Inloggen via SSO

Voor elke dienst van Freedom, moet ik een aparte inlog met wachtwoord aanmaken.
Ik zou het heel fijn vinden als er een SSO oplossing zou komen voor de Freedom diensten.
Profesioneel werk ik met https://theidentityhub.com/.
We maken daar gebruik van een eigen install based omgeving, die we in Nederland zelf hosten.
Op zich hoeft het niet deze oplossing te zijn, want er zijn er vele, het is wel zo dat ik erg tevreden ben over deze leverancier en het product door zeer strenge en meerdere Pentesten is gekomen. Tevens is de prijs heel vriendelijk.
Maar goed, een mogelijke oplossing uit mijn eigen ervaring, waar het in de kern om gaat is dat het fijn is om via SSO bij de freedom diensten in te kunnen loggen.

2 likes

Ik gebruik een password manager, een keer een wachtwoord in geven en de rest van de dag geen enkele gebruikersnaam of wachtwoord meer.

Ik maak ook gebruik van een password manager. Wat mij wel opvalt is dat we voor deze website 2FA kunnen gebruiken, maar voor de andere websites (webmail, dashboard, etc) niet.
Voor mij is SSO dus niet nodig, maar ik kan mij voorstellen dat gebruikers die geen password manager gebruiken dit wel handig kunnen vinden.

Je geeft nog een extra argument voor een SSO oplossing.
2FA is zeer wenselijk om te gebruiken, zeker op de mail en het dashboard zou ik graag 2FA willen gebruiken, edoch zonder SSO, betekend dit 3 keer een 2FA. Met SSO kan je voldoen met Ă©Ă©n 2FA.
Je kan je voorstellen dat ook Canaldigitaal met deze SSO kan werken.
Per dienst zou er een gelaagdheid kunnen zijn met het beveiligings niveau, mbt tot het inloggen. Gebruik makende van dezelfde SSO.
op zich kan je namelijk de ene SSO koppelen aan de andere SSO oplossing.
Persoonlijk heb ik daar veel ervaring mee, om dat te laten koppelen en ben daar behoorlijk blij van geworden. Zeker de User base is er zeer content mee, want je wil niet weten hoeveel onze profesionals inlogs moesten onthouden, elk ook weer met een eigen 2FA.
Met betrekking tot een password manager, zijn er in het recente verleden toch ook lekken geweest en geef je de beveiliging vaak in handen van niet Europese bedrijven, die je maar op hun ogen moet vertrouwen.

Password manager kan ook lokaal… ipv. buiten de deur.
SSO betekent ook dat de SSO provider goed kan volgen waar je overal accounts hebt, en indien de SSO provider gebroken wordt (kan ook met een justitiele vordering op basis van een internationaal verzoek) er toegang kan zijn op al die diensten zonder medeweten van de eigenaar.

2FA op basis van data (liever hardware) die in handen van de eigenaar is lijkt wel een goede oplossing.

1 like

Even iets rechtzetten, mijn idee is alleen een SSO oplossing voor de Freedom diensten, mbt tot het volgen waar je inlogt in de freedom diensten, maakt dan geen verschil met de huidige situatie.
Ja je hebt gelijk dat je een pasword manager ook lokaal kan hebben, edoch ik gebruik nogal wat devices, en dan wordt lokaal weer een uitdaging. Niet onmogelijk maar niet fijn.

Eens, Het “lokale password” bestand via een eigen Nextcloud synchroon houden moet te doen zijn.

It has been a while since I worked on all this stuff but 2FA did go , think it still does, through SS7 network which is not encrypted, i.e. clear case, text. Hence not all that secure but more secure than if you didn’t have it. Maybe someone can update whether this is still true or not - what is the latest on this protocol using 2FA.

Welke 2FA bedoel je precies, want het niet zo dat het een pot nat is.

Nowadays 2FA mainly means a second factor authentication method comprising of either an application generating TOTP codes based on a master key given by the service once (often by means of a QR code that is scanned by the authenticator client), or a hardware device like a YubiKey which generates OTP codes as well, with the master key being present in the device.

You are probably thinking about the second factor SMS text messages, but they’re not used that often any more.

1 like

Nee, ik denk niet aan een speciefieke methode voor 2FA, ik werk in de zorg en daar worden verschillende methodes voor 2FA gebruikt. Het kan zijn door de door jou beschreven methode, maar we kennen ook bv de UZI pas.
Daarnaast bv IDIN, e herkenning, NFC via bv Paspoort, ID of rijbewijs, DigiD etc etc.

Deze methodes gebruiken we dwars door elkaar heen, afhankelijk van wat de wensen en eisen zijn van de applicatie omgeving. Wat is de doelgroep hoe hoog moet het beveiligingsniveau zijn.

Kortom wat ik bedoel is dat het wel of niet encrypted is, is afhankelijk van welk 2FA protocol, is het een public omgeving of private. Het kan nooit zo zijn dat 2FA op welke manier een separatie beveiliging oplossing is, het dient mijn inziens altijd maar een onderdeel in de beveiliging maatregelen die er genomen dienen te worden.

Terug op het onderwerp, ik zou het fijn vinden als Freedom een SSO oplossing zou bieden voor haar eigen diensten en dat ik daar ook een 2FA voor kan inzetten.

1 like

Thanks Kevin

I guess I am getting a bit out of date.

A quick look at TOTP and HOTP algorithm seems a lot more secure than SMS via SS7 text messaging.

I see the YubiKey is similar to Purism-Librem-key.

I do get second factor authentications via SMS, even with Google and may others?!

So, when one receives a SMS for a code to validate a login, I assume that it is encrypted most of the way until over the air to the Message App? I assume that it isn’t encrypted?

Thanks – you gave me some good reading to do.