Slechte beveiliging van Freedom mail en Mijn Freedom

Ik heb heel bewust gekozen voor Freedom, omdat zij privacy en security hoog in het vaandel hebben. Ik ook.

ik ben op zich heel tevreden over Freedom. De internet verbinding is goed, ze bieden uitgebreide functionaliteit, de Fritz box is goed, de website bevat duidelijke informatie, de helpdesk is uitstekend. En, ook belangrijk, ik deel de standpunten die zij uitdragen in de media en in de nieuwsbrief. Toch ben ik niet gelukkig bij Freedom.

Reden: de beveiliging is belabberd. Ik zie twee serieuze problemen:

  • Het gebruik van een telefoonnummer voor het instellen / herstellen van je wachtwoord op Mijn Freedom. Sim swapping is geen geintje.
  • Het ontbreken van 2FA voor het beveiligen van e-mail. Of eigenlijk: het ontbreken van OATH2 authenticatie. Want je wil niet alleen je webmail beveiligen (en al je aliassen!), maar ook de IMAP en SMTP verbinding die je maakt vanuit je mail client. Zonder dat is 2FA zinloos.

Ik zie wel discussie hierover op het forum, maar geen concrete oplossing. De antwoorden van Freedom behulpzaam, maar niet bevredigend. Zonder oplossing voor deze issues, is het gebruik van Freedom onveilig. Ik overweeg over te stappen. Maar eigenlijk wil ik dat niet.

Daarom mijn vraag: Freedom, wanneer lossen jullie deze beveiliginsproblemen op?

1 like

Beter deze vraag aan/bij de helpdesk stellen of de moderators verzoeken dit bij Freedom/management neer te leggen.
En dan ben ik weer benieuwd wat het voor(t)komende antwoord is.

Verder een wedervraag - ook voor mijn overwegingen - naar wie zou je dan overstappen die wel alle functionaliteit+principes biedt ?

Inzake 2FA security, vraag ik mij af hoe je je dat voor je ziet bij een IMAP/SMTP verbinding ?
Connecties die vooral statisch worden gebruikt. De E2E toegangsbeveiliging daarvan kan weer worden aangelegd via authenticatieregels.
Wat mijzelf ook dwars zit is dat er een “(telefoon)nummer” nodig is als ultiem authenticatiemiddel. Het toepassen daarvan zou een (overwogen) keuze moeten zijn.

Ik was niet op de hoogte wat OATH2 nu exact is.
Begin het nu een beetje te begrijpen.
Zover ik het begrijp.
Het wachtwoord van de mailverbinding gaat minder vaak over de lijn.
In plaats daarvan, is er een token dat steeds ververst wordt.

Dus ik neem aan, dat je 2FA voor webmail bedoelt en OATH2 voor IMAP en SMTP.
Met een knopje ergens, waar je OATH2 aan en uit kunt zetten.
Anders krijgt Freedom ruzie met de klanten die het ouderwets wensen te doen.

Hoi PtrO,

Ik heb nog geen keuze gemaakt hoor, maar ik zou zoiets overwegen:

  • Een voordeliger ISP, met dezelfde internet snelheid, bijvoorbeeld 100 mBit glasvezel van T-Mobile.
  • Zelf een Fritz box modem aanschaffen (€ 2,08 per maand bij afschrijving in 4 jaar)
  • Proton Unlimited voor e-mail. Daarbij zit ook VPN, een agenda en 500 GB cloud storage

Dat is 80,- per jaar goedkoper dan mijn Freedom abonnement. De e-mail beveiliging is top of the bill. En dan heb je ook nog een goed beveiligde, privacy-vriendelijke cloud opslag van 500 GB.

Hoi Erik,
(en dit is ook meteen een antwoord op de vraag van PtrO over beveiliging van de IMAP/SMTP verbinding)

Ja, zo zou het inderdaad kunnen werken met OAUTH2. Google en Outlook werken al op die manier. Maar als je privacy je lief is, blijf je liever weg bij die clubs.

