Matige verificatie van identiteit voor toegang tot account - Privacy en beveiliging

donderdag 14 december 2023 15:04

Acties:

+1 Henk 'm!

Topicstarter

Zojuist heb ik contact gehad met mijn mobiele provider.. Mijn wachtwoord tot het online portaal werd niet geaccepteerd, en zelfs de resetoptie deed niks. Het nieuw gekozen wachtwoord werd daarna namelijk geweigerd. Tijd dus om de klantenservice te attenderen op een mogelijk technisch probleem.

De medewerker vroeg simpelweg mijn postcode en geboortedatum en bood aan om mijn wachtwoord te veranderen naar 'Welkom01', zodat ik het later zelf kon aanpassen.

Ik schrok hiervan. Dat betekent namelijk dat iedereen die mijn postcode en geboortedatum kent en belt, zonder extra controle, toegang kan krijgen tot mijn account. En dan hebben ze ook toegang tot mijn facturen, waar alle info staat over mijn telefoongesprekken. Dat maakt verdere identiteitsfraude natuurlijk wel heel eenvoudig.

Ik benadrukte dat de verificatie juist via een wachtwoordresetmail moet gebeuren omdat je daarmee aantoont toegang te hebben tot het e-mailaccount. En er daarmee een extra verificatie plaats vindt. De klantenservice zei dat sommige klanten geen toegang hebben tot hun e-mailaccount,en ze juist daarom deze optie aanbieden.

Naar mijn idee moeten ze dan kijken naar een andere veilige manier, zoals een verificatiecode verstuurd naar het bekende postadres.

Ik sprak ze hierop aan waarop mij werd medegedeeld dat dit de gebruikelijke procedure is, ze een inlogmogelijkheid bieden en met mij niet de discussie aan willen gaan over de werkwijze. Begrijpelijk, immers de medewerker aan de telefoon kan hier verder inhoudelijk ook niets mee behalve een interne melding maken.

Toch zit het mij niet lekker. Wat denken jullie? Maak ik mij te veel druk? Of is het misschien juist nodig om dit ergens officieel te melden?

Feeling lonely and content at the same time, I believe, is a rare kind of happiness

donderdag 14 december 2023 15:11

Acties:

+3 Henk 'm!

LethalInnocence

Belde je met je eigen mobiele telefoon?

Canon EOS 30, 100D, 6DII, 7D met 17-500mm, DJI Mavic Pro, Dell XPS13

donderdag 14 december 2023 15:13

Acties:

0 Henk 'm!

Xander

Behalve de postcode en geboortedatum, neem ik aan dat je ook belde met het 06-nummer wat bij de provider bekend is? Jouw buurman kan dat natuurlijk ook niet zomaar.

(Ja, telefoonnummers zijn natuurlijk ook te spoofen. Maar dat moet voor jouw eigen provider ook prima te controleren zijn, geen idee of ze dat doen...)

Je zou eens een mailtje naar de data protection officer / functionaris gegevensbescherming kunnen sturen.

PC specs!---Pulse mee voor GoT!
[22:49:37] <@Remy> ik wil een opblaasbare dSLR :+

donderdag 14 december 2023 15:17

Acties:

0 Henk 'm!

SgtElPotato

Als ik met mijn mobiele telefoon naar mijn mobiele provider bel zien ze in beeld al mijn gegevens staan (en eventuele eerdere supportvragen voor snelle afhandeling).
Bel ik de bank met mijn eigen nummer vanuit de app zien ze al vanaf waar / welke stap ik belde en kunnen me dan vrij snel helpen na een korte verificatie van bijvoorbeeld geboortedatum en cijfers rekeningnummer.

Ik zou me niet zo druk maken. Ik denk dat als je namelijk vanaf een 'onbekend' nummer hadden gebeld ze iets meer vragen hadden gesteld ter verificatie als ze al iets aan konden passen..

Zucht...

donderdag 14 december 2023 15:19

Acties:

0 Henk 'm!

KoudeAardbei

Moderator

LethalInnocence schreef op donderdag 14 december 2023 @ 15:11:
Belde je met je eigen mobiele telefoon?

