Tweestapsverificatie: Is er bewijs dat het echt voor meer veiligheid zorgt?

Hallo ​@RalfSchooneveld ,

KPN geeft met name aan dat dit een eerste stap is.

bron: 

Wat is MFA (Multi-Factor Authenticatie)?

MFA staat voor Multi-Factor Authenticatie. Dat betekent dat je bij het inloggen meerdere stappen, (of ‘factoren’), moet doorlopen. Je voegt eenvoudig een extra beveiliging laag toe aan je account, zodat het voor hackers lastiger wordt om bij je gegevens te komen. Zo ben je nog beter beveiligd tegen de online gevaren.

We kiezen ervoor om SMS te gebruiken vanwege de vele typen klanten die we hebben: van onze opa's en oma's met misschien weinig computerervaring tot cyberexperts en alles ertussen. SMS is daarin de meest toegankelijke vorm voor de meeste mensen om te gebruiken.

Hierom bieden we nu als eerste stap SMS aan als middel voor je Multi-Factor Authenticatie. We zijn actief bezig om aanvullende vormen van Multi-Factor Authenticatie aan te kunnen gaan bieden. Tot die tijd kun je jezelf extra beveiligen met het gebruik van SMS.

En op de website vind je nog wat meer achtergrondinformatie.

bron: 

https://www.kpn.com/tweestapsverificatie?campaignid=sms:an=kpn-owned:s=vrs:cd=btl-care:f4=inloggen?campaignid=so:c=merk-community

Waarom gebruikt KPN een code via sms als tweestapsverificatie?

Dat doen we omdat sms de meest toegankelijke vorm is om tweestapsverificatie te gebruiken. Bijna iedereen heeft namelijk een mobiele telefoon. En kan daarmee de code via sms ontvangen.

We zijn druk bezig om aanvullende vormen van tweestapsverificatie aan te bieden. Tot die tijd is je KPN account extra beveiligd door tweestapsverificatie via sms.

Ik houd het even hierbij. Graag wil ik constructief kritiek waarom het volgende zoveel tijd nodig heeft. 

Hoe moeilijk is het technisch voor KPN?
Technische haalbaarheid (realistisch bekeken)
SMS-OTP en spraak-OTP zijn technisch vergelijkbaar
De OTP-code (eenmalige code) wordt in beide gevallen door dezelfde authenticatieserver gegenereerd.

Het verschil zit alleen in het transportkanaal: SMS -> SMS-centrale (SMSC)

Landline -> Telefonieplatform met Text-to-Speech (TTS)

Voorkeursinstelling per klant
SMS, spraak of eventueel authenticator-app.

KPN beschikt al over Vaste telefonie (PSTN/VoIP, SMS-infrastructuur,Klantprofiel- en authenticatiesystemen...mag ik aannemen. 

Er is geen nieuwe netwerkinfrastructuur nodig.

Vanuit IT-oogpunt:
OTP genereren → kanaal kiezen (SMS / Spraak) -> versturen via SMSC of belplatform

Ik ben niet bekend met implementatie van het hele inlog- en authenticatiesysteem voor klanten op de KPN.com-site. Maar een ingrijpende aanpassing kost enorm veel tijd om het door te voeren. Je wilt 0,0 bugs hebben en een goede workflow bieden voor de klanten. Veiligheid, betrouwbaarheid, en het kunnen onderhouden ervan, zijn bij zulke projecten zeer belangrijk. 

Ik weet niet of ze momenteel een TOTP of Code-to-call aan het ontwikkelen zijn bij KPN. Maar ik kan mij voorstellen dat het niet iets is wat ze eventjes uitrollen. 

Ok, geweldig...ik ben het daar niet mee eens. Belastingdienst heeft het al. Even bellen ‘’Hey, mooi systeem, kunnen wij het overkopen, of met jullie IT professionals praten?’’. 
Ik heb een achtergrond in de security branch. Daar praat iedereen met elkaar en wordt kennis gedeeld. 

