Vodafone begint in Nederland met dienst om sms-codes overbodig te maken

Vodafone heeft een dienst geïntroduceerd waarmee klanten zich kunnen verifiëren bij bijvoorbeeld banken en online diensten zonder eenmalige codes via sms. De provider checkt de identiteit en geeft groen licht aan de app voor het inloggen.

De dienst heet Number Verify 2.0 en is door klanten niet in te stellen: een online dienst of app moet het ondersteunen, zegt de provider. De dienst werkt met Camara, een project dat nummerverificatie bij allerlei providers en in allerlei landen wil verbinden. Daardoor moet verificatie via het telefoonnummer over grenzen heen werken.

Als een app de dienst ondersteunt, vraagt deze om het telefoonnummer te delen. Vervolgens stuurt de aanbieder dat door naar de provider via een api en de provider checkt of de gegevens overeenkomen met het telefoonnummer. Als dat zo is, stuurt de provider een bevestiging. Gebruikers hoeven daarbij dus niets te doen. Het protocol werkt met Https. De gateway checkt daarbij of het access token dat de app of dienst instuurt klopt met die van de simkaart die hoort bij het telefoonnummer en stuurt een respons.

De api moet sms-codes overbodig maken. Dat is handiger en sneller voor gebruikers. Tegelijkertijd moet het fraude voorkomen, omdat er geen sms'jes te onderscheppen zijn. Sms is onversleuteld. Vodafone vermeldt niet hoeveel de dienst kost. Number Verify 2.0 is live in Nederland, Duitsland en het Verenigd Koninkrijk.

VodafoneZiggo stock (bron: Pixelbizz/Getty Images)
VodafoneZiggo stock (bron: Pixelbizz/Getty Images)

Door Arnoud Wokke

Redacteur Tweakers

13-07-2026 • 17:09

68

Reacties (68)

Sorteer op:

Weergave:

Op zich kan dit werken, maar dan zie ik toch liever een encrypted RCS dienst uitgerold worden die de SMS opvolgt. Zowel Android als iOS ondersteunen het. Op dit moment hangt het een beetje te veel op Google, maar dat komt doordat de providers geen RCS servers aanbieden als vervanging, dus als ze de SMS servers upgraden naar servers die ook RCS ondersteunen, komt dat weer een stap dichterbij.
Inderdaad, maar telecomproviders zijn het probleem... ze liggen achter met hun technologieen.

Ik had al tegen KPN en Simyo gezegd dat ze RCS zo snel mogelijk moeten uitrollen... Ik haat langzame telecomproviders... de slakken.

Waarom is er geen een standaard voor alle telecomproviders? met 1 code zodat het voor alle telecomproviders in 1 klap geschikt maakt!!!!! Hallo telecomprovider, waarom is dat niet gebeurd???
Waarom is er geen een standaard voor alle telecomproviders? met 1 code zodat het voor alle telecomproviders in 1 klap geschikt maakt!!!!! Hallo telecomprovider, waarom is dat niet gebeurd???
Omdat elke organisatie zijn eigen infrastructuur en beleid heeft, o.a. omdat ze onderscheidend willen zijn (kul argument in mijn ogen, maar goed). Dat gezegd te hebben, ik deel jouw wens dat RCS uitrollen met dezelfde passie als jij.
Uitmelken en uitmelken en natuurlijk op de lange baan en blijven uitmelken
En ja, weer een commercieel bedrijf die onze identiteit kan bevestigen. Schijnbaar een goede business case. Wij zijn echt een verdienmodel.

[Reactie gewijzigd door pe0mot op 13 juli 2026 17:14]

En ja, weer een commercieel bedrijf die onze identiteit kan bevestigen. Schijnbaar een goede business case. Wij zijn echt een verdienmodel.
Vodafone is een commercieel bedrijf waar je als klant een abonnement kunt afsluiten. Nogal wiedes dat je dan onderdeel bent van hun verdienmodel.
Het probleem is dat ik dacht de klant te zijn, niet het product.
Hoe is het lees, is dit een manier om je telefoonnummer te bevestigen zonder een SMS’je.

Dus ipv een SMS, kan de webwinkel de API van Vodafone aanroepen die jouw telefoonnummer ‘weet’, en jij bevestigd via een app dat het oké is.
Er is ook een API die de andere kant op werkt: app vraagt aan Vodafone-API wat het telefoonnummer van de huidige gebruiker is, krijgt dit, en gaat het dan (hopelijk) vergelijken met een door de gebruiker ingevoerd nummer.

