Tweetraps-authenticatie op een Smartphone - Privacy en beveiliging

donderdag 13 september 2018 13:57

Acties:

0 Henk 'm!

Topicstarter

Beste lezer,

Door bijvoorbeeld zorgverzekeraars word je verplicht tweetraps-authenticatie te gebruiken om de persoonlijke gegevens in je account te kunnen benaderen. Het inloggen met DigiD + SMS zou de veiligheid voor je account vergroten.
Wil je bijvoorbeeld je mobiele nummer niet aan de overheid/DigiD kenbaar maken, dan heb je geen toegang meer tot je account en kun je geen persoonlijke gegevens meer inzien of wijzigen. Een discussie over het afdwingen van deze verplichting en het blokkeren van je gegevens zal elders gevoerd worden. Hier op het forum zou ik de vraag willen neerleggen in hoeverre is de tweetraps-authenticatie nog een zinvolle extra beveiliging bij het inloggen, als dit plaatsvindt met een smartphone.

Een PC zou gehackt kunnen worden of besmet met een virus. Daarom heeft men uitgevonden dat identificatie en authenticatie moet plaatsvinden op twee apparaten. Een hacker of virus kan met alleen inlognaam en wachtwoord van de PC nog geen toegang tot een account krijgen omdat hij niet in het bezit is van de mobiele telefoon waarop de SMS-code wordt ontvangen. Voordat de smartphone verscheen werd die tweetraps-authenticatie uitgevoerd met een PC en daarnaast een mobiele telefoon. De identificatie en de authenticatie voltrekken zich zoals bedoeld op twéé verschillende apparaten en geeft zo een goede beveiliging.

Tegenwoordig gebruikt men de smartphone met een grote variëteit aan toepassingen. Hierdoor ontstaat ook voor de smartphone het risico dat deze gehackt is of met een virus of keylogger is besmet wordt. Naar mijn mening is hiermee de tweetraps-authenticatie in de praktijk door de techniek achterhaald en creëert ze slechts een schijnbeveiliging. De tweetraps-authenticatie vindt fictief plaats doordat alle verrichtingen worden gedaan op één smartphone. De identificatie en authenticatie voltrekken zich op één apparaat waarmee de beoogde beveiliging van DigiD + SMS teniet is gedaan.

Ben je het met mij eens of anders, hoe denk jij hierover?

AJMk15A

donderdag 13 september 2018 14:08

Acties:

+2 Henk 'm!

Brahiewahiewa

boelkloedig

Als jij je daar werkelijk zorgen over maakt, neem je toch gewoon twee smartphones?

QnJhaGlld2FoaWV3YQ==

donderdag 13 september 2018 14:13

Acties:

0 Henk 'm!

ArjenM

Brahiewahiewa schreef op donderdag 13 september 2018 @ 14:08:
Als jij je daar werkelijk zorgen over maakt, neem je toch gewoon twee smartphones?

Wat is dat nou voor reactie?!

Dus voor de staat en instanties moet je maar 2x geld uitgeven...

Zullen jou maar niet te serieus nemen he.......

donderdag 13 september 2018 14:16

Acties:

+1 Henk 'm!

MAX3400

XBL: OctagonQontrol

Dan haal je voor 2 tientjes een "dumbphone", prepaid-kaartje erin (eens in de 6 maanden gebruiken) en die leg je apart; alleen voor noodgevalllen 112 en je SMS-verificatie?

En je smartphone, waar je dus ZELF de inschatting van maakt dat je mogelijk gehackt kan worden, gebruik je lekker de hele dag voor Twitter, Snapchat en ander vertier.

ArjenM schreef op donderdag 13 september 2018 @ 14:13:
[...]

Wat is dat nou voor reactie?!

Dus voor de staat en instanties moet je maar 2x geld uitgeven...

Zullen jou maar niet te serieus nemen he.......

Veiligheid mag geen geld kosten? Hoor graag hoe je, in het geval van doodnormale briefpost van de fiscus, je bankpas en andere zaken, dan wel veiligheid en "identificatie" hebt.

Mijn advertenties!!! | Mijn antwoorden zijn vaak niet snowflake-proof

donderdag 13 september 2018 14:20

Acties:

+2 Henk 'm!

Jester-NL

... pakt een botte bijl

Ik ben waarschijnlijk hopeloos ouderwets, maar ik gebruik mijn smartfoon nou niet echt om op met DigiD-beveiligde sites in te loggen. Ik blijf het gebruik van een priegelig k*ttoetsenbord zonder feedback onhandig vinden als ik echt zaken moet regelen.

The sky above the port was the color of television, turned to a dead channel
me @ last.fm

donderdag 13 september 2018 14:22

Acties:

0 Henk 'm!

SBAUKfBnS

Topicstarter

Hoor graag hoe je, in het geval van doodnormale briefpost van de fiscus, je bankpas en andere zaken, dan wel veiligheid en "identificatie" hebt.

Briefpost is een iets ander onderwerp waar ik de nodige slechte ervaring mee heb en waar totaal geen beveiliging aanwezig is. Dan toch maar liever digitaal, wel zonder schijnbeveiliging graag.

AJMk15A

donderdag 13 september 2018 14:39

Acties:

0 Henk 'm!

MAX3400

XBL: OctagonQontrol

SBAUKfBnS schreef op donderdag 13 september 2018 @ 14:22:
[...]

Briefpost is een iets ander onderwerp waar ik de nodige slechte ervaring mee heb en waar totaal geen beveiliging aanwezig is. Dan toch maar liever digitaal, wel zonder schijnbeveiliging graag.

Dat is inderdaad een ander onderwerp / discussie.

Maar, mijn overige meningen / ideeen over SMS-verificatie, waren dat valide mogelijkheden voor jou als alternatief?

Mijn advertenties!!! | Mijn antwoorden zijn vaak niet snowflake-proof

donderdag 13 september 2018 14:47

Acties:

0 Henk 'm!

Anoniem: 316512

Ik ben het wel met je eens. Je kunt ook een yubikey kopen.

donderdag 13 september 2018 18:52

Acties:

0 Henk 'm!

SBAUKfBnS

Topicstarter

Het gaat mij er niet om of ik wel of niet een tweede telefoon aanschaf, wat ik trouwens onzin en hier off topic vind. Waar mijn vraag over gaat heeft geen betrekking op een yubikey, die bij andere toepassingen een prima beveiliging kan bieden.
Ik heb geen Facebook, Twitter, Snapchat en ander vertier op mijn telefoon.
Het gaat mij om de mogelijk onwetende die dit misschien allemaal wel hebben en mogelijk gehackt worden/zijn. Hiervoor is de tweetraps-authenticatie bedoeld. Echter voor de mogelijk onwetende biedt dit op de smartphone de schijnveiligheid waar ik het over had. Nogmaals, hier op het forum zou ik de vraag willen neerleggen in hoeverre is de tweetraps-authenticatie, zoals DigiD+SMS, werkelijk een zinvolle extra beveiliging bij het inloggen, als dit plaatsvindt met alleen een smartphone.

AJMk15A

donderdag 13 september 2018 18:58

Acties:

+1 Henk 'm!

MAX3400

XBL: OctagonQontrol

@SBAUKfBnS wat is dit nou voor vreemde discussie? Klinkt meer als een eenrichtingsweg.

Ja, elk device wat gehackt is, is niet veilig.

Als je die discussie wil voeren, prima. Maar je stelt dat PC en smartphone gehackt/onveilig kunnen zijn. Maar alleen al met die stelling, vraag ik af of je dan uberhaupt nog moet inloggen op welke site dan ook.

Mijn advertenties!!! | Mijn antwoorden zijn vaak niet snowflake-proof

donderdag 13 september 2018 19:04

Acties:

0 Henk 'm!

SBAUKfBnS

Topicstarter

Nogmaals, hier op het forum zou ik de vraag willen neerleggen in hoeverre is de tweetraps-authenticatie, zoals DigiD+SMS, werkelijk een zinvolle extra beveiliging bij het inloggen, als dit plaatsvindt met alleen een smartphone. Ik vrees, einde discussie.

AJMk15A

donderdag 13 september 2018 19:15

Acties:

+1 Henk 'm!

Thralas

SBAUKfBnS schreef op donderdag 13 september 2018 @ 13:57:
Tegenwoordig gebruikt men de smartphone met een grote variëteit aan toepassingen. Hierdoor ontstaat ook voor de smartphone het risico dat deze gehackt is of met een virus of keylogger is besmet wordt.

