KPN gaat sms-tweetrapsauthenticatie verplichten voor alle accounts

KPN gaat tweetrapsauthenticatie verplichten voor alle MijnKPN-accounts. Dit is alleen mogelijk met hotp, specifiek sms, en niet met totp of een fysieke beveiligingssleutel. Als gebruikers hun telefoonnummer kwijt zijn, moeten ze een nieuw account registreren.

KPN heeft gebruikers gewaarschuwd via e-mail en schrijft over de verplichting op het forum. Het wordt verplicht 2fa in te stellen voor alle MijnKPN-accounts, maar dat gebeurt niet direct. KPN voert het beleid geleidelijk in. Aanvankelijk kunnen gebruikers het instellen van 2fa ook nog uitstellen.

De multifactorauthenticatie werkt alleen met een hmac-based one-time password of hotp. Dat zijn eenmalige toegangscodes die een langere levensduur hebben. Bij KPN gebeurt dat specifiek via sms en niet via e-mail. De provider raadt gebruikers aan een actueel nummer aan hun account te koppelen. Als klanten geen toegang meer tot hun nummer hebben, moeten ze een nieuw account aanmaken of met de klantenservice bellen.

Hotp is over het algemeen minder veilig dan alternatieve vormen van tweetrapsauthenticatie, zoals time-based one-time passwords of totp. Dat zijn codes die een korte levensduur hebben, zoals in apps als Google Authenticator. Nog veiliger zijn fysieke veiligheidssleutels, maar ook die ondersteunt KPN niet. "We begrijpen dat sms niet voor iedereen ideaal is", schrijft de provider. "Daarom onderzoeken we op dit moment alternatieve veilige methoden. Zodra hier meer over bekend is, delen wij dat in dit topic."

Reacties (176)

Oon

24 juli 2025 10:07

Hele slechte zaak, zeker een provider zou moeten weten hoe onveilig SMS is.
Net als e-mail is de beveiliging van SMS afhankelijk van de ontvanger omdat een SMS ook nog over oudere netwerken verstuurd wordt, en daardoor onveilig en onbeveiligbaar.

Dat bedrijven in 2025 nog beginnen aan SMS en e-mail MFA in plaats van deze te schrappen voor veiligere opties vind ik absurd. Ze hadden heel makkelijk een TOTP client in hun app kunnen bouwen (zoals bijv. Steam heeft met SteamGuard, of vrijwel iedere bank tegenwoordig heeft in een andere vorm) of gebruik kunnen maken van TOTP zoals het al bestaat.

yelop @Oon • 24 juli 2025 10:14

Hoezo is sms of email niet veilig?

Ramobo @yelop • 24 juli 2025 10:18

Veritasium heeft een goede video op Youtube om SS7 vulnerabilities te tonen.
Er is geen encryptie op SMS en er zijn vanalle soorten vulnerabilities die misbruikt kunnen worden waardoor als een hacker echt wil ze relatief eenvoudig jouw 2 factor sms kunnen ontvangen.

TheVivaldi @Ramobo • 24 juli 2025 10:21

Er zijn ook al meerdere berichten geweest over kwetsbaarheden in MFA-apps. Uiteindelijk is niks 100% veilig, maar sms-verificatie is wel veel veiliger dan geen.

R_Zwart @TheVivaldi • 24 juli 2025 10:45

Precies dat. Veiligheid is altijd een afweging van risico's. Als je in je schuur slechts wat oud tuingereedschap hebt staan zet je er geen slot op die er je op zou zitten als er een splinternieuwe Harley in die schuur staat. Je kijkt altijd naar wat goed genoeg is. En voor toegang een KPN account is SMS veilig genoeg. Voor toegang tot een bankrekening zou ik dan weer niet graag SMS gebruiken.

HansRemmerswaal @R_Zwart • 24 juli 2025 11:24

Er zat al een slot op, username en password. Blijkbaar was de conclusie dat dit niet veilig genoeg was en dat er een beter slot op moest. Dan heb je twee sloten HOTP en TOTP, waarbij de TOTP ietsje duurder is maar wel veiliger. Waarschijnlijk heeft KPN intern al wel TOTP voor bepaalde toepassingen. Dus waarom dan niet direct voor TOTP gaan...?

MsG @HansRemmerswaal • 24 juli 2025 11:37

Kan me voorstellen dat TOTP voor de doelgroep van KPN wellicht moeilijker is. Een SMS'je die een boomer een uur later nog kan invullen, versus van die TOTP waarbij als je 10 seconden wegkijkt, en moeite zou hebben met typen, je al weer een andere code mag invullen.

HansRemmerswaal @MsG • 24 juli 2025 11:45

Ja, een valide argument

En er zijn waarschijnlijk ook nog een paar klanten met een "domme" telefoon waar geen app op kan worden geïnstalleerd en dan is SMS de enige optie. Maar zo zijn er natuurlijk ook nog klanten die helemaal geen mobile telefoon hebben en dan ook geen SMS kunnen ontvangen. Ah, dan krijg je vast zo'n geautomatiseerd telefoontje die 6 nummers opdreunt.

Maar bied dan naast die HOTP ook TOTP aan voor de 99% die wel met TOTP kan werken.

Taro Moderator General Chat / Wonen & Mobiliteit @R_Zwart • 24 juli 2025 14:26

Voor toegang tot je KPN account zelf is SMS mogelijk veilig genoeg, mits KPN zelf strikte procedures rondom het voorkomen van SIM-swapping hanteert. Maar bij heel veel mensen geeft hun telefoonnummer toegang tot 2FA op heel veel andere accounts zoals Microsoft, Google, Facebook, etc. Met SIM-swapping is je telefoonnummer toch vaak wel een ingang tot volgende accounts waar dan weer wél heel veel waarde aan kan worden toegekend. Net als dat je e-mailadres de ingang is tot andere accounts.

Daarom is een alternatieve MFA methode wat mij betreft wel een vereiste voor mensen die dat prefereren.

emeralda @R_Zwart • 25 juli 2025 11:03

Dat begrijpen security experts niet. Iedereen moet een wachtwoord met 20 tekens en die iedere dag veranderen...

Wat er dus in de echte wereld gebeurt is briefjes met wachtwoorden die worden opgehangen.

_Thanatos_ @TheVivaldi • 24 juli 2025 11:07

sms-verificatie is wel veel veiliger dan geen

Dat is een drogreden. Het blijft een onveilige manier van authenticeren. Daarbij het puur het bestaan van sms-authenticatie is een motief voor een hacker om je sms te compromiteren.

De kwetsbaarheden van MFA-apps hebben een veel kleinere impact dan het risico van sms.

Dus als je de kwetsbaarheden van MFA-apps gebruikt om sms-authenticatie te rechtvaardigen, dan is dat hetzelfde als zeggen dat je moderne voordeur met extra klinken, met alarm erop en video-bewaking, niet 100% veilig is, en je dus net zo goed alleen een simpel hangslotje kunt gebruiken.

Of dat je net zo goed je handen alleen met water kunt wassen omdat zeep toch niet 100% van het vuil wegneemt.

Z80 @_Thanatos_ • 24 juli 2025 11:41

Op het moment dat een hacker je loginnaam, wachtwoord en 06 nummer heeft. En de mogelijkheid heeft om het sms verkeer naar dit nummer af te vangen. En de moeite en tijd er in steekt. Heb je een veel groter probleem.

Ja sms is niet encrypted. Maar om dit zo even uit de lucht te plukken is het ook niet.

Hermy4321 @Z80 • 24 juli 2025 12:37

zo is het .........

ymoona @_Thanatos_ • 24 juli 2025 11:40

Of anders om, je kunt net zo goed niet de modder van je handen wassen met alleen water omdat alleen water toch 100% van het vuil wegneemt. .

moonlander @_Thanatos_ • 24 juli 2025 13:11

motief voor een hacker om je sms te compromiteren

Als iemand al zoveel moeite gaat doen om dit te doen, kan die ook vast wel andere zaken voor je onderscheppen. Daarom is SMS veiliger dan geen optie..

William_H @moonlander • 25 juli 2025 01:44

Dat is een beetje een drogredenering. Want dat verondersteld dat het moeilijk is om dit te doen. Dat is het niet per se.

Het is op z'n minst schijnveiligheid.

deadlock2k @TheVivaldi • 24 juli 2025 14:29

[quote]Er zijn ook al meerdere berichten geweest over kwetsbaarheden in MFA-apps. Uiteindelijk is niks 100% veilig, maar sms-verificatie is wel veel veiliger dan geen.[/quote]

Behalve dan dat het enerzijds gaat om een kwetsbaarheid die ontdekt wordt en gepatcht kan worden versus het gebruik van een inherent onveilig protocol. Het is alsof je wachtwoorden over straat aan het roepen bent.

Voor 0days kan je een beleid opstellen en iets aan mitigeren, bij het gebruik van onveilige technieken is dat principieel niet zo.

Olaf van der Spek @TheVivaldi • 24 juli 2025 11:07

Er zijn ook al meerdere berichten geweest over kwetsbaarheden in MFA-apps.

Linkje naar de kwetsbaarheden in de Google Auth app?

maar sms-verificatie is wel veel veiliger dan geen.

Wat is je punt?

Odie @Ramobo • 24 juli 2025 10:42

In de praktijk is het redelijk kostbaar (relatief) en gaat men dat echt niet doen om een enkel KPN account te kapen.

Taro Moderator General Chat / Wonen & Mobiliteit @Odie • 24 juli 2025 14:31

Een enkel KPN account kan de toegang zijn tot 2FA op heel veel andere accounts die wél de moeite waard zijn om te kapen. Net als je e-mailadres is een telefoonnummer vaak de toegang tot veel belangrijkere accounts.

Daarom hier nergens SMS als authenticatie, maar alleen fysieke hardwaresleutels.

Rolfie

@Taro • 24 juli 2025 16:19

[q]fysieke hardwaresleutels.[/q]

Leuk voor techneuten, maar 95% van de KPN gebruikers heeft echt geen enkel idee wat een hardware sleutel is.

TOTP (apps) werkt heel goed, maar is voor veel gebruikers wel een stuk complexer in gebruik. Voor een ServiceDesk ook veel lastiger, hogere kans op meer calls, want na een reset/diefstal van je telefoon ben je all je codes kwijt (de meeste gebruikers dan).

Ik gebruik heel graag TOTP, maar ik snap de logica wel van KPN, het is veel eenvoudiger in gebruik.

Taro Moderator General Chat / Wonen & Mobiliteit @Rolfie • 24 juli 2025 16:30

Klopt, maar daarom zou KPN de klant de keuze moeten geven en wél aanvullende mogelijkheden moeten aanbieden voor klanten die graag betere opties gebruiken.

Dat Henk of Ingrid graag een SMS code ontvangt is prima, maar bied wel aanvullende mogelijkheden voor anderen die het graag nóg veiliger aanvliegen.

Morress @Ramobo • 24 juli 2025 11:08

Veritasium altijd +1

Robthebest @Ramobo • 24 juli 2025 16:51

interessante video. Ik vraag mij alleen af of jan modaal het target is

William_H @Robthebest • 25 juli 2025 01:46

Dat is een beetje een "ik heb niks te verbergen". Voor een crimineel een ideaal doelwit. Want die brave burger is perfect om achter te schuilen en om z'n identiteit te gebruiken om criminele zaken uit te voeren.

Oon

@yelop • 24 juli 2025 10:19

SMS wordt verstuurd van het netwerk waar de verzender mee verbonden is via de provider van de verzender, daarna evt. de provider van de ontvanger en het netwerk waar de ontvanger mee verbonden is. Oudere netwerken (zoals 3G, die hier niet meer gebruikt wordt maar in het buitenland wel) zijn niet veilig, je kunt gewoon toegang tot zo'n netwerk kopen en daarmee alle berichten op het netwerk inzien. Hier een leuke video over dit concept. Belangrijk bij deze video is dat het een ideaal scenario is (voor de 'hacker'), in de praktijk zal dat niet vaak zo uitkomen, maar het is een mooie proof of concept.

E-mail wordt op zo'n zelfde manier verstuurd vanaf de verzender via de uitgaande mailserver van de verzender naar de domeinnaam van de ontvanger, de mailserver daar pikt 'm op en stuurt 'm door naar de inbox van de ontvanger. Je kunt als verzendende partij zorgen dat jouw mailserver beveiligd is, maar je kunt niet zorgen dat de ontvangende mailserver beveiligd is, en je kunt dat ook niet controleren. Het is nog altijd gebruikelijk bij grote hostingpartijen dat ook onbeveiligde authenticatie is ingeschakeld. Los van dat mail op een apparaat binnenkomt dat in veel gevallen niet/slecht beveiligd is kun je er dus op geen enkele manier vanuit gaan dat het proces zelf beveiligd is.

In beide gevallen is het dus mogelijk om op verschillende plekken in te haken en mee te lezen, waarmee zowel mail als SMS per definitie onveilig zijn.

Yousif @Oon • 24 juli 2025 12:07

2G-netwerkelementen worden praktisch gezien overal nog gebruikt voor SMS routering (ook waar ze geen 2G/3G operationeel hebben), in Nederland hebben we in ieder geval WEL 2G en 3G netwerken die volledig operationeel zijn.
De methodes die vroeger werden uitgebuit, zijn nu minder relevant.
Het grootste gevaar is corruptie (een rijke sjeik die je probeert te vinden) en SIM swapping.

Toegang "inkopen" is ook een beetje ver gezocht, je zet niet zomaar een MVNO op en begint dan te spoofen met GTs. Als je dat allemaal voor elkaar krijgt en alle SS7 FWs hebt omzeild, hoe onderschep je het SMSje?
Als je het thuisnetwerk wilt laten geloven dat je op een bepaalde MSC zit (roamt), moet je je alsnog authenticeren tegenover de HLR/AuC. Een IMSI kun je vast achterhalen, hoewel gedegen netwerken tegenwoordig werken met dummy-IMSIs om de SRI-SM aanval specifiek tegen te gaan.
Hoe achterhaal je de Ki t.b.v. authenticatie?
O en hoe krijg je het voor elkaar bij de SS7 carriers om de signalering bij je GT te krijgen als dit gespooft is?

Ben extreem benieuwd naar de echtheid van het filmpje en hoe ze het überhaupt voor elkaar hebben gekregen.

Hermy4321 @Oon • 24 juli 2025 12:40

en dat allemaal voor een kpn account..... dacht het niet....

Oon

@Hermy4321 • 24 juli 2025 13:34

Dat is dus de denkfout. Als het voor één iemand kan dan kan het op grote schaal, en als er ooit (ergens anders) gegevens van jou lekken kun jij zeker wel een doelwit zijn in een massa-aanval.

Al is het maar om meer info te krijgen die ze kunnen verkopen.

NKR @yelop • 24 juli 2025 10:19

Simswapping is een ding. Nou moet je je natuurlijk nog wel afvragen of je KPN account belangrijk genoeg is voor criminelen om daar controle over te hebben.

