1
Vraag
2
Reageer en help mee
Itaka

Level 2
  • 8Posts
  • 0Oplossingen
  • 5Likes

De absolute onzin van de verplichte 2FA bij "Mijn Ziggo"

Het blijkt dat er opeens een mobiel nummer moet worden ingevuld om in te loggen op Ziggo. Dat is een heel slecht idee. Al was het alleen al omdat Ziggo per huishouden is geregeld en een mobiel telefoonnummer per persoon wordt gebruikt. Dus als ik niet thuis ben, kan mijn vrouw niet inloggen.

 

Waarom heeft niemand daar aan gedacht? Of is er wel aan gedacht, maar is dat terzijde geschoven?

 

Daarnaast is 2FA over SMS niet veilig. Dat is al lang bekend, maar ook dat is kennelijk genegeerd.

https://www.cnet.com/news/privacy/do-you-use-sms-for-two-factor-authentication-heres-why-you-shouldn...

 

Of kijk maar een naar de ontelbare resultaten voor zoeken op "sms 2fa insecure".

 

Zijn er nog meer redenen te bedenken om dit terug te draaien? Ongetwijfeld. Waarom moet Ziggo mijn mobiele nummer hebben?

 

Dus heel graag terugdraaien dit, want het levert alleen maar problemen op en lost geen enkel probleem op.

 

 

 

 

18 Reacties 18
RoWi.

Level 20
  • 18187Posts
  • 761Oplossingen
  • 6199Likes

Deels met uw reactie eens, echter zou alleen de contracthouder toegang mogen hebben tot de Mijn Ziggo omgeving.  Het huishouden heeft geen overeenkomst met Ziggo alleen de contracthouder de gezinsleden hebben wezenlijk enkel toegang tot de afgenomen diensten. Ondanks dat ik mijn huisgenoten vertrouw hebben deze niks te zoeken in de Mijn Ziggo omgeving. 

 

Zolang voor toegang tot Ziggo Go de 2fa maar niet wordt toegepast is dit een stap in de goede richting.

 

Of de methode via SMS wel of niet betrouwbaar doe ik geen uitspraak over.

Bert

Level 21
T.E.A.M.
  • 75177Posts
  • 5145Oplossingen
  • 21923Likes

Dit lost in ieder geval de problemen op vanwege het feit dat alle gebruikers van de Ziggo Go app die deze inlog zelf wisten ook in je Mijn Ziggo konden en daar wijzigingen konden aanbrengen in het abonnement.

 

Ook als hackers de Mijn Ziggo inlog gegevens hadden werden er de laatste tijd diensten besteld die de klant niet besteld had, zoals op dit forum meermalen gemeld werd door klanten over een aantal Netflix bestellingen en werden de wachtwoorden van de email adressen gewijzigd en de mails verwijderd of inlog gegevens van sociale media gebruikt werden om daar zaken te wijzigen.

Itaka
Topicstarter
Level 2
  • 8Posts
  • 0Oplossingen
  • 5Likes

Dus er is een onveilige ziggo go app, en als oplossing wordt er nu een sms gestuurd naar een telefoon, waar diezelfde ziggo go app dan weer op is geïnstalleerd. Dus dat helpt echt niet.

 

Als de ziggo go app het probleem is, los het dan daar op, en niet bij het normale loginproces in mijn ziggo. Pas dus de ziggo go app aan.

 

> Ook als hackers de Mijn Ziggo inlog gegevens hadden werden er de laatste tijd diensten besteld die de klant niet besteld had

 

Ja dag, als iemands wachtwoord is gehackt, dan is dat een persoonlijk probleem, dat persoonlijk moet worden opgelost. Want nu is alleen het probleem verschoven. Als hackers aan sim-jacking doen, dan moet Ziggo weer een extra beveiliging invoeren zeker.

 

Nu leidt dat tot meer belasting van de klant. Het is al een ellende om naar de klantenservice te bellen (het menu is zinloos langdradig, veel vragen vallen niet onder de menu-items, ingesproken postcode wordt bijna nooit begrepen, en er wordt niet eens wat mee gedaan - er wordt toch weer naar de postcode gevraagd als er een medewerker aan de lijn komt). Nu is het ook lastiger om in te loggen om eventuele problemen zelf op te lossen. Moeten we dan weer massaal de klantenservice gaan bellen? Gaat Ziggo extra investeren in personeel van de klantenservice? Of is het gewoon klantje pesten?

 

Zelfs Google heeft geen verplichte 2FA. Maak het dus optioneel. Want vandaag heb ik alweer twee keer een smsje moeten overtypen omdat een inlog op het forum weer een andere login is als inlog op mijnziggo.

 

 

 

 

 

Bert

Level 21
T.E.A.M.
  • 75177Posts
  • 5145Oplossingen
  • 21923Likes

"Dus er is een onveilige ziggo go app, en als oplossing wordt er nu een sms gestuurd naar een telefoon, waar diezelfde ziggo go app dan weer op is geïnstalleerd. Dus dat helpt echt niet."

 

De Ziggo Go app is niet onveilig, die gebruikt ook de login van Mijn Ziggo.

Mijn Ziggo krijgt nu een extra beveiliging.

Om nu in Mijn Ziggo te kunnen, heb je nu een 2e verificatie nodig.

Een SMS wordt alleen gestuurd naar de eigenaar van Mijn Ziggo en dat is maar 1 telefoonnummer.

 

"Ja dag, als iemands wachtwoord is gehackt, dan is dat een persoonlijk probleem, dat persoonlijk moet worden opgelost."

Niet alleen een persoonlijk probleem, ook een probleem van Ziggo en de externe partijen zoals Netflix die bestellingen binnen krijgen en dat allemaal weer terug moeten draaien.

 

"Als hackers aan sim-jacking doen"

Als hackers aan computer / mailbox / sim hacking doen, als als als.

Dat is geen reden om geen extra beveiliging in te bouwen.

Beanow

Level 1
  • 3Posts
  • 0Oplossingen
  • 0Likes

Tjah dit ruikt aan alle kanten naar iemand van hogerop die niet naar de techneuten heeft willen luisteren. Want het is werkelijk ondenkbaar dat de programmeurs hier niet aan de bel getrokken hebben. Wat veiligheid betreft is het al jaren bekend dat SMS zwak is. Het is "beter dan niks". Ik snap dat het voor velen nog ingewikkeld is, maar als je een beetje in de moderne snufjes leeft heb je vast al je TOTP appje bij de hand en ingesteld voor een tiental andere websites.

Dus als het argument is dat SMS toegankelijker is, ok prima! Maar geef dan DAARNAAST de keuze voor TOTP voor wie het *goed* wil doen, of zoals andere topics https://community.ziggo.nl/t5/Over-de-Community/Tweestapsverificatie-Inloggen-met-extra-code-two-fac... wie geen telefoon kan gebruiken. Nu kan de klantenservice het uitzetten voor je. Dat is waanzin want deze mensen hadden prima TOTP kunnen gebruiken als alternatief (en daarmee nog veiliger geweest ook). Het lost ook het hele account delen met je familie verhaal op, want je kan je TOTP seed gewoon op meer apparaten zetten.

Ook lijkt mij dit rijp voor misbruik. Hoe lang denk jij dat het duurt voordat de Vodafone marketing afdeling komt zeuren om deze telefoonnummers te misbruiken om nog gerichtere koppelverkoop campagnes op te tuigen? Moet hier dan eerst weer de AP en een paar miljoen boete aan te pas komen voor er deugdelijke veiligheid geregeld wordt?

Beetje ondoordacht allemaal weer Ziggo. En nogmaals lijkt het mij ondenkbaar dat intern hier niemand over aan de bel getrokken heeft, beetje aandacht voor de feedback van je eigen personeel was hier niet verkeerd geweest.

Beanow

Level 1
  • 3Posts
  • 0Oplossingen
  • 0Likes

Overigens eens met een aantal punten van Bert.

Ik denk niet dat de treurige implementatie die het nu gekregen heeft, argument is om het dan maar meer terug te draaien naar geen 2FA. Hoogstens terug naar optioneel, totdat er een beter alternatief zoals TOTP klaar staat.

Want "dan is dat een persoonlijk probleem, dat persoonlijk moet worden opgelost"
Hier kan ik me zeker niet in vinden. Als aanbieder heb je ook een zekere plicht om mensen aan te moedigen de verstandige keuze te maken. Juist als je weet dat je een doorsnede van de hele samenleving in je klantenbestand hebt en er ook een goed aandeel digibeten tussen zullen zitten.
Dat zijn de waarden in NL/EU zoals dat je ook ziet met statiegeld, nutriscore, en noem maar op. Software is daar niet anders in. Daarnaast is er ook de AVG waarbij Ziggo verplicht is om deugdelijke veiligheidsmaatregelen tav je persoonsgegevens te nemen. Want anno 2022 kan je het mogelijk nalatigheid (in de wettelijk aansprakelijke zin) noemen dat 2FA niet breder en beter uitgerold was.

Dus nee, de extra beveiliging terugdraaien ben ik ook niet voor.

Waar ik een probleem mee heb, is het invoeren van ÉÉN (SMS) optie, wat met een boel problemen gepaard gaat (kwetsbaar, privacy gevoelig, niet altijd beschikbaar) en dan als donderslag bij heldere hemel dat iedereen verplicht te stellen.

Beanow

Level 1
  • 3Posts
  • 0Oplossingen
  • 0Likes

Overigens valt er ook nog wel het eea aan te merken over dit hele, aan de klantenservice vragen of het weer uit mag.
(Dat is overigens geen verwijt aan de klantenservice, maar een ontwerp probleem)

In het vak noemen ze dit een "social engineering attack". Wanneer je met een goede smoes een beveiligingslaag kan uitschakelen/omzeilen.

Ook daar mag wel meer aandacht aan besteed worden, zoals een terugvallen op andere factoren als 2e factor, recovery codes instellen, dat wordt wat te technisch om hier allemaal uit te pluizen, maar kortom daar zijn ook bestaande en betere alternatieven voor te bedenken.

MR_CHIP

Level 19
  • 11498Posts
  • 131Oplossingen
  • 3968Likes

ik snap de frustratie maar als klant heb je er maar mee te dealen het us hun app daarmee mogen ze doen wat ze willen

Knight who says

Level 6
  • 100Posts
  • 0Oplossingen
  • 48Likes

Ik had mijn inlogprobleem al in een soortgelijke discussie ingebracht, maar misschien is het verstandig om het hier nog eens te herhalen.

Inmiddels heeft de helpdesk zonder protest de tweestapsverificatie voor mij uitgezet, nadat ik had aangegeven niet over een smartphone te beschikken.

Afgezien van veiligheids-issues waar ik onvoldoende kijk op heb, vind ik het onacceptabel en drammerig dat tegenwoordig ‘alles’ met een smartphone ‘moet’.

 

Ik durf ook wel de stelling aan dat als ik Ziggo, of de bank of welke instantie of bedrijf  dan ook, meer persoonlijke gegevens verstrek, de veiligheid eerder afneemt dan toeneemt. Maar dat even terzijde.

 

Waarom krijgen we niet de keuze om voor tweestapsverificatie een code per e-mail te ontvangen i.p.v. met sms?

 

Ik stuitte bij een poging om in te loggen zonder mobiel nummer nog op een idioot probleem.

Ziggo had/heeft de mogelijkheid om in te loggen zonder wachtwoord. Je moet dan je e-mail opgeven en dan sturen ze een code per e-mail om mee in te loggen.

Maar dat wilde bij mij niet werken, hetgeen ik eerst niet snapte totdat ik een ‘inforondje’ zag staan: (i) met de mededeling dat dit alleen functioneert als je je inlognaam verandert in je e-mailadres. En om dat te kunnen doen moet je inloggen!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 🤔 🤔 🤔

Dus zo word je nu dus door Ziggo helemaal klem gezet.

Ja, ja, Ziggo, zoals altijd weer goed doordacht allemaal.

RoWi.

Level 20
  • 18187Posts
  • 761Oplossingen
  • 6199Likes

@Knight who says hoezo een smartphone? Een sms kan je zelfs op een ouwe 3110 nog ontvangen.

Pineapple

Level 16
  • 1712Posts
  • 179Oplossingen
  • 681Likes

@Bert  schreef:

Dit lost in ieder geval de problemen op vanwege het feit dat alle gebruikers van de Ziggo Go app die deze inlog zelf wisten ook in je Mijn Ziggo konden en daar wijzigingen konden aanbrengen in het abonnement.

 

Ook als hackers de Mijn Ziggo inlog gegevens hadden werden er de laatste tijd diensten besteld die de klant niet besteld had, zoals op dit forum meermalen gemeld werd door klanten over een aantal Netflix bestellingen en werden de wachtwoorden van de email adressen gewijzigd en de mails verwijderd of inlog gegevens van sociale media gebruikt werden om daar zaken te wijzigen.


Helemaal mee eens. Ik vind dit een hele goede en positieve toevoeging. 

Knight who says

Level 6
  • 100Posts
  • 0Oplossingen
  • 48Likes

@RoWi. 

Oh jee, meen je dat nou? Zelfs op een 'ouwe 3110'? Is dat misschien zo'n ding met een draaischijf?

Gelukkig ... er is nog hoop voor me 😅.

Bert

Level 21
T.E.A.M.
  • 75177Posts
  • 5145Oplossingen
  • 21923Likes

@Knight who says "Waarom krijgen we niet de keuze om voor tweestapsverificatie een code per e-mail te ontvangen i.p.v. met sms?"

 

Bert_0-1658514602689.png

 

Bert_1-1658514706774.png

 

 

Knight who says

Level 6
  • 100Posts
  • 0Oplossingen
  • 48Likes

@Bert 

Sorry hoor, maar heb je nu de rest van mijn bericht niet gelezen?

Ik leg toch uit dat het niet lukt om zo in te loggen als je niet je e-mailadres hebt ingesteld als inlognaam. En om dat alsnog in te stellen moet je eerst kunnen inloggen. Dat lukt alleen nog met een sms via een mobiel nummer, maar dat wil je nu juist niet. Ziggo heeft de boel hier helemaal vastgezet. Cirkeltje waar je niet uit kunt ontsnappen.

Zo dan, nog een keer uitgelegd.

RoWi.

Level 20
  • 18187Posts
  • 761Oplossingen
  • 6199Likes

Ik ben er deels ook niet blij mee, als ik nu van de community uitlog kan ik niet meer inloggen omdat mijn community account gekoppeld is aan Mijn Ziggo. Ik hoef ook niet zonodig mijn 06 nummer op te geven voor een verificatie.

sjoerd001

Level 6
  • 112Posts
  • 5Oplossingen
  • 20Likes

Zelfde hier. Ik moet twee trappen op omdat mijn smartphone aan het opladen is op zolder en ik wil inloggen op een een ipad die ik gebruik in de keuken op de beganegrond. Meestal ben ik al te laat om een code in te vullen.

En dat elke weer als ik mijn smartphone niet 'bij de hand' heb.

Errig irritant.

 

Gebeld met de helpdesk en hebben dit voor mij uitgeschakeld. Werkt nu weer vanouds. 😐

kl8

Level 2
  • 3Posts
  • 0Oplossingen
  • 2Likes

Zojuist ontdekt dat er zonder telefoon nummer niet meer ingelogd kan worden.

Of kan dat nog op een andere manier?

Bert

Level 21
T.E.A.M.
  • 75177Posts
  • 5145Oplossingen
  • 21923Likes

@kl8 In Mijn Ziggo onder Je online account => Inloggen met een extra code staat:

 

Liever geen extra controle?
Het is niet mogelijk om de extra beveiliging bij inloggen zelf uit te zetten. Als je deze controle niet meer wilt, neem dan contact op met onze klantenservice op 0800-0094.

E-mail notificaties
Aan Uit

Ontvang een update bij nieuwe reacties in dit topic.

Uitgelicht topic