Dit is natuurlijk easy te spoofen.
YouTube: Scammers Are Spoofing Their Numbers! Here's How.

donderdag 14 december 2023 15:39

Acties:

+1 Henk 'm!

Aphelion

Topicstarter

LethalInnocence schreef op donderdag 14 december 2023 @ 15:11:
Belde je met je eigen mobiele telefoon?

Ja. En daarmee maak je een goed punt, die koppeling zouden ze dan moeten kunnen leggen op basis van mijn telefoonnummer.

Ik kan niet bevestigen of uitsluiten dat ze mij deels al hebben geidentificeerd middels het telefoonnummer. Tijdens het gesprek over de gebruikte werkwijze heeft hij dit ook niet genoemd

Bijzonder genoeg heeft de medewerker ook in het gesprek aangegeven dat dan weer niet te kunnen zien, maar misschien heeft het CRM systeem dit wel gedaan en daarmee deze versimpelde verificatie mogelijk gemaakt. Maar eerlijk is eerlijk, deze invalshoek verzacht wel enigzins hoe ik er tegen aan kijk.

Feeling lonely and content at the same time, I believe, is a rare kind of happiness

donderdag 14 december 2023 15:49

Acties:

+1 Henk 'm!

Nomad

Moderator Foto & Video

a.k.a. Martijn

Aphelion schreef op donderdag 14 december 2023 @ 15:39:
[...]

Ja. En daarmee maak je een goed punt, die koppeling zouden ze dan moeten kunnen leggen op basis van mijn telefoonnummer.

Ik kan niet bevestigen of uitsluiten dat ze mij deels al hebben geidentificeerd middels het telefoonnummer. Tijdens het gesprek over de gebruikte werkwijze heeft hij dit ook niet genoemd

Bijzonder genoeg heeft de medewerker ook in het gesprek aangegeven dat dan weer niet te kunnen zien, maar misschien heeft het CRM systeem dit wel gedaan en daarmee deze versimpelde verificatie mogelijk gemaakt. Maar eerlijk is eerlijk, deze invalshoek verzacht wel enigzins hoe ik er tegen aan kijk.

Ga er maar vanuit dat dat gebeurd is, dat doen veel bedrijven geautomatiseerd (ook niet telefoniebedrijven), het scheelt elk gesprek en bij elke werknemer simpelweg tijd om je data erbij te zoeken, dus dat kan uit voor ze. Dan hoeven ze het alleen te verifieren en niet meer op te zoeken inc. typfouten/spelfouten, verkeerd verstane namen etc etc.

Commercieel fotograaf - Zakelijke portretten

donderdag 14 december 2023 16:22

Acties:

+1 Henk 'm!

Outerspace

Moderator General Chat / Wonen & Mobiliteit

AFX Ghey Edition by HlpDsK

Even doorgezet naar PB

Zoekt nieuwe collega's (jr/sr engineers, servicedeskmedewerkers of managers in de Randstad

donderdag 14 december 2023 20:52

Acties:

0 Henk 'm!

laurens0619

Ik denk dat het een reel risico is dat je zo iemand zijn account kan hacken.
Tegelijk zal de informatie voor hackers wel niet interssant genoeg zijn waardoor hacks nog niet veel voorkomen en ze dit risico accepteren.

Het is ook enorm moeilijk hoor, hoe ga je een veilige toegangreset doen die ook nog eens gebruiksvriendelijk is. Als ik de bank bel dan moet ik tijdens het bellen mijn verzoek accorderen in de app, dat is al een mooie methode

Hier nog wat leuk leesvoer over het risico van die controls over de telefoon

Teen Who Hacked CIA Director's Email Tells How He Did It

Teaser: Het was via de servicedesk

https://www.wired.com/201...%20personal%20information.

