Herstelcodes en Secret. Mooi bedacht. Maar ja

Mijn Freedom webmail account is voorzien van 2FA. Bij het instellen heb ik Herstelcodes en een Secret aangemaakt dat ik zou moeten kunnen gebruiken bij uitval van mijn 2FA devices.
En ja hoor, Murphy slaat toe en ik ben mijn smartphone/auth device kwijt. Nieuwe smartphone.
Geen 2FA access meer, dus niet meer in je email account kunnen.
Dan is daarna de vraag:

WAAR kan ik mijn 2FA herstelcodes en/of secret invoeren om mijn 2FA settings te resetten / transfereren naar mijn nieuwe Smartphone ? Ik zie het even niet…

Dat is echt een geval voor de helpdesk ben ik bang. Die kunnen na een uitgebreide identiteitscontrole de boel vast wel resetten.

IRMA zou hier goede uitkomst bieden. Ik hoop dat we daar nog eens aan toekomen.

1 like

Ik verwacht dat IRMA geen oplossing biedt voor het geval je het apparaat waarmee je de 2FA doet niet beschikbaar is, omdat die waarschijnlijk ook IRMA bevat.

Een mooi bedenksel van onder andere prof. Jacobs, maar …
je bent dan wèl verplicht met een smartfoon te werken.

Wil je dat niet, dan is er voor jou geen IRMA …

TIP:
voor wie niet weet wat IRMA is:
bij een Freedom-bijeenkomst is het uitgelegd, zie het item Freedom bestaat 2 jaar! - #3 door Suzanne

èn er is online al wat over te vinden

IRMA kan opnieuw met een nieuw account worden geïnstalleerd op de nieuwe smartphone. De identiteitsgegevens worden dan opnieuw opgehaald uit de gemeentelijke basis administratie.

IRMA of niet, je zou toch verwachten dat als je ergens een recovery code kunt aanmaken, dat er OOK voorzieningen zijn om die code weer “in te wisselen” voor de bijbehorende service: toegang krijgen tot je account ZONDER 2FA. Het lijkt erop dat dit gewoon niet is ingeregeld voor de gebruiker. Via de Helpdesk , inderdaad, dat zou kunnen, maar dat is doorgaans niet gebruikelijk. Ik kan mij best voorstellen dat als je een provider van de grond trekt de prioriteiten nou eenmaal op een bepaalde manier gelegd worden, en de rest “later” komt. Dit lijkt mij in ieder geval een omissie zoals ik het nu zie. Daarbij, Support reageert ook niet snel, de werkdruk is daar erg hoog of het aantal support officers is veel te laag, maar een week geen hulp krijgen noem ik niet echt een voorbeeld. Met name ook daarom zou het handiger zijn als de gebruiker dit ZELF kon regelen, zonder weer extra werkdruk op Support te moeten leggen omdat hij het simpelweg zelf niet KAN. My 2cts.

Bij de diensten waar ik gebruik maak van 2FA zou ik zo’n code in moeten vullen in plaats van de reguliere 2FA code. Hiermee krijg je dan weer toegang tot je account en kan je de 2FA settings aanpassen. Mogelijk is dat hier ook de bedoeling?

1 like

De helpdeskers geven mensen die niet verder kunnen voorrang hoor.

At any rate, ik ben geen held op de applicatie-laag maar ik was hier wel door gefascineerd.

Ik heb een mailbox aangemaakt, 2FA ingesteld, getest, uitgelogd, de entry (token) voor webmail voor dat account verwijderd van de authenticator.

Vervolgens met de hand opnieuw aangemaakt door de host: ‘webmail.freedomnet.nl’. mijn loginnaam voor dat account en de secret key (die moet je nog wel weten) in te vullen. En toen kon ik er weer in. Ik kon zelfs hetzelfde doen met verschillende TOTP-authenticators.

Kortom, als je je secret key nog weet dan moet je na, het invoeren van de hierboven drie genoemde instellingen in je, TOTP-authenticator er gewoon weer in kunnen.

Waar die herstelcodes voor zijn weet ik niet. Ik heb ze niet nodig gehad.

Hopelijk heb je hier wat aan.

2 likes

Ik gebruik zelf Authy voor m’n 2FA codes.

Hun business case is dat moederbedrijf Twilio, voor bedrijven die hun diensten beveiligen met 2FA, voorziet in een API en support om de 2FA codes te verifiëren via de servers van Twilio.

De app voor gebruikers is gratis, en voorziet ook in een backup mogelijkheid, waarbij de backup degelijk versleuteld opgeslagen wordt op je Google drive of iCloud
Verder werkt de app volledig lokaal op je device

1 like

@pa4wdh :

Interessante suggestie !!
Dit heb ik direct uitgeprobeerd. Inloggen met je credentials, en vervolgens verschijnt het 2FA schermpje.
Daar mijn “secret” token ingevoerd en dan krijg ik: “Succesvol uitgelogd. Tot ziens!
Voor mij was dat NIET erg succesvol, maar a la. Je moet de humor ervan in kunnen zien!
In ieder geval dank voor deze input, het klonk erg waarschijnlijk moet ik zeggen. Maar hier werkt het helaas niet. Het secret is ook veel groter dan de verwachte input lang mag zijn.

@ Arien:

Helemaal TOP die suggestie! Ik heb dat uitgevoerd (beetje gepruts met de accountnaam, dat wel) en JA het werkt !! Ik ben er weer in !! 50% van het probleem is nu opgelost. Dat is mooi !! Bedankt daarvoor!

Ik was wel een beetje sceptisch, omdat het niet hetzelfde device is (zoals in jouw eigen experiment WEL) en ik “ervan uitging” (yes, I know) dat het device op 1 of andere manier van invloed zou zijn. Of zou kunnen zijn. Dat bleek niet zo. Ik kon op de door jou geschetste manier met het secret inderdaad een nieuw 2FA item aanmaken op een nieuw device, en zo gewoon toegang krijgen. Dat is wat je wilt uiteindelijk. Dus, erg bedankt nogmaals dat je de moeite nam je hierin te mengen en mij van dit advies te voorzien, ik waardeer dat zeer.

Ondertussen ben ik precies 1 week verder en heeft Support nog steeds niets voor mij gedaan (voor zover ik kan zien tenminste). Er was een toezegging gedaan, die is niet nagekomen. Het probleem is, dat ik dus al een week min of meer zonder security zit nu ik niet meer in kan loggen bij mijn f-secure account. En alhoewel f-secure ZELF fast-as-lightning reageerde (en dat ook BLEEF doen!! Echt Top!!) deed Freedom dat in het geheel niet. F-secure stelde dat zij niet mochten ingrijpen, omdat dit bij Freedom zou liggen. Dat weet ik natuurlijk niet, of dat zo is, ik moet ervan uitgaan dat wat F-secure zegt correct is. Dus ik kan niks zonder hulp van Freedom Support, en die reageren gewoon niet, komen de afspraak niet na die ze zelf maken. Dat is uitermate frustrerend, zeker voor een club die mij maandenlang veel mails stuurde over hoe slecht het bij KPN-XS4ALL wel niet ging.
Ik zit al een week zonder security, en klem tussen wal-en-schip. Als het werkelijk ZO druk is op support dat mensen met dit soort problemen gewoon langer dan een week moeten wachten, dan is mijn eigen bescheiden conclusie dat je daar iets aan zou moeten DOEN. Dat kan niet. Dat is niet in lijn met hedendaagse verwachtingen en de druk die in deze tijden ligt op problemen rond security issues.
Ik weet niets van de werkdruk op de Freedom mensen van Support, en die zal best aanzienlijk zijn. Dan is het aan het management om daar iets aan te doen. Rechtsom of Linksom. Maar goed, dat is mijn visie, en niemand koopt daar verder wat voor, dat snap ik OOK wel.
Het maakt WEL, dat ik met grote Heimwee terug denk aan de echte XS4ALL tijden waar ik NOOIT zo lang op support hoefde te wachten, en een grote mate van persoonlijke aandacht aanwezig was totdat het probleem werkelijk opgelost was, hoe ernstig het probleem soms ook was. Die tijden lijken, ook met Freedom, voorgoed voorbij…

Dank je wel :slight_smile:

Voor de volledigheid, ik heb het wél op verschillende devices geprobeerd, ook met verschillende TOTP-apps. Het was wel grappig om te zien hoe ze tegelijk van code veranderen :slight_smile: En zo heb ik ook weer wat geleerd van de wondere wereld der applicatie-laag.

Heel erg vervelend om te horen dat je ervaring met de helpdesk zo slecht is :frowning: Ik heb het ticket opgezocht en ik denk te zien dat die de verkeerde route is ingegaan :frowning: Hier kunnen en moeten we van leren als organisatie.

Deze kwesties zijn inmiddels volledig opgelost. De helpdeskmedewerker heeft zelfs telefonisch contact opgenomen om alles nog eens goed door te spreken, zodat hij zeker was dat alles voor mij nu correct liep. Dat verdient dan weer een pluim denk ik. Het probleem ligt ook niet bij de kwaliteit of de motivatie van de individuele support mensen. Het probleem ligt bij het feit dat er kennelijk gewoon niet genoeg van zijn bij Freedom. En dat is een probleem dat aandacht verdient van de directie, want het beinvloedt wel degelijk de kwaliteit van je product en staat daarmee in rechtstreekse relatie tot je ondernemingscontinuiteit. Support is niet “een dingetje dat je erbij moet doen”. Het kan bepalend zijn of je klant blijft of gaat.

Ook heb ik de suggestie afgegeven, dat de procedure om je secret te gebruiken voor het weer vlot trekken van je e-mail account in een helptekst beschreven moet worden. Dat staat nu nergens, en dat vergroot weer de druk op je support afdeling. Dat heb je dus deels ook zelf in de hand, hoe groot die druk op je support afdeling WORDT. Hoe meer je GOED beschreven hebt, hoe meer je klanten ZELF kunnen doen, en hoe MINDER jouw support afdeling belast wordt. Deze techniek van het gebruik van het secret staat nergens beschreven, en dat is denk ik een omissie. Geldt ook voor de recovery codes, waar mij nog steeds niet van bekend is wat ik ermee moet.

Afijn. Case closed. Bedankt iedereen voor de behulpzaamheid en bedankt Arien voor het uiteindelijk oplossen van mijn probleem met de webmail applicatie. Top.

3 likes

Dit topic is 24 uur na het laatste antwoord automatisch gesloten. Nieuwe antwoorden zijn niet meer toegestaan.