Toen ik mijn 2FA instelde via Google Authenticator stond er een melding op het dashboard van Vimexx dat als je de app/2FA niet meer hