MijnKPN: Tweestapsverificatie (MFA) wordt verplicht: wat betekent dit voor jou?

Het word of inmiddels is verplicht vanuit wet en regelgeving voor alle bedrijven. KPN had geen keuze om gebruik te blijven maken van het inloggen met enkel een wachtwoord. Echter zijn er meerdere 2FA opties. Bij mij op het werk bieden we al sinds november '24 zowel sms controle of Inloggen met Idin aan. Wees blij dat KPN nu nog alleen voor sms controle heeft gekozen. 

Het is echt alsof heel NL analfabeet is. Mijn ervaringen zijn vooral dat klanten gewoon eindelijk hun eigen persoonlijke gegevens eens moeten leren bekend te maken bij bedrijven voor contact. Dus geen mail of tel van familie, vriend of verre buurman bij de persoonlijke gegevens,... En in de huidige digitale wereld is dat voor bedrijven wel zo prettig dat alles klopt. Dit valt nu wel heel toevallig mooi samen met het gebruik maken van 2FA bij de online omgevingen bij bedrijven.

Maar het gros begrijpt de sms controle niet, of hoe het ingesteld moet worden enzovoorts. Bij Idin krijgt het gros het Spaans benauwd. want echt helemaal niets wordt vertrouwd. Dat is blijkbaar eng en mensen kunnen dan alleen maar klagen omdat het niet naar eigen wens meer gebruikt kan worden, hoe duidelijk het ook wordt gecommuniceerd,... Er wordt weinig gelezen of begrepen🙄 Je kunt nooit iedereen tevreden stellen, maar het ligt iig niet aan de bedrijven.

KPN, Succes met alle drukte eromheen!  

Ik geef gewoon de voorkeur aan een authenticator-app, dat heeft hier helemaal niets mee te maken. Ik beschik niet altijd over een actieve telefoonlijn, dus de app is dan mijn enige optie. Een modern bedrijf biedt gewoon meerdere opties en niet slechts een 10 jaar oude methode.

Zoals in dit topic genoemd, is dit ook niet de eindstreep voor ons wat MFA betreft. 🙂

En het eerdere bericht van Erik

Mooi om te lezen dat jullie zo betrokken zijn en dank voor alle input. 

Is dit serieus het beleid van KPN?

Verplichte 2FA via SMS in 2025… staat faxen zeker ook nog op jullie roadmap?
Als jullie vasthouden aan deze verouderde methode, verlies je mijn omzet.

Ik verwacht dat er snel moderne MFA-opties zoals TOTP of passkeys beschikbaar komen. Anders stap ik over naar een partij die veiligheid én innovatie wel serieus neemt.

Met betrokken groet,
Geert

Besef je ook dat we ontzettend veel verschillende soorten klanten hebben ​@GraafG. Niet iedereen kan zomaar overweg met passkeys e.d., daarom hebben we voor nu voor SMS gekozen, omdat dit de meest toegankelijke vorm is. Nogmaals, om mee te beginnen. 😉 We houden ons hier dus niet aan vast.

Mooi dat jij al met andere MFA methoden werkt! We hebben geen concrete roadmap voor de verdere ontwikkelingen:

Waarom start KPN met een verplichte 2FA via SMS als enige optie, terwijl er moderne en privacyvriendelijkere alternatieven bestaan?
Het voelt alsof dit wordt opgedrongen, terwijl SMS niet veiliger is en er eenvoudig TOTP of passkeys kunnen worden ingezet.
Met de reactie “niet iedereen kan zomaar overweg met passkeys” zegt KPN feitelijk dat hun klanten te dom zijn voor moderne beveiliging.
Het is alsof je zegt: ‘Voor uw veiligheid gebruiken we alleen een touw, gordels zijn te ingewikkeld, maar ze staan wel op de roadmap.’

Volgens de AVG geldt het principe van dataminimalisatie: het verplicht verzamelen van een telefoonnummer is niet noodzakelijk als andere MFA-methoden hetzelfde doel bereiken.

Waarom biedt KPN geen veilige en gangbare alternatieven aan die klanten niet onnodig dwingen meer data te delen?
Een vage “roadmap” telt niet – klanten verwachten nú een moderne, privacyvriendelijke keuze.

Geert (Klant) aan KPN (geen Service)

Lees het topic even door. 

De antwoorden op je bovenstaande vragen en opmerkingen staan er allang in ​@GraafG .

Bedankt voor de leestip, maar ik heb het hele topic gelezen en zie vooral: “Airbags zijn te ingewikkeld, dus je krijgt nu alleen een gordel.” (roadmap)
Dat klinkt alsof KPN zijn klanten niet slim genoeg vindt voor veilige MFA-methoden.
Anno 2025 is dat een vreemd uitgangspunt.

Vind het al knap dat dit onderwerp zoveel reacties los maakt.

SMS OK maar ik heb liever ook via een Authenticator app. 

​@Sanne van KPN 

De like op PeterG’s post voelt als instemming en als het wegwuiven van terechte kritiek, bijna als minachting richting jullie klanten.

KPN raadt zelf 1Password aan als password manager:

https://www.kpn.com/veilig/wachtwoordmanager

1Password heeft bovendien een duidelijk artikel geschreven over de risico’s van SMS-MFA:

https://blog.1password.com/sms-based-mfa-risks/

In 2025 SMS-2FA als enige optie introduceren is absurd en niet te verdedigen.

De like op de reactie van ​@PeterG is omdat op al je vragen de antwoorden in het topic staan ​@GraafG . 🙂 Ik zie het ook niet zozeer als iets wat we moeten verdedigen en we hebben onze redenatie voor het beginnen met SMS 2FA al meermaals uitgelegd. 

Ik lees een hoop aannames in je berichten waar ik verder niet op in zal gaan. Nogmaals samenvattend is het doel hier dat we met iedereen rekening willen houden, ook mensen die technisch minder vaardig zijn, ouderen die niet goed overweg kunnen met authenticator apps etc. We willen, en moeten, met zoveel mogelijk klanten rekening houden en SMS is, nogmaals, het meest laagdrempelige waarop we dit kunnen doen en er toch voor kunnen zorgen dat ook zij extra beveiliging hebben. 

Jij mag dit anders, of als onverdedigbaar zien, maar wij hebben met enorm veel klanten te maken. We kunnen nooit iedereen tevreden stellen, daarom is ons doel ook om het voor zoveel mogelijk klanten toegankelijk te maken. 

Ik raad je aan om het startbericht nogmaals door te lezen, of één van de links waar deze naar verwijst. Ik verwacht dat je daar antwoord vindt op verdere vragen en, zo niet, maak dan een eigen topic aan. Dan praten we daar verder!

​@Sanne van KPN 

Ik ben echt teleurgesteld in dit antwoord. Het dataminimalisatieprincipe uit de AVG wordt volledig genegeerd.

De drogreden dat “veel gebruikers SMS wel begrijpen” klopt niet: jullie introduceren nu een optie die technisch minder vaardige mensen misschien snappen, maar technisch onderlegde of security-bewuste klanten krijgen geen enkele moderne en veilige optie. Zo bedien je een subgroep, maar sluit je de rest buiten.

Een ander topic starten lijkt zinloos als er hier geen mensen meelezen die daadwerkelijk inhoudelijk iets te vertellen hebben en security technisch begrijpen.

MFA is hard nodig. Nu kunnen accounts gehacked worden. Voor mij liever KPN zet gisteren MFA aan i.p.v. binnenkort. 

Beste ​@Wil_I_am , je kunt het direct zelf activeren in MijnKPN.

Klopt! Je kunt dit via de app activeren door te tikken op het persoons-icoon in de rechterbovenhoek. Ga vervolgens naar Account > Inloggegevens > Extra Veilig Inloggen.  Daar kun je de sms-verificatie aanzetten.

Via de webversie van de MijnKPN kan het ook. Kies dan rechtsboven voor Profiel. Ga vervolgens naar Jouw Gegevens (links) > Inloggegevens > Extra Veilig Inloggen.

Het lijkt erop dat er alleen Nederlandse telefoonnummers worden geaccepteerd voor de tweestapsauthenticatie (2FA). Als KPN dit verplicht stelt, zou je toch mogen verwachten dat er geen discriminatie is op basis van het land van herkomst van het telefoonnummer?
Of kan ik nu een gratis mobiel telefoonnummer krijgen van KPN bij mijn Glasvezel aansluiting?

Ik sluit me aan bij de anderen die graag 2FA via een authenticator-app willen ondersteunen, aangezien dit een flexibeler en meer toekomstbestendig alternatief is.

Dat SMS niet de oplossing is die klanten willen is duidelijk Mogelijkheid om 2FA in te schakelen voor MijnKPN | KPN Community (post van 4 jaar geleden)
Gaat KPN ook 2FA tweestapsverificatie voor Mijn KPN mogelijk maken? | KPN Community
2FA, eigenlijk schandalig dat het alleen via SMS gaat | KPN Community

Gelukkig is dit dan ook niet het eindpunt ​@Johan_91. Zoals in het openingsbericht valt te lezen:

We kiezen ervoor om SMS te gebruiken omdat dit de meest toegankelijke vorm is voor de meeste mensen om te gebruiken. Hierom bieden we nu als eerste stap SMS aan als middel voor je Multi-Factor Authenticatie. We zijn actief bezig om aanvullende vormen van Multi-Factor Authenticatie aan te kunnen gaan bieden.

