Skip to main content
Ben homepage Ben homepage

Slechte 2FA keuzes

  • May 24, 2025
  • 1 reactie
  • 63 keer bekeken
B

Afgelopen week ben ik overgestapt naar Ben en recent wilde ik even in mijn account kijken. Plots wordt ik geconfronteerd met 2FA authenticatie (prima, ik sta ook voor het veilig houden van accounts), maar jullie 2FA oplossing lijkt enkel via SMS te werken...dat gaat een beetje mis.

Waarom is dit een probleem?

  1. Ik heb nog een tijdelijk nummer en dus inactieve SIM. Mijn nummer wordt pas volgende maand overgezet, dus tot die tijd kan ik jullie 2FA SMS niet ontvangen.
  2. Wat als iemand zijn PUK code wil opvragen van zijn account omdat hij de PIN 3x fout heeft ingetoetst? Dan moet hij inloggen en de code uit een SMS invoeren...waar hij dus niet meer bij kan.
  3. Wat als iemand zijn mobiel gestolen is en hij wil deze blokkeren? Dan moet hij inloggen en de code uit een SMS invoeren...terwijl zijn mobiel gejat is.
  4. Wat als iemand zijn abonnement opzegt (en nummer niet meeneemt), maar later nog een factuur wil raadplegen?
  5. Als je contact met de klantenservice wil en niet op social media zit kan je het contactformulier pas gebruiken nadat je bent ingelogd (wat dus niet gaat zonder 2FA SMS). Als je dan geen X of Messenger hebt is de enige optie de telefonische helpdesk die in het weekend en avond niet bereikbaar is...jammer.


En waarschijnlijk zijn er nog wel meer use-cases waarbij de huidige opzet niet een heel handige keuze blijkt te zijn.

Kunnen jullie overwegen om:

  • Timed-One-Time-Password (TOTP) codes te gebruiken voor Multi-Factor Authenticatie (MFA)? Odido, Google en menig tech bedrijf gebruikt deze vertrouwde standaard. Apps die deze codes genereren zijn te backuppen en kunnen eventueel ook vanaf een ander apparaat codes genereren.
  • De gebruiker bij eerste 2FA SMS activatie het telefoonnummer zelf te laten kiezen? In tegenstelling tot het forceren van het abonneenummer.
  • Bij eerste MFA activatie een unieke herstel code (of backup codes) aan te maken om MFA te kunnen resetten?
  • Eventueel MFA reset via e-mail mogelijk maken - maar dat kan wat tricky zijn om goed te doen.


Geef gebruikers in ieder geval een keuze wat betreft de tweede factor, dat hoeft echt niet (alleen) SMS te zijn.

Dit bericht heb ik ook per email aan Ben gestuurd, daar kreeg ik het anonieme antwoord:

“Ik kan je vraag helaas niet goed beantwoorden via e-mail. Ik wil je daarom vragen even te bellen met de klantenservice. Zo kan ik je beter helpen.”

Een simpele bevestiging “bedankt, we zijn op de hoogte en werken aan een oplossing” is voldoende en kan toch best per mail? Het tijdelijk omzeilen van mijn 2FA is minder relevant.

J
G
R

1 reactie

G

Man…..wat een goed opgebouwd geschreven stuk, zeg!

ik had al mijn bedenkingen om 2FA voor mijn BEN-app te activeren, ook al ben ik 100% voorstander aangaande veiligheid. Dankzij het forum heb ik mogen ontdekken hoe treurig (en amper) gereageerd wordt door BEN professionals. Wij zijn BETALENDE klanten met problemen. Toch?

Zelf zat ik inmiddels te lonken naar het downloaden van een authenticator-app, maar…..mijn kennis daarover is nog te sumier. Ondertussen sta jij ook nog eens te jongleren met termen als 2FA, MFA, TOTP 🤣 Geeft niet, dat wordt gewoon weer uren googelen. Dus, je relaas is een echte stimulans voor me geweest! Thx, Griet

P.S. Mijn relaas over probleem ‘dataverbruik niet in te zien op BEN-app’ heb ik op forum gezet, bij allestoringen.nl vermeld, contactformulier verstuurd met vervolg-mail en een complete mail verstuurd naar Odido Netherlands BV aangezien zij bij de App Store genoteerd staan als ‘ontwikkelaar’ van BEN-app (daar vond ik hun mailadres). Zodoende zijn ook leidinggevenden op de hoogte. Misschien een idee voor jou? Het was een super sterk bericht/conclusie. 👍🏽

Algemene huisregels Ben Forum: de voorwaarden en gedragsregelsCookie instellingenAccessibility statement