Er zijn al best een aantal mail clients die OAUTH2 ondersteunen. Ik gebruik Thunderbird op mijn laptop en K-9 mail op mijn telefoon. Als je in die apps je mail account instelt via OAUTH2 (dat gebruik ik voor mijn werk mail), dan moet je eenmalig inloggen op je mail account (via 2FA) en de app toestemming verlenen voor toegang tot je e-mail. Zowel Google als Outlook ondersteunen al geen andere vorm van authenticatie meer voor IMAP en SMTP. En zo hoort het ook.

Overigens zou OAUTH2 ook prima kunnen werken voor webmail. Roundcube (de webmail software die Freedom ook gebruikt), ondersteunt het al. Als gebruiker hoef je daar niets van te merken. Je kan gewoon inloggen met Gebruikersnaam en Wachtwoord en (optioneel) met 2FA.

tldr; overwegingen overstappen waarbij protonmail een mindere optie is.

Ik overweeg ook een goedkopere provider oplossing die mij dan op jaarbasis > €100 scheelt.
Ik begin mij na twee jaar Freedom wat vaker de vraag te stellen; wat buiten de activistische uitstraling, de meerwaarde is van Freedom. Lid zijn van BoF vult mijn dingen net zo goed. Leuk om Gbit te hebben, waar ik met 50Mbit prima mee uit de voeten kan.

Geen verwijt naar mensen, iedereen doet naar vermogen X/M/V best. In dat gebrek aan “vermogen” zit wmb ook de uitdaging. Het ontbreekt aan innovatie of (eigen) ontwikkeling die nuttig zijn voor (wat men kan zien als veeleisende ?) gebruikers.
Dan spreek ik vooral over ssh/sftp toegang, geïntegreerde agenda en cloud (xxxDAV) maar ook een API interface voor MijnFreedom/DNS/Mail instellingen, IoT, (betere) Voip functies en bv een Firewall (bij Freedom) op je aansluiting.

Inzake VPN zou iemand nog zeggen dat je net als voor zeg FTP daarvoor de eigen FB kan gebruiken (wat dan vereist dat die daarvoor openstaat).

Protonmail heb ik bekeken (en low-pri in gebruik) en is voor mij een no-go.
Wat mij daar niet bevalt dat protonmail weliswaar open source is, daarin ook een eigen ontwikkeling is en iemand voor imap/smtp een aparte applicatie als interface nodig heeft (dwz Proton Mail Bridge).
De specifiek eigen gedragingen zijn voor een handige marketeer weer uit te leggen als “veilig(er)”. Of het “top” is, is vooral een beleving die iemand - als “supporter” - eraan geeft.

Het eco-model van protonmail als geheel, is wel goed doordacht omdat het vpn, agenda en een stuk cloud biedt.

Freedom is afhankelijk van Soverin, die de OAUTH2 functie voor het moment niet biedt.
Het is ook maar de vraag of extra OAUTH2 functionaliteit iets toevoegt waarin impliciet al is voorzien.
//–//
Bij Freedom/Soverin is de applicatietoegang met (desnoods meerdere actieve) passwords in te stellen en zijn die ook weer in te trekken.
Zelf heb ik een hoofdwachtwoord (dashboard) en stel voor elke applicatie/client (zoals ook voor webmail) een apart toegangswachtwoord* in.

Ik geef toe dat het beheer, dat ik in tekst via KeePass administreer, wat complex is. Thuis heeft iedereen een apart password voor toegang tot dezelfde (family)mailbox. Op het dashboard zie ik weer wie wanneer (voor de laatste keer) toegang heeft verzocht.

De authenticatie(regels) van Freedom/Soverin zou wmb nog wat verbeterd kunnen worden door die te limiteren tot aantal keer gebruikt en/of icm timestamp (periode). Dit zou weer prima te regelen zijn als er een API interface zou zijn waar iemand dan rules via scripts kan (in)activeren.

NB: Dat toegangswachtwoord* per applicatie stuitert nog wel. Vanuit webmail is er geen tot de gedeelde contactenlijst (cardDAV) die qua toegang immers een ander wachtwoord/hash kent.
Het SSO als authenticatie is dus beperkt tot de eerste toegangslaag.

