor die versleuteling i.v.m. backups. Nb. Openen van de wwdb (vrijgeven master-ww) met biometrie of desnoods pincode is acceptabel (denk dan om afkijken!);
5) Een veilige oplossing die voorkómt dat je jouw master password vergeet;
6) Minstens één backup (kopie!) van de wwdb na élke wijziging;
7) Bewaar ook minstens één vorige wwdb backup ("known good");
8) Wees alert bij onverwachte waarschuwingen en berichten i.r.t. inloggen;
9) Verzeker je maximaal van de juiste domeinnaam bij aanmaken account.

Nb. eerder schreef ik https://security.nl/posting/840236/Veilig+inloggen met toelichtingen.

DAARNA (met die basis) kun je sterkere authenticatie overwegen, waaronder een "tweede factor" (bij voorkeur op een ander apparaat). Of (minstens 2) FIDO2 hardware keys voor de belangrijkste accounts.

Maar dat levert wel altijd extra gedoe op dat vaak afleidt van zaken waar je, juist tijdens inloggen, op moet letten.

Mede daarom waarschuw ik tegen zwakke 2FA/MFA waarbij de inlogger zelf de domeinnaam (websitenaam) moet checken: vooral "minder handige" internetters worden knettergek van het aantal verschillende handelingen dat zij moeten uitvoeren tijdens inloggen. Dat maakt social engineering stukken eenvoudiger - waardoor zwakke MFA het inloggen juist onveiliger maakt.

Door Erik van Straten:
De combinatie van:
• Een zo lang mogelijk, random gegenereerd (met zoveel mogelijk verschillende tekens {1}), uniek wachtwoord per account, en
• Software die checkt of de domeinnaam klopt vóórdat het wachtwoord wordt vrijgegeven,
— levert één sterke authenticatiefactor op. Dat is het minste dat ik aanraad.

Dat vormt, op een internet vol phishing-sites (en {2}) m.i. het beste compromis tussen beveiliging en gebruiksgemak.

{1} Helaas heeft elke website een andere policy voor maximale lengte en toegestane tekens. Dit is puzzelen geblazen; zie ook https://infosec.exchange/@dumbpasswordrules.

{2} Server-beheerders die geen tijd=geld gaan verspillen aan gebruikers die claimen dat ze niet meer in kunnen loggen (doordat ze hun wachtwoord vergeten zijn of omdat hun account gehacked is en de crimineel het wachtwoord veranderd heeft: wie spreekt dan de waarheid?).

Daar horen wel een aantal randvoorwaarden bij, digiënemaatregelen zeg maar:
1) Een beslist "schoon" apparaat (zonder malware of spyware);
2) Een browser die waarschuwt bij elke http:// verbinding (+ dat u stopt);
3) Sterke versleuteling van de wwdb (wachtwoorden-database);
4) Een "ijzersterk" master-ww voor die versleuteling i.v.m. backups. Nb. Openen van de wwdb (vrijgeven master-ww) met biometrie of desnoods pincode is acceptabel (denk dan om afkijken!);
5) Een veilige oplossing die voorkómt dat je jouw master password vergeet;
6) Minstens één backup (kopie!) van de wwdb na élke wijziging;
7) Bewaar ook minstens één vorige wwdb backup ("known good");
8) Wees alert bij onverwachte waarschuwingen en berichten i.r.t. inloggen;
9) Verzeker je maximaal van de juiste domeinnaam bij aanmaken account.

Nb. eerder schreef ik https://security.nl/posting/840236/Veilig+inloggen met toelichtingen.

DAARNA (met die basis) kun je sterkere authenticatie overwegen, waaronder een "tweede factor" (bij voorkeur op een ander apparaat). Of (minstens 2) FIDO2 hardware keys voor de belangrijkste accounts.

Maar dat levert wel altijd extra gedoe op dat vaak afleidt van zaken waar je, juist tijdens inloggen, op moet letten.

