MijnKPN: Tweestapsverificatie (MFA) wordt verplicht: wat betekent dit voor jou?

​@ebes88 

De beveiliging van je wachtwoordmanager zorgt ervoor dat je wachtwoorden veilig zijn opgeslagen. Maar als iemand je MijnKPN-wachtwoord weet (bijvoorbeeld door phishing, malware etc), kan die persoon zonder extra verificatie inloggen op je MijnKPN-account. De 2FA op de wachtwoordmanager speelt daar geen rol.

Via MijnKPN kun je niet alleen gegevens inzien, maar ook diensten wijzigen, abonnementen opzeggen of aanvragen, en persoonlijke gegevens aanpassen. Als een kwaadwillende toegang krijgt, kan dit leiden tot financiële schade (voor zowel ons als jezelf), identiteitsmisbruik en verstoring van de dienstverlening.

SMS voegt simpelweg een extra kanaal toe wat los staat van e-mail en het bijbehorende wachtwoord, waardoor het voor kwaadwillenden gewoon moeilijker wordt om toegang te krijgen. Dat SMS niet de ideale oplossing is dat weten we, dus daarom wordt er ook gekeken naar extra alternatieven.

Telecomaccounts zijn een aantrekkelijk doelwit voor fraude (bijvoorbeeld SIM-swaps). Verplichte 2FA is een bewezen maatregel om het risico op misbruik drastisch te verlagen. Banken en overheden doen dit al jaren, en wij volgen dezelfde best practices om gegevens te beschermen.

1. Zoals ik al zei, hier hebben we al verificatie via email voor. Ik moest die doorlopen voordat ik verder kon inloggen.
2. De financiele schade door een abonnement op te zeggen, nieuw aan te vragen of gegevens aan te passen valt denk ik echt reuze mee. Al helemaal als dan ook nog eens een mailtje ter bevestiging wordt verstuurd met de aanpassingen. Ik zie dan ook weinig redenen voor iemand om dit te doen. Dit lijkt me niet echt het doemscenario waardoor je elke gebruiker moet verplichten om 2fa via sms te gebruiken. Misschien dat het interessant wordt voor bedrijfsaccounts, maar niet voor particulieren.
3. Mooi dat er gekeken wordt naar alternatieven, maar het alvast geforceerd uitrollen is geen slimme zet. We zijn ondertussen al vijf maanden verder sinds de aankondiging waarbij de vijfde reactie op dezelfde dag al aangaf dat je meer nodig hebt dan alleen sms als optie. Een scrum sprint in development is normaal gesproken tussen 1 en 4 weken, dus ik heb echt serieuze twijfels dat daar prio op zit.
4. Je vertelt dat telecomaccounts een doelwit zijn voor fraude, met als voorbeeld sim-swapping. In dezelfde alinea vertel je dat verplicht 2fa een bewezen maatregel daartegen is. Maar… Een succesvolle sim-swap zorgt ervoor dat je belletjes en SMSjes kan onderscheppen. Het is juist bedoeld om de 2fa te cracken die nu geforceerd wordt door KPN. Banken zijn daar over het algemeen van afgestapt en de overheid gebruikt digid.

Edit:

Overigens, ondanks dat ik misschien kritisch overkom, wil ik je wel bedanken voor de reactie. Ik ben blij dat het serieus wordt genomen.

Zoals ik al zei, hier hebben we al verificatie via email voor. Ik moest die doorlopen voor ik verder kon inloggen.

Maar zoals hopelijk geen verrassing is, is voor velen het wachtwoord van de mailbox gelijk aan die van het MijnKPN account, wat die laag van bescherming daar alweer uithaalt. 

De financiele schade door een abonnement op te zeggen, nieuw aan te vragen of gegevens aan te passen valt denk ik echt reuze mee..... Ik zie dan ook weinig redenen voor iemand om dit te doen. Dit lijkt me niet echt het doemscenario waardoor je elke gebruiker moet verplichten om 2fa te doen via sms.

Dat is dan toch echt een verkeerde inschatting. Vergeet niet dat wij veel meer zien wat er allemaal gebeurt dan klanten (zeker hen die nog niet getroffen zijn), maar ik som gerust wat dingen op. Aanvragen van extra diensten zoals Netflix, Spotify Premium. Bestellen van producten bij KPN welke elders worden geleverd maar de klant de rekening van krijgt. Het aanmaken van extra mailboxen die gebruikt worden voor allerlei frauduleuze activiteiten, en zo zijn er nog wel wat zaken die wat mij betreft een dergelijke omgeving zonder MFA echt een absolute no-go maakt. 

maar toch nog geforceerd uitrollen is toch niet een slimme zet

Vanwege mijn vorige antwoord vind ik dat absoluut een slimme zet

Een scrum sprint development is normaal gesproken tussen 1 tot 4 weken

Maar dat betekent niet dat elk (groot) project ook binnen die tijd afgerond kan worden. 

Banken zijn daar over het algemeen van afgestapt en de overheid gebruikt digid.

Er zijn nog steeds veel bedrijven en diensten die SMS gebruiken, waarbij het voor kwaadwillenden heel interessant is om die te onderscheppen. 

Ik snap dat je het na deze uitleg nog steeds niet met me eens gaat zijn, en een verdere discussie hierover is ook allesbehalve zinvol. We leggen je uit waarom we doen wat we doen en welke dingen we in de toekomst nog willen verbeteren, maar nogmaals: het uitschakelen van de MFA gaat zeer zeker niet gebeuren. 

DigiD werkt ook via SMS. Ja, je kan de app gebruiken. Maar dat is alleen maar een verlengstuk van de SMS controle.

Als je de app op een nieuwe telefoon installeert, hoe moet je die dan de eerste keer instellen? Via SMS controle. 

Die app maakt het er misschien makkelijker op. En het geeft je het idee dat je "een keuze" hebt ofzo. Maar die app maakt het er niet veiliger op.

Inloggen via een SIM swap bij de overheid kan dus nog steeds. Want iedereen kan die app installeren op zijn toestel met jouw DigiD account als die de SMS kan ontvangen. 

En wat DigiD heeft, dat heeft KPN ook. Je kan namelijk inloggen via QR code. Deze scan je met de MijnKPN app. Dan ben je ingelogd zonder SMS controle.

Voor bedrijven gebruikt de overheid E-Herkenning. Dat werkt ook via SMS controle. Een andere manier is er niet. Een app bestaat niet voir zover ik weet.

Ok, want KPN heeft deze diensten eerder aangeboden, jaren voordat KPN mfa verplicht stelde. Als het echt zo erg is, zou je kunnen zeggen dat dat acheraf gezien een grove fout was geweest waar nu iedereen de dupe van is geworden door veel later iedereen te verplichten een gedeeltelijk geimplementeerd mfa systeem te gebruiken.

Je zou ook kunnen stellen dat misschien het handiger zou zijn om een account mfa verplicht te stellen pas als men extra inboxes wilt of netflix via kpn bestelt in plaats van iedereen over 1 kam te scheren.

Maar dat betekent niet dat elk (groot) project ook binnen die tijd afgerond kan worden. 

Des te meer reden om het correct in te voeren met TOTP en FIDO2 als extra opties in plaats van iedereen verplichten zoals het nu is. Hoeft het niet twee keer door de (schijnbaar) lange pipeline te gaan.

Ik snap dat je het na deze uitleg nog steeds niet met me eens gaat zijn, en een verdere discussie hierover is ook allesbehalve zinvol. We leggen je uit waarom we doen wat we doen en welke dingen we in de toekomst nog willen verbeteren, maar nogmaals: het uitschakelen van de MFA gaat zeer zeker niet gebeuren. 

Ik snap dat ik reageer op een stakeholder van de abuse afdeling. Misschien is het cynisch van mij maar ik ben wel realistisch genoeg om in te zien dat het origineel om snel geld verdienen ging bij het opleveren van deze extra diensten (vaak een push vanuit de marketing of sales) en dan dat men opmerkte dat er misbruik werd gemaakt van deze diensten en (mogelijk gehaast) een ‘pleister’ op moest worden gedaan via een mfa verplichting met alleen sms als optie.

Normaal gesproken heb ik weinig problemen met KPN, sterker nog, jullie hebben een hele fijne support afdeling. Ik neem twee fiber internet abonnementen af bij jullie en ben er over het algemeen tevreden mee. Maar dit is gewoon jammer. Ik ondervind nu een slechtere gebruikerservaring voor iets wat niets te maken heeft met mij. Ach ja, het is niet anders. Ik kijk in ieder geval uit naar de TOTP‑uitbreiding.

​@Marlon92 Het ging voor mij voornamelijk er om dat ik liever niet mijn telefoon wil gebruiken om in te loggen. Bedankt dat je mee probeerde te denken aan een oplossing maar de app op de telefoon is voor mij niet een alternatief. Ik probeer mijn schermtijd op de telefoon juist te minderen.

Als je schermtijd wilt verminderen, koop een dumbphone. Daar kan je alleen maar mee bellen en sms'en. Reken maar dat da effectief werkt.

Wanneer mag de(ze) klant dit tegemoet zien? Want het is niet 1 klant die er om vraagt en er zijn volgens mij nog steeds scenario’s waarbij het onnodig onmogelijk wordt door enkel de achterhaalde SMS aan te bieden.

Ik kan daar nog geen specifiek tijdspad voor noemen ​@kvdb stelt een vraag maar er wordt zeker naar gekeken.  

​@Remco van KPN wat hebben we aan ‘kijken’? 

1. vanaf de start van het gehele 2FA ontwerp en dialoog ‘project’ zijn AL DE GENOEMDE ‘BETERE’ VORMEN ook al bekend

2. sms is een makkelijke bereikbare basis voor ‘minder handige’ veiligheid maar NIET ALTIJD.
3. TOTP is al hoe lang een standaard….?
4. ook KPN weet dat er scenario’s zijn waarbij SMS onmogelijk is en de klant maar een fysieke winkel moet gaan zoeken VERMIJDBAAR (en verwijtbaar!?)

toch duurt het nu al meer dan 6 maanden dat de ICT techniek iets meeneemt dat in 2011 in de standaarden werd verwerkt. Dan mogen we toch wel iets meer verwachten dan ‘we denken er over na/we bekijken het’. VIJFTIEN JAAR de tijd gehad om daaraan te werken.

we vragen niet om geen 2FA maar wel om de keuze voor een betere handigere of misschien wel heel veilige maar zeer omslachtige versie (zover een hardware key dat is) waarbij de klant de keuze voor ‘de juiste dienst’ mag maken.

of ziet KPN dat anders?

totp wiki “In 2008, OATH submitted a draft version of the specification to the IETF. This version incorporates all the feedback and commentary that the authors received from the technical community based on the prior versions submitted to the IETF.[2] In May 2011, TOTP officially became RFC 6238.[1]”

Waar is dit bewezen, kunt u de bronnen aanhalen? 

Vraag, wie van de directie binnen kpn is verantwoordelijk voor dit besluit?
In andere woorden, wie is de Data Protection Officer binnen KPN vandaag de dag? Bij wie ik kan informeren voor meer info? 

Daar doen we hier geen uitspraken over Ralf. Je bent hier op de Community op de juiste plek om je vragen te stellen. Je hebt al een eigen topic aangemaakt en daar komt op den duur een KPN moderator langs die je te woord zal staan. Als het dan nodig is om vragen de organisatie in te sturen, dan zullen we kijken of en in hoeverre we daar antwoord op kunnen krijgen. 

Ander topic over hetzelfde, voor het geval ik een verzoek krijg van KPN voor een eigen topic over ditzelfde. 

 

Mag ik daar gebruik van maken:

zojuist mijn oudere vader moeten helpen, na het opladen heeft hij de telefoon-code en de simkaart-code weer eens door elkaar gehaald: PUKcode vraag bereikt.

bij het inloggen op het kpn account werd de 2FA-sms automatisch geactiveerd (🤬) en de sms naar zijn abonnement nummer verstuurd.

1) WAAROM ZIJN DE ANDERE 2FA code mogelijkheden nog steeds NIET ACTIEF op jullie account pagina’s? Is mijn vraag aan de hoge heren.

2) en laat ze ook vertellen hoe ik dit oplos als ik in mn eentje met een telefoon in het buitenland ben en WEL EEN COMPUTER MET INTERNET HEB.

als laatste nog iets anders om te verbeteren. Ging even controleren of ik het goed had dat de zelfhulp PUKcode te vinden is (onder de inlog naar het mobiele abonnement naar simkaart en dan de pincode keuze) maar deze service actie van het script opent enkel de chat pagina nog een keer ipv de instructie of de juiste pagina in  één keer. 
daarnaast vraagt dat domme script ‘of je wil inloggen’ terwijl de pagina tegelijkertijd duidelijk toont dat ik dat al ben. Ben immers via de mijn.kpn > service bij die bot gekomen.

die pagina gaat dus niet open bij die keuze komt er een copy pasta chat tevoorschijn. (4 pagina’s is een keer hier t forum en drie kopieën van de chat)

en even als uitlaatklep van de frustratie toen ik wist wat er mis zou gaan, niet persoonlijk WEL VOOR DE ORGANISATIE EN DE ‘proces design & product owner collega’: kijk even naar de eerste paar pagina’s van dit onderwerp en hoeveel dagen geleden die gemaakt zijn. Daar stond precies de voorspelling van dit DOOR KPN ZELF GEMAAKTE ‘sms naar geblokkeerde sim’ PROBLEEM in. 😡 😈 

​@Sanne van KPN ”Ik lees een hoop aannames in je berichten waar ik verder niet op in zal gaan. Nogmaals samenvattend is het doel hier dat we met iedereen rekening willen houden, ook mensen die technisch minder vaardig zijn, ouderen die niet goed overweg kunnen met ‘SIM/puk codes’” heb je eerder geschreven.
 