Je bekijkt het alleen van jouw kant.
Als ik voor mijzelf spreek, mijn Fritz!Box zou dan geen pushmail meer kunnen verzenden.
Mail ontvangen op mijn Fritz!Fon kan al niet meer met Freedom. (POP3 only)
Toen er SMTP kwam met wachtwoord, waren er ook heel veel op tegen.

Als gratis mail dictator kun je het maken om te zeggen OAUTH2 en niets anders.
Bovendien is het een goed excuus om ieders telefoonnummer te vragen.
Betaalde diensten, bieden maatwerk.

En er is ook wel een groep die SMS als 2e factor onveilig vind.

1 like

Ik dacht (maar wellicht loopt mijn kennis wat achter) dat zowel IMAP als SMTP geen MFA mechanisme ondersteunen. Als er wel aan MFA gedaan wordt dan is dat waarschijnlijk ovet HTTP. Als je uitsluitend webmail gebruikt dan gaat het vast prima werken maar zuiver IMAP en SMTP sprekende applicaties gaan breken op het moment dat MFA vereist is.

Ik kan mij voorstellen dat Indirect IMAP/SMTP (en POP) wel als MFA toepasbaar is te beschouwen wanneer iemand de initële connectie authenticeert via een zg eenmalig te gebruiken APP password dat als token wordt ingevoerd via/vanuit bijvoorbeeld een webapplicatie.

Het zwakke punt - bij Freedom/Soverin van authenticatie op basis van vaste wachtwoorden is dat die zijn te hergebruiken.
Het zou zinnig zijn dat Soverin/freedom het mogelijk maakt dat een bepaald wachtwoord een geldigheidsduur heeft en/of maar één keer gebruikt kan worden.
Ik blijf hopen en pushen dat men werk gaat maken van een API interface voor MijnFreedom zodat gebruikers daar zelf hun eigen vorm aan kunnen geven.
//–//
Wat mij niet bevalt is dat een (al of niet betalende) provider gaat voorschrijven dat iemand en zo ja, welke beveiliging iemand moet gebruiken om een standaarddienst te mogen/kunnen gebruiken.

Het is tamelijk zot dat bedrijven (en overheden) mensen verplichten tot hun (ziens)wijze van (toegangs)beveiliging en het dan verplicht is om een APP of bijbehorende telefoon te moeten gebruiken.

1 like

Ik begrijp de discussie nog niet helemaal. Je kan toch IMAP/SMTP over TLS gebruiken? Ik heb ca 20 mailboxen bij diverse providers (domeinen) inclusief privé en inclusief Freedommail. Waarom is dit niet veilig genoeg?

TLS gaat over de (inhoudelijke) data-uitwisseling tussen connectie partners nadat de toegang daarvoor middels authenticatie is geautoriseerd. De inhoud van mailberichten is weer te encrypten via PGP.

Het principe van MFA/2FA dat een gebruiker zich(zelf) onomstotelijk authenticeert door het bezit van twee of meer losstaande identificaties (je bent, hebt en/of weet wat etc.etc.). Denk aan je pinpasje waarbij je iets hebt (betaalpas) en iets weet (nl pincode).

Daaraan zou ik graag ook de locatie*, het aantal keer te gebruiken en het momentum (tijdstip & tijdsduur) willen toevoegen gedurende een verkregen toegang geldig is.
Hebben en weten noemt men 2FA, iets zijn is dan 3FA en met locatie wordt dit 4FA

Bij Freedom kun je per locatie en applicatie, de toegang via een wachtwoord autoriseren als wordt ingesteld via MijnFreedom.
Allemaal prima maar feitelijk beperkt tot iets dat iemand weet (nl 1FA bestaande uit userid/password).

Freedom maakt wel gebruik van SMS om eventueel een vergeten wachtwoord te herstellen, waarbij zij er vanuit gaat dat de ontvanger van dat nummer die de SMS code ontvangt, ook de rechtmatige gebruiker is. In essentie is (ook) dat maar één factor als totale sleutel.

Is dat dan alweer gerepareerd?
Zover ik gelezen heb, wil Freedom een nieuwe MijnFreedom zelf gaan maken.

Bij xs4all had ik een yubbikey in gebruik, voor het lezen van webmail op onveilige plekken.
Die genereert een OTP om in te loggen. Ging in combinatie met een pincode.