Ik hoor graag wanneer KPN SMS gaat ondersteunen voor niet Nederlandse nummers.

Naast de onveiligheid van SMS is dit gebruik ook veel duurder. Bovendien moet altijd een backup voor 2FA zijn (2FA app, telefoonnummer, email...) Anders worden mensen uitgesloten zonder mobiel telefoon (verlies, geen mobiel nummer) en 2FA-SMS weer omgezeild door klantenservice (IBAN, NAW-gegevens) en het verplicht stellen van 2FA-SMS als onzinnig.

Hier een voorbeeld van kosten van SMS voor Twitter, bedroeg 25% van de toenmalige verlies per jaar.

Elon Musk Says Twitter Lost $60mn a Year Because 390 Telcos Used Bot Accounts to Pump A2P SMS

Het linkje gaat over frauderende telcos. Daar zal KPN geen last van hebben zolang ze alleen Nederlandse nummers toe zullen staan. Ik kan me niet voorstellen dat Vodafone of Odido zoiets bij KPN zou gaan flikken 😉

Schrik eigenlijk wel een beetje van sommige reacties die ik lees. Natuurlijk is SMS niet de meest ideale vorm van mfa in 2025, dat gaf ik ook al aan. Zelfs niet handig als klanten geen mobiel nummer hebben. Maar het is wel een eerste stap naar een betere beveiliging. Ik denk zelf dat digitale veiligheid een gedeelde verantwoordelijkheid is. Provider zorgt voor de middelen en de klant spant zich in om er gebruik van te maken. Ik zie in mijn omgeving een categorie mensen die op onmogelijke manier omgaan met gegevens. Ik zie ook nog bedrijven waar je gewoon je wachtwoord plain text krijgt toegezonden als je op de “wachtwoord vergeten” knop drukt.

Laat deze stap vanuit KPN nu een aanleiding zijn voor eenieder om eens kritisch naar digitale veiligheid te kijken. Niet alleen bij KPN. Wijs mensen op de mogelijkheden en biedt hulp aan als mensen niet begrijpen wat ze moeten doen. En laten we KPN vooral scherp houden via de Community want er staan echt wel terechte opmerkingen in dit topic. Aan de slag!

Moeten wij nu echt KPN scherp gaan houden ? En dat via dit kanaal, dit is de wereld op zijn kop.
We betalen een enorm bedrag voor het internet en de slechte tv ontvanger, en als het dan om veiligheid gaat moeten wij als klant KPN gaan vertellen hoe ze hier zorg voor moeten dragen ? 

​@jammer2024 dat is het mooie van dit forum. Dat kpn kan zien wat er leeft bij de klanten en dat ze daar wat mee kunnen doen. 

Wat betreft de veiligheid van SMS…

Bij de meeste andere websites die wel MFA via een Authenticator app aanbieden dient SMS nog steeds als backup. Bijvoorbeeld bij Odido:

Heb je voor Microsoft Authenticator je oude telefoon niet meer? Of stap je over op een ander besturingssysteem? Zo kan je de Microsoft Authenticator op je nieuwe telefoon gebruiken:

• Download de Microsoft Authenticator app op je nieuwe telefoon.
• Log in met het account dat gekoppeld is aan de app.
• Kies voor Inloggen met wachtwoord.
• Log in.
• Daarna krijg je een melding dat je je moet aanmelden met je Microsoft Authenticator app.
• Kies voor Ik heb nu geen toegang tot mijn Microsoft Authenticator app.
• Kies nu voor het sturen van een SMS naar je telefoonnummer.
• Met deze code bevestig je je identiteit. Daarna kan je inloggen met Microsoft Authenticator op je nieuwe telefoon.

https://www.odido.nl/blog/authenticator-app-nieuwe-telefoon/

Dat maakt een Authenticator app niks veiliger dan SMS. Als je altijd terug kunt vallen op SMS.

Ik geloof ook niet dat SMS echt zo onveilig is zoals hier beweert word. Tenzij je de Israëlische Mossad als vijand hebt ofzo. Een doorsnee hacker die aan de andere kant van de wereld achter z'n computertje zit kan er niet veel mee.