MijnKPN: Tweestapsverificatie (MFA) wordt verplicht: wat betekent dit voor jou?

​@ebes88 

De beveiliging van je wachtwoordmanager zorgt ervoor dat je wachtwoorden veilig zijn opgeslagen. Maar als iemand je MijnKPN-wachtwoord weet (bijvoorbeeld door phishing, malware etc), kan die persoon zonder extra verificatie inloggen op je MijnKPN-account. De 2FA op de wachtwoordmanager speelt daar geen rol.

Via MijnKPN kun je niet alleen gegevens inzien, maar ook diensten wijzigen, abonnementen opzeggen of aanvragen, en persoonlijke gegevens aanpassen. Als een kwaadwillende toegang krijgt, kan dit leiden tot financiële schade (voor zowel ons als jezelf), identiteitsmisbruik en verstoring van de dienstverlening.

SMS voegt simpelweg een extra kanaal toe wat los staat van e-mail en het bijbehorende wachtwoord, waardoor het voor kwaadwillenden gewoon moeilijker wordt om toegang te krijgen. Dat SMS niet de ideale oplossing is dat weten we, dus daarom wordt er ook gekeken naar extra alternatieven.

Telecomaccounts zijn een aantrekkelijk doelwit voor fraude (bijvoorbeeld SIM-swaps). Verplichte 2FA is een bewezen maatregel om het risico op misbruik drastisch te verlagen. Banken en overheden doen dit al jaren, en wij volgen dezelfde best practices om gegevens te beschermen.

1. Zoals ik al zei, hier hebben we al verificatie via email voor. Ik moest die doorlopen voordat ik verder kon inloggen.
2. De financiele schade door een abonnement op te zeggen, nieuw aan te vragen of gegevens aan te passen valt denk ik echt reuze mee. Al helemaal als dan ook nog eens een mailtje ter bevestiging wordt verstuurd met de aanpassingen. Ik zie dan ook weinig redenen voor iemand om dit te doen. Dit lijkt me niet echt het doemscenario waardoor je elke gebruiker moet verplichten om 2fa via sms te gebruiken. Misschien dat het interessant wordt voor bedrijfsaccounts, maar niet voor particulieren.
3. Mooi dat er gekeken wordt naar alternatieven, maar het alvast geforceerd uitrollen is geen slimme zet. We zijn ondertussen al vijf maanden verder sinds de aankondiging waarbij de vijfde reactie op dezelfde dag al aangaf dat je meer nodig hebt dan alleen sms als optie. Een scrum sprint in development is normaal gesproken tussen 1 en 4 weken, dus ik heb echt serieuze twijfels dat daar prio op zit.
4. Je vertelt dat telecomaccounts een doelwit zijn voor fraude, met als voorbeeld sim-swapping. In dezelfde alinea vertel je dat verplicht 2fa een bewezen maatregel daartegen is. Maar… Een succesvolle sim-swap zorgt ervoor dat je belletjes en SMSjes kan onderscheppen. Het is juist bedoeld om de 2fa te cracken die nu geforceerd wordt door KPN. Banken zijn daar over het algemeen van afgestapt en de overheid gebruikt digid.

Edit:

Overigens, ondanks dat ik misschien kritisch overkom, wil ik je wel bedanken voor de reactie. Ik ben blij dat het serieus wordt genomen.

Zoals ik al zei, hier hebben we al verificatie via email voor. Ik moest die doorlopen voor ik verder kon inloggen.

Maar zoals hopelijk geen verrassing is, is voor velen het wachtwoord van de mailbox gelijk aan die van het MijnKPN account, wat die laag van bescherming daar alweer uithaalt. 

De financiele schade door een abonnement op te zeggen, nieuw aan te vragen of gegevens aan te passen valt denk ik echt reuze mee..... Ik zie dan ook weinig redenen voor iemand om dit te doen. Dit lijkt me niet echt het doemscenario waardoor je elke gebruiker moet verplichten om 2fa te doen via sms.

Dat is dan toch echt een verkeerde inschatting. Vergeet niet dat wij veel meer zien wat er allemaal gebeurt dan klanten (zeker hen die nog niet getroffen zijn), maar ik som gerust wat dingen op. Aanvragen van extra diensten zoals Netflix, Spotify Premium. Bestellen van producten bij KPN welke elders worden geleverd maar de klant de rekening van krijgt. Het aanmaken van extra mailboxen die gebruikt worden voor allerlei frauduleuze activiteiten, en zo zijn er nog wel wat zaken die wat mij betreft een dergelijke omgeving zonder MFA echt een absolute no-go maakt. 

maar toch nog geforceerd uitrollen is toch niet een slimme zet

Vanwege mijn vorige antwoord vind ik dat absoluut een slimme zet

Een scrum sprint development is normaal gesproken tussen 1 tot 4 weken

Maar dat betekent niet dat elk (groot) project ook binnen die tijd afgerond kan worden. 

Banken zijn daar over het algemeen van afgestapt en de overheid gebruikt digid.

Er zijn nog steeds veel bedrijven en diensten die SMS gebruiken, waarbij het voor kwaadwillenden heel interessant is om die te onderscheppen. 

Ik snap dat je het na deze uitleg nog steeds niet met me eens gaat zijn, en een verdere discussie hierover is ook allesbehalve zinvol. We leggen je uit waarom we doen wat we doen en welke dingen we in de toekomst nog willen verbeteren, maar nogmaals: het uitschakelen van de MFA gaat zeer zeker niet gebeuren. 