Wat die SMS voor herstel betreft, vraag ik me af wat er gebeurt als ik het telefoonnummer wis?
In de eerste dagen van Freedom hadden we een supercode als herstel.
Die werkt nu niet meer.

Lijk mij erg dom om zelf het wiel uit te gaan vinden. Dat Freedom de boel voorziet van een geelschilletje via een API (die wij - wie weet - dan ook kunnen gebruiken) is wat anders.

Je telefoonnummer verwijderen, gaat imo niet lukken. Het is sws een verplicht veld dat bij het veranderen daarvan weer via/per SMS code geverifieerd wordt.

Inzake werking applicatie gerichte authenticatie werkt dat m.u.v. contacten bewerken via webmail-authenticatie, prima.
Ditzelfde gaat weer wel goed bij mijn Soverin mailaccounts die in aanvulling ook de werkende agenda/calendering heeft.
Inmiddels niet veel animo meer, om verbeteringen (bij de helpdesk) te gaan aankaarten. Het forum daarvoor lijkt inmiddels ook doodgebloed (omdat iedereen het te druk heeft).

Software-omgeving is allemaal hetzelfde maar kennelijk zijn er nog wat verschillen tussen Freedom@Soverin en Soverin zelf (naar ik vermoed omdat Freedom de maildata of toegang op “eigen” mailservers verwerkt of tandemt).

Ik vind het een veel groter probleem dat ‘mijnfreedom’ toegang niet is voorzien van 2FA.

Indirect kan je de toegang tot MijnFreedom imo iets veiliger maken door daarvoor een apart (dashboard) password te gebruiken dat dan alleen werkt vanaf een in te stellen IP locatie.

Het probleem dat 2FA ontbreekt, wordt dan vooral een useability issue.
NB: voor het “all” access password, vul je iets ridicuuls willekeurig lang password in.

Ik had in mijnfreedom ook wat extra regels aangemaakt.
Zoals imap en smtp alleen vanaf mijn eigen aansluiting.
Toen kwam de storing en heb een hele tijd lopen klieren om het weer aan de praat te krijgen.(09-2022)
Het werkt nu beperkt, niet meer aankomen.

Zit er een time-out op mijnfreedom?
Ben wel eens geschrokken, omdat het nog open stond.

Yep, die authenticatie storing was erg vervelend en nog irritanter was dat het door betrokken partijen niet is gecommuniceerd en kreeg ik de indruk dat “klagers” voor gek werden versleten. Heb toen en daarna flink wat tijd besteed om alles weer recht te trekken.
(ook weer reden om zsm een API beschikbaar te gaan stellen, zodat een gebruiker de instellingen kan bewaren en zonodig importeren)

Bij mij weten zit er op inloggen van MijnFreedom geen timeout. Er wordt een sessie cookie (_soverin_session:"bladibladieba") gemaakt die zelf verder geen expiratie heeft.

Punt van laten verlopen is weer dat er ook nuttig doel is om niet iedere keer te hoeven inloggen bij verlopen van een sessie. Ik (werkend op tientallen tot honderden sites) heb een hardgrondige hekel om telkens te moeten inloggen waar ik dat veilig genoeg vind. Bij banken die je na 10 minuten eruit kwakken, maak ik zelfs gebruik van session-refreshers.
Wat een optie zou zijn, dat je ergens een tijd/vinkje kan instellen wanneer je slapende sessie uitlogt.

Om zeker te weten dat je (nergens) blijft hangen kan het raadzaam zijn, om je cookie-cache (desnoods selectief) te clearen bij afsluiten of bv in dit periodiek te doen in Firefox via CookieCleaner .

Als je het al kunt leegmaken moet je waarschijnlijk daarna de helpdesk bellen en gaan ze alsnog een nummer voor je invullen. Bij mijn aanmelding had ik geen telefoonnummer aangegevenen kon toen geen password resetten omdat het bericht nergens aankwam. Ik moest toen bellen met de helpdesk om alsnog een telefoonnummer door te geven (want ook het wachtwoord van mij freedom had ik niet) om de reset sms naartoe te laten sturen.

1 like