[ Voor 7% gewijzigd door laurens0619 op 14-12-2023 20:52 ]

CISSP! Drop your encryption keys!

vrijdag 15 december 2023 11:38

Acties:

0 Henk 'm!

Aphelion

Topicstarter

laurens0619 schreef op donderdag 14 december 2023 @ 20:52:
Ik denk dat het een reel risico is dat je zo iemand zijn account kan hacken.
Tegelijk zal de informatie voor hackers wel niet interssant genoeg zijn waardoor hacks nog niet veel voorkomen en ze dit risico accepteren.

Het is ook enorm moeilijk hoor, hoe ga je een veilige toegangreset doen die ook nog eens gebruiksvriendelijk is. Als ik de bank bel dan moet ik tijdens het bellen mijn verzoek accorderen in de app, dat is al een mooie methode

Hier nog wat leuk leesvoer over het risico van die controls over de telefoon

[...]

Teaser: Het was via de servicedesk

https://www.wired.com/201...%20personal%20information.

Ik vraag mij werkelijk af of die informatie niet interessant genoeg is. Immers, met een complete gesprekhistorie heb je heel veel informatie om vervolgstappen te nemen met identiteitsfraude,

Door te weten met wie er contact is geweest. Daar naar kunnen verwijzen in toekomstige gesprekken. Etc.

Feeling lonely and content at the same time, I believe, is a rare kind of happiness

vrijdag 15 december 2023 12:01

Acties:

0 Henk 'm!

laurens0619

Aphelion schreef op vrijdag 15 december 2023 @ 11:38:
[...]

Ik vraag mij werkelijk af of die informatie niet interessant genoeg is. Immers, met een complete gesprekhistorie heb je heel veel informatie om vervolgstappen te nemen met identiteitsfraude,

Door te weten met wie er contact is geweest. Daar naar kunnen verwijzen in toekomstige gesprekken. Etc.

In sommige gevallen wel. Kijk bv naar dat artikel over hoe ze die (persoonlijk) AOL mailbox van de CIA hebben gehackt.

Er zijn waarschijnlijk nu eenvoudigere manieren om iemand te hacken (phishing mail) waardoor ze dit nog niet misbruiken. Ik praat het niet goed, is zeker een risico maar ik denk dat misbruik laag is omdat er simpelere methodes zijn om tot waardevollere informatie te komen

CISSP! Drop your encryption keys!

vrijdag 15 december 2023 12:05

Acties:

+1 Henk 'm!

F_J_K

Moderator CSA/PB

Front verplichte underscores

Bevestiging via mail is ook bepaald niet veilig. Maar beter dan niets. En inderdaad is (ook) spoofing van telefoonnummers een dankbaar gereedschap van mensen die foute dingen willen doen..

Hopelijk was er naast je password ook nog 'gewoon' MFA (via een app, niet sms- of mail-bevestiging)... Al is ook dat natuurlijk niet waterdicht.

Netste zou zijn inderdaad een fysieke brief. Met alle klachten over heel trage reset van dien, en klachten van mensen die niet thuis zijn en/of al jaren zijn vergeten adresgegevens te updaten.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

vrijdag 15 december 2023 13:54

Acties:

0 Henk 'm!

Aphelion

Topicstarter

Nee, er is geen gewone MFA. Puur het wachtwoord dus.

Goed, uiteindelijk hebben ze mij gevraagd om een IP adres. (whut). Aanvankelijk dacht ik ah mooi, dan gaan ze mij als case gebruiken om de storing in het systeem te onderzoeken. Bijvoorbeeld middels de logs. Na 2 uur mocht ik dan weer inloggen en zou het wel moeten werken. Wat het nog steeds niet doet Dubieus.

Ik krijg de indruk dat deze virtuele provider zijn IT niet zo op orde heeft. Ik heb het bekijken van mijn facturen vooralsnog maar even opgegeven want ik heb geen zin om weer in de telefonische wachtrij van de klantenservice te duiken.

Feeling lonely and content at the same time, I believe, is a rare kind of happiness

vrijdag 15 december 2023 14:10

Acties:

0 Henk 'm!

SinergyX

____(>^^(>0o)>____

Tja.. gevalletje kosten vs baten, veiligheid vs ongemak, max effort for least result.. Gebeurd werkelijk overal.

Vergeet niet de extreme bandbreedte van klanten, jij zal het prima vinden om nog brief te ontvangen, vage combi-codes-email-MFA te doen, genoeg die daar of niets van weten, of willen weten. Bij zo'n provider zullen ze meer dan genoeg data hebben om te bepalen tot welk niveau een 'aanvaardbaar' risico is, of dat er extra moet worden ingezet voor dat marginale deel verbeteringen.

Secondair, wat ik weet van een bepaalde verzekeraar, jij weet niet wat zij op hun scherm zien. Kan prima dat ze achter de schermen wat checks hebben (gesprekhistory, loginpogingen etc), en op basis daarvan zaken wel of niet makkelijk vrijgeven.

^{Nog 1 keertje.. het is SinergyX, niet SynergyX}
_{Im as excited to be here as a 42 gnome warlock who rolled on a green pair of cloth boots but was given a epic staff of uber awsome noob pwning by accident.}

vrijdag 15 december 2023 14:34

Acties:

0 Henk 'm!

F_J_K

Moderator CSA/PB

Front verplichte underscores

SinergyX schreef op vrijdag 15 december 2023 @ 14:10:
Tja.. gevalletje kosten vs baten, veiligheid vs ongemak, max effort for least result.. Gebeurd werkelijk overal.

virtuele provider

Yup. "You pay peanuts, you get monkeys." Er zijn cowboys.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

vrijdag 15 december 2023 15:04

Acties:

+1 Henk 'm!

kodak

FP ProMod

Je zorgen lijken me terecht en de moeite waard om dit bij de verantwoordelijke voor de persoonsgegevens op te merken en vragen om verheldering.

Zeker als ze stellen dat het een optie is voor het geval de klant geen toegang tot de eigen email heeft en je op geen enkele wijze duidelijk hebt hoeven maken dat dit het geval is. Dan klinkt het namelijk alsof men een last-resort optie bij de klantenservice als standaard gemak boven veiligheid gebruiken.

Dat een klant valt te herkennen aan een mobiel nummer is niet zomaar genoeg. Dat klanten toegang tot mail kunnen verliezen gaat immers ook op voor toegang tot een mobiel. Dus de optie is er waarschijnlijk niet om standaard maar te gebruiken omdat een nummer in beeld staat en iemand persoonsgegevens weet die dan vaak ook niet moeilijk te achterhalen zijn.

Natuurlijk kun je liever hopen dat de kans wel mee valt, maar het probleem is ook de schade. Het hoeft maar één keer mis te gaan en de gevolgen zijn niet zomaar acceptabel. Nu kan je nog proberen zowel het risico te verkleinen als schade te voorkomen.

Daarbij toont het kritisch zijn dat je als klant niet zomaar gemak kan accepteren als het om jou gegevens en risico gaat.

vrijdag 15 december 2023 15:15

Acties:

0 Henk 'm!

BytePhantomX

Ik vind dat je een terecht punt hebt. Het overnemen van nummers e.d. is een veel voorkomende manier van criminelen. Bijvoorbeeld om sms verificatie af te vangen voor MFA en daarme cryptowallets te stelen.

https://www.security.nl/p...erming+tegen+sim-swapping

Misschien zijn de maatregelen voor toegang tot een account en sim swapping anders, maar geeft niet een heel vertrouwenwekkend gevoel.

zondag 17 december 2023 15:52

Acties:

0 Henk 'm!

CAPSLOCK2000

zie teletekst pagina 888

F_J_K schreef op vrijdag 15 december 2023 @ 14:34:

Yup. "You pay peanuts, you get monkeys." Er zijn cowboys.

Zijn er ook partijen die het wel goed doen? Ik heb regelmatig het gevoel dat je als consument alleen maar kan kiezen uit slechte opties.