Daarnaast noemen ze onder "TS.43 Entitlement Server Integration" ook een scenario waar ze het niet eens vergelijken. Het idee daar is dat je smartphone-OS een "druk op OK om je telefoonnummer met app te delen" popup laat zien - het niet handmatig hoeven invullen van je telefoonnummer in de app is een feature. Dat is natuurlijk vragen om problemen met "games" die je 10x snel op een plek op het scherm laten drukken, en daar middenin die popup er doorheen gooien. En het nummer is geverifieerd door de provider, dus dat is goud waard!

[Reactie gewijzigd door laurxp op 13 juli 2026 21:42]

Ja, dat is toch precies de reden dat je die app installeert? Niet om bonen te kopen 😊. Die app moet weten wat het telefoonnummer is. Om fraude te voorkomen moet je niet zelf een telefoonnummer invullen.
Ik denk dat Camara bedoeld wordt. Niet Vodafone. En ik sluit me aan bij die opmerking.
Gaat zo lekker;
- inzage chat gesprekken nieuws: Techbedrijven mogen chatberichten van Europeanen weer scannen op kind...
- leeftijd / id controle https://nos.nl/artikel/26...ntrole-geen-smoesjes-meer
- encryptie liever niet https://www.privacynieuws...is-ervan-uitgesloten.html
- vpn doei nieuws: Nederland wil vpn's niet verbieden of beperken, ondanks misbruikmogel...
- digitale euro; nieuws: Europees Parlement stemt in met digitale euro: invoering in 2029 stap...

De privacy-salamiworst, worst steeds kleiner en kleiner.

En over 5jr is heel die worst op …. En jouw anonimiteit, privacy of enige controle op jouw data is compleet weg.

//edit; wat een negatieve reacties hierop. ik had, zeker hier op Tweakers, meer bijval of ondersteuning verwacht. Deze onderwerpen tover ik niet uit een hoge hoed! Ga jezelf eens informeren, via partijen als Bits Of Freedom, publicaties door overheden en/ook de nieuws berichten hier.

Zie wat er gebeurd in de UK; die zijn uit ons “clubje” gestapt, het is zeer triest en vooral verontrustend wat daar gebeurd. Als we niet opletten, staat ons in de EU hetzelfde te gebeuren.

[Reactie gewijzigd door himlims_ op 13 juli 2026 19:59]

Vpn doei heb ik nog nergens gehoord. Tenzij je in Rusland woont natuurlijk.
Heb je het artikel ook gelezen of alleen de kop? 😊

In het artikel staat ‘Sommige beleidsmakers’ (dat is niet hetzelfde als ‘De EU’. Dat is zeggen dat als een willekeurig kamerlid van een-thema-partij xyz, wat roept en dat je dan kan zeggen dat ‘De Tweede Kamer wiI’ 😊
Overall in de westerse landen zijn gesprekken gaande om dit aan banden te leggen anders.
Overall in de westerse landen zijn gesprekken gaande om dit aan banden te leggen anders.
Tenzij ik betrouwbare bronnen zie ga ik er vanuit dat "overal zijn gesprekken gaande" hetzelfde betekent als "overal is wel een populistisch kamerlid dat, ongehinderd door enige kennis van zaken, dingen roept"

Om VPN verkeer betrouwbaar van http-verkeer te onderscheiden zul je ook https moeten verbieden, dus ik ben niet zo bang.
Ja maar denk eens aan de kinderen!
Denk dat men jouw reactie verkeerd begrijpt, want dat is precies essentieel voor de controle:

Een mooi excuus hè; terroristen of PDF, en alles is vervolgens geoorloofd om de (illusie van) veiligheid te waarborgen.

Langzaam streven we af op een totalitair regime.

Zie wat er in de UK gaande is…. Omfg… dat gaat Rusland bijna voorbij als gaat om censuur en two-tier-police/governance. Erg triest, en historisch gezien een belangrijk kantelpunt. Ooit wordt daarover geschreven in de studie boeken

[Reactie gewijzigd door himlims_ op 13 juli 2026 19:53]

Ja maar denk eens aan de kinderen!
Doen we ook. Geen van ons hier wil hopelijk graag dat de volgende generaties in een dystopische feudale technocratie op hoeft te groeien - maar dit soort (doelbewust) blinde 'maar, de kinderen!' maakt dat we daar wel op af stevenen.
Reageer je wel op het juiste artikel?

Vodafoon heeft alle gegevens al, omdat dit voor hen verplicht is. Ze hebben ook de gegevens al van je simkaart.

Dit heeft ook totaal niets te maken met de EU.

[Reactie gewijzigd door SunnieNL op 13 juli 2026 19:20]

Dat is het al lang, hoor. Maak je vooral geen illusies.
-1 voor de betrekking van
-VPN doei, slaat nergens op, die zijn hier niet verboden.
- Digitale euro, van de week al een hele discussie gevoerd dat dat helemaal geen impact op de privacy heeft/gaat hebben. Feitelijk gewoon hetzelfde als de vroegere Chipknip op je pinpas.
- Leeftijd / ID controle, hoeft ook geen probleem te zijn met zero knowledge proof, zoals bij Yivi (NL product).
- Inzage chatgesprekken, dit is er nog helemaal niet doorheen. Voorlopig alleen op vrijwillige basis en chatapps zoals Signal doen daar niet aan mee, dus er is/zijn nog steeds alternatieven.

[Reactie gewijzigd door William_H op 13 juli 2026 19:07]

Aan de digitale euro wordt wel degelijk gewerkt, maar het houdt niet in wat... sommige mensen... denken wat het inhoudt.
De digitale euro ligt inderdaad in lijn met flat-earth, chemtrails en microchips in covid vaccin.

Daarom worden deze onderwerpen; bewaarplicht, vpn, encryptie etc. Op de agenda gezet van onze EU deskundigen :X waar beslissing genomen worden door niet gekozen parlementariërs, die vergaande gevolgen kunnen hebben voor haar inwoners. :+

Zie ook;
nieuws: Europees Parlement stemt in met digitale euro: invoering in 2029 stap...

[Reactie gewijzigd door himlims_ op 13 juli 2026 19:51]

Wat is precies het probleem?

Vodafone weet toch al wie je bent.
Nee, je geeft niet meer informatie dan dat je dit met SMS verificatie zou doen: alleen je mobiele telefoonnummer geef je op. Dit werkt alleen met een app/web op de telefoon zelf. De app/web controleert via de Vodafone API of het opgegeven telefoonnummer of die van het toestel overeenkomt met het nummer wat de telecomprovider heeft (i.c.m. het (e)sim in het toestel).
De telecomprovider weet je mobiele nummer al, dus dat is geen nieuwe informatie. De dienstverlener van de app/web heeft nu zekerheid dat het mobiele nummer ook die van het toestel/sim/telecomprovider is (en dus dat het opgegeven mobiele nummer/sim in de handen is van de betreffende gebruiker). Er is dus geen naam of andere info check.

[Reactie gewijzigd door friend op 13 juli 2026 17:51]

Één klein probleempje: de API heeft ook een functie voor het uitlezen van het telefoonnummer!

https://developer.vodafone.com/api-catalogue/identity/number-verification-2-0-camara/phone-number-share:
Returns the phone number so the API clients can verify the number themselves: - It will be done for the user that has authenticated via mobile network - It returns the authenticated user's `device phone number` associated to the access token
Ja, dat is het hele idee, dat jij niet mijn telefoonnummer bevestigd, maar het nummer waarmee jij aangemeld bent. 😊
Je mist het probleem.

Dit is niet "Facebook wil mijn nummer bevestigen -> Facebook vraagt mij om mijn nummer -> Facebook stuurt nummer naar provider ter bevestiging".

Dit is "Facebook wil nummer bevestigen -> Facebook vraagt provider om mijn nummer -> Facebook krijgt nummer -> Facebook gebruikt dit nummer hopelijk om te vergelijken met een door mij ingevoerd nummer".

Het probleem is dat eerste alléén mogelijk is als je het nummer van tevoren al weet. Je krijgt een ja/nee. Tenzij je dus alle nummers 1-voor-1 gaat checken (en daar zal vast wel rate limiting voor zijn) kan je dus geen extra informatie te weten krijgen. Bij dat tweede is dat wél mogelijk. Je krijgt, zonder enige voorkennis, als app het nummer van de huidige gebruiker, met de bedoeling dat je dit gaat gebruiken voor "verificatie".
  • Facebook vraagt om een nummer dat de gebruiker heeft ingevuld.
  • Vodafone (en het hele internationale ding er achter) stuurt een verzoek naar de app van de gebruiker.
  • De gebruiker bevestigd dat het mag aan Vodafone
  • Vodafone bevestigd ‘ja’ richting Facebook
Facebook heeft dan uiteraard je telefoonnummer, maar dat is om ook de controle.
Wat is het alternatief? De overheid die jouw identiteit moet bevestigen?
Niemand gaat dit implementeren laat staan gebruiken. Providers zijn volledig overbodig voor dit soort zaken dus het compliceert dingen alleen maar. Gewoon netjes even 2FA met zo’n tijdelijke code instellen en klaar, heb je geen sms of alternatieve dienst voor nodig. Tweakers ondersteunt dat ook. En gewoon passkeys gebruiken waar mogelijk. Ben erg blij grotendeels verlost te zijn van gezeik met wachtwoorden vandaag de dag.