Dat risico is echter - nagenoeg - nihil.

In tegenstelling tot een PC is Google of Apple de baas op je telefoon en beheren ze ook de bijbehorende appstores.

Je 'malwareapplicatie' bij de eindgebruiker krijgen is al zeer lastig, vervolgens kun je alsnog niet bij de 2FA-data vanwege de scheiding tussen apps (uitzondering voor SMS).

Die situatie is héél anders op een PC.

De identificatie en authenticatie voltrekken zich op één apparaat waarmee de beoogde beveiliging van DigiD + SMS teniet is gedaan.

Als je inlogt vanaf een telefoon en vervolgens hetzelfde apparaat als 'tweede factor' gebruikt dan is het 2FA-idee inderdaad teniet gedaan.

Maar dat hoeft niet perse onveilig te zijn volgens m'n eerdere redenering. Een willekeurige smartphone is vele malen 'veiliger' dan een willekeurige PC.

donderdag 13 september 2018 19:16

Acties:

+1 Henk 'm!

eric.1

Sjah, heel veel voegt het niet toe nee - als je smartphone toch al niet meer van jezelf is (digitaal gezien dan).

Zelfde geldt indien je de notificaties van je tel op je laptop laat verschijnen - ideaal, maarja, haalt de tweede factor wel een beetje onderuit.

Maar goed, een tweetraps-authenticatie is geen wondermiddel, het is een van de schakels in de gehele ketting. Tegen volledig gehackte devices kan je toch weinig beginnen.

donderdag 13 september 2018 19:21

Acties:

+1 Henk 'm!

Thralas

eric.1 schreef op donderdag 13 september 2018 @ 19:16:
Maar goed, een tweetraps-authenticatie is geen wondermiddel, het is een van de schakels in de gehele ketting. Tegen volledig gehackte devices kan je toch weinig beginnen.

Met als kenmerkend voorbeeld de PC met bankingmalware. Eerstvolgende keer dat je de tweede factor gebruikt om 'in te loggen' boek je met 2 2FA-tokens je spaarsaldo naar een Oostblokland.

Één van de redenen waarom banken langzaam naar een 2FA-middel overstappen waarbij er nog méér feedback kan worden gegeven richting de gebruiker - want dat is nóóit duidelijk genoeg.

donderdag 13 september 2018 19:23

Acties:

0 Henk 'm!

MAX3400

XBL: OctagonQontrol

@SBAUKfBnS lees [RealVNC] Ik ben gehackt eens rustig door. Daar was 0-factor authenticatie aanwezig op een onbewust omgezette dienst. Maar als je goed leest, is er toen veel meer aan de hand geweest dan "alleen maar je ene sessie".

Zoals anderen ook schetsen: de grootste fout is vaak de gebruiker die niet technisch genoeg is om zijn/haar devices veilig te houden. Pas als dat opgelost/inzichtelijk is, dan kunnen we een goede discussie voeren of & op welke manier een MFA-oplossing stand kan houden als beide validaties/tokens in 1 hand of op 1 bureau liggen.

Mijn advertenties!!! | Mijn antwoorden zijn vaak niet snowflake-proof

donderdag 13 september 2018 19:33

Acties:

0 Henk 'm!

Will_M

Intentionally Left Blank

Brahiewahiewa schreef op donderdag 13 september 2018 @ 14:08:
Als jij je daar werkelijk zorgen over maakt, neem je toch gewoon twee smartphones?

Hoe denk je dat bijv. een belletje met "112" ten alle tijden herleid kan worden naar een fysiek persoon? Of ben je nog zo naïef om te denken dat een pre-paid kaart/nummer niet te traceren is tot op een persoon

Boldly going forward, 'cause we can't find reverse

donderdag 13 september 2018 19:36

Acties:

0 Henk 'm!

MAX3400

XBL: OctagonQontrol

wimmel_1 schreef op donderdag 13 september 2018 @ 19:33:
[...]

