Minimaal 2FA authenticatie op Tado webportaal en app

JeroenvdM

1 factor authenticatie met enkel gebruikersnaam en wachtwoord is niet meer van deze tijd en niet meer veilig genoeg.

Graag minimaal 1 extra factor toevoegen:

• Gezichts- of vingerafdruk herkenning op mobiele apparaten
• Authenticator app (zoals die van Microsoft, Authy en Google)
• FIDO credentials (https://fidoalliance.org/multi-device-fido-credentials/) waaronder Apple Passkeys (https://www.iculture.nl/uitleg/passkeys/)

Om de personen die 2FA/MFA gebruikersonvriendelijk vinden kan het gebruik van MFA optioneel worden aangeboden --> laat de gebruiker kiezen.

B79

Zie hier de meerwaarde niet van in. Om m’n telefoon te openen moet die eerst m’n kop scannen voordat die daadwerkelijk toelaat om de HomePage met alle app’s te tonen.
Zou ook niet weten wat boeven zouden doen als ze beschikking zouden hebben aan m’n thermostaat. Me eerst laten doodvriezen voordat ze overvallen?

Andreplusplus

@B79 App is misschien van beperkte waarde, maar ook je bank app werkt op die manier, ongeacht of je eerst je telefoon moet ontgrendelen. Maar website mag zeker wel van sterke authenticatie voorzien worden.

JeroenvdM

Met de huidige gas prijzen is het toch erg onaangenaam als na een hack een grapjurk te thermostaat op 25 graden zet omdat er geen 2FA op de website zit.

Op de app is ook een kleine moeite, zit standaard in de iOS en Android api voor de ontwikkelaars.

Popppelaars

Volgens de wet is: Het bedrijf is immers verantwoordelijk voor de gegevens die het beheert en moet daarom een gepast beveiligingsniveau garanderen.

Dus inderdaad een kleine moeite om op aanmeld niveau 2FA in te zetten.

De app zelf moet niet beveiligd worden met gezichtsherkenning of fingerprint, als de manier waarop ingelogd word maar beveiligd is.

SSL encryptie is niet voldoende.

Douwe

Volgens mij is dat alleen van toepassing op bescherming van persoonlijke gegevens.

Dus niet van toepassing lijkt mij, er zijn legio apps die geen 2FA hebben, bijvoorbeeld monitoring zonnepanelen of app van je energie leverancier

Andreplusplus

Nou, @Douwe, daar ben ik niet mee eens.
Niemand hoeft mijn mail adres te achterhalen en als je je huisadres hebt ingevuld - ook niet echt prettig in combinatie met data van je verwarming.

Douwe

Heb je bij je zonnepanelen app dan het huisadres van de buren ingevuld of zo? Daar geldt precies hetzelfde. Ook daar wordt data in de cloud opgeslagen. Data over je zonnepanelen. En dat is meer data dan je alleen in die app kunt zien


https://nos.nl/artikel/2488359-miljoenen-adressen-en-gegevens-makkelijk-in-te-zien-door-fout-bij-kadaster

Popppelaars

https://community.tado.com/nl/discussion/comment/66381#Comment_66381

Dit is zeker van toepassing.

Niet enkel jouw mail adres, maar ook jouw thuis adres. En erger nog jouw geolocatie. Iemand met kwade bedoelingen en toegang tot jouw Tado account kan exact zien wanneer je wel of niet thuis bent.

Dit hoort ook bij persoonlijke gegevens.

riso

Helemaal eens, graag 2FA / MFA (optioneel) toevoegen op de Tado accounts. Het is niet meer van deze tijd om alleen met username/ww in te loggen.

Rob2

"Het is niet meer van deze tijd"

Tado is niet van deze tijd, het is van 5+ jaar geleden. Toen was dat nog niet zo normaal.