Wie zit er nu te wachten op een of ander protocol dat land en provider-gebonden is?

[Reactie gewijzigd door i7x op 13 juli 2026 17:35]

Maar 2FA met een tijdelijke code gaat niet een telefoonnummer verifiëren, en heeft dus een ander doel dan deze dienst.
De bedoeling is meestal de persoon identificeren. Het telefoonnummer is gewoon iets dat daarvoor gebruikt kan worden en was in het verre verleden praktisch. Nu kan dit via specifieke apps zoals itsme, 2factor, ...
Maar moeten we dan willen dat allerlei shit aan een telefoonnummer is gekoppeld?

Vanuit de provider snap ik hem (meer gebruik is namelijk meer geld), maar als gebruiker wil ik het niet, om verschillende reden.

SMS is onveilig, en bij bellen kunnen nummers kunnen gespoofd worden. RCS word niet voldoende ondersteund (en is niet encrypted by default (volgens mij, maar kan er naast zitten). Het is tegenwoordig dus niet per se veilig meer om communicatie via de telefoonlijn te doen. En er zijn genoeg alternatieven zoals TOTP of passkeys (mbv een yubikey of iets in die richting).

De bedrijven die het alleen via de telefoonlijn willen doen zijn daarom (wat mij betreft) niet alleen uit op veiligheid, maar ook op meer data (looking at you discord). Want hoe vaak hoor je van mensen dat ze van telefoonnummer wisselen? Ik eigenlijk niet van prive nummers, zakelijke nummers als mensen uit dienst gaan. Het is dus een hele stabiele identifier voor personen geworden (een stuk stabieler dan emailadressen). Waardevol voor een bedrijf, maar dus ook voor criminelen.
Wie zit er nu te wachten op een of ander protocol dat land en provider-gebonden is?
Niemand, vandaar dat deze Camara api-standaarden breed worden gedeeld:

https://camaraproject.org/
Ik doe zoveel mogelijk met sms code, vind het gemakkelijk en veilig.
Wat hebben ze eraan als ik op mijn pc werk en een code op een ongekoppelde telefoon onderschept wordt ? Niets lijkt mij. Lekker zo houden en zeker niet naar nog een commerciele dienst.
Ik denk dat je je daar wel eens in kan vergissen...

De API heeft óók ondersteuning voor het uitlezen van je telefoonnummer, zodat "de client het zelf kan verifiëren". Daarnaast hebben ze ook ondersteuning voor bijvoorbeeld identiteitsverificatie en leeftijdsverificatie. Ideáál dus voor partijen die een lekker gedetailleerd profiel van hun klanten willen vaststellen!

Daarnaast hebben ze ook nog minder privacyschendende diensten als SIM-swap detectie en nummerhergebruik-detectie. Best handig voor bijvoorbeeld banken.
Waarom wil iemand dit? Totp op basis van Authenticator verhelpt het probleem ook en je zit niet vast aan commerciële partij.
En mocht je de aanbieders van de (google of microsoft) authenticator niet vertrouwen dan is het redelijk makkelijk om vanuit een betrouwbare partij een alternatief te maken.
De inleiding zegt identiteit, het verder artikel beschrijft alleen een nummer verificatie. Welke van de twee is het?
Beide, op basis van het nummer weet de provider de identiteit is de gedachte.

Enige dingetje is wel dat de gebruiker van het nummer dezelfde moet zijn op wiens naam het abonnement staat (lastig bijvoorbeeld als de telefoon voor je kind is). En je zult geverifieerd moeten zijn als klant (dus geen anonieme prepaid).
Dat klopt niet. Dit gaat alleen om nummer verificatie, dat gebeurt nu vaak via een code via sms.

En dat is weer gevoelig voor fraude, dit heeft niks te maken met op welke abonnement of prepaid een simkaart staat.
Uit de genoemde link: "It leverages operating system-level integration with the operator’s entitlement server and token-based API authentication to verify a user's mobile number, without requiring manual input or SMS delivery."

Het staat er niet, maar ik lees "vendor lock-in". Ik zou het al een stuk sympathieker vinden als het over alle providers heen zou werken.
Zolang apps ten alle tijden terug kunnen naar SMS verificatie zie ik het "vendor lock-in" probleem voor de klant niet zo.

Voor een App lijkt dit veel vervelender. Waarschijnlijk moeten ze Vodafone hiervoor betalen en, als het idee aanslaat, ook alle andere providers die een vergelijkbare dienst zullen starten.

Wat me overigens opvalt, waarom staan er een "Google Server" in het diagram op die pagina? Moeten die hier ook al tussen zitten?
Wat ik begrijp moet het OS ook wat verificaties doen, zoals het checken van de Sim. Google en Apple zetten beiden zo'n service op en zijn een soort man in the middle die als eerste tijdelijke tokens geven zodat de keten van app naar device naar provider volledig geverifieerd is en er geen MITM attack kan plaatsvinden via spoofen. Dat kan alleen op OS niveau.

Maar misschien kan @arnoudwokke daar een (technisch) achtergrond artikel aan wagen (over Camara en deze implementatie) ?

[Reactie gewijzigd door SunnieNL op 13 juli 2026 19:37]

Het is in zoverre vendor lockin dat vodafoon dit alleen kan aanbieden voor telefoonnummers die onder hun beheer vallen. Ze kunnen dit niet voor kpn of odido nummers, omdat ze daar de gegevens niet van hebben

Dit werkt namelijk alleen als de Sim ook op zijn eigen netwerk zit.

Het hele principe werkt ook over alle providers, alleen moeten ze dat zelf aanbieden. Net als Google en Apple hier ook een deel in spelen, omdat een tijdelijk token van hen af komt om het OS deel op te vangen. Dus zit je bij Kpn en biedt kpn deze service niet, dan houdt het op.
Opzich niet verkeerd dat ze SMS-codes willen uitfaseren want dat is bewezen een slecht idee. Echter de manier waarop is dan weer waardeloos. Ze hadden TOTP of iets dergelijks kunnen doen, maar komen met een semi identiteitsverificatie tool. Weer lekker extra data binnenharken.
Hoe vaak is het nu voorgekomen in Nederland, dat zo'n sms code onderschept is. Ben je zo belangrijk, dat je daar bang voor met zijn?
Ligt er maar net aan wat het voor service is. Maar het gaat me meer om de vervanging. Het eerste idee is kut, de vervanging is nog kutter, zo lijkt het
Ik vroeg om het bewijs, niet of jij het kut vond.
Dat haalde ik niet uit je vorige bericht.

In dat geval, wederom, ligt aan de service. Google bijvoorbeeld werkt standaard nogsteeds met sms codes voor zover ik weet. Als dat soort accounts overgenomen worden is dat zeker nadelig voor jou als persoon, of je nou belangrijk bent of niet.

Hier heb je een stukje van 1Password wat dat ook aanhaalt.
Jij schreef, dat het bewezen een slecht idee was. Daarom vroeg ik hoevaak is dat dan bewezen en jij komt dan met een kut boodschap.
Voor de duidelijkheid: als je een app hebt op je mobiel worden kun je in de toekomst een pop-up verwachten met daarin het verzoek om je telefoonnummer te delen met de partij, waarbij direct geverifieerd wordt dat jij de eigenaar van dit nummer bent.

Het vervangt geen 2fa vanuit je desktop.

[Reactie gewijzigd door jhnddy op 13 juli 2026 18:18]

Ik gebruik opzettelijk een apart gsm nummer voor onder andere twee factor codes zo dat websites mijn "echt" nummer niet in hun database zitten hebben. Deze steekt in een oude nokia die enkel aan gaat als ik een code moet ontvangen. De voornaamste reden dat ik zo werk is als er weer eens een data lek gebeurt is ik niet de dupe daarvan moet zijn en een oneindig aantal spam en scam calls moet binnen krijgen.

Ik gebruik deze workflow nu reeds een 4-tal jaar en dat werkt zeer goed, ik heb sindsdien nog niet eenmaal meer een scam call binnen gekregen. Maar met dit nieuw systeem waarbij de gebruiker niet eens de keuze heeft om er gebruik van te willen maken of niet kan dit dan dus niet meer..
Zou je in feite dan ook met dual-sim kunnen doen als je geen 2de foon liggen hebt, maar op zich wel een slim plan.
Oef wat verwarrend. En een oplossing voor iets wat al bestaat. SMS kan allang vervangen worden door 2FA codes via een Authenticator app, waarbij de backup ervan client side e2ee is. Dus zoals Ente Auth.

Om te kunnen reageren moet je ingelogd zijn