Hoe denk je dat bijv. een belletje met "112" ten alle tijden herleid kan worden naar een fysiek persoon? Of ben je nog zo naïef om te denken dat een pre-paid kaart/nummer niet te traceren is tot op een persoon

Ach, dat vraag ik me soms wel af. Tenminste, ik verdiep me niet dagelijks in positie-bepaling van Google en andere bedrijven maar zolang mijn smartphone me op 4 verschillende navigatie-apps minstens 50m van mijn huis plaatst, heb ik mijn twijfels of een 112-belletje dan wel effectief is zonder dat ik nadrukkelijk het goede adres opgeef?

Maar zoals ik zelf ook al beargumenteerde: als je een tweede telefoon hebt en dat geen "smart" dingen op doet, dan kan dat ding niet/amper onveilig worden en is er minder kans dat je inlog-sessie met de bijbehorende SMS "ondervangen" kan worden?

Mijn advertenties!!! | Mijn antwoorden zijn vaak niet snowflake-proof

donderdag 13 september 2018 19:43

Acties:

0 Henk 'm!

Will_M

Intentionally Left Blank

MAX3400 schreef op donderdag 13 september 2018 @ 19:36:
[...]

Ach, dat vraag ik me soms wel af. Tenminste, ik verdiep me niet dagelijks in positie-bepaling van Google en andere bedrijven maar zolang mijn smartphone me op 4 verschillende navigatie-apps minstens 50m van mijn huis plaatst, heb ik mijn twijfels of een 112-belletje dan wel effectief is zonder dat ik nadrukkelijk het goede adres opgeef?

Maar zoals ik zelf ook al beargumenteerde: als je een tweede telefoon hebt en dat geen "smart" dingen op doet, dan kan dat ding niet/amper onveilig worden en is er minder kans dat je inlog-sessie met de bijbehorende SMS "ondervangen" kan worden?

Je hoeft gelukkig weinig "smart" meer te doen met je telefoon om een (simpel) IMEI nummer aan een SIM te relateren of willekeurig één van de andere telefoon gebonden ID's te relateren aan jouw persoonlijke gegevens .

Boldly going forward, 'cause we can't find reverse

vrijdag 14 september 2018 08:55

Acties:

0 Henk 'm!

Jester-NL

... pakt een botte bijl

SBAUKfBnS schreef op donderdag 13 september 2018 @ 19:04:
Nogmaals, hier op het forum zou ik de vraag willen neerleggen in hoeverre is de tweetraps-authenticatie, zoals DigiD+SMS, werkelijk een zinvolle extra beveiliging bij het inloggen, als dit plaatsvindt met alleen een smartphone. Ik vrees, einde discussie.

Ik denk dat daar gradaties in zijn. Op een verloren device met SMS-verificatie is het onveiliger dan wanneer de eigenaar zelf gebruik maakt van een app als Authy of Authenticator.

Daarnaast gooi ik er even een definitie van 'veilig werken' in: het bewust nemen van aanvaardbare risico's.
Daarmee wordt iets dat jij als pertinent onveilig acht, in de ogen van een ander dus aanvaardbaar. Dat kan gaan om het dragen van een reddingsvest als je gaat zeilen op het Tjeukemeer, maar ook het inloggen op hetzelfde device waar je je authenticatie op ontvangt.

De grap is dat de ING bijvoorbeeld (bij het bankieren in hun app, en het willen doen van een grotere betaling) een TAN-code SMS't naar het bij hun bekende nummer. Dat is dus het toestel waar je op dat moment op bezig bent. En wisselt je nummer, zonder dat je beide nummers op dat moment tot je beschikking hebt, ben je f*cked en moet je op kantoor langs.
Maar goed, voordat je die TAN-code ontvangt, moet je eerst inloggen op mijn telefoon EN mijn bankapp.

The sky above the port was the color of television, turned to a dead channel
me @ last.fm

vrijdag 14 september 2018 09:07

Acties:

0 Henk 'm!

Anoniem: 316512

SBAUKfBnS schreef op donderdag 13 september 2018 @ 19:04:
Nogmaals, hier op het forum zou ik de vraag willen neerleggen in hoeverre is de tweetraps-authenticatie, zoals DigiD+SMS, werkelijk een zinvolle extra beveiliging bij het inloggen, als dit plaatsvindt met alleen een smartphone. Ik vrees, einde discussie.

Nogmaals, zolang je niet op allebei de devices gehacked wordt wel ja. En je kan een yubikey o.i.d. aanschaffen als je smartphones niet vertrouwt.