Vraag aan jou: Hoe kan mijn vader zichzelf redden met zijn mobiele telefoon, geblokkeerde sim en z’n iPad/computer en wachtwoord-app? (Voorbeeld hierboven)

hint: Met een doodnormale en goede OTP 2FA code app en inlog-beveiliging?

het is niet alsof KPN die oplossingen niet al lang kent https://apps.apple.com/nl/app/kpn-werkplek/id1471961908?l= of https://apps.apple.com/nl/app/kpn-password-manager/id6474299279?l=en-GB

is er al een roadmap voor het scrumteam uit die verkenningen gekomen in het afgelopen half jaar?

Goedenavond ​@kvdb stelt een vraag en bedankt ook voor jouw reactie :)

We gaan kijken of we een antwoord voor je op deze vragen kunnen achterhalen! Ik durf hier zelf geen antwoord op te geven maar wij gaan uiteraard ons best voor je doen!

als laatste nog iets anders om te verbeteren. Ging even controleren of ik het goed had dat de zelfhulp PUKcode te vinden is (onder de inlog naar het mobiele abonnement naar simkaart en dan de pincode keuze) maar deze service actie van het script opent enkel de chat pagina nog een keer ipv de instructie of de juiste pagina in  één keer. 
daarnaast vraagt dat domme script ‘of je wil inloggen’ terwijl de pagina tegelijkertijd duidelijk toont dat ik dat al ben. Ben immers via de mijn.kpn > service bij die bot gekomen.

die pagina gaat dus niet open bij die keuze komt er een copy pasta chat tevoorschijn. (4 pagina’s is een keer hier t forum en drie kopieën van de chat)

 

en even als uitlaatklep van de frustratie toen ik wist wat er mis zou gaan, niet persoonlijk WEL VOOR DE ORGANISATIE EN DE ‘proces design & product owner collega’: kijk even naar de eerste paar pagina’s van dit onderwerp en hoeveel dagen geleden die gemaakt zijn. Daar stond precies de voorspelling van dit DOOR KPN ZELF GEMAAKTE ‘sms naar geblokkeerde sim’ PROBLEEM in. 😡 😈 

Goede feedback en dat nemen we natuurlijk weer mee. Wat betreft het inloggen; zo te zien probeer je dit vanuit een browser. Heb jij heel toevallig de mogelijkheid om dit eens te testen op een ander of apparaat of in een andere browser (het liefst beide 🙏🏻). Puur om wat dingen te testen en uit te sluiten. Hopelijk wil je die moeite nemen en we zien in dat geval je bevindingen dan ook met bovengemiddelde belangstelling tegemoet!

​@Jan van KPN goedeavond. Nog even snel achter je antwoord aan: als ik ‘op dit apparaat in deze browser’ ben ingelogd hier op het forum (als ik dit schrijf)en daarnaast op een nieuwe pagina de mijn.kpn.com pagina benader wordt ik direct herkend en ingelogd. Simpel gezegd: de actieve sessie is herkenbaar tussen de twee verschillende services/servers en wordt opgepikt.

die andere kom ik nog op terug, wil je die hier of in n apart topic of als dm? ‘Om het te scheiden van dit onderwerp’.

zelfde iPhone andere browser: inloggen op forum, extra pagina naar mijn.kpn (sessie herkent), even spelen met service om de bot boven te krijgen: idem ‘log in’ terwijl de login/account al in beeld is.

Morgen zal ik waarschijnlijk ander apparaat testen.

Goedemorgen ​@kvdb stelt een vraag, allereerst om duidelijkheid te scheppen: Er is op dit moment geen alternatief beschikbaar. Sms is op dit moment de enige manier. De wens om de mogelijkheden uit te breiden is bekend, zo gauw daar nieuws over is, delen we het hier in dit topic. 

Zie ook de veelgestelde vragen bovenin dit topic:

Komen er nog andere vormen van multi-factor authenticatie?

We kiezen ervoor om SMS te gebruiken omdat dit de meest toegankelijke vorm is voor de meeste mensen om te gebruiken.