This post is warranted for the full amount you paid me for it.

zondag 17 december 2023 16:12

Acties:

0 Henk 'm!

CH4OS

It's a kind of magic

@Aphelion Wat zou een servicedesk dan moeten of kunnen doen om dit te doen? Jij wilt toegang tot jouw account, die je om wat voor reden dan ook niet meer hebt. Men kan dus enkel met gegevens die men van jou heeft en alleen jij zou moeten weten verifiëren dat jij bent wie zegt dat jij bent.

Een brief versturen met verificatie duurt niet alleen lang, maar is ook makkelijk te onderscheppen. Met jouw NAW gegevens er gratis bij ook nog, dus dat is niet echt een gedegen alternatief, maar wat is dat in jouw ogen dan wel?

vrijdag 22 december 2023 10:04

Acties:

0 Henk 'm!

laurens0619

Om even tegengeluid te geven:
Ik word echt helemaal simpel van dat inloggen bij Ziggo. In de app wordt je automatisch uitgelogd na een tijdje en moet je opnieuw inloggen inclusief MFA.

MFA prima maar waarom dat uitloggen? Dat doet mijn internet bankieren niet eens lol

CISSP! Drop your encryption keys!

vrijdag 22 december 2023 10:47

Acties:

0 Henk 'm!

Aphelion

Topicstarter

CH4OS schreef op zondag 17 december 2023 @ 16:12:
@Aphelion Wat zou een servicedesk dan moeten of kunnen doen om dit te doen? Jij wilt toegang tot jouw account, die je om wat voor reden dan ook niet meer hebt. Men kan dus enkel met gegevens die men van jou heeft en alleen jij zou moeten weten verifiëren dat jij bent wie zegt dat jij bent.

Een brief versturen met verificatie duurt niet alleen lang, maar is ook makkelijk te onderscheppen. Met jouw NAW gegevens er gratis bij ook nog, dus dat is niet echt een gedegen alternatief, maar wat is dat in jouw ogen dan wel?

De password reset functie repareren, welke het nogsteeds niet doet. Dat is immers de voorziening die we overal kennen en die gebruik maakt van email verificatie.

CAPSLOCK2000 schreef op zondag 17 december 2023 @ 15:52:
[...]

Zijn er ook partijen die het wel goed doen? Ik heb regelmatig het gevoel dat je als consument alleen maar kan kiezen uit slechte opties.

Eens. Ik verwacht dan peanuts op het gebied van extra diensten. Of de valkuil van hoge kosten als je buiten de databundel komt. Maar je verwacht dat dat een business model is, en dat de basis verder wel in orde is. En dat is het niet.

laurens0619 schreef op vrijdag 22 december 2023 @ 10:04:
Om even tegengeluid te geven:
Ik word echt helemaal simpel van dat inloggen bij Ziggo. In de app wordt je automatisch uitgelogd na een tijdje en moet je opnieuw inloggen inclusief MFA.

MFA prima maar waarom dat uitloggen? Dat doet mijn internet bankieren niet eens lol

Helemaal mee eens! Net als bij de bank. Kijk je te lang niet op de app, dan is de sessie verlopen. Inclusief al het scrollen met lazy loading. Maargoed, dit is wat off-topic.

Feeling lonely and content at the same time, I believe, is a rare kind of happiness

vrijdag 22 december 2023 11:06

Acties:

0 Henk 'm!

CH4OS

It's a kind of magic

Aphelion schreef op vrijdag 22 december 2023 @ 10:47:
De password reset functie repareren, welke het nogsteeds niet doet. Dat is immers de voorziening die we overal kennen en die gebruik maakt van email verificatie.

Tja, email is ook niet de meest veilige optie voor een wachtwoord reset. Maar daarnaast schrijf je zelf in jouw topic start:

Mijn wachtwoord tot het online portaal werd niet geaccepteerd, en zelfs de resetoptie deed niks

Waarom deed het niks? Weet je zeker dat je het juiste emailadres gebruikt hebt (als dat al de methode is)? Is er wellicht iets anders aan de hand waardoor de mail niet bij jou aankomt misschien, ook normale post kan om diverse redenen niet bij het juiste adres bezorgd worden, zo geldt dat ook voor de digitale post.