Telin @NKR • 24 juli 2025 16:20

KPN account zelf waarschijnlijk niet. NAW gegevens die ze eruit kunnen trekken kan wel interessant zijn als een begin om ook bij andere meer interessante accounts binnen te komen.

Geert de Graaf

@yelop • 24 juli 2025 10:19

SMS:
Volgens mij komt dit doordat er misbruik gemaakt kan worden via de systemen die roaming mogelijk maken.
Linus had hier een mooie video over: Exposing The Flaw In Our Phone System

Auteur

TijsZonderH Nieuwscoördinator @Oon • 24 juli 2025 10:16

Ik vind het ook opvallend, al is de sprong in veiligheid tussen helemaal geen 2fa naar enige vorm van 2fa al 95%. Die overige 5 procent zit 'em dan in hotp vs totp of FIDO2. Maar van de andere kant, voor een provider van deze grootte is het niet echt heel sterk om niet ook gewoon totp-ondersteuning te implementeren en dat als keuze aan te bieden.

HansRemmerswaal @TijsZonderH • 24 juli 2025 11:09

Zit er een significant verschil in kosten tussen een hotp en totp implementatie?

Via Google:

TOTP requires a synchronized clock, which might necessitate additional hardware or software for time management.

Maar of dat nu significant hogere kosten zijn...

[Reactie gewijzigd door HansRemmerswaal op 24 juli 2025 11:13]

timeraider @HansRemmerswaal • 24 juli 2025 11:27

Overdreven aannemende dat er 5 miljoen TOTPs bijgehouden moeten worden, 50 euro de maand voor een cloud oplossing voor dit alles?
Maar ik neem aan dat ze zelf wel een datacenter hebben waar nog plek is en het voor goedkoper kan staan.

Auteur

TijsZonderH Nieuwscoördinator @HansRemmerswaal • 24 juli 2025 11:46

Tbh weet ik dat niet, ik zit in het systeembeheer dus andere tweakers kunnen die informatie veel accurater geven schat ik zo in. Maar ik kan me moeilijk voorstellen dat het zoveel moeite of geld kost in implementatie en onderhoud om het niet gewoon allebei te doen?

FrankHe

@HansRemmerswaal • 24 juli 2025 16:40

Ik mag toch wel hopen dat een telco intern de tijdsynchronisatie goed heeft geregeld? Daar hangt immers van alles aan vast. Het is toch echt wel het minimale wat je van een provider mag verwachten dat ze de klokken goed hebben staan.

Olaf van der Spek @TijsZonderH • 24 juli 2025 11:10

Ik vind het ook opvallend, al is de sprong in veiligheid tussen helemaal geen 2fa naar enige vorm van 2fa al 95%.

Is een groot gat qua veiligheid niet dat gebruikers zelf een wachtwoord mogen kiezen, en dan vaak een zwak, hergebruikt, wachtwoord kiezen?
Waarom genereert een 'site' niet zelf, verplicht, een sterk wachtwoord?

Auteur

TijsZonderH Nieuwscoördinator @Olaf van der Spek • 24 juli 2025 11:46

Dat heb ik nog maar weinig gezien, dan moet je van gebruikers ook verwachten dat ze een moeilijke tekenreeks ergens opslaan en like it or not, wachtwoordmanagers zijn echt niet voor de massa geschikt.

Olaf van der Spek @TijsZonderH • 24 juli 2025 12:52

Dat heb ik nog maar weinig gezien,

Ik ook niet. Een andere optie die je weleens ziet is 'sign in by email', dan heb je ook geen probleem met onveilige wachtwoorden.

wachtwoordmanagers zijn echt niet voor de massa geschikt.

Yep, IMO laten browser bouwers hier steken vallen.

Von Henkel @TijsZonderH • 24 juli 2025 14:21

Een moeilijke tekenreeks is niet altijd gewenst.
Mijn Enpass maakt die automatisch aan maar de ING bank weigert hem als te moeilijk.
Dan verwijder ik de meeste vreemde tekens totdat het geaccepteerd word

aikebah @Von Henkel • 25 juli 2025 08:01

Klinkt als.. ING vertrouwt de eigen ontwikkelaars en/of softwareleverancies niet in het injectie-vrij doorgeven van het wachtwoord aan de identity provider software component en staat daarom slechts een kleine set aan speciale karakters beschikbaar naast de alfanumerieke karakters.

PaulHelper @Olaf van der Spek • 24 juli 2025 12:59

Deels, daarvoor heb je guidelines. De meest voorkomende is dan iets van ten minste 1 hoofd en kleine letter, cijfer en vaak een speciaal teken. Dat is al beter dan all low caps natuurlijk, en dan minimaal 8/10/12 tekens. Afhankelijk van of je een password manager gebruikt inderdaad hergebruikt. Stomme hiervan is dat het niet naar entropykijkt en bijvoorbeeld three word generated via password manager niet accepteert tenzij je hem omvormer naar de eisen. De grote bedrijven hebben dat tinmisddels wel opgelost/geïmplementeerd. En hebben ofzo een regel van als tekens >14 dan is alleen low caps en teken genoeg.

Voor mensen zonder password manager is site zelf genereren niet te doen. Want opslaan wordt vervelend en intypen nog meer.

Olaf van der Spek @PaulHelper • 24 juli 2025 13:02

Voor mensen zonder password manager is site zelf genereren niet te doen. Want opslaan wordt vervelend en intypen nog meer.

Geen password manager is qua veiligheid geen optie..

PaulHelper @Olaf van der Spek • 24 juli 2025 13:03

Wat bedoel je? Als in je moet een password manager hebben? Want echt niet iedereen heeft dat. En afhankelijk van hoe goed je je password manager instelt is het ook geen instant goede beveiliging maar vaker wel beter dan alles hergebruiken met paSsword124!

Olaf van der Spek @PaulHelper • 24 juli 2025 13:43

Wat bedoel je? Als in je moet een password manager hebben? Want echt niet iedereen heeft dat. E

Yep

Transferno @TijsZonderH • 24 juli 2025 18:58

Heeft KPN aangegeven waarom ze deze keuze gemaakt hebben? Qua kosten voor de technische implementatie zal dit wellicht niet veel schelen. Ik kan me voorstellen dat deze keuze hotp wel minder ingrijpend is voor bestaande klanten dan totp.

Mijn ervaring is dat bij elke wijziging een groep mensen ontevreden is, vaak de groep welke zich moeite heeft gedaan om net mee te kunnen in de IT en in hun beleving wéér iets nieuws moeten leren.

hotp is dan niet meer dan een éénmalige actie, zoals regelmatig je wachtwoord wijzigen (wat die groep ook al vaak niet wil). totp is toch weer een klein stapje extra.

Een authenticator installeren is voor velen ook weer zo'n lastige extra stap. Dus om toch een grote stap verbeterstap inzake beveiliging te zetten, is hopt via sms nog zo gek niet. Als mensen daar aan gewend zijn, kunnen ze de andere opties ook geleidelijk uitrollen en beschikbaar maken.

Anderzijds adviseert elke serieuze security baseline toch minimaal one time tokens en liefst nog via een authenticator.

Mijn eigen ervaring is ook dat bij sms vs e-mail, sms de betere keuze is. Er zit erg weinig vertraging op sms, bij e-mail is dit heel erg variabel waardoor tokens soms al verlopen zijn als je ze ontvangt.