Hierom bieden we nu als eerste stap SMS aan als middel voor je Multi-Factor Authenticatie. We zijn actief bezig om aanvullende vormen van Multi-Factor Authenticatie aan te kunnen gaan bieden.

En wat bovenstaande betreft: ik zie dat je al een eigen topic hebt lopen, deel het gerust daar.

dus je bevestigt dat jullie ACTIEF GEKOZEN HEBBEN OM BEPAALDE BETEAANDE KLANT-HULP PROCESSEN ONMOGELIJK TE MAKEN omdat jullie vooraf er of niet over nadenken OF omdat jullie zo lui programmeren dat de juiste oplossing niet in één keer gemaakt kan worden mbt de app terwijl die op andere plekken in de organisatie en andere apps van KPN actief gepromoot én ingezet worden!? 
 

en dan is er na een half jaar NOG STEEDT GEEN PROCES ONDERWEG OM DAT TE VERHELPEN!?

en het antwoord op de vraag is dat wel of niet gegeven: “Vraag aan jou: Hoe kan mijn vader zichzelf redden met zijn mobiele telefoon, geblokkeerde sim en z’n iPad/computer en wachtwoord-app? (Voorbeeld hierboven)”

hoe werkt dat voor hem in jouw woorden? 🤷🏼

​@Jan van KPN mbt de sessie herkenning en service 🤖 chat ook op m’n iPad Pro dit euvel ‘nog inloggen aub’ terwijl dat al zo is. Niet meer aan gedacht op pc/laptop, dat volgt.

Het is niet nodig om te schreeuwen, ​@kvdb stelt een vraag.

We hebben inderdaad actief gekozen voor sms-verificatie, zoals we ook aangeven in het startbericht:

We kiezen ervoor om SMS te gebruiken vanwege de vele typen klanten die we hebben: van onze opa's en oma's met misschien weinig computerervaring tot cyberexperts en alles ertussen. SMS is daarin de meest toegankelijke vorm voor de meeste mensen om te gebruiken.

Hierom bieden we nu als eerste stap SMS aan als middel voor je Multi-Factor Authenticatie. We zijn actief bezig om aanvullende vormen van Multi-Factor Authenticatie aan te kunnen gaan bieden. Tot die tijd kun je jezelf extra beveiligen met het gebruik van SMS.

In een situatie zoals jij schetst zijn er verschillende andere opties. De makkelijkste is om contact op te nemen met de klantenservice, via een andere telefoon. Of een berichtje achter te laten op een van onze social media kanalen zodat een van de webcare dit kan oppakken. Even langsgaan bij een KPN winkel in de buurt is ook een optie.

Schreeuwen? Om aandacht en betere oplossingen!

uiteraard zijn je voorgestelde oplossingen GEEN werkelijke oplossing: 

ZICHZELF helpen, kan niet want je kan niet bellen en als je geen sms meer kan ontvangen dan kan je niet inloggen en dat weet KPN al van ver voordat ze dit lanceren.

Een sociale media account VOOR EEN SERVICEPROVIDER PROBLEEM?? De beste man is over de tachtig en hoeft toch geen rare toeren bij externe bedrijven te gaan uithalen voor een basis vraag (die niet meer zo kan werken als in de eigen KPN documentatie omdat de sms niet aan zal komen)

een andere telefoon, ja zo lust ik er meer: EEN ANDERE 2 FA oplossing uit de Industrie standaarden die al decennia in gebruik zijn. Of een andere simkaart of een andere provider. De oplossing die KPN biedt:

naar de winkel fietsen, ja dat had ik m ook al gezegd, vooral lekker op zaterdag avond of als je op vakantie bent in het buitenland deze ‘oplossing’ voor SMS-2FA.

maar het meest /s wordt ik van de ironie die er in jullie gezamenlijke ‘van KPN’ antwoorden besloten zit: het zijn vooraf bekende problemen maar er komen geen verbeteringen! zelfs in zeven maanden (7 of 10 ontwikkel sprints?) kan er niet eens een plan en een tijdspad gemaakt worden dat het daglicht mag zien.

vinden jullie dat zelf krachtig innovatief en vooruitstrevend? Want ik ga dit soort artikelen dan toch combineren met deze uitvoering en voortgang. https://www.deondernemer.nl/branded-content/bultena-verhuur-kpn-slimmerwerken~89e086d?referrer=https%3A%2F%2Fduckduckgo.com%2F
 

Overal KPN infomercials met ‘slim vooruitstrevend en veilig’ maar het eigen proces zo regelen blijft achter.