Heb je bijvoorbeeld ook in de spamfolder van jouw email gekeken? Wordt het misschien door de server geblokkeerd (en bereikt het dus nooit jouw mailbox)?

Ik heb geen idee en ook geen glazen bol, maar er kunnen genoeg redenen zijn waardoor het niet werkt zoals het zou moeten werken, buiten de software vanuit de provider om. Een oplossing maken voor een probleem dat elders ligt, gaat het daadwerkelijke probleem ook niet oplossen.

Eens. Ik verwacht dan peanuts op het gebied van extra diensten. Of de valkuil van hoge kosten als je buiten de databundel komt. Maar je verwacht dat dat een business model is, en dat de basis verder wel in orde is. En dat is het niet.

Nogmaals, het is te kort door de bocht om te concluderen dat de "de basis" niet in orde zou zijn en als slechts 1 persoon er last van heeft en meerdere anderen niet, denk ik niet dat het probleem bij de provider ligt.

Weet je dus zeker dat je niet de enige bent met dit probleem bijvoorbeeld? Maar then again, als zij dezelfde email provider gebruiker (Ik noem een hotmail bijvoorbeeld, waar inderdaad al maanden problemen zijn met mail die spam juist doorlaten voor vele gebruikers bijvoorbeeld) als jij ben je natuurlijk ook geen enkele stap verder.

vrijdag 22 december 2023 12:43

Acties:

+1 Henk 'm!

Aphelion

Topicstarter

CH4OS schreef op vrijdag 22 december 2023 @ 11:06:
[...]
Tja, email is ook niet de meest veilige optie voor een wachtwoord reset. Maar daarnaast schrijf je zelf in jouw topic start:
[...]
Waarom deed het niks? Weet je zeker dat je het juiste emailadres gebruikt hebt (als dat al de methode is)? Is er wellicht iets anders aan de hand waardoor de mail niet bij jou aankomt misschien, ook normale post kan om diverse redenen niet bij het juiste adres bezorgd worden, zo geldt dat ook voor de digitale post. Heb je bijvoorbeeld ook in de spamfolder van jouw email gekeken? Wordt het misschien door de server geblokkeerd (en bereikt het dus nooit jouw mailbox)?

Ik heb geen idee en ook geen glazen bol, maar er kunnen genoeg redenen zijn waardoor het niet werkt zoals het zou moeten werken, buiten de software vanuit de provider om. Een oplossing maken voor een probleem dat elders ligt, gaat het daadwerkelijke probleem ook niet oplossen.
[...]
Nogmaals, het is te kort door de bocht om te concluderen dat de "de basis" niet in orde zou zijn en als slechts 1 persoon er last van heeft en meerdere anderen niet, denk ik niet dat het probleem bij de provider ligt.

Weet je dus zeker dat je niet de enige bent met dit probleem bijvoorbeeld? Maar then again, als zij dezelfde email provider gebruiker (Ik noem een hotmail bijvoorbeeld, waar inderdaad al maanden problemen zijn met mail die spam juist doorlaten voor vele gebruikers bijvoorbeeld) als jij ben je natuurlijk ook geen enkele stap verder.

Je reactie komt mogelijk wat onbedoeld scherp over. Je citeert mijn topicstart en suggereert dan dat ik wellicht een verkeerd e-mailadres heb gebruikt. Echter, in mijn bericht heb ik nooit geclaimd dat de e-mail niet aankomt. Wat ik probeerde aan te geven, is dat het formulier, dat je krijgt via de reset link in de email, het nieuwe wachtwoord lijkt te accepteren, maar dat de login daarna niet werkt.

Wat betreft je laatste vraag: ja, ik ben er zeker van dat ik niet de enige ben met dit probleem. De klantenservice heeft bevestigd dat het een bekend probleem is en dat ze daarom meerdere keren per dag telefonisch wachtwoorden resetten. Het lijkt dus een structureel probleem te zijn.