NKR @Oon • 24 juli 2025 10:16

Behalve dat ik HOTP via SMS geen goede mfa methode vind is dit alsnog oneindig veel veiliger dan alleen gebruikersnaam en wachtwoord. Liever zou ik zien dat ze, zoals in het artikel genoemd, ook TOTP of passkeys zouden ondersteunen.

Ik zie steeds meer online diensten die je pushen naar een HOTP via email en/of sms in plaats van je wachtwoord. Dat is natuulijk het probleem verleggen naar iemand anders die het daadwerkelijke authenticeren maar moet doen. Ik denk dat dit voor veel bedrijven een afweging is om enerzijds geen wachtwoord(hashes) meer te hoeven op te slaan en anderzijds gebruikers beschermen tegen wachtwoordhergebruik.

R_Zwart @NKR • 24 juli 2025 10:47

Iedereen kan SMS ontvangen, niet iedereen heeft een app daarvoor, of heeft zin om die app te installeren. En SMS kan je op iedere mobiele telefoon ontvangen, ongeacht het type of OS.

P_Tingen @R_Zwart • 24 juli 2025 11:50

Precies dat. En vergeet niet dat je oma van 76 waarschijnlijk wél snapt hoe een SMS werkt, maar met de handen in het haar zit als ze een TOTP app moet installeren

R_Zwart @P_Tingen • 24 juli 2025 13:23

Bij TOTP denkt oma eerder aan The Beatles bij Top of the Pops :-)

FrankHe

@R_Zwart • 24 juli 2025 16:37

Eenmalig en app installeren, nou nou wat kost dat enorm veel moeite. Die oma heeft wel een half dozijn puzzel-apps geïnstalleerd en dan is het installeren van een authenticator app, iets wat wel daadwerkelijk wezenlijk is, ineens te veel gevraagd.

Daoka @FrankHe • 25 juli 2025 04:26

Welkom in mijn wereld. Veel mensen zijn echt niet technisch in mijn omgeving. Zo moest er voor het werk Outlook geïnstalleerd worden op de mobiel. Er was iemand die compleet in de war was welke app geïnstalleerd moest worden want zoeken op Outlook geeft meer resultaten. Maar Candy Crush, bowling spel, en andere dingen stond wel leuk geïnstalleerd. En zo heb ik veel meer voorbeelden dat er genoeg mensen die niet handig zijn met technologie. Maar vooral bij technologie lijken ze wel angstig te zijn. Zo dus Candy Crush geen probleem geven want mocht het lukkeen is het mooi maar bijvoorbeeld in dit geval de kpn app zouden ze enger vinden. Wat nou als het verkeerd gaat en ik kan nooit inloggen? Of erger als ik iets verkeerd doe en daardoor mijn internet abonnement stop gezet wordt? Voor jouw klinkt dit misschien dom maar ik zie echt wel een paar mensen in mijn omgeving die dit dus echt zouden kunnen denken.

[Reactie gewijzigd door Daoka op 25 juli 2025 04:28]

FrankHe

@Daoka • 25 juli 2025 10:10

Ik zeg niet dat het dom is, ik verbaas me altijd over het gemak waarmee mensen spelletjes apps installeren. Zodra een app daadwerkelijk nut heeft dan gaan de hakken in het zand en vinden mensen het installeren van een app ineens heel erg ingewikkeld. Ik vind dat gewoon zeer opmerkelijk en inconsistent. Willekeurige spelletjes met spyware installeren ze in een handomdraai. Heel bijzonder hoe het menselijk brein werkt.

Daoka @FrankHe • 25 juli 2025 14:07

Heel simpel.
1: veel mensen weten niets van de soyware / data stelen af dus dat is voor hun geen probleem. Of omdat het in de playstore / app store staat zal het wel veilig zijn.
2: games is plezier dus dat installeer je dus makkelijk omdat het leuk is
3: ondanks dat it extra beveiliging is is het ook een ongemak. Ook vinden ze het onnodig omdat ze al een wachtwoord hebben of omdat ze nooit gehackt zijn. Of niet belangrijk genoeg om te hacken.

Triblade_8472 @Oon • 24 juli 2025 10:40

SMS is prima voldoende voor hun use case, de privé klanten. Zakelijk zouden ze meer opties moeten bieden.

Ik vindt dit altijd twee grote nadelen hebben: ik vindt dat mfa niet verplicht moet zijn als jezelf de keuze maakt het niet te willen (de gevolgen zijn hiermee ook voor jou) en het systeem dat je echt nergens meer bij kan als je geen code meer kan krijgen is altijd bijzonder slecht. Je kan gelukkig de helpdesk bellen, maar of dat goed werkt is een tweede.

SMS werkt gelukkig we op alle telefoons, inclusief dumbphones.

ymoona @Triblade_8472 • 24 juli 2025 11:45

je stelt: "de gevolgen zijn hiermee ook voor jou"

Dit is maar beperkt waar denk ik, als bedrijf heb je ook de plicht om je klanten te beschermen.

En: "Je kan gelukkig de helpdesk bellen, maar of dat goed werkt, is een tweede." Mijn n=1 ervaring is de dat klanten service heel goed bereikbaar is, ofwel direct of via een terugbelverzoek.

Triblade_8472 @ymoona • 24 juli 2025 12:15

De plicht is het aanbieden, wat mij betreft, niet het afdwingen.

We moeten iets meer vrijheid terugpakken in ons leven, minder afgedwongen.

Ik zei niet dat de helpdesk slecht bereikbaar is, maar of ik betwijfel of ze je mfa probleem goed of direct kunnen verhelpen.

Odie @Oon • 24 juli 2025 10:48

Ik denk dat je je meer zorgen moet maken om een scenario waarin je SIM defect of gestolen of kwijt is en je een nieuwe SIM wil aanvragen of de oude wil blokkeren, maar je niet in kan loggen op je account omdat de 2FA SMS naar de niet werkende SIM gaat. Anno 2025 is de keuze voor SMS twijfelachtig vanuit dat perspectief. Wat dat betreft was de keuze voor authenticatie via een email login zelfs nog een betere keuze geweest.

[Reactie gewijzigd door Odie op 25 juli 2025 11:23]

emeralda @Odie • 25 juli 2025 11:20

Je kunt altijd nog naar de KPN winkel.

lenwar

Beveiliging en antivirus

@Oon • 24 juli 2025 10:56

Iedere vorm van MFA heeft voor- en nadelen.

Net nadeel van SMS is natuurlijk, dat het niet (altijd) versleuteld is, telefoonnummers zijn te kapen, enz, en, enz. Het voordeel van SMS is, is dat het traceerbaar is. De verzendende partij (verzendend netwerk) weet dat het verstuurd is, en de ontvangende partij (mobiel netwerk) weet 'waar' het is aangekomen. Dit is natuurlijk niet zaligmakend, maar er is in elk geval een traceerbaar iets. Daarnaast kun je je telefoonnummer niet "kwijtraken". (als in 'verliezen/vergeten/enz.').

TOTP is een 'shared secret'. Beide partijen hebben een string van x-karakters en een klok. Als ik de user-database van Tweakers 'steel', heb ik alle TOTP-secrets in hand. Die kunnen niet gehashed opgeslagen worden, anders kan Tweakers die TOTP-berekening niet meer doen om die te valideren. Je kunt je hash kwijtraken. (telefoon stuk, geen backup.) Gedoe. Een essentieel voordeel van TOTP is, is dat het offline werkt. Er is geen verbinding tussen beide partijen. Dit is tegelijk een nadeel. Er is geen validatie 'wie/waar/wat' die TOTP gebruikt.

