MijnKPN: Tweestapsverificatie (MFA) wordt verplicht: wat betekent dit voor jou?

In een wereld waarin passkeys en 2fa op basis van Yubikeys wordt geadopteerd voelt sms authenticatie wel een grote stap terug in de tijd, ik hoop dat er spoedig een serieus alternatief voor beschikbaar is. los van alle gevoeligheden met sms authenticatie is een optie die niet leunt op een enkel apparaat heel welkom. 

​@Arjan van KPN 👍bedankt dat de community is vrijgesteld van MFA. Ik wissel nog wel eens tussen PC en iPad en je kan maar op een device tegelijk zijn ingelogd op de community. 

Bij mij werkt laptop en mobiel prima gelijk.

Ik vergeet op de mobiel nog wel eens uit te loggen en kan dan gewoon inloggen op de laptop en daar verder gaan en dat heb ik het over een W11- en een Android15-platform.

Apart, ​@JoCoLa ?

Want hier kan ik tegelijk op de windows 11 pc met google chrome en op de telefoon met Android 11 in google chrome ingelogd staan. Dat gebruik ik heel vaak. Bericht op laptop maken; foto dan nog even toevoegen via de telefoon.

Ik wordt ook uitgelogd zodra ik op een ander apparaat inlog ​@PeterG, en alles is dan weg. 

Apart hoor. Zolang ik op 't forum maar niet langer dan 24 uur inactief ben op een apparaat blijf ik daarop zelfs gewoon ingelogd op het forum. En hoef de volgende dag dan niet opnieuw in te loggen.

Zelfs bij wisselen van netwerk wifi ↔ 4G blijf ik ingelogd.

Alleen als het langer dan 24 uur geleden is ben ik uitgelogd. Maar als ik 's avonds de boel terzijde leg en de volgende ochtend verder ga ben ik nog ingelogd. 

Ondanks sluiten van de browser op laptop en telefoon.

Maar goed. M'n gegevens staan al ingevuld dus met twee klikjes ben ik er weer. En we krijgen hier gelukkig geen 2FA via SMS.

Ik kan wel gelijk op beide actief zijn maar dan moet ik de Safari browser op iPad niet afsluiten, want dan moet ik weer opnieuw inlog op de ipad. Als de PC uitstaat dan speelt dat probleem niet dan houdt de iPad inlog actief ook na sluiten Safari browser en ook na eventuele herstart iPad. Anders om met de Edge browser op de W11  PC is dat niet zo die blijft de inlog onthouden bij uitschakelen van de PC. Ik heb er niet zo’n probleem mee want de iPad wordt bijna altijd voor de community gebruikt. De PC wordt hoofdzakelijk voor andere en zwaardere fotbewerkings doeleinden gebruikt. 
 

Wij willen jouw gegevens nog beter beschermen.

…..

Zelfs als iemand je wachtwoord weet, kan diegene zonder jouw telefoon niet inloggen. Zo houden we jouw gegevens extra veilig. 

1. Veel gegevens zouden per definitie al niet eens in Mijn KPN getoond hoeven worden, n.a.w. gegevens bijvoorbeeld. Het is niet dat klanten niet weten waar ze woonachtig zijn, wanneer ze geboren zijn etc. door deze details gewoonweg niet direct in Mijn KPN te tonen bied je al heel wat meer privacy. En mochten die gegevens toch nodig zijn, kan dit altijd nog achter een muur met een Authenticator app of IDIN.

2. Daarnaast, iemand die de login gegevens heeft van KPN staat vaak zodanig dichtbij die individu dat ze ook de telefoon wel kunnen bemachtigen. En laat het nu zelfs als een telefoon niet ontgrendeld is (Android) kinderlijk eenvoudig zijn om die eenmalige code zichtbaar te maken.