Desondanks waardeer ik het dat je vanuit een andere invalshoek probeert te helpen om het werkelijke probleem te identificeren.

Een brief versturen met verificatie duurt niet alleen lang, maar is ook makkelijk te onderscheppen. Met jouw NAW gegevens er gratis bij ook nog, dus dat is niet echt een gedegen alternatief, maar wat is dat in jouw ogen dan wel?

Hier had ik overheen heb gelezen. Ik heb geen directe oplossing voor dit probleem. Wat we hier eigenlijk constateren, is een bredere kwestie: de balans tussen veiligheid en gebruiksgemak. Er zijn verschillende oplossingen te bedenken, elk met zijn eigen kritiek.

Ik benadruk dat ik zwakke beveiliging via een menselijke factor, zoals de helpdesk, als riskant beschouw. Vooral omdat er doorgaans algemeen aanvaarde oplossingen zijn voor dit specifieke probleem, zoals verificatie via e-mail bij het vergeten van een wachtwoord.

[ Voor 14% gewijzigd door Aphelion op 22-12-2023 12:49 ]

Feeling lonely and content at the same time, I believe, is a rare kind of happiness

vrijdag 22 december 2023 13:00

Acties:

+1 Henk 'm!

F_J_K

Moderator CSA/PB

Front verplichte underscores

CH4OS schreef op zondag 17 december 2023 @ 16:12:
Een brief versturen met verificatie duurt niet alleen lang, maar is ook makkelijk te onderscheppen. Met jouw NAW gegevens er gratis bij ook nog, dus dat is niet echt een gedegen alternatief, maar wat is dat in jouw ogen dan wel?

Onderscheppen van post is vrij onwaarschijnlijk, zeker als de NAW-gegevens niet bekend zijn. (Als ik voor het gemak gerichte aanvallen door professionals negeer).

Dan nog: doe de helft telefonisch, de helft per post. Doe verificatie via de bank en het al bekende rekeningnummer, dat is tenminste in Nederland heel snel. 1 cent overschrijven icm. een code. Heb vooraf MFA afgedwongen. Zoiets.

Maar ja, elke methode heeft nadelen voor ook de klant. In alle gevallen gaan er ontevreden klanten zijn ("ik ga wel naar de concurrent, die doet niet zo moeilijk!"). Of dan veiligheid vooraan staat zal per bedrijf verschillen.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

vrijdag 22 december 2023 14:12

Acties:

+1 Henk 'm!

CH4OS

It's a kind of magic

F_J_K schreef op vrijdag 22 december 2023 @ 13:00:
[...]

Onderscheppen van post is vrij onwaarschijnlijk, zeker als de NAW-gegevens niet bekend zijn. (Als ik voor het gemak gerichte aanvallen door professionals negeer).

Dan nog: doe de helft telefonisch, de helft per post. Doe verificatie via de bank en het al bekende rekeningnummer, dat is tenminste in Nederland heel snel. 1 cent overschrijven icm. een code. Heb vooraf MFA afgedwongen. Zoiets.

Maar ja, elke methode heeft nadelen voor ook de klant. In alle gevallen gaan er ontevreden klanten zijn ("ik ga wel naar de concurrent, die doet niet zo moeilijk!"). Of dan veiligheid vooraan staat zal per bedrijf verschillen.

Aan de andere kant kan je het als klant ook jezelf gemakkelijker maken. Gebruik een password manager om gevoelige informatie, zoals wachtwoorden, in op te slaan. Dan weet je zeker dat je het nooit kan vergeten en de gegevens zijn lokaal ook versleuteld op te slaan. Hoe vaak ik mensen om mij heen wel niet meermaals erop wijs om een wachtwoord manager te gaan gebruiken. Steevast krijg ik dan een reactie "Ja, misschien moet ik dan wel gaan doen ja", maar vervolgens gebeurd er niets. Toch komt men weer bij mij uit omdat men dan zelfs hulp nodig heeft met een password reset...

vrijdag 22 december 2023 14:26

Acties:

+1 Henk 'm!