Bij die diefstal van die userdatabase heb ik ook eventueel alle telefoonnummers in hand (voor de SMS-authenticatie), en die zijn natuurlijk minder makkelijk te vervangen (al verwacht ik niet, dat het massaal vervangen van de TOTP-string een makkelijk te regelen iets is

, maar theoretisch in elk geval beter te doen dan een telefoonnummer.)

Ofwel. Beide systemen hebben voor- en nadelen.

Als tweede factor zie ik SMS en TOTP als 'oké'. Je hebt tenslotte ook al een gebruikersnaam/wachtwoord nodig, en daarnaast dus, of het telefoonnummer van het doelwit (en de knowhow/middelen om dat telefoonnummer te spoofen), of de TOTP-string van het doelwit.

Ik zou overigens persoonlijk liever zien dat er bijvoorbeeld passkeys gebruikt worden, ipv TOTP of email/sms. (lezen jullie mee Tweakers?

)

P_Tingen @Oon • 24 juli 2025 11:46

Er zijn betere methodes, maar ik laat me graag uitleggen waarom "geen tweestapsverificatie" beter is dan "tweestapsverificatie via sms"?

Ik heb die mail ook gehad van KPN, maar het was handig geweest als ze die alleen gestuurd hadden naar mensen die het nog niet ingesteld hadden. Nu heb ik weer zitten zoeken in de instellingen waarom het niet ingeschakeld zou zijn, terwijl ik dacht dat dat wél zo zou zijn. Om dan later in de mail het zinnetje te zien "als je dit al gedaan hebt, kun je deze mail negeren".

STUUR HEM DAN NIET! &*☠️#💣%⚡^#

[Reactie gewijzigd door P_Tingen op 24 juli 2025 11:46]

grizzlywilde @P_Tingen • 25 juli 2025 09:24

Ja het zou niet zo moeilijk moeten zijn om te filteren welke klanten al wel 2FA aan hebben staan.

FrankHe

@grizzlywilde • 25 juli 2025 10:23

Dat zou je inderdaad zeggen.

Fido @Oon • 24 juli 2025 12:36

Het is helemaal geen slechte zaak. Je roept wat dingen zonder inhoudelijk goede argumenten te geven waarom je beter geen 2FA via SMS kan doen.
Vermoedelijk is dit een noodzakelijke maatregel, die al langere tijd beschikbaar was voor de klanten die dit wilden, maar door aanhoudend abuse op accounts die geen MFA hebben, toch nu voor iedereen verplicht gesteld. Dat SMS niet per definitie heel veilig is, wil niet zeggen dat het middel het probleem niet oplost. Ik denk dat het de meeste abuse wel afvangt, tenzij je echt een doelwit bent en hackers met meer skills je te grazen nemen.

[Reactie gewijzigd door Fido op 24 juli 2025 12:51]

Noresponse @Oon • 24 juli 2025 14:13

Sms is inderdaad te spoofen via malware, siimswap of phising en is het onveilig. In zekere mate is email gemiddeld beter mits je een goede wachtwoord hebt.

Beter is dat KPN een 2FA authorised app maakt voor je mobiel of via een apparaatje voor klanten die geen smartphone hebben.

De reden dat ze dit doen is denk ik fraude te voorkomen. Het probleem is dat veel informatie van mensen op straat liggen.

Er zijn mensen die bellen naar KPN, Vodafone of odido etc. met een vraag over nummer 06 en is het nummer niet bekend dan proberen ze een andere aanbieder. Met info van de persoon zoals persoonlijke info proberen ze wat...

Daoka @Oon • 25 juli 2025 05:15

Ze hadden heel makkelijk een TOTP client in hun app kunnen bouwen

Als extra prima maar als verplichting nee dank je. Ik heb geen zin om voor elke dienst/account een app te moeten installeren omdat iedereen hun eigen code genereert. Laat ze dan een authenticator app gebruiken.

FrankHe

@Daoka • 25 juli 2025 10:28

Daar hebben we inderdaad de Authenticator App voor. Eenmaal geïnstalleerd, wat een fluitje van een cent is, kun je zoveel sleutels toevoegen als je wilt, het is echt niet ingewikkeld. Waarom platforms dezer dagen nog steeds voor SMS kiezen is mij een volstrekt raadsel. De banken zijn er zo'n tien jaar geleden mee gestopt omdat SMS niet veilig genoeg is.

Vaevictis_ @Oon • 25 juli 2025 07:55

Onbegrijpelijk, ik heb voor KPN gewerkt en bij KPN security werd al heel lang tegen SMS gestreden als 2FA. Maar ja, het is wel een dienst die KPN kan leveren. Blijkbaar is het business belang (instandhouden SMS dienst) groter dan veiligheid van klanten.

AMD1800 @Oon • 24 juli 2025 10:40

En dan zou ik zeker die app op mijn telefoon moeten zetten en akkoord moeten gaan met allerlei voorwaarden om alleen maar ene keer op mijn webbrowser in te loggen. Daar zit ik helemaal niet op te wachten.

ApexAlpha @AMD1800 • 24 juli 2025 11:18

Je kan gewoon een QR code krijgen waarmee je zo een code genereerd elke 30 seconden. Dat is prima 2fa en heb je geen extra app voor nodig.

Marcel.de.Haas @Oon • 26 juli 2025 00:21

Intern mag het niet eens gebruikt worden voor authenticatie: KSP-RE-247 - Authentication methods

copywizard 24 juli 2025 10:10

Ben het met je eens dat SMS geen goede optie is maar het is beter dan helemaal geen verplichte 2FA.

KPN heeft namelijk ook te maken met een groot deel van hun klantenbestand dat van een oudere generatie is en dus het hele concept van 2FA niet altijd snappen. of soms niet eens een "smartphone" hebben waarop die apps kunnen werken.

Maar deze groep wil wel hun abonnement kunnen aanpassen en/of bekijken en dan is een SMS als tweede factor en ook verplicht naar mijn idee geen slechte eerste stap.

amsterdamned @copywizard • 24 juli 2025 10:13

Dan nog is sms een zeer slechte en onveilige optie. Een alternatief zou email kunnen zijn. (En elk email account zou verplicht totp moeten hebben.)

jongetje

@amsterdamned • 24 juli 2025 10:18

Is het dan echt zo makkelijk om een SMS te onderscheppen? Verder vind ik het beter dan niets en je moet het wachtwoord ook weten.

Zou voor de mensen die liever een MFA app gebruiken wel goed zijn om dat minimaal als alternatief te bieden zoals Odido ook (al jaren) doet.

Snow_King

@jongetje • 24 juli 2025 10:34

SMS onderscheppen is voor 99,99% van de bevolking niet te doen, veel te moeilijk.

Theoretisch is SMS onveilig als 2FA, maar in de praktijk is het gewoon vele, vele, vele, vele malen beter dan geen 2FA.

Ik word soms een beetje moe van die theoretische discussies over simswapping, hijacking, etc. JA, allemaal mogelijk, maar Nee, het gebeurd in de praktijk echt heel weinig.

ApexAlpha @Snow_King • 24 juli 2025 11:04

Het verschil is hier ook dat KPN de sms'jes zelf verstuurd.

jongetje

@ApexAlpha • 24 juli 2025 11:46

Je hoeft natuurlijk geen mobiel abonnement bij KPN te hebben als je klant bent voor vast internet en dan gaat het alsnog over de gateways heen.

R_Zwart @Snow_King • 24 juli 2025 10:48

Vergeet ook niet dat de provider flink hebben geinvesteerd in SMS firewalls nadat bekend werd dat er risico's aan verbonden zaten.

