Problemen met 2FA Odido / Ben

Heb je ooit bij Odido 2FA via een authenticatie-app ingesteld? Dan sturen ze je geen sms.

Bel ze gewoon even op, vraag waarom het niet werkt, en of ze je opnieuw toegang kunnen geven.

[ Voor 35% gewijzigd door hcQd op 05-06-2025 20:34 ]

Als je er niet bekend mee bent dan zal dat wel niet. Ze zijn morgen vanaf acht uur weer telefonisch bereikbaar.

Bruin Poeper schreef op donderdag 5 juni 2025 @ 21:58:
Hedenavond 21:54 krijg ik ineens zo'n 20 SMS'jes met inlogcodes.
Ook bij Odido kan ik nu weer inloggen.

Het is mij een raadsel wat er aan de hand geweest is dat de 2FA van vanmiddag tot heden geheel/deels buiten werking was...

Dat noemen ze nou een storing. Helaas gebeurt dat wel eens. Als je mobiele netwerk het even niet doet heb je dus ook geen manier om MFA te doen.

Het is aan te raden om af te stappen van SMS en je MFA in een daarvoor bedoelde app te registreren zoals Google Authenticator, Microsoft Authenticator etc. onder meer omdat SMS onbetrouwbaar is maar ook omdat het geen veilige methode meer is. OTP, push, passkey etc. zijn alle beter.

Bruin Poeper schreef op donderdag 5 juni 2025 @ 20:39:
Eerlijk gezegd snap ik niet zo goed wat een authentificatie app is/doet.
Ik bedoel: ik moet op vele plekken 2FA gebruiken en dat werkt gewoon met mijn telefoon.
Ik heb er GEEN aparte app voor geïnstalleerd!
kGa er van uit dat het achter de schermen door Google/Android geregeld is.

2FA of MFA is een extra beveiliging, waarmee je bij inloggen bewijst dat je niet alleen het wachtwoord kent, maar ook bij je telefoon kan. Websites die oa met jou financiële gegevens werken kunnen dit dus beter aan hebben staan, voor jou eigen veiligheid.

Je hebt geen app geïnstalleerd. Dan gebruik je de validatie via SMS meestal. De aanname dus dat dit via Google of Android geregeld is, is in dat geval dus niet juist: degene die jou wil valideren stuurt een SMS, en als die niet aan komt, ligt dan aan het bereik van je telefoon of is er iets mis bij de afzender.

Maar de meest gebruikte manier van 2FA zijn zoals hier boven genoemd de authenticators. Je hebt geen app, maar installeer er maar één. Dit is veel simpeler.

Hoe die werken? Bij het aanmaken van een account moet jou app een QR code lezen. Hier zit een code in verstopt, die op je telefoon wordt opgeslagen, en op de website. Belangrijk: deze code wordt daarna nooit meer overgedragen(er zijn uitzonderingen, maar dat voert nu te ver). Hierna hebben de website en jou telefoon dus dezelfde code in hun bezit. Deze code is veel te lang om over te tikken als 2FA. De authenticator app maakt hier dus een zes-cijferig getal van. En dat gebeurt met deze code in combinatie met de huidige tijd. Deze tik je in op de website, en deze voert exact dezelfde bewerking uit. Je telefoon in vlieftuigmodus kan dus nog steeds goede authenticator codes uitgeven, maar het is heel erg belangrijk dat de tijd wel goed staat. Ik heb hier een oude iPhone die per week ongeveer vier minuten tijdverschil oploopt (staat altijd op vliegtuigstand), en daarvan kan ik geen authenticator meer gebruiken.

Op deze manier kun je dus prima bewijzen dat je niet alleen je wachtwoord weet, maar dat je ook echt toegang tot je telefoon hebt. En dat is de tweede validatiemethode oftewel 2FA. Dus als je schriftje met wachtwoorden gejat wordt, of je laptop waar je het wachtwoordenbestand ook nog eens wachtwoorden.xlsx genoemd had, heeft men nog steeds je telefoon nodig om namens jou in te kunnen loggen.

Aangezien dit problemen lijken / waren met de mobiele provider verhuis ik het topic even naar de juiste plek.