CH4OS

It's a kind of magic

Aphelion schreef op vrijdag 22 december 2023 @ 12:43:
Je reactie komt mogelijk wat onbedoeld scherp over. Je citeert mijn topicstart en suggereert dan dat ik wellicht een verkeerd e-mailadres heb gebruikt. Echter, in mijn bericht heb ik nooit geclaimd dat de e-mail niet aankomt. Wat ik probeerde aan te geven, is dat het formulier, dat je krijgt via de reset link in de email, het nieuwe wachtwoord lijkt te accepteren, maar dat de login daarna niet werkt.

Wat betreft je laatste vraag: ja, ik ben er zeker van dat ik niet de enige ben met dit probleem. De klantenservice heeft bevestigd dat het een bekend probleem is en dat ze daarom meerdere keren per dag telefonisch wachtwoorden resetten. Het lijkt dus een structureel probleem te zijn.

Desondanks waardeer ik het dat je vanuit een andere invalshoek probeert te helpen om het werkelijke probleem te identificeren.

Geen probleem.

Ik had inderdaad niet de intentie om hard of wat dan ook over te komen. Ik heb in het verleden de tweede lijns technische support gedaan bij een mobiele provider (intussen doe ik dat al een paar jaar niet meer overigens). Toen kwam het wachtwoord resetten ook wel eens ter spraken, ook vanwege een issue, maar ook vanwege "We weten niet meer wat we moeten doen" vanuit de eerste lijn. Vandaar dat ik misschien sommige antwoorden wat scherp heb gesteld. Mijn excuses als dat hard over kwam, ik bedoelde het alleen maar goed inderdaad.

En ja, ook toen zeiden we dat sommige informatie voor de verificatie eigenlijk flinterdun is, maar er is aan de andere kant ook niet echt een echt goede manier. En zoals gezegd, kunnen er ook externe factoren zijn waardoor het niet goed werkt. Dank voor de verdere verheldering/toelichting daarop. Dat maakt het inderdaad al een heel stuk anders.

Uiteindelijk is dat iets wat de eerste lijn dus ook veel tijd kost. Mensen, ook al zitten ze bij een call center, zijn duur. Dus ik mag hopen dat het een en ander dan wel snel opgelost wordt, inderdaad.

Hier had ik overheen heb gelezen. Ik heb geen directe oplossing voor dit probleem. Wat we hier eigenlijk constateren, is een bredere kwestie: de balans tussen veiligheid en gebruiksgemak. Er zijn verschillende oplossingen te bedenken, elk met zijn eigen kritiek.

Jep, elk voordeel heeft zijn eigen nadeel. Feit blijft dat dit goed doen gewoon erg lastig is. Uiteindelijk wil men vast en zeker dat een en ander zo simpel mogelijk is en het liefst zodat de klant het zelf kan regelen, zonder tussenkomst van de klantenservice of wie dan ook.

Ik benadruk dat ik zwakke beveiliging via een menselijke factor, zoals de helpdesk, als riskant beschouw. Vooral omdat er doorgaans algemeen aanvaarde oplossingen zijn voor dit specifieke probleem, zoals verificatie via e-mail bij het vergeten van een wachtwoord.

Dat is ook riskant. En ik heb in het verleden wel vaker een klant moeten redden omdat de klantenservice het per ongeluk vernacheld had.

Dan kregen we het issue direct met excuses en al erbij.

vrijdag 29 december 2023 13:03

Acties:

0 Henk 'm!

PolarBear

KoudeAardbei schreef op donderdag 14 december 2023 @ 15:19:
[...]

Dit is natuurlijk easy te spoofen.
YouTube: Scammers Are Spoofing Their Numbers! Here's How.

Technisch gezien zou een mobiele provider van een eigen nummer op hun eigen netwerk echt wel moeten kunnen zien of die gespoofd is.

Pagina: 1

Reageer