Odie @Snow_King • 24 juli 2025 10:49

Precies dat dus, het kost relatief veel moeite en geld en is echt niet aantrekkelijk om te doen voor de SIM van Henk of Ingrid.

gevoelig @Snow_King • 24 juli 2025 10:52

Ik ben het wel met je eens. Daarbij mist vaak een afweging op de gevoeligheid van de toepassing.

Als het KPN account toegang geeft tot een modem en op die manier toegang tot een netwerk mogelijk maakt is het best een risico.

Feit blijft: 2FA middels SMS blijft veiliger dan zonder.

gadgetgoeroe @Snow_King • 24 juli 2025 11:45

Eens. Men moet niet vergeten dat de groep die het meeste risico loopt op een gecompromitteerd account, over het algemeen minder veilig online gedrag vertoont.

Wanneer ze bv slachtoffer worden van een credential stuffing attack, dan is de kans groter dat ze credentials hergebruiken; een tijdelijke code per mail ontvangen is dan helemaal een koud kunstje voor de kwaadwillende. Dan liever een sms, alhoewel ik uiteraard veiligere FA’s onderschrijf.

Vaevictis_ @Snow_King • 25 juli 2025 07:57

SMS is gewoon onveilig niets theoretisch, kun je beter nog een email token gebruiken. Ik snap niet waarom ze geen passkey support aanbieden. Geef dan tenminste een keuze, niet een onveilig (KPN) 2FA aanbieden.

Snow_King

@Vaevictis_ • 25 juli 2025 10:24

Het is wel theoretisch, namelijk praktisch niet zo maar haalbaar. Misschien kan 0,01% van de wereldbevolking een SMS onderscheppen als ze ECHT willen.

Jij kan de SMS naar mijn telefoon van KPN niet onderscheppen, dus al heb je mijn wachtwoord, mijn KPN account kom je niet meer in. Extra laag beveiliging, top!

Triblade_8472 @jongetje • 24 juli 2025 10:42

Nee, is helemaal niet makkelijk. Je moet de servers hacken of een eigen honeypot telefoonpaal ertussen plaatsen. Success hackers.

Ik denk dat de hackers eerder je telefoon te pakken krijgen, scheelt een berg tijd, geld en moeite.

Odie @Triblade_8472 • 24 juli 2025 10:59

Een IMSI catcher plaatsen is helemaal niet zo simpel meer sinds Milenage ook voor 2G de norm is. En met mutual authenticatie (network to SIM en SIM to network) moet je je helemaal in vreemde bochten gaan wringen. Daarbij moet je dan ook constant in de buurt zijn van de target, wat een relatief kostbare operatie kan worden en voor de gemiddelde SIM van Henk of Ingrid totaal niet opweegt tegen de effort en kosten.

theduke1989 @Triblade_8472 • 24 juli 2025 11:09

Watchdogs is een goed voorbeeld. Je moet dus inderdaad een honeypot etc erbij halen.

JBuijs91 @jongetje • 24 juli 2025 13:51

Voor sommige mensen wel. Je moet een vertrouwde partij zijn op het SS7 netwerk en er zijn wel degelijk organisaties met minder goede bedoelingen die dat zijn. Zie deze video van Veritasium en Linus Tech Tips:
YouTube: Exposing The Flaw In Our Phone System

TheVivaldi @amsterdamned • 24 juli 2025 10:22

Want e-mail valt niet te onderscheppen?

The Zep Man

Beveiliging en antivirus

@TheVivaldi • 24 juli 2025 10:32

Want e-mail valt niet te onderscheppen?

Praktisch alle communicatie via mail clients en tussen servers onderling is versleuteld. Onderscheppen kan op servers, die voor 99,9+% van de gebruikers beheerd worden door Google of Microsoft, die daar niet hun vingers aan gaan branden. Onderscheppen op clients is waarschijnlijker, maar de verantwoording daarvan kan je afschuiven op de gebruiker.

Een groter probleem is de initiële onboarding. Hoe weet je dat een e-mailadres aan een gebruiker toebehoort?

[Reactie gewijzigd door The Zep Man op 24 juli 2025 10:47]

rookie no. 1 @The Zep Man • 24 juli 2025 11:56

Wat zeg je me nou? De authenticatie is misschien versleuteld, maar de meeste mail gaat gewoon plain-text over het internet. Of hebben we in één keer grote stappen gemaakt?

The Zep Man

Beveiliging en antivirus

@rookie no. 1 • 24 juli 2025 13:02

SMTP tussen mailservers ondersteunt al heel lang optionele STARTTLS. Via MTA-STS kan dat afgedwongen worden.

Verder wordt de meeste mail waarschijnlijk verstuurd via partijen als Google en Microsoft, die gewoon versleuteling gebruiken voor server-naar-server communicatie onderling en naar andere servers die het ondersteunen.

lenwar

Beveiliging en antivirus

@The Zep Man • 24 juli 2025 11:00

Een groter probleem is de initiële onboarding. Hoe weet je dat een e-mailadres aan een gebruiker toebehoort?

En ditzelfde geldt voor het telefoonnummer

Idealiter gebruiken we nergens een e-mail adres/telefoonnummer als credential. (Dus echt een unieke gebruikersnaam/wachtwoord combi.) Het feit dat iedere bezoeker/scraper op/van Tweakers mijn Tweakers-gebruikersnaam kent (namelijk m'n naam hier), is natuurlijk eigenlijk al een slecht idee. Er is geen reden dat mijn 'forumnaam' m'n 'gebruikersnaam' moet zijn.

The Zep Man

Beveiliging en antivirus

@lenwar • 24 juli 2025 11:29

En ditzelfde geldt voor het telefoonnummer

Ik denk dat KPN wel weet in de context van abonnementbeheer welk telefoonnummer aan wie toebehoort.

[Reactie gewijzigd door The Zep Man op 24 juli 2025 11:29]

lenwar

Beveiliging en antivirus

@The Zep Man • 24 juli 2025 11:33

Uiteraard. Ik bedoelde het uiteraard ook in bredere zin. (Mogen ze dit overigens gebruiken? AVG-technisch gezien??) Maar buiten dat, kun je ook een telefoonnummer van Vodafone (of zo) hebben. Als je internet van KPN hebt (en dus een Mijn KPN-gebeuren), en mobiel van Vodafone.

et36s @amsterdamned • 24 juli 2025 22:06

2FA via mail is de meest irritante dat gebruik ik nooit. Altijd via app of sms

wauwwie @copywizard • 24 juli 2025 10:17

MFA bij KPN hoeft toch geen "of" te zijn, het kan best "en" zijn. Als je niets instelt dan heb je hotp. KPN kan het best maken dat als je hotp niet goed genoeg vind, dat ze ook totp/oAuth aanbieden.

Ramobo 24 juli 2025 10:20

Kan dit in Nederland niet via DigiD?
In België is Itsme bijna niet meer weg te denken als 2factor van je bank of voor je loonbrief te zien bijvoorbeeld.

Andros @Ramobo • 24 juli 2025 10:28

It'sme is dan ook een systeem bedacht door een aantal grote banken en telecom providers. DigiD is een systeem van de overheid zelf, ik vind het juist fijner dat niet alles meteen gekoppeld wordt.

