Lmst
Login

#2FAsucks

Erik van StratenErikvanStraten@todon.nl
2025-11-14

Zwakke 2FA/MFA werkt AVERECHTS

In security.nl/posting/912441/65- schreef ik eerder deze week:

2FA (MFA) is ruk.

Laat de overheid een wachtwoordmanager adviseren die wél op domeinnamen checkt.

(Dat laatste kan standaard onder Android, iOS en iPadOS - middels "AutoFill").

Op veler "verzoek" onderbouwde ik die stelling (niet voor de eerste keer) in security.nl/posting/912441/65-.

En in security.nl/posting/912441/65- legde ik uit waarom online inloggen *lastig* veilig te krijgen is - wat je ook verzint (het blijven shared secrets).

Vandaag heb ik Microsoft Authenticator ook maar weer eens getest (onder Android). Mijn bevindingen leest u in (de tweede helft van) security.nl/posting/912441/65- - hieronder een stukje daaruit.

#ZwakkeMFA #SMS #AuthenticatorApps #Zwakke2FA #Weak2FA #WeakMFA #MicrosoftAuthenticator #2FAsucks #MFAsucks #Phishing #NepWebsites #PhaaS #Evilginx2 #SIMswap #SS7 #AcountTakeOver #CookieTheft #AccountLockout

Screenshot van een stukje uit https://security.nl/posting/912530 Microsoft Authenticator: stommer en lastiger kan niet Ook account lockout is supersimpel: ik heb zojuist Microsoft Authenticator geïnstalleerd op m'n Android smartphone. Inderdaad stond "Cloud backup" standaard uit: aangezet. Daar moest ik een Microsoft account voor hebben: voor "create" gekozen en een test-Gmail account opgegeven. De bevestigingsmail met pincode arriveert in mijn spambox. Mijn nieuwe MS account heb ik verder aangemaakt zonder dat er ergens om een wachtwoord werd gevraagd (alles, behalve m'n gmail checken, vond overigens plaats in de Microsoft Authenticator app). Na het aanmaken van het account krijg ik een melding dat de backup is mislukt. En de knop "Cloud backup" is weer uitgezet. Microsoft Authenticator gesloten en weer [...]

Client Info

Server: https://mastodon.social
Version: 2025.07
Repository: https://github.com/cyevgeniy/lmst