2FA instellen op e-mail

Ik zag 2FA bij de instellingen in de webmail. Alleen krijg ik het niet correct ingesteld, de interface is wat verwarrend. Ter referentie, ik heb het hierover:

  • Het is verwarrend hoe het op te zetten. Ik deed nu activeren > opslaan > secret weergeven > in authenticator opslaan > check code. Dat werkt. Ik vroeg me af of ik het goed heb gedaan, omdat het zo anders is dan bij de meeste apps. En ik vroeg me af vanaf wanneer het geactiveerd is. Want als dat direct na activeren is, en niet na check code, dan is er een moment dat ik het nog niet heb opgeslagen en het al wel moet gebruiken. Nu ging het goed, maar dat voelt eng.

  • De herstelcodes kan ik niet genereren/weergeven/opslaan. Ik heb daar nu een ‘herstelcodes weergeven’ knop, maar die is uitgeschakeld. Ik heb zelf codes gegenereerd (random pincodes), ingevuld en opgeslagen. Dat wordt wel opgeslagen, maar of dat de goede flow is weet ik niet, want de herstelcodes werken niet bij ‘check code’.

  • Wat betekent het verlies van de 2FA? Bij de meeste online diensten verlies ik dan m’n account. Ben ik dan hier m’n e-mail kwijt? Los van Mijn Freedom? Kan het hersteld worden via fysieke (post) verificatie?

  • Is dit alleen voor webmail? Of ook voor IMAP/SMTP? Hoe wordt het daar verwerkt?

Ik heb het nu maar weer uitgezet, het voelt niet echt betrouwbaar genoeg.
Is dit daadwerkelijk bruikbaar? Weet iemand meer?

  • Om alles in te vullen, druk op de knop → [alle velden invullen] ← waarna je de qr-code kunt scannen en bevestigen op get check veld.
  • Bij webmail heb je altijd je supercode (die je vast ergens heel goed hebt bewaard).
  • Zover ik weet, is 2FA alleen van toepassing op de webmail/applicatie.
    2FA is net als encryptiezeer bruikbaar waarbij ik zelf het criterium hanteer dat ik dat alleen toepast op voor mij kritische zaken. Dat het niet betrouwbaar voelt, is iets van en bij jezelf.

NB: Webmail log ik sws nooit in met het mailbox-wachtwoord in maar altijd met het authenticatie wachtwoord (dat ik dan eenvoudig & selectief kan intrekken).
Het mailboxwoord gebruik ik alleen voor beheer, voor imap/smtp, webmail e.d. stel ik aparte applicatie wachtwoorden in.

Verstandig is zeker bij security is eerst ervaring opdoen door één van je onbelangrijke(re) mail accounts te gebruiken voor experimenten. Zo kan je ook leren wat er gebeurd als de sleutel in het putje (weg)vallen.
In het ergste geval smijt je alles weg en begin je dan opnieuw.

Dank!

Ik heb zo’n knop niet, waar zie jij die?

De supercode heb ik inderdaad ook. Goed dat je die noemt. Want ik heb die dus wel, maar ik heb 'm sinds het begin nooit meer gebruikt. Wanneer wordt je daarom gevraagd?

Waar kun je dit instellen? Ik kan nergens een optie vinden om applicatie-specifieke wachtwoorden in te stellen.

1 like

Dat lijkt alleen van toepassing op je @freedom.nl mailbox:

Dus niet op je mailboxen op je eigen domein. Of weet iemand hoe dat wel zou kunnen?

Dingen zijn idd soms wat lastig en je moet goed (om)denken om te begrijpen wat er in het hoofd van de (nerdisch) schermontwerper ging door die knop daar onduidelijk te plaatsen. Ik zou die invul knop los en boven in het scherm hebben gezet.

Het brengt mij wel op de gedachten dat ultimo dat wanneer je telefoon gestolen wordt - waarmee je een nieuwe wachtwoord kunt aanvragen - het mailaccount dus kan worden overgenomen. Immers een dief (of wie weet je ex/partner) kan met die telefoon inloggen en dan de supercode opnieuw aanvragen en daarmee de gebruiker zelf(s) buiten spel zetten.

Kortom de weakspot zit hier in de telefoon procedure. Sws vind ik het bizar dat je een telefoon moet hebben.

Inloggen op MijnFreedom met je andere mailbox (op/in eigen domein) account doet wonderen. Ook daar heb je ene separaat (en gelimiteerd) MijnFreedom instellingen met authenticatie(regels).
T.i. alleen de Freedom hoofdgebruiker kan bv dns, aliassen en websites doen.

Daarmee kun je dan een gezinslid toegang geven en zekerheid bieden dat jijzelf als hoofdaccount gebruiker niet zomaar instellingen kunt wijzigen van losse mailboxen. Hooguit dat je als hoofdgebruiker het account kan weggooiden.

Op mijn diverse laptops gebruik ik verschillende authenticatie zodat ik onverhoopt selectief dan die laptop (of telefoon) kan blokkeren. Nog mooier zou zijn dat je dan op die wijze daar mail zou kunnen uitwissen.

1 like

Hoe doe je dat dan? Ik zie dat je alleen op basis van IP adres een regel kan beperken, niet op basis van mac-adres. Gebruik je dan het IPv6 van de betreffende computer, hoe doe je dat met een telefoon als die niet thuis is?

tldr; met authenticatie kan je meerdere wachtwoorden tegelijkertijd actief maken en het gebruik daarvan tot functie en/of plaats (dwz publiek ip adres) beperken.

Het is even wennen om dat er niet langer sprake is van maar één wachtwoord. Ik gebruik op mijn werk en buiten de deur een ander wachtwoord dan thuis om bv mijn mail te lezen. Mijn imap/smtp/agenda’s zit weer op een ander wachtwoord.

Ik schakel dus geen apparaat uit maar bestuur het wachtwoord dat door dat apparaat (ergens) wordt toegepast waarmee ik effectief wel hetzelfde bereik (dat apparaat kan niet zonder geldig gemaakt wachtwoord, mijn mail lezen).

Het is even wennen om het te begrijpen met hoe het werkt. Dat mac-adress is niet relevant.
Uitleggen en toelichten is complex om het praktische nut te zien voor zelfbeheer.
Ik zou zeggen ga vooral zelf wat experimenteren om het te laten bezinken (en doe dat vooral niet met je masterwachtwoord).

Maar volgens mij gaat dat dan niet werken op je mobiel die via 4G verbonden is. Daarvan weet je het IP adres niet en kan je alleen op de imap/smtp functie als zodanig met een eigen wachtwoord beveiligen. Maar dan kan alles dat die specifieke login zou kennen dat overal vanaf elk apparaat.
Alleen als je dan weer via VPN zou verbinden met je eigen netwerk, kan het weer wel.
Of is er voor 4G nog een andere optie?

Waarom zou je dat IP willen weten ?
NB: Vaak merk ik een intrinsieke behoefte - aangewakkerd door bezittende bedrijven - dat men een apparaat wil beheren terwijl dat qua functie niet zo relevant is.

Het is voldoende te weten dat (alleen) die mobiel een bepaald wachtwoord* in gebruik heeft voor een functie dat dan kan worden ingetrokken en daarmee de toegang wordt ontzegd.

*wachtwoorden die dan natuurlijk dermate complex moeten zijn dat ze one-of-a-kind zijn zoiets als “CEBQb-JgCbD-DnLrT-Mp9id-kRTQi” of “VHeN9q7EBcy47tiikMePWpWLXmihS9AYUgeRdsUR82AAbhWuU3qDSP47mGK5yoJp”, “45272544463529252725843383728932” of korter “!4n&utWK” etc.etc.
Mijn KeePassX maar ook een Firefox is erg goed in verzinnen en het gelijk maar in de database op te slaan.

En of het IP adres relevant is, wordt afhankelijk met -en of je daarmee wat wilt.
Die mobiel zit ergens uiteindelijk in een telecomnetwerk dat als zodanig contact maakt met Freedom. In geval van mobiele apparaten kan dan de afpaling mbv IP-netwerk zinnig zijn. Roaming in China heeft een ander IP-netwerk adres dan dat van Australië. Maak je gebruik van VPN, dan kan je bv (alleen ) voor dat VPN netwerk een wachtwoord maken.

Op -en bij je authenticatie overzicht zie je dan weer wie met welk IP adres iets heeft gebruikt. Zijn daar rare dingen kan daarvoor een blokkade worden gemaakt. Hierbij is het handig om elke authenticatie-regel een naam te geven zodat herkenbaar is voor wat en met welk doel die regel is ingesteld.

Voor de doorsnee mail gebruiker zal dit allemaal veel te veel (en complex) werk zijn, wat dan weer een keuze is. Kern is dat Freedom door gebruik te maken van Soverin, een breed pallet aan mogelijkheden heeft om de toegang tot functies te regelen (net zoals ook cloudproviders - wmb dienen te - bieden).

1 like

Inzake supercode ( @lode ) lijkt het er op dat dit pad wat stilletjes door Freedom is verlaten en je dus in geval van kwijtraken van je telefoon, langs de helpdesk zal moeten gaan.

Op MijnFreedom kun je niet langer een (nieuwe) supercode aanvragen. Ik kan mij herinneren dat in het verleden op mijnFreedom een (nieuwe) supercode kon aanvragen. Hoe dan ook, dit werkt nog wel bij Soverin (wier technologie door wordt gebruikt).

In geval van wachtwoord (en/of telefoon) kwijt, druk je bij het inloggen op “wachtwoord vergeten” waarna Freedom een SMS laat sturen naar je telefoon (die dan al of niet aankomt). De supercode kun (en kon) je dan in plaats van die sms-code* gebruiken om (op het zelfde scherm) een nieuw wachtwoord in te stellen (voor het dashboard).
Eenmaal ingelogt op het account-scherm kan je daar weer je telefoonnummer veranderen (dat weer vraagt om een sms-code* bevestiging).
E.e.a. uitgeprobeerd en de supercode werkt (hier bij mij) nog als override op/voor de SMS telefooncode.

*Alleen jammer dat zo af en toe die sms-code service niet lekker lijkt te werken, althans de sms’jes komen bij mij niet of sporadisch binnen.

Dankjulliewel voor al het onderzoek!