DigiD werkt ook via SMS. Ja, je kan de app gebruiken. Maar dat is alleen maar een verlengstuk van de SMS controle.

Als je de app op een nieuwe telefoon installeert, hoe moet je die dan de eerste keer instellen? Via SMS controle. 

Die app maakt het er misschien makkelijker op. En het geeft je het idee dat je "een keuze" hebt ofzo. Maar die app maakt het er niet veiliger op.

Inloggen via een SIM swap bij de overheid kan dus nog steeds. Want iedereen kan die app installeren op zijn toestel met jouw DigiD account als die de SMS kan ontvangen. 

En wat DigiD heeft, dat heeft KPN ook. Je kan namelijk inloggen via QR code. Deze scan je met de MijnKPN app. Dan ben je ingelogd zonder SMS controle.

Voor bedrijven gebruikt de overheid E-Herkenning. Dat werkt ook via SMS controle. Een andere manier is er niet. Een app bestaat niet voir zover ik weet.

Ok, want KPN heeft deze diensten eerder aangeboden, jaren voordat KPN mfa verplicht stelde. Als het echt zo erg is, zou je kunnen zeggen dat dat acheraf gezien een grove fout was geweest waar nu iedereen de dupe van is geworden door veel later iedereen te verplichten een gedeeltelijk geimplementeerd mfa systeem te gebruiken.

Je zou ook kunnen stellen dat misschien het handiger zou zijn om een account mfa verplicht te stellen pas als men extra inboxes wilt of netflix via kpn bestelt in plaats van iedereen over 1 kam te scheren.

Maar dat betekent niet dat elk (groot) project ook binnen die tijd afgerond kan worden. 

Des te meer reden om het correct in te voeren met TOTP en FIDO2 als extra opties in plaats van iedereen verplichten zoals het nu is. Hoeft het niet twee keer door de (schijnbaar) lange pipeline te gaan.

Ik snap dat je het na deze uitleg nog steeds niet met me eens gaat zijn, en een verdere discussie hierover is ook allesbehalve zinvol. We leggen je uit waarom we doen wat we doen en welke dingen we in de toekomst nog willen verbeteren, maar nogmaals: het uitschakelen van de MFA gaat zeer zeker niet gebeuren. 

Ik snap dat ik reageer op een stakeholder van de abuse afdeling. Misschien is het cynisch van mij maar ik ben wel realistisch genoeg om in te zien dat het origineel om snel geld verdienen ging bij het opleveren van deze extra diensten (vaak een push vanuit de marketing of sales) en dan dat men opmerkte dat er misbruik werd gemaakt van deze diensten en (mogelijk gehaast) een ‘pleister’ op moest worden gedaan via een mfa verplichting met alleen sms als optie.

Normaal gesproken heb ik weinig problemen met KPN, sterker nog, jullie hebben een hele fijne support afdeling. Ik neem twee fiber internet abonnementen af bij jullie en ben er over het algemeen tevreden mee. Maar dit is gewoon jammer. Ik ondervind nu een slechtere gebruikerservaring voor iets wat niets te maken heeft met mij. Ach ja, het is niet anders. Ik kijk in ieder geval uit naar de TOTP‑uitbreiding.

​@Marlon92 Het ging voor mij voornamelijk er om dat ik liever niet mijn telefoon wil gebruiken om in te loggen. Bedankt dat je mee probeerde te denken aan een oplossing maar de app op de telefoon is voor mij niet een alternatief. Ik probeer mijn schermtijd op de telefoon juist te minderen.

Als je schermtijd wilt verminderen, koop een dumbphone. Daar kan je alleen maar mee bellen en sms'en. Reken maar dat da effectief werkt.

Wanneer mag de(ze) klant dit tegemoet zien? Want het is niet 1 klant die er om vraagt en er zijn volgens mij nog steeds scenario’s waarbij het onnodig onmogelijk wordt door enkel de achterhaalde SMS aan te bieden.

Ik kan daar nog geen specifiek tijdspad voor noemen ​@kvdb stelt een vraag maar er wordt zeker naar gekeken.  

​@Remco van KPN wat hebben we aan ‘kijken’? 

1. vanaf de start van het gehele 2FA ontwerp en dialoog ‘project’ zijn AL DE GENOEMDE ‘BETERE’ VORMEN ook al bekend

2. sms is een makkelijke bereikbare basis voor ‘minder handige’ veiligheid maar NIET ALTIJD.
3. TOTP is al hoe lang een standaard….?
4. ook KPN weet dat er scenario’s zijn waarbij SMS onmogelijk is en de klant maar een fysieke winkel moet gaan zoeken VERMIJDBAAR (en verwijtbaar!?)

toch duurt het nu al meer dan 6 maanden dat de ICT techniek iets meeneemt dat in 2011 in de standaarden werd verwerkt. Dan mogen we toch wel iets meer verwachten dan ‘we denken er over na/we bekijken het’. VIJFTIEN JAAR de tijd gehad om daaraan te werken.

we vragen niet om geen 2FA maar wel om de keuze voor een betere handigere of misschien wel heel veilige maar zeer omslachtige versie (zover een hardware key dat is) waarbij de klant de keuze voor ‘de juiste dienst’ mag maken.

of ziet KPN dat anders?

totp wiki “In 2008, OATH submitted a draft version of the specification to the IETF. This version incorporates all the feedback and commentary that the authors received from the technical community based on the prior versions submitted to the IETF.[2] In May 2011, TOTP officially became RFC 6238.[1]”