Vergelijking:
Eigenschap    SMS    Spraak (landlijn)
Infrastructuur    Bestaand    Bestaand
Kosten per gebruik    Lager    Iets hoger
SIM-swap risico    Ja    Nee
Smartphone vereist    Ja    Nee

Als het bij KPN echt om veiligheid zou gaan, dan is er verder geen excuus. Het had twee jaar geleden er al kunnen zijn. 
​​​​​​Toegankelijkheid en inclusie. Betrouwbaarheid bij slechte mobiele dekking. Beveiliging en fraudepreventie. Nationale en wettelijke precedent. Vertrouwen en klanttevredenheid. Continuïteit en fallback. Ik bespaar j de lang preek. Ik wil ook verder met andere dingen hier. Maar mocht je het branden, dan schrijf ik het voor je uit. Maar alleen omdat jij het bent. 

GDPR / NEN 7510. In meedere Europese landen wordt standaard de twee mogelijkheden gegeven blijkbaar ook nog. 
Wordt weer een dure brief naar KPN, KPN kantoor en pakketje Brussel. 



 

Als jij het beter denkt te weten, waarom vraag je dat dan? Heb je dit topic nou gestart om reacties uit te lokken? 

Probeer eens bij jezelf tot 10 te tellen en af te vragen of een bericht zinnig is. 

Meer heb ik eigenlijk ook niet meer te zeggen. Ik wens je verder nog een prachtige en geweldige avond toe. 

Inderdaad, Het is niet zinnig. Maar het is tegen de Nederlandse wetgeving om bij KpN binnen te breken met voorbedachte raden en een python script up te loaden; ook al is het ter verbetering van de diensten. 
Grapjes. 

Ik ga gedurende deze topic niet mee op uw schrijven in als u dit soort dingen gaat schrijven. U voegt niets toe, en ik kan het niet anders dan als een KPN ontmoedigings beleid te zien. Als u toch antwoord wil zoek mij maar op via de social media. KPN legt het er zo dik bovenop, no way dat ik het verder nog professioneel kan houden zonder iemand belachelijk te maken en iemand op zn tenen te trappen. Dat is helaas het triest van het verhaal. 

Zou wel een leuke nieuws bericht maken’’Man breekt in bij KPN om verbetering uit te voeren na ongenoegen.’’
Zou waarschijnlijk het grappigste zijn sinds de South park aflevering met de Cable company. 

 

Artikel 161quinquies

• Toon relaties in LiDO
• Maak een permanente link
•  
• Toon wetstechnische informatie
•  
• ...
•  
• Druk het regelingonderdeel af
•  
• Sla het regelingonderdeel op

Hij aan wiens schuld te wijten is dat mensen, dieren, planten of goederen aan ioniserende stralen worden blootgesteld, dan wel mensen, dieren, planten, goederen, bodem, water of lucht met radioactieve stoffen worden besmet, wordt gestraft:

• 1°.met gevangenisstraf van ten hoogste een jaar of geldboete van de vierde categorie, indien daarvan gevaar voor de openbare gezondheid of levensgevaar voor een ander te duchten is;

• 2°.met gevangenisstraf van ten hoogste twee jaren of geldboete van de vierde categorie, indien daarvan levensgevaar voor een ander te duchten is en het feit iemands dood ten gevolge heeft.

Artikel 161sexies

• Toon relaties in LiDO
• Maak een permanente link
•  
• Toon wetstechnische informatie
•  
• ...
•  
• Druk het regelingonderdeel af
•  
• Sla het regelingonderdeel op

Hij die opzettelijk enig geautomatiseerd werk of enig werk voor telecommunicatie vernielt, beschadigt of onbruikbaar maakt, stoornis in de gang of in de werking van zodanig werk veroorzaakt, of een ten opzichte van zodanig werk genomen veiligheidsmaatregel verijdelt, wordt gestraft:

• 1°.met gevangenisstraf van ten hoogste zes jaren of geldboete van de vijfde categorie, indien daarvan gemeen gevaar voor goederen of voor de verlening van diensten te duchten is;

• 2°.met gevangenisstraf van ten hoogste negen jaren of geldboete van de vijfde categorie, indien daarvan levensgevaar voor een ander te duchten is;

• 3°.met gevangenisstraf van ten hoogste vijftien jaren of geldboete van de vijfde categorie, indien daarvan levensgevaar voor een ander te duchten is en het feit iemands dood ten gevolge heeft.