Het is best jammer om te zien dat KPN inzake de beveiliging van Mijn KPN niet eerst betere beveiligingsmogelijkheden heeft geïmplementeerd (IDIN, Authenticator App etc). Gaat KPN nu ook bij de eerstelijns klantenservice de boel beter beveiligen? Nu wordt n.l. veelal gevraagd naar de bekende weg wat een vorm van schijnveiligheid is. Alsof de buren van 3 straten verderop er niet achter kunnen komen wat mijn postcode + huisnummer en geboortedatum zijn 😴

​@Shyrin van KPN en KPNers, wat een DROEVIGE opsomming! Jullie bedrijf gaat ‘iets nieuws introduceren voor beveiliging’ en kiest daarvoor een methode die 25 jaar geleden misschien goed was maar reeds lang en breed is ingehaald gepasseerd èn bewezen minder veilig is dan “oplossingen van nu, anno 2025”.

daar komen jullie als kundige en slimme specialisten toch wel tegen in opstand!? Je gaat toch geen genoegen nemen met een achterhaalde oplossing als ‘nieuw en goed’ te introduceren!

Ieder van jullie WEET dat 2FA veel meer vormen kent EN dat andere dan SMS vormen, sneller zekerder en werkend zonder (telefoon)netwerk zijn.

dan is aankomen met ‘we herkennen dit en onderzoeken dit’… ondermaats, falend, een oplossing zoals een Nederlandse Minister het zou voorstellen om een stikstofprobleem op te lossen: “we gaan hier onderzoek naar laten doen” (en dat zal pas uitkomsten geven als ik weer ergens anders zit cq het iemand anders z’n probleem is)

streef naar goed vanaf het begin! Matig is beneden maats.

PS edit: en al die andere 2FA vormen werden al onderzocht toen ik ooit eerder bij kpn aanklopte… in de tussentijd jaren bij een andere aanbieder gezeten. Zo moeilijk is het onderzoek niet, zie eigen webpagina onder zakelijk en 2FA. Daar staat het uitgangspunt dat IEDEREEN mag verwachten bij een 2FA implementatie 

Die staan toch al op de factuur. En facturen zijn inzichtelijk in MijnKPN. Dus die n.a.w. gegevens  verbergen heeft niet veel zin.

Vroeger stond volgens mij ook het rekeningnummer van de klant op de factuur. Iets in de trend van "Dit bedrag wordt 25 juli afgeschreven van <rekeningnummer klant>". Dat staat er niet meer op volgens mij. Dat is een verbetering 👍

De kans is groot dat die persoon dan ook wel binnen komt bij dat toestel. 

Vroeger heb ik het op Android inderdaad wel eens gehad dat de SMS al zichtbaar was zonder te ontgrendelen. Of beter gezegd: de eerste regel kon je lezen, het eerste stukje. En als daarin de code staat, dan kon je zo inloggen. Dat was bijvoorbeeld bij E-Herkenning zo. Maar bij Android staat de tijd ook niet stil. Bij het toestel wat ik nu heb lukt dat niet meer. Daarbij zie je alleen dat je een SMS ontvangen hebt. Als je de melding aantikt: eerst code invoeren. 

Mijn definitie van makkelijk is helaas iets anders.

KPN winkel? Niet iedereen woont in de Randstad. Kijk eens op de kaart hoeveel winkels er zijn in het noorden. Hele provincie Groningen heeft 2 winkels, allebei in stad Groningen zelf. 

Hoe weten jullie dat jullie mij een simkaart moeten sturen? Hebben jullie een glazen bol? Als ik even snel op de website kijk moet je de klantenservice bellen? Hoe moet dat zonder telefoon? Niet ieder heeft het geluk van een uitgebreid sociaal netwerk waar je even iemand anders telefoon kan gebruiken.

Al zou er iets simpels zijn als backup codes, gewoon iets om toch in te kunnen loggen als sms niet lukt.

Dus gooi je die ook achter een IDIN of Auth. app of verberg je deze gegevens in de omgeving waar niet de extra beveiligingslaag van toepassing is.

Inderdaad.

Zojuist geprobeerd op mijn eigen Samsung Galaxy S20 FE 5G met Android 13 en op die van mijn zoon Samsung Galaxy S21 FE 5G met Android 14. Leuk uiteraard dat de ontwikkelingen rondom Android niet stilliggen, maar feit is… niet iedereen heeft het geld om een recenter toestel te kopen waarop een recentere Android functioneert.