Vergeet niet dat telecomdiensten in België verplicht geregistreerd moeten worden aan een persoon sinds de terreuraanslagen van 2016. In Nederland kun je nog altijd een prepaidkaartje uit een winkelrek halen en direct bellen. Als toerist of illegaal kun je ook Nederlandse telecomdiensten gebruiken, dat gaat dus niet als je DigiD gaat verplichten.

dcm360

@Ramobo • 24 juli 2025 10:34

In Nederland zou dat dan misschien via iDIN kunnen, dat is de tegenhanger van Itsme. DigiD is alleen voor overheidszaken.

dutchgio @Ramobo • 24 juli 2025 10:32

DigiD is alleen voor inloggen bij (semi)overheidsorganisaties.

willemb2 @dutchgio • 24 juli 2025 11:26

Voor mijn ziektekostenverzekering en pensioenfonds heb ik ook DigiD nodig. Heeft iets met BSN te maken.

FrankHe

@willemb2 • 24 juli 2025 17:03

KPN mag je BSN niet verwerken, dus die gaan nooit DigiD gebruiken.

William_H @FrankHe • 25 juli 2025 03:11

DigiD is niet alleen voor het verwerken van je BSN, dus dit klopt niet.

@willemb2 Dat is een goede link, en klopt inderdaad. Je kunt tegenwoordig ook bijvoorbeeld inloggen op je patientenportaal van je behandeld ziekenhuis om je dossier in te zien of contact te hebben met je arts.

FrankHe

@William_H • 25 juli 2025 10:06

Het ziekenhuis en zorgverzekeraar verwerken je BSN. KPN verwerkt je BSN niet. Dat was mijn punt.

hcQd @Ramobo • 24 juli 2025 21:36

KPN zou iDIN kunnen gebruiken. Erg populair is het echter niet, ik ken het alleen van de PostNL-app.

MatiasG 24 juli 2025 10:29

Ik zal nooit begrijpen waarom grote diensten zoals KPN of DigiD blijven vasthouden aan SMS (of een proprietary applicatie) in plaats van bewezen TOTP standaarden.

Snow_King

@MatiasG • 24 juli 2025 10:35

Omdat SMS voor de meeste mensen gewoon heel makkelijk werkt en het een prima 2FA laag is. Werkt op elke toestel.

Google Authenticator of iets anders is weer een extra app die mensen niet snappen en maar lastig vinden.

KWOAD

@Snow_King • 24 juli 2025 10:49

SMS werkt juist niet prima voor een telecomprovider. Als je problemen hebt met je bereik/storing of je abonnement, of je nummer of wat dan ook: Dat zijn juist de momenten dat je bij KPN gaat inloggen. Maar dat gaat niet omdat SMS niet werkt...

MatiasG @Snow_King • 24 juli 2025 10:48

Fair enough. Toch zou het het fijn zijn als beide een optie zijn. SMS authenticatie werkt ook niet altijd vlekkeloos. Zo heb ik van een kennis met een buitenlands telefoonnummer gehoord dat hij hierdoor wel eens problemen heeft met inloggen op DigiD.

Snow_King

@MatiasG • 24 juli 2025 16:33

Eens hoor, ik zou graag TOTP er bij zien of desnoods een e-mail. Maar de SMS 2FA is nu beter dan niets hebben.

FrankHe

@Snow_King • 24 juli 2025 17:04

Mensen installeren anders wel een dozijn andere apps op hun telefoon. Dan is een authenticator, wat echt iets voorstelt, ineens te veel gevraagd?

Snow_King

@FrankHe • 24 juli 2025 17:23

Zeker weten. Mijn zussen (40+), ouders (70+), die installeren amper apps, eigenlijk nooit. Die gaan geen TOTP app installeren en daarna ook echt begrijpen.

Een SMS werkt voor hen vele malen makkelijker dan een TOTP.

Mars Warrior @MatiasG • 24 juli 2025 10:33

Heel veel mensen hebben geen smartphone. Dus dan blijft er niet veel over dan sms of email.

MatiasG @Mars Warrior • 24 juli 2025 10:42

TOTP is niet beperkt tot een smartphone. Er bestaan gewoon authenticator applicaties voor andere platforms.

Odie @MatiasG • 24 juli 2025 11:01

Leg jij een TOTP applicatie even uit aan de gemiddelde computer noob, zoals je tante Miep of je moeke van 75+ ?

MatiasG @Odie • 24 juli 2025 11:11

Wellicht dat ik mijn reactie verkeerd heb verwoord. Ik doel niet op exclusiviteit van TOTP maar hekel me juist aan de exclusiviteit van SMS authenticatie bij veel van deze diensten. De keuze hebben uit beide zou fijn zijn (met SMS als standaard optie voor de wat minder technisch onderlegde gebruikers).

Odie @MatiasG • 24 juli 2025 11:13

Ah ok, mee eens. Ja zeker ook omdat Apple Keychain/Passwords nu ook gewoon TOTP ondersteunt zou die keuze fijn zijn.

William_H @Odie • 25 juli 2025 03:14

TOTP in dezelfde database als je gebruikersnaam en wachtwoord is een zwakte. Heb je toegang tot die database, dan heb je overal toegang toe. Mijn wachtwoordkluis, ondanks dat hij de ingebouwde mogelijkheid heeft, heeft niet mijn TOTP codes. Die wordt door een andere app beheert.

Odie @William_H • 25 juli 2025 09:49

Dat is en valide punt, maar dan kan ik ook zeggen dat als ik mijn TOTP in een losse app op mijn telefoon heb: als je toegang tot mijn telefoon hebt dan heb je toegang tot Keychain en mijn TOTP app. Dan moet je die dingen dus ook gaan scheiden. Voor bepaalde toepassingen: ja. Voor gemiddelde privé websites, good enough.

theduke1989 @Mars Warrior • 24 juli 2025 11:12

Maar dat GenX henkie Maria die nu allemaal 80+ jaar oud zijn oke kan ik begrijpen.

Maar GenZ of Gen Einde alfabet die hebben wel allemaal een telefoon en doen meer de telefoon dan wij GenX in totaal hebben gedaan.

Dus ja, maakt niet uit

Andros @MatiasG • 24 juli 2025 11:28

Ik vermoed dat het ook iets te maken heeft met druk op de klantendienst. Uiteraard wordt hier oma en tante Miep aangehaald maar er lopen genoeg mensen rond die echt niet weten hoe hun apps werken, nooit een betaalmethode op hun telefoon hebben ingesteld of domweg het wachtwoord van hun google/apple account niet weten, geen recovery hebben en bij een nieuwe telefoon gewoon een nieuw account aanmaken.

Door enkel voor SMS te kiezen voorkom je een hoop hoofdpijn en verloren uren mankracht als provider omdat het redelijk foolproof werkt en voor de meeste situaties meer dan voldoende is. Oma en tante Miep zijn doorgaans niet interessant genoeg om een KPN account te gaan hacken, dan is SMS verificatie voldoende.

Help!!!!

24 juli 2025 10:22

Stel dat je meerdere mensen in je huishouden hebt die toegang tot de app en/of account nodig hebben/willen. Dan kan dat dus niet meer

Althans niet meer rechtstreeks.

Irritant zeg.

[Reactie gewijzigd door Help!!!! op 24 juli 2025 10:22]

PaulHelper @Help!!!! • 24 juli 2025 13:22

Jup 1 van de vele nadelen van 1 nummer/sms. Met TOTP kun je het delen, of afhankelijk van je 2FA provider synchroniseren met meerdere apparaten.

Ik hou ook veel meer van TOTP

dutchgio @Help!!!! • 24 juli 2025 10:28

Op een app is eenmalig inloggen toch afdoende, dat kan toch prima eenmalig met SMS. Eenmaal ingelogd hoef je die SMS niet steeds weer te activeren, wel op nieuwe apparaten, in de browser etc.

Help!!!!