Mede daarom waarschuw ik tegen zwakke 2FA/MFA waarbij de inlogger zelf de domeinnaam (websitenaam) moet checken: vooral "minder handige" internetters worden knettergek van het aantal verschillende handelingen dat zij moeten uitvoeren tijdens inloggen. Dat maakt social engineering stukken eenvoudiger - waardoor zwakke MFA het inloggen juist onveiliger maakt.

Door Anoniem: Realiteit check:
Je denkt weer eens veel te technisch, ipv hoe ouderen het Internet gebruiken..

Bouw iets wat gebruikers (willen) gaan gebruiken, ipv de technisch beste oplossing. => SMS

Door Anoniem: Wat nog niet vermeld is(denk ik): een zo lang mogelijk wwoord, ja maar:Wat is minimale lengte?

Door Anoniem: En is gebruik van verschillende woorden daarbij OK?

Door Erik van Straten: Aan de Anonieme SMS-fan: gebruik sowieso een wachtwoordmanager die domeinnamen checkt en random wachtwoorden genereert. De lange tekst hieronder is slechts een onderbouwing, verdoe je tijd er niet mee.

De verstandige minimale wachtwoordlengte hangt af van hoe onwaarschijnlijk jouw wachtwoord is, maar ook van hoe stom de server is.

https://login.bol.com/wsp/register vindt beide volgende wachtwoorden met lengte 6 "oke" {1}:

{1} Op die pagina kun je experimenteren zonder andere gegevens in te vullen. Nb. ik heb niet getest of zo'n wachtwoord alsnog wordt afgewezen als ik echt een account aanmaak.

Stel een server accepteert uitsluitend 0-9, a-z en A-Z, doch blijkt hoofdletterONGEVOELIG te zijn. Dan zijn er, bij een wachtwoord met lengte 6, in totaal 36^6 = 2.176.782.336 mogelijkheden. Met een "domme" brute force aanval heeft een aanvaller gemiddeld de helft aan pogingen nodig, 1.088.391.168 dus. Dat getal is, voor het steeds sneller wordende internet, nog net géén lachertje (wél voor een versleuteld bestand dat zich niet kan verdedigen met een lockout). Maar als je ervan uitgaat dat de meeste mensen met een letter zullen beginnen en de letter "e" de grootste kans heeft om in het wachtwoord vóór te komen, is een slimmere brute force aanval denkbaar - enzovoorts.

Het aantal mogelijkheden wordt nóg kleiner bij aanvullende eisen, zoals dat elke letter of cijfer hooguit éénmaal vóór mag komen en/of er, net zoals bij bol.com, een lijst met "onveilige" wachtwoorden wordt toegepast waardoor bijv. "000000" en "qwerty" niet mogen.

Gebruik een betrouwbare random generator (een mens is dat niet!) om een "willekeurig" wachtwoord van de maximaal door de server toegestane lengte en toegestane karakters (cijfers, letters en tekens) te maken. De kans dat zo'n wachtwoord niet aan de gedetailleerde eisen hieronder voldoet, neemt rap af met de (door de server toegestane) lengte.

De eisen aan elk wachtwoord zijn, van meer naar minder belangrijk:

1) Het moet niet te brute-forcen of middels uitproberen te raden zijn door iemand die niets anders van je weet dan jouw inlognaam (meestal e-mailadres). Brute-forcen kan op meerdere manieren:
• Eén voor één de items uit een lijst met veelgebruikte wachtwoorden ("dictionary") proberen. Denk aan iets als "12345", "123456", "Secret", "Welkom1!", schuttingtaal, bekende namen als "Marcel" (evt. met geprobeerd met verschillende geboortejaren erachter, zoals "Marcel84"), "Fijenoord" en ga zo maar door. Het beste wapen hiertegen is NIET een bekend wachtwoord gebruiken.

Voorbeelden van lijsten met *nooit* te gebruiken wachtwoorden:
[1] Slechts 1000 stuks: https://www.secureworks.com/blog/lazy-passwords-become-rocket-fuel-for-emotet-smb-spreader (bron: https://security.nl/posting/587925/Emotet-malware+gebruikt+1000+wachtwoorden+voor+netwerkinfecties)

[2] Toetsenbordpatronen: https://specopssoft.com/blog/top-keyboard-walk-patterns-found-in-compromised-passwords/

[3] O.a. de RockYou series https://github.com/danielmiessler/SecLists/tree/master/Passwords

[4] Handig, hashcheck (zie verderop): https://weakpass.com/tools/lookup.

• Stomweg proberen van "0000"-"0009, "000a - 000z", "000A-000Z", "000[spatie]-000~", dan "0010"-"0019, enzovoorts, en dat voor steeds langere reeksen. Dit gebeurt soms; het beste wapen hiertegen is lengte.

Nb. om (meestal tijdelijke) account-blokkeringen te voorkómen, kan zo'n aanval heel langzaam plaatsvinden, of er wordt een wachtwoord gekozen waarna verschillende inlognamen bij soms meerdere websites worden geprobeerd.

2) Het moet niet (deels) te raden zijn op basis van wat anderen van jou weten of (online of anders) kunnen vinden. Zoals (delen van) je naam, geboortedatum, adres, postcode, etc. Dat geldt ook voor vergelijkbare gegevens van jouw ouders, kinderen en kleinkinderen.

3) Elk van jouw accounts moet een uniek wachwoord hebben - voor het geval dat een server met een account van jou wordt gehacked (of een foute beheerder de account-database verkoopt). Als gegevens in jouw account op die server "op straat liggen", is dat erg genoeg; wat je niet wilt is dat criminelen, met jouw gegevens, ook accounts van jou op andere servers overnemen.

Voorbeelden van een lang, ogenschijnlijk sterk, wachtwoord:
(Bron: onderin de voorbeelden genoemd in https://weakpass.com/wordlists/weakpass_4.merged.txt - een pagina die nog niet meteen een gigantisch bestand downloadt).

Vooraf: een betrouwbare check of een wachtwoord VEILIG is, bestaat niet - want jouw wachtwoord kan, as we speak, gelekt worden.

Of een willekeurig wachtwoord (zelfs fatsoenlijk gegenereerd door een wachtwoordmanager) onveiliger is dan verwacht, kun je veilig checken in twee stappen:

a) Bereken er de SHA256 van. Doe dat niet met een webbased tool, maar bijv. met een commandline programma waarvan je zeker weet dat het niks naar internet stuurt (en, indien een bestand als input vereist is, zorg dan dat daar geen ongewenste "troep" zoals linefeeds en/of Unicode en/of EOF markers aan zijn toegevoegd).

Het voorbeeldwachtwoord met daaronder de door mij berekende SHA256 hashwaarde:

b) Kopieer en plak die hashwaarde in https://weakpass.com/tools/lookup. In een oogwenk is de hashwaarde "gereversed" in het oorspronkelijke wachtwoord.

Eerder genoemde wachtwoorden met hun SHA256-hashes:

In de praktijk is op veel servers de maximale wachtwoordlengte veel te beperkt voor "wachtzinnen". Sowieso, hoe meer een wachtwoord van "perfect random" afwijkt, hoe kwetsbaarder jouw account is.

Bovendien, bij wachtwoorden die je moet intikken is er geen automatische check op de domeinnaam. Soms is dat onvermijdelijk (denk bijv. aan WiFi-wachtwoorden), maar daarbij gaat het zelden om wachtwoorden van accounts op internet. En juist die zijn zo kwetsbaar, omdat in potentie iedere wereldburger (en bot) erbij kan.

P.S. m.b.t. wachtwoordboekjes: https://security.nl/posting/781546.

Door Anoniem: AAnvullende vraag
Als je een lang Hoofdwachtwoord hebt (64 tekens willekeurig en vreemde tekens)voor je passwordmanager (bijv KeePass)
moet je dat dan elke keer in
tikken? En hoe onthoud je dat dan? Ook weer in een paswordmanager? (cirkelredenering)