Sowieso kun je hoe dan ook toegang krijgen door;

1. Toestel uit standby halen (power on/off knop).
2. Swipe
3. Druk op pijltje (<) onder in het scherm.
4. Onder de tijd zie je de icoontjes door hierop te klikken zie je de meest recente meldingen (dus ook van de ontvangen SMS'jes).

Deze truc inmiddels op meerdere Samsung Android's getest en helaas werkt het bij de Swipe-ontgrendelmethode op al deze (en enkele andere) toestellen.

Maar feit is en blijft, ervan uitgaan dat iedereen de meest recente gebruiken is niet realistisch, net zo min om er als bedrijf vanuit te gaan dat iedereen een mobiele telefoon heeft. Of wat te denken van een gezin (like me) waar het abonnement van mijn vrouw en kinderen die allen onder één Mijn KPN login vallen.

Euhm…

https://www.samsung.com/nl/support/mobile-devices/welke-ontgrendelingsmethoden-kan-ik-gebruiken-op-mijn-galaxy-smartphone/

Gewoon vegen over het scherm en daarmee het toestel ontgrendelen? Hoef je dan geen code in te voeren of patroon te tekenen? Geen vingerafdruk? Dan kan dus iedereen in het toestel komen die hem in zijn/haar handen heeft? 

Als toch iedereen er zo makkelijk in kan komen, wat is dan het probleem dat de SMS zichtbaar is als het toestel "vergrendeld" is? (wat dus helemaal geen vergrendeling is)

Ik heb zelf vergrendeling via patroon. En ik kan echt niet de SMS lezen zonder het patroon te tekenen. 

Nog leuker, de telefoon wordt niet ontgrendeld verre van zelfs en dit is om de inhoud van een bericht te zien zelfs niet nodig. Zojuist wederom getest, ik stuur een sms naar mijn zoon. Zijn telefoon bevind zich in slaapstand, het bericht komt binnen en er verschijnt een popup.

Ik druk aan de zijkant op de aan/uit knop, het scherm licht op waar het patroon moet worden gegeven, aan de onderzijde van het scherm bevind zich een “kleiner dan” teken ( < dus ). Als je hierop klikt kom je op het vergrendelscherm waarop de klok zichtbaar is met daaronder icoontjes - bijv. Whatsapp, SMS (berichten) etc. als je hierop klikt, opent er een scherm wat lijkt op het scherm die je krijgt als je van boven naar beneden slide waardoor je dus ook gedeeltelijk inzage krijgt in berichten (meldingen) en dus de inhoud ziet van de SMS van KPN.

Verder kun je dan niet heel veel met de telefoon, maar met een ander device bij de hand, de logingegevens binnen handbereik en de code die je uit de melding haalt kun je dus net zover komen.

Dus…

Scherm aan, in plaats van de vegen om te ontgrendelen, klik “kleiner dan” teken onder in het scherm.

En laten veel mensen nu juist de App-meldingen ingeschakeld hebben 🤣

Als ik het mij goed kan herinneren is het “vroegah” een standaard iets geweest, App-meldingen uitschakelen is sowieso iets wat later pas geïntroduceerd werd. Als je een nieuwe telefoon koopt en de instellingen vanaf je oude meeneemt, wordt dus ook dit voor zover ik weet meegenomen. 

​@GerritS76 

Het  zou fijn zijn als er ook een oplossing komt voor mensen die met z'n tweeën het account gebruiken (of misschien 2 accounts) om bijvoorbeeld; De doorschakeling aan/uit te zetten (wijzigingen van instellingen) van huistelefoon.

​@GerritS76 je geeft geen antwoord op mijn vraag. Als je geen patroon/code ofzo als vergrendelingsmethode gebruikt, wat boeit het dan dat de inhoud van de SMS zo zichtbaar is? Immers, iedereen kan toch zo in je toestel komen met een simpele veeg over je scherm.

Als je geen patroon/code gebruikt om je toestel te ontgrendelen, dan geef je kennelijk niet zoveel om veiligheid. En dan snap ik niet dat je je überhaupt druk maakt over de veiligheid van 2FA via SMS.