@dutchgio • 24 juli 2025 10:33

Maar in je browser wel toch? Dan moet ik dus deze cookies continue bewaren en ingelogd blijven.

Beter geven ze je de mogelijkheid meer telefoonnummers te registreren.

wooha @Help!!!! • 24 juli 2025 16:53

Zo te lezen blijf je niet ingelogd als je onthoud dit apparaat aanvinkt. Dat kan ook een browser zijn. Je moet daarna vanaf dat apparaat nog steeds inloggen met de KPN ID, maar de SMS is niet meer nodig.

De eerste keer dat je inlogt op een apparaat, log je in met jouw KPN ID en de SMS code. Daarna kun je kiezen voor “Onthoud dit apparaat”. Als je dit aanvinkt kun je voortaan op dat apparaat inloggen met alleen je KPN ID gegevens.

Het onthouden van het apparaat zal bij een browser waarschijnlijk via cookies of andere client opslag gaan, dus daar heb je inderdaad niets aan als je die cookies niet laat bewaren.

jmvdkolk @Help!!!! • 24 juli 2025 21:07

Dit is inderdaad onderdeel van mijn probleem. Daar bovenop, mijn vrouw heeft een mobiel abonnement bij KPN, en ik niet. Het lukt ons niet om mijn mobiele nummer als 2e factor te laten gebruiken. Needless to say staat de 2FA bij ons dus uit, want dit schiet niet op. Als dit inderdaad verplicht wordt, en het niet lukt om mijn nummer te gebruiken voor 2FA, dan gaan we het mobiele abonnement van mijn vrouw maar verhuizen naar een andere aanbieder.

Als KPN totp zou implementeren, dan zouden wij geen probleem hebben. Het is prima mogelijk om zowel totp als hotp aan te bieden. Er zijn zat partijen die dat doen. Maar KPN lijkt voor de goedkope oplossing te gaan.

KPN is trouwens niet de enige met zo'n probleem. Bij Albert Heijn hebben we hetzelfde voor ons account waarmee we de boodschappen bestellen. Gelukkig is de hotp daar per mail. We hebben een e-mail adres voor Albert Heijn gemaakt dat aan ons beiden stuurt. Albert Heijn vindt dat een account daar persoonlijk is. Ze vinden dat we beiden een account moeten maken met beide een bezorgbundel, of dat maar één van ons tweeën de boodschappen mag bestellen. Zucht......

gertvdijk 24 juli 2025 10:29

En als je wilt inloggen op MijnKPN omdat je 06-nummer niet bereikbaar is en dat wil fiksen? (simkaart kwijt/telefoon gestolen, nummer laten wijzigen, abonnement niet betaald, etc)

Lijkt me een toch een ontwerpfout van de orde kip-ei-probleem voor een telecomaanbieder om SMS-based auth te doen?! 🤦‍♂️

[Reactie gewijzigd door gertvdijk op 24 juli 2025 10:30]

NicoHF @gertvdijk • 24 juli 2025 10:36

Dat staat letterlijk in het nieuwsbericht.

Je moet dan een nieuw account aanmaken of met de klantenservice bellen.

[Reactie gewijzigd door NicoHF op 24 juli 2025 10:36]

gertvdijk @NicoHF • 24 juli 2025 10:48

Ja, dat heb ik gelezen, mijn punt is dus retorisch: wat een gedoe.

brambo123 @NicoHF • 24 juli 2025 19:54

Klantenservice bellen op valt natuurlijk af als je niet bereikbaar bent

timeraider 24 juli 2025 10:38

Dit is echt dom. Als ze authenticator apps gewoon toe stonden had ik die meteen al ingesteld maar SMS is gewoon een inconvenience

Lampie @timeraider • 24 juli 2025 11:16

Oprechte vraag.. hoe is SMS een inconvenience, dat is toch minder handelingen doordat je in 1 keer een SMS code kan laten overnemen? Ipv auth app openen, kopieren, weer terug naar app en plakken?

Maarten00 @Lampie • 24 juli 2025 11:32

Net als een email duurt het soms wel even voor een SMS aankomt. Persoonlijk heb ik al mijn 2FA codes in mijn password manager staan, waardoor ik helemaal nergens op hoef te wachten en ook geen extra app hoef te openen om de 2FA code op te halen. Als ik dus op mijn laptop zit hoef ik mijn telefoon er überhaupt niet bij te pakken.

exepti0n @Lampie • 24 juli 2025 13:46

1Password (en ongetwijfeld meer managers) vult voor mij automatisch TOTP codes in, niets kopieren en plakken. Kwestie van één keer configureren

hcQd @Lampie • 24 juli 2025 21:43

Als je sim defect is kun je niet inloggen. Als je telefoon gestolen is kun je niet inloggen om je sim te blokkeren.

dutchgio 24 juli 2025 10:31

Nog minder veilig dan Hotp is geen 2FA... De doorsnee consument heeft ook geen Authenticator app of fysieke veiligheidssleutel in huis liggen.

WhatsappHack

KPN
Beveiliging en antivirus

@dutchgio • 24 juli 2025 20:20

Mwah, bijvoorbeeld iedereen met een relatief recente iPhone heeft al ondersteuning voor passkeys; dat zijn dus miljoenen Nederlanders. Een authenticator app is zo geïnstalleerd, en omdat veel sites er al om vragen denk ik dat er aardig wat mensen zijn die het hebben - al is 2FA op veel plekken niet verplicht.

Ja geen 2FA is nog onveiliger, maar dat ontslaat KPN niet van de noodzaak voor het ondersteunen van moderne opties. Met die instellingen blijven we voor eeuwig op SMS hangen.

Mapuck 24 juli 2025 10:32

Is het een reden om je abonnement op te zeggen?

timeraider @Mapuck • 24 juli 2025 11:30

Kan best een extra reden zijn voor mensen, niet genoeg natuurlijk om opeens met een contract te kappen zonder boetes.

jmvdkolk @Mapuck • 24 juli 2025 21:12

Ja. Ik heb 2FA niet aangezet omdat KPN alleen het nummer van mijn vrouw accepteert als 2FA nummer. Dit omdat dit nummer in hetzelfde account zit. Als wij gedwongen worden om 2FA op dat nummer te hebben, dan gaan wij weg. Dit is natuurlijk op zich niet genoeg reden, maar wij twijfelden sowieso al.

hackerhater @Mapuck • 25 juli 2025 10:27

Als ze dit gaan verplichten zonder alternatief ga ik inderdaad de (zakelijke) data-sim bij KPN op zeggen.
Die sim zit in een modem als fallback en kan geen SMS ontvangen in het toestel. En ik ga niet die sim eruit halen elke maand dat ik in log om de rekening op te halen

Ik had liever gehad dat ze me een pure data-sim hadden gegeven zonder 06-nummer dan dit, maar soit.

Martinspire 24 juli 2025 10:42

Is dit alleen voor het beheren van je account en niet voor bv tv.kpn.nl? Of worden beiden straks achter 2FA gezet? Ik vraag dit omdat ik soms nog wel eens tv kijk via het abonnement van mijn ouders. Omdat het zo weinig is, vind ik het niet nodig om zelf een abonnement aan te schaffen, maar zou zonde zijn als ik niet meer zomaar kan inloggen.

PaulHelper @Martinspire • 24 juli 2025 13:19

Niet zeker maar ik dacht dat bijvoorbeeld Ziggo pas 2FA bij account beheer doet en niet tv kijken. Als KPN ook die lijn aanhoudt dan zal dus tv kijken nog makkelijkzijn

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (176)

Sorteer op:

Weergave: