Per 1 januari word ik door mijn werkgever én AFAS verplicht deze app op mijn mobiel te installeren: AFAS Pocket - De software van AFAS in je broekzak Voorheen deed ik dit per sms. Om veiligheidsredenen wordt dit veranderd.
Ik werk maar een dag in de week voor deze (overigens fijne) werkgever, die alle systemen aan MS/Google heeft hangen. Echt verschrikkelijk vind ik dat.
Ik wil deze app helemaal niet op mijn privé-mobiel (heb geen zakelijke)! Ik ben, bij mijn weten, de enige in het bedrijf, die hier problemen mee heeft. Heb niet veel contacten, ieder werkt in z’n eigen regio.
Het is ook mogelijk om een andere authenticatie-app te installeren.
Mijn hoofdwerkgever (overigens ook MS-minded) werkt met een token. Dat geeft mij een veel veiliger gevoel. Dit kost echter geld. Mijn ‘kleine’ werkgever (afhankelijk van subsidies en giften) wil dat er niet aan besteden; zij denken alleen aan ‘gemak’. Mijn regiomanager drong al sterk aan op actief werken met LinkedIN. Ik heb dat toen neutraal gehouden en doe het gewoon niet. Ik bepaal graag zelf of ik dat wel of niet doe.
Een werkgever moet de middelen geven om je werk te kunnen uitvoeren. Dus als zij vinden dat jij iets moet doen met een App, dan moeten ze ook de spullen geven om die App op te gebruiken. Er kunnen uitzonderingen zijn wanneer dit in het ICT-beleid van de organisatie beschreven is.
Ga het gesprek aan met de werkgever en vraag of ze jou een apparaat kunnen geven om die App op te zetten.
Er staat een mooie blog over “Ik moet een app installeren van mijn werkgever en dat wil ik niet” op iusmentis.com. Hoewel de blog uit 2017 is, is het nog wel relevant.
TOTP is bv. FreeOTP (RedHat), FreeOTP+ (OpenSource derivaat van Redhat maar met export/import/backup/restore functie), Google Authenticator (google)… Aegis, en anderen.
Aegis, FreeOTP, FreeOTP+ is op F-Droid en in de PlayStore te vinden; Google Authenticator alleen op PlayStore.
de eerste 3 werken ook goed op een De-googled telefoon.
En dat ondermijnd dus het hele doel van 2FA… Als het al in de browser zit is het GEEN onafhankelijke login factor.
Dat is van hetzelfde niveau als aanloggen bij de bank met alleen je telefoon… Als je aanlogt bij de bank via een Laptop browser met telefoon als 2e factor is het een geldig argument, zodra je telefoon het enige apparaat is dat betrokken is… dan is het gewoon plain old 1FA.
Het gebruik van LinkedIn is een privé-aangelegenheid, daar heeft je werkgever geen bal over te zeggen en die mag je ook helemaal niet dwingen om dat gebruiken.
A-social media afdwingen is wel helemaal het verkeerde eind van het spectrum… Dat moet een vrije keus zijn, werkelijk vrije keus.
(Ik betwijfel de laatste vrije keus… want sociale druk is best groot (de reden waarom mensen Whatsapp en facebook kiezen ipv. meer vrije mogelijkheden.)
Dank je. Deze had ik ook gevonden.
Ik denk echter dat de verhoudingen, mede door corona, het afgelopen jaar helaas veranderd zijn. Daarbij komt, dat ik maar weinig uren heb en daardoor heb ik het gevoel dat ik minder sterk sta hierin. (Puur gevoelsmatig, hoor)
In een soortgelijke situatie liet ik mijn Nokia-1101 zien.
Na 16 jaar nog steeds goed werkend.
Tot op de dag van vandaag loop ik (als enige daar) nog “APP-vrij” rond.
Ik word lastig gevonden, want ik wijk af. Maar ik stel mij soepel op:
laat mij de wetstekst zien waaruit blijkt dat ik me anders moet gedragen, en ik pas me wel aan; voor ‘gemak’ doe ik niet alles
Mensen die leunen op het gemak geef ik altijd het volgende voorbeeld:
Weet je wat gemak is ? Laat altijd jouw voordeur open staan; als je dan thuis komt met 2 tassen boodschappen, dan loop je zó door naar de keuken. DAT is pas makkelijk !
(Meestal komt er dan wel een reactie met iets over diefstal en zo… )
In voorkomende gevallen is mijn aanbod dat ik best wel een tweede telefoon wil meenemen maar dat de eisende partij die dan moet leveren.
Daarnaast heb ik een telefoon zonder App-store, dus even een app instaleren gaat niet.
Op zich eens, maar zelf vind ik de tweede factor is pas serieus te nemen als die géén netwerkverbinding heeft en zeker niet op een apparaat staat wat het meestwaarschijnlijk gestolen wordt mocht er een kleptomaan voorbij lopen.
Op dit moment ziet men een tweede factor vooral als iets wat naast een username+wachtwoord combinatie leeft zodat als die twee uitlekken er ook nog een apparaat nodig is. Die geheimen volledig gescheiden bewaren en benaderen is iets waar weinig mensen waarde aan hechten en waar ook de regelgeving nog te kort schiet. Een security afdeling zal antwoorden dat twee geheimen in ieder geval beter is dan één, wat tot voor kort nog altijd de standaard was.
Het lijkt mij ook lastig om in deze tijd aan een nieuwe mobiele telefoon te beginnen. Ik heb wel een eenvoudige mobiele telefoon, maar omdat we dankzij COVID nu allemaal thuiszitten valt er weinig mobiel te zijn. Vaak weet ik niet waar dat ding ligt en als ik 'm tegenkom, is de batterij leeg.
Voor accounts waarbij MFA erg belangrijk is (e.g. mijn wachtwoordmanager als ik deze op een device moet installeren, mijn werk account voor azure of mijn github account waar verschillende organisaties onderhangen), gebruik ik nog een hardware sleutel. Die moet ik dan met mijn telefoon combineren om de codes te kunnen zien.