Hoe kan ik tweestap verificatie uitzetten in MijnKPN?

En waarom zou iemand dit allemaal overhoop halen? Staat er zulke belangrijke informatie in MijnKPN dat een hacker daar miljoenen mee kan verdienen ofzo? Ik dacht het niet.

Hackers die zo slim zijn dat ze telefoonmasten na kunnen bootsen en smartfoons kunnen binnendringen, die kunnen denk ik op andere manieren veel meer verdienen dat met MijnKPN accounts hacken.

​@PeterG Wat bedoel je precies? Ik had toen ik net bij KPN zat heel even 2FA aangezet via SMS. Dus elke keer als je inlogt, moet je SMS krijgen en die code invullen. Doordat ik met best regelmaat mijn cookies/geschiedenis leeg blijf ik nooit lang ingelogd dus log je soms meerdere keren in. Vooral op de telefoon. 

Soms kreeg je meteen SMS en ben je ingelogd, dat was prima. Echter ook met regelmaat dat de SMS dan uren later kwam. Zelfs als het de eerste inlogpoging was na twee dagen. Dus al vrij snel uitgezet, dat kon toen nog. 

Ik ben verder ook wel benieuwd waarom KPN uitzetten heeft uitgezet, vooral ook omdat het niet is gecommuniceerd. 

Een gemiddelde gebruiker zijn/haar gegevens is inderdaad niet super veel waard. Maar als je dat dan weer keer duizend doet, wordt het alsnog wat waard. Onderschat ook niet dat je via MijnKPN bijvoorbeeld streamingdiensten kan toevoegen en op die manier kan meeliften. 

Hopelijk snel 2FA via authenticator app zoals Google Authenticator enzovoort, dan vind ik het al weer minder erg dat het niet meer uitgezet kan worden. Nu zadelt KPN je alleen met een functie op die voor geen meter werkt in de praktijk.

Er staat meer dan TV/Internet abo's in MijnKPN. B.v. KPN mail of mobiele nummer, als deze 2 overgenomen wordt door de hacker, is het hele digitale leven in gevaar. Men kan via deze 2 andere diensten overnemen met de 'wachtwoord vergeten’ functie. Ook een esim bestellen en met SMS verificatie laat een telefoon abo volledig overdragen aan de hacker.

2FA is belangrijk voor mensen, de extra beveiliging nodig heeft (b.v. mensen in belangrijke functies). Een telefoon laat relatief eenvoudig hacken door mensen te verleiden een speciale ingerichte website te bezoeken of een apps buiten appstore te installeren (gratis VPN, gratis cheats voor spelen...). Zelfs apps in appstores bevat zulke geheime functies, de worden niet verwijdert tot het ontdekt wordt.

Ik noem niet voor niets het onderschepen van SMS buiten telefoon de methodes van opsporingsdiensten. Ook Russen of Chinezen hebben zulke apparatuur en know-how. Een de mafia kan door een telefoon te hacken de persoon volgen en ontvoering planen… Het heeft niet met geld te doen maar met de veiligheid, en de is niet in geld te meten.

Dan moet een hacker dus van 1000 accounts de inloggegevens weten. En de daarbij horende 06 nummers. Lijkt me al niet realistisch.

En vervolgens nog van elk account individuel die poppenkast overhoop halen die jij beschrijft. Duurt veel te lang allemaal.

Daar verdient een hacker niks aan.

Neem van mij maar aan dat dit écht gebeurd. 

Vaak wordt zo’n database weer in bulk doorverkocht aan kleinere “partijen”. Dus ook dat klopt niet.

En die “hackers” die weer (een deel van) zo’n database overkopen, doen dat vaak met een doel: om echt gericht schade aan te doen. Dan kan het inderdaad sneller op individueel level gaan. Het is vaak niet op de persoon gericht, maar gewoon willekeurig. Zolang er maar geld “verdiend” wordt.

Neem van mij maar aan dat het onzin is. DigiD gebruikt ook 2FA via SMS. Als accounts hacken via het nabootsen van telefoonpalen echt zo vaak zou gebeuren, dan hadden ze dat niet gedaan. 

Ook buiten telefoon is SMS te onderschepen. Men hoeft alleen een mast na te bootsen en de zendsterkte opvoeren tot de ontvanger met de nep-mast verbindt ipv de telefoonmast verderop.

Dat kan dus niet vanuit China of Rusland ofzo. De hacker moet met zijn apparatuur echt fysiek vlak in de buurt van het slachtoffer zijn tijdens de hack? En dat 1000 keer? Bij 1000 verschillende slachtoffers? Op 1000 verschillende locaties? 

Dat het bij jou/in jouw omgeving niet is gebeurd, betekent niet dat het niet speelt. Ik vind dit een naief denkbeeld en schetst denk ik ook het probleem bij veel mensen: ze onderschatten de risico’s. 

Ligt er aan hoe je het bekijkt, ook vanuit die landen zijn dingen mogelijk. Er zijn verschillende methodes. Daarnaast niet te vergeten dat SMS 2FA altijd beter is dan niks. Het is alleen totaal niet ideaal. Daarom heeft DigiD in de basis ook een app. 

Ik snap niet zo goed wat het probleem is van jezelf (beter) willen beschermen. Dat misbruik een ding is, is echt algemeen bekend. Of nouja, hoort zo te zijn.

Ik heb net KPN aan de lijn gehad.

Het kan alleen maar worden  weggehaald door het KPN ID totaal te laten verwijderen en een nieuwe aan te maken.

Er is een klacht ingediend en Feedback.

DigiD moest eigenlijk al SMS uitfasen, maar omdat de overheid zo lomp is, kregen ze uitstel

Inloggen DigiD met sms-controle vervalt op termijn

22 maart 2021

De mogelijkheid in te loggen via DigiD met sms-controle zal op termijn verdwijnen.  Dat schrijft demissionair staatssecretaris van Binnenlandse Zaken Knops in een brief over de voortgang op het domein digitale toegang aan de Tweede Kamer.

Dat tegenwoordig wereldwijd bijna geen bank meer aanbiedt TAN-codes via SMS te verzenden, betekent veel. Ze moeten op hun centen opletten en niet een "ongelimiteerd" budget heeft zoals overheidsdiensten.

...

Dat is ook logisch. Een bank account hacken levert onmiddellijk geld op. Dat kan een hacker meteen overmaken en wegsluizen. 1 hack kan al 1000en euro's of mogelijk nog veel meer opleveren. Dat is bij het hacken van een MijnKPN account niet zo.

Je moet wel alles een beetje in het juiste perspectief plaatsen. 

Een vijfpuntsgordel is ook veiliger dan een driepuntsgordel. Maar waarom heb jij geen vijfpuntsgordel in je auto?

Goed bezig ​@Lutra. 

Juist omdat je dingen in verhouding moet zien. Online zijn betekent elke minuut doelwit kunnen worden/zijn/blijven van brute force aanvallen. Er zijn miljoenen servers in China en Rusland die dagelijks heel het internet scannen. Zie het als een aanval die nooit stopt. 

En inderdaad, MijnKPN kan je niet vergelijken met een DigiD of bank, maar kan nog steeds genoeg schade aanbrengen. Ook dat moet je vanaf breder perspectief bekijken. Als je met MijnKPN laks bent, ben je dat waarschijnlijk bij meer diensten. Met dan alle diensten bij elkaar, kan dat alsnog heel vervelend worden. 

Dat is precies wat ik doe. Met het hacken van een MijnKPN account valt niks te verdienen. Dus waarom zo'n uitgebreide beveiliging die KPN alleen maar heel veel extra geld kost voor ondersteuning aan klanten die geen flauw idee hebben hoe het werkt?

Het zal best een keer komen. Maar ik denk dat het voor KPN daar nu nog veel te vroeg voor is.

​ikheetjeef schrijft: Wat bedoel je precies? Ik had toen ik net bij KPN zat heel even 2FA aangezet via SMS. Dus elke keer als je inlogt, moet je SMS krijgen en die code invullen.

​@ikheetjeff . Op de app log ik in met de code van 5 cijfers. Als je dan ook nog weer een sms code er overheen krijgt.…

Alleen als ik op de laptop inlog vraagt ie of ik het aan wil zetten of overslaan. 

Aanzetten is dus definitief, blijkt nu (👎kpn).

Dus eigenlijk kiezen jullie eerst voor een onhandige SMS oplossing, waarbij je bij iedere inlog je telefoon nodig hebt? KPN gaat dus even 5-10 jaar terug in de tijd met het type authenticatie, ipv moderne oplossing te gebruiken zoals TOTP authenticatie, wat eigenlijk de standaard wat je primair zou moeten gebruiken?

Ik heb helemaal geen zin, om mijn telefoon bij iedere inlog te pakken. Die ligt ergens in mijn huis, liefst op still. 

Er zijn er ook nog die thuis de mobiele uit zetten. Internet dan via laptop en gebruik van de vaste telefoon. 

Heb je bij TOTP niet je telefoon nodig dan?

Ik heb helemaal geen zin, om mijn telefoon bij iedere inlog te pakken. Die ligt ergens in mijn huis, liefst op still.

Beste ​@Rlfie en anderen,

de 2FA heb je in principe per apparaat maar 1 keer nodig, daarbij kun je aangeven ‘onthouden op dit apparaat’, dan wordt het een volgende keer niet meer gevraagd.

Wijzig en/of verwijder je cookies op het betreffende apparaat dan komt de 2FA-melding wel weer en een controlemelding via de mail.

Dus de soep wordt mijns inziens heter gegeten dan die is.

Goed punt. Maar je kunt inderdaad een TOTP applicatie op je telefoon hebben, maar ook op een tabled, afhankelijk van de applicatie en de sync mogelijkheden.

Het werkt nog steeds altijd zonder netwerk/internet verbinding.

Maar wat je steeds vaker ziet voorbij komen, is een applicatie zoals KeePassXC. Deze gebruik ik op mijn telefoon, Macbook en Windows machine en de database op OneDrive. Bij de meeste kan ik heel gemakkelijk en veilig mijn inlog gegevens en TOTP bewaren en gebruiken. Bij de meeste zelf direct in de browser. Gewoon een uniek 16-24-32tekens wachtwoord per website en TOTP. 

Maar er zijn ook vele cloudproviders die dit soort password managers aanbieden inclusief TOTP. Hiermee kan je bijvoorbeeld in gezinnen ook inlog gegevens delen met elkaar. Bijvoorbeeld het KPN abonnementsnummer met PIN om in te loggen, zodat je kinderen je niet lastig hoeven te vallen, maar je KPN Inlogid + TOTP alleen bij de ouders. 

Beetje moderne techniek gebruiken, maar bij organisaties zoals KPN, is men vaak minder ver met dit soort oplossingen. 

Men kiest liever voor een onveilige SMS methode. 

Ja je er vanuit dat ik maar 1 device heb en mijn cookies niet opschoon en dat altijd maar 1 persoon logt op mijn KPN. 

Ik vond een 2FA app gebruiken op je computer zo tegenstrijdig. De kracht van 2FA is ergens toch dat als je computer gehackt wordt, ze nog steeds niet veel kunnen want ze hebben die 2FA code niet. 

Toch is dat denkbeeld toch ergens egoïstisch, want inderdaad, ook password managers hebben tegenwoordig allemaal ondersteuning voor TOTP. En die zijn op al je apparaten gesynchroniseerd. En dat werkt toch net iets lekkerder dan elke keer je telefoon moeten pakken.

Toen ik toch steeds vaker de tip voorbij zag komen om je 2FA niet in je password manager te beheren, ben ik hier weer eens naar gaan kijken. Ik kwam toen dit artikel  (Is it wrong to store passwords and one-time codes together?) tegen en vind het een goed genuanceerde blik.

Ik gebruik nu wel voor hele belangrijke diensten een hardware key, dus wellicht dat dat nog een alternatief kan zijn, ​@Rlfie  Je kan er dan meerdere aanschaffen (en koppelen) en één altijd in je PC houden. Zo heb je die telefoon niet nodig én is het veilig. (Maar moet KPN dit wel gaan ondersteunen)

Voorlopig kiezen we hiervoor inderdaad, omdat het gegevens en accounts beter beschermd dan in de huidige situatie. Wat er in de toekomst voor MFA-mogelijkheden bijkomen is nu nog niet duidelijk.