Artikel 161septies

• Toon relaties in LiDO
• Maak een permanente link
•  
• Toon wetstechnische informatie
•  
• ...
•  
• Druk het regelingonderdeel af
•  
• Sla het regelingonderdeel op

Hij aan wiens schuld te wijten is dat enig geautomatiseerd werk of enig werk voor telecommunicatie wordt vernield, beschadigd of onbruikbaar gemaakt, dat stoornis in de gang of in de werking van zodanig werk ontstaat, of dat een ten opzichte van zodanig werk genomen veiligheidsmaatregel wordt verijdeld, wordt gestraft:

• 1°.met gevangenisstraf van ten hoogste zes maanden of geldboete van de vierde categorie, indien daardoor verhindering of bemoeilijking van de opslag, verwerking of overdracht van gegevens ten algemenen nutte, stoornis in een openbaar telecommunicatienetwerk of in de uitvoering van een openbare telecommunicatiedienst, of gemeen gevaar voor goederen of voor de verlening van diensten ontstaat;

• 2°.met gevangenisstraf van ten hoogste een jaar of geldboete van de vierde categorie, indien daardoor levensgevaar voor een ander ontstaat;

• 3°.met gevangenisstraf van ten hoogste twee jaren of geldboete van de vierde categorie, indien het feit iemands dood ten gevolge heeft.

Mocht je tijd overhebben is er vast nog een plekje bij https://jobs.kpn.com/vacatures te vinden 😀

wie weet zien we jou optie wel in de toekomst gelanceerd worden 💪

Ik wilde die grap vanmorgen ook maken eigenlijk. Maar te weinig tijd in de dag. 

Als ik mn kennis (naam kan ik niet noemen) mag geloven, ex KPN werknemer, heb ik weinig kans mbt de KPN cultuur. hahaha. 

Waarom wilt u werken bij KPN, wat motiveert u?

‘’Want ik ben je ****** zat. We zijn je allemaal ****** ****** zat. Je bent duur en je produceert niks. Boot afhouden is al 25-30 jaar een KPN cultuur. Mensen in grotten in pakistan en india hebben meer interresante zenders dan KPN, en nog steeds de keuze voor 2G en 3G netwerk waarmee je geen acute gezondheid klachten krijgt. 
Trouwens, on the side note. Met die mooie auto die jij van de zaak krijgt, en dat loon waar jij je mooie nieuwbouw  appartement betaald; samen met de verouderde cinema apparatuur die ik prive heb; produceer ik nog betere commercials dan KPN. Alle mensen die jij aanneemt zouden en werkverbod en huisarrest voor onbepaalde tijd opgelegd moeten krijgen. ‘’

hahahaha. Zie je het al voor je? XD
En dan Varweck in de cubical ernaast die met Gods allemacht probeert geen schater geluid te maken terwijl hij daar in een deuk ligt. 
 

Hoi ​@RalfSchooneveld .  Ik zie dat jij momenteel even niet actief kunt zijn hier. Maar ik heb toch een antwoord geformuleerd. Ook voor de eventuele meelezers. 

Bedankt voor het delen van je feedback en het meedenken over de inzet van tweestapsverificatie. We waarderen het dat je hier kritisch naar kijkt en de tijd neemt om dit uitgebreid toe te lichten.

Tegelijk kunnen en zullen we vanuit KPN geen specifieke informatie delen over interne afwegingen, beveiligingsarchitectuur of strategische keuzes rondom de verdere ontwikkeling van authenticatiemethoden. Dat soort details houden we bewust intern, juist om de veiligheid en betrouwbaarheid van onze diensten te waarborgen.

Wat we wel kunnen aangeven, is dat de keuze voor sms als eerste vorm van tweestapsverificatie is gemaakt vanuit een balans tussen veiligheid, toegankelijkheid en brede toepasbaarheid voor al onze klanten. Daarbij wordt continu gekeken naar verdere verbeteringen en aanvullende vormen van multi-factor authenticatie.

Nogmaals dank voor het meedenken en het delen van je zorgen en ideeën.