Het plaatje van TDN is inderdaad relevant. Op mijn toestel (A54) werkt dat weer anders. Ik kan per app aangeven of deze informatie mag tonen op het vergrendelingsscherm.

Uitstekend om mfa te verplichten. Een alternatief voor de 2e factor in de vorm van sms is wel wenselijk. Niet iedereen heeft een mobiel nummer. Ik heb een voorbeeld in mijn directe omgeving.

Aanbieden van TOTP tokens zou mijn inziens beter zijn. Goed dat er al wordt nagedacht over een alternatief bij KPN.

Al met al natuurlijk een goede stap voorwaards om mfa te verplichten.

Dat houd bij KPN meestal in dat het nog wel 5 jaar kan duren hoor...

Ik vind het helemaal niet wennen, ik vind het gewoon vreselijk irritant.

Tja, ik vind het ook irritant dat ik drie sloten op mijn voordeur moet ontgrendelen helaas zijn deze dingen nodig in de huidige tijd! 

2. Daarnaast, iemand die de login gegevens heeft van KPN staat vaak zodanig dichtbij die individu dat ze ook de telefoon wel kunnen bemachtigen. En laat het nu zelfs als een telefoon niet ontgrendeld is (Android) kinderlijk eenvoudig zijn om die eenmalige code zichtbaar te maken.

Hier zitten er 143 auto kilometers tussen ​@GerritS76 . Een auto die ik niet heb. Het is dan niet meer mogelijk om mijn moeders abonnementen te beheren. 

Er zullen er echt wel meerdere zijn die niet zo dicht bij hun ouders wonen. We hadden er vorig jaar één die dat deed van uit Australië voor haar moeder in Nederland. Die gaat ook niet blij worden.

We horen wat jullie zeggen. 

In de huidige tijd, waarin pogingen tot phishing en andere vormen van gegevensdiefstal toenemen, willen wij onze klanten daar zo veel mogelijk tegen beschermen. Een van de manieren waarop we dat kunnen doen is door MFA op de MijnKPN te zetten. We kiezen er nu voor om daarin te beginnen met sms-verificatie. Niet alleen is dit makkelijk toe te passen van ons uit, maar ook is het een vorm die voor het grootste deel van de klanten goed bruikbaar is. 

Dat wil natuurlijk niet zeggen dat we het hier bij laten. Ook voor deze ontwikkeling, net als alle andere binnen KPN, is een roadmap met verdere plannen en tijdlijnen. We gaan dus ook zeker andere vormen van MFA aanbieden. Maar de specifieke details daarvan is niet iets wat we gaan delen hier. Enerzijds omdat een roadmap kan veranderen, en anderzijds omdat we dat soort informatie op dit vlak ook niet open en bloot willen hebben. 

Zodra hierin een concrete vervolgstap is, dan zullen we dat natuurlijk gelijk delen. Ik heb dit ook als een veelgestelde vraag aan het startbericht toegevoegd.

Dit is een mooi stukje feedback, nemen we mee intern. Wellicht kunnen bepaalde onderdelen van de MijnKPN anders/aanvullend beveiligd worden.

Edit: we hebben het startbericht wat verder aangepast om te verduidelijken wat onze bedoeling is

​@Erik van KPN Veel mensen zitten in de ‘ontkenningsfase’ v.w.b. veranderingen… ‘t lijkt wel een bedrijf waarin nieuwe software wordt uitgerold… laten we eerst eens afwachten…

Dit is natuurlijk een bijzondere. “Waarom wordt dit verplicht.. voor jullie veiligheid”. Nee dat is het niet. Dat het misschien verstandig is, dat is een opmerking waar ik wat mee kan. Dat KPN mij iets verplicht voor mijn EIGEN veiligheid, daar kan ik niets mee. Het is een KPN-belang dat dit gebeurt. Zeg dat alstublieft dan ook gewoon. 

De communicatie omtrent de twee-factor authenticatie laat dus klaarblijkelijk te wensen over. Misschien een idee om de schade te beperken door nu achteraf de juiste redenen en uitleg te geven.