Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie
Toon posts:

Salarisstroken beschikbaar via één (discutabele) methode

Pagina: 1
Acties:

Acties:
  • +2Henk 'm!

  • ShitHappens
  • Registratie: juli 2008
  • Laatst online: 20:43

ShitHappens

Shit, I fucked up again

Op papier eigenlijk totaal geen problemen mee
Onbeveiligde PDF in privé mail... Tsja, daar belanden nog wel eens serieuzere en belangrijkere onbeveiligde PDF's in
Portal met (gebruikersnaam en) wachtwoord zou een beetje de norm moeten zijn ondertussen, kijkend naar een speler als ADP.
Maar vervolgens met enkel Google Authenticator? 6 cijfers invoeren en je bent er? Nog steeds kans van 1 op een miljoen dat 6 random cijfers mijn huidige code is... Maar dat is een beetje een vreemde manier van authenticeren. Of gaat dit om GA bovenop gebruikersnaam en wachtwoord? 2FA is in 't algemeen wel aan te moedigen, waar het gebrek aan een 2e keuze (SMS of andere app) over te discussiëren valt. En wat eraan doen? Werkgever aansporen om een andere accountant te zoeken of van werkgever wisselen? Niet bijzonder veel lijkt me

I reject your reality, and substitute my shit


Acties:
  • +2Henk 'm!

  • MAX3400
  • Registratie: mei 2003
  • Laatst online: 27-06 19:13

MAX3400

XBL: OctagonQontrol

rookie no. 1 schreef op woensdag 12 juni 2019 @ 21:29:
Ik heb er natuurlijk een mening over en ben benieuwd naar die van anderen en ook vooral wat je hieraan zou kunnen doen.
En wat is jouw mening dan? Want uiteindelijk, en dan mag je zelf even bedenken of je er ook een mening over hebt; met een beetje keylogger of anderszins stukje spyware, zie ik alsnog natuurlijk hoeveel je verdient.

Andere insteek: als ik het zo lees moet / verwacht je een nog betere beveiliging / toegang tot je loonstroken. Wel weer grappig want je uiteindelijke fiscale stukken (belastingaangifte), kom je ook gewoon in met iets "stoms" als user/pass en misschien een SMS.

En zat mensen hebben hun smartphone op lockscreen staan maar wel met notificaties zichtbaar; want stel dat je een post op FB van Tante Sjaan mist. Ja, maar die SMS van de overheid zie ik dan ook als ik je smartphone gejat heb.

Xbox Live: OctagonQontrol


Acties:
  • +6Henk 'm!

  • Rmg
  • Registratie: november 2003
  • Nu online
Om die codes te generen kan je ook Authy gebruiken. Googles 2fa (hoe je totp codes genereert iig) is een open standaard

Rmg wijzigde deze reactie 12-06-2019 23:31 (16%)


Acties:
  • +2Henk 'm!

  • Evanescent
  • Registratie: september 2001
  • Niet online

Evanescent

Helemaal klaar voor de zomer!

MAX3400 schreef op woensdag 12 juni 2019 @ 21:43:
[...] Andere insteek: als ik het zo lees moet / verwacht je een nog betere beveiliging / toegang tot je loonstroken. Wel weer grappig want je uiteindelijke fiscale stukken (belastingaangifte), kom je ook gewoon in met iets "stoms" als user/pass en misschien een SMS.

En zat mensen hebben hun smartphone op lockscreen staan maar wel met notificaties zichtbaar; want stel dat je een post op FB van Tante Sjaan mist. Ja, maar die SMS van de overheid zie ik dan ook als ik je smartphone gejat heb.
Wat is dit nou weer voor 'whataboutism'. 8)7 Dat de rest het fout doet betekent niet dat je je er geen zorgen over hoeft te maken, toch?

@rookie no. 1 Ik ben het wel met je eens. Onze oude salarisverwerker had ook nog een onbeveiligde login. Toen ik hier stennis over ben gaan schoppen is er een TLS-verbinding gekomen maar die scoorde nog steeds maar een B op de SSL-labs test. Nu zitten we bij Afas, waar recent eindelijk 2FA introduceert is.
rookie no. 1 schreef op woensdag 12 juni 2019 @ 23:24:
[...] Wat me alleen enorm stoort is dat je maar via 1 partij (Google Authenticator) toegang kunt krijgen [...]
Google Authenticator is slechts één van de vele tools die zo'n code kunnen genereren. Er zijn er ook genoeg opensource. Zoek hier maar eens naar.

Evanescent wijzigde deze reactie 12-06-2019 23:36 (25%)

De zon schijnt maar toch is het donker.


  • -Marco
  • Registratie: mei 2013
  • Laatst online: 14-07 22:49
Ik gebruik zelf altijd die van LastPass, kan je ook als vervanger voor Google gebruiken en die heeft dan (in ieder geval op iPhone) ook nog TouchID nodig om de app te openen.

Verder denk ik dat, juist vanwege het gebrek aan kennis bij de meeste mensen, ze niet zullen kiezen om een hele lijst met authenticator-apps voor te schotelen, want dan snapt het merendeel het niet meer. Google kent iedereen, en er lijkt me op zich weinig op tegen om die app te gebruiken.

