Minimaal 2FA authenticatie op Tado webportaal en app

JeroenvdM

1 factor authenticatie met enkel gebruikersnaam en wachtwoord is niet meer van deze tijd en niet meer veilig genoeg.

Graag minimaal 1 extra factor toevoegen:

• Gezichts- of vingerafdruk herkenning op mobiele apparaten
• Authenticator app (zoals die van Microsoft, Authy en Google)
• FIDO credentials (https://fidoalliance.org/multi-device-fido-credentials/) waaronder Apple Passkeys (https://www.iculture.nl/uitleg/passkeys/)

Om de personen die 2FA/MFA gebruikersonvriendelijk vinden kan het gebruik van MFA optioneel worden aangeboden --> laat de gebruiker kiezen.

B79

Zie hier de meerwaarde niet van in. Om m’n telefoon te openen moet die eerst m’n kop scannen voordat die daadwerkelijk toelaat om de HomePage met alle app’s te tonen.
Zou ook niet weten wat boeven zouden doen als ze beschikking zouden hebben aan m’n thermostaat. Me eerst laten doodvriezen voordat ze overvallen?

Andreplusplus

@B79 App is misschien van beperkte waarde, maar ook je bank app werkt op die manier, ongeacht of je eerst je telefoon moet ontgrendelen. Maar website mag zeker wel van sterke authenticatie voorzien worden.

JeroenvdM

Met de huidige gas prijzen is het toch erg onaangenaam als na een hack een grapjurk te thermostaat op 25 graden zet omdat er geen 2FA op de website zit.

Op de app is ook een kleine moeite, zit standaard in de iOS en Android api voor de ontwikkelaars.

Popppelaars

Volgens de wet is: Het bedrijf is immers verantwoordelijk voor de gegevens die het beheert en moet daarom een gepast beveiligingsniveau garanderen.

Dus inderdaad een kleine moeite om op aanmeld niveau 2FA in te zetten.

De app zelf moet niet beveiligd worden met gezichtsherkenning of fingerprint, als de manier waarop ingelogd word maar beveiligd is.

SSL encryptie is niet voldoende.

Douwe

Volgens mij is dat alleen van toepassing op bescherming van persoonlijke gegevens.

Dus niet van toepassing lijkt mij, er zijn legio apps die geen 2FA hebben, bijvoorbeeld monitoring zonnepanelen of app van je energie leverancier

Andreplusplus

Nou, @Douwe, daar ben ik niet mee eens.
Niemand hoeft mijn mail adres te achterhalen en als je je huisadres hebt ingevuld - ook niet echt prettig in combinatie met data van je verwarming.

Douwe

Heb je bij je zonnepanelen app dan het huisadres van de buren ingevuld of zo? Daar geldt precies hetzelfde. Ook daar wordt data in de cloud opgeslagen. Data over je zonnepanelen. En dat is meer data dan je alleen in die app kunt zien


https://nos.nl/artikel/2488359-miljoenen-adressen-en-gegevens-makkelijk-in-te-zien-door-fout-bij-kadaster

Popppelaars

https://community.tado.com/nl/discussion/comment/66381#Comment_66381

Dit is zeker van toepassing.

Niet enkel jouw mail adres, maar ook jouw thuis adres. En erger nog jouw geolocatie. Iemand met kwade bedoelingen en toegang tot jouw Tado account kan exact zien wanneer je wel of niet thuis bent.

Dit hoort ook bij persoonlijke gegevens.

riso

Helemaal eens, graag 2FA / MFA (optioneel) toevoegen op de Tado accounts. Het is niet meer van deze tijd om alleen met username/ww in te loggen.

Rob2

"Het is niet meer van deze tijd"

Tado is niet van deze tijd, het is van 5+ jaar geleden. Toen was dat nog niet zo normaal.

riso

Dat snap ik Rob, ik gebruik het al jaren. Maar dat betekent toch niet dat er niet op doorontwikkeld kan worden? username/wachtwoord is echt te weinig beveiliging momenteel. Als (ergens anders) jouw wachtwoord lekt hebben onbevoegden vrij gemakkelijk toegang tot jouw verwarmingssysteem. Lijkt me niet wenselijk. 2FA/MFA is gewoon een must eigenlijk. Tado is nu niet veilig genoeg.

Rob2

Tado doet niet aan doorontwikkelen. Dat is nou eenmaal een feit.

Als ze zouden doorontwikkelen dan hadden ze inmiddels wel een paar van de veel gevraagde features hier geimplementeerd, zoals slimmere schema's, afwezigheid configureerbaar per persoon en ruimte, enz. Maar dat doen ze niet.

Tado is nog een klassiek bedrijf wat een product ontwikkelt en fabriceert en dat dan een aantal jaren verkoopt. Daar verandert dan verder niks meer aan vanaf het moment dat het op de markt komt, zowel voor nieuwe kopers als voor degenen die het al hebben.

Zeg maar zoals wanneer je een wasmachine koopt, daar komen dan later ook niet ineens nieuwe mogelijkheden in.

Dat dit in de IoT markt niet slim is, dat weten we. Maar wij veranderen daar niks aan anders dan door geen Tado meer te kopen.