Acties:
  • +2Henk 'm!

  • Jester-NL
  • Registratie: januari 2003
  • Niet online

Jester-NL

... pakt een botte bijl

Paul schreef op woensdag 12 juni 2019 @ 23:38:
[...]
Wat al redelijk hoog is :) Out of the box halen veel producten dat niet (veel gelukkig ook wel), en de meeste vulnerabilities zetten je terug naar een F.

A of A+ is natuurlijk het beste (en redelijk simpel te halen), maar staar je er ook niet blind op; TLS configuratie is maar een heel klein deel, er zijn veel belangrijker dingen die je niet zo makkelijk test. Als je een A+ scoort maar de site je in laat loggen met admin/admin ben je alsnog de sjaak.
Om een A+ te halen bij SSLlabs heb je alleen nodig dat je HSTS aan hebt staan... en dan krijg je zelfs op een gratuit Let's Encrypt certificaat een A+

Daarnaast lees ik
Wat me alleen enorm stoort is dat je maar via 1 partij (Google Authenticator) toegang kunt krijgen tot je eigen gegevens die je regelmatig nodig hebt (belastingaangifte, hypotheek, etc.). Dat is nou net de partij waar ik bij voorkeur niets van wil hebben*
En laat die 2FA-app nou niets anders doen dan een paar cijfers uitpoepen. Die app heeft 0 aan toegang tot je belastingaangifte of hypotheek. Iets met klok en klepel

Take life too serious and it ceases to be fun
me @ last.fm


Acties:
  • +1Henk 'm!

  • EnigmaNL
  • Registratie: januari 2007
  • Laatst online: 19:28

EnigmaNL

Ik wil kaas.

Een systeem beveiligd met 2FA, dat klinkt helemaal prima. Beter geregeld dan bij de meeste bedrijven volgens mij.

Acties:
  • +2Henk 'm!

  • Evanescent
  • Registratie: september 2001
  • Niet online

Evanescent

Helemaal klaar voor de zomer!

nldls schreef op vrijdag 14 juni 2019 @ 09:56:
Ik krijg ze nog via prive mail in open PDF en dat vind ik prima. Portal zou ik al minder fijn vinden omdat ik dan actief moet zoeken naar mijn info. 2FA zou me dan niet zoveel meer uitmaken als extra. Qua veiligheid prima.
Het grootste probleem zijn alle privégegevens die bij elkaar staan in zo'n strookje, zoals je BSN, werkgever, volledige naam, etc. Daarmee wordt identiteitsfraude wel erg makkelijk. Dat zou ik niet over plain text mail willen hebben.

De zon schijnt maar toch is het donker.


Acties:
  • +1Henk 'm!

  • KnoxNL
  • Registratie: juli 2009
  • Laatst online: 19:18
rookie no. 1 schreef op woensdag 12 juni 2019 @ 23:24:

Maar goed, kennelijk is het normaal dat je hierin geen keuze hebt tegenwoordig. Ik zou het bijna weer liever op papier hebben, maar ook dat is niet meer een keuze.


*Al ga ik wel voor het einde van het jaar over van Windows 10m naar Android, zei het met frisse tegenzin...
Nee, dat is niet waar. Pin me er niet op vast dat hoe ik het formuleer 100% juist is, maar er is iets in de volgende trant:

De werknemer moet op een manier die toegankelijk is voor hem/haar in staat gesteld worden om over belangrijke documenten te beschikken.

Dat kan, in het slechtste geval betekenen dat zij jou een fysiek exemplaar moeten overhandigen.

EDIT: Dit dus:

http://www.arbeidsovereen...oonstrook-te-verstrekken/

En onze welbekende Arnoud:

https://www.security.nl/p...loonstrookjes+weigeren%3F

KnoxNL wijzigde deze reactie 14-06-2019 10:29 (14%)


Acties:
  • +1Henk 'm!

  • hackerhater
  • Registratie: april 2006
  • Laatst online: 14:02
@rookie no. 1
Die Google app maakt gebruikt van https://en.wikipedia.org/...e-time_Password_algorithm

Elke app die dit protocol implementeerd kan je gebruiken. Google Authenticator is alleen de meest bekende.

Acties:
  • +1Henk 'm!

  • Ryur
  • Registratie: december 2007
  • Laatst online: 17:10
Klopt, maar dat betekent helaas niet dat hij dus niet meer rondzwerft ;)

Leuk dat je in 2020 een nieuw BTW nummer (kan) krijgen. Maar ze zouden juist, om identiteitsfraude tegen te gaan, diegene juist een nieuwe BSN nummer moeten geven (hoeveel rompslomp dat ook is).

Ryur wijzigde deze reactie 14-06-2019 18:13 (23%)

Pagina: 1


OnePlus 7 Pro (8GB intern) Nintendo Switch Lite LG OLED C9 Google Pixel 3a XL FIFA 19 Samsung Galaxy S10 Sony PlayStation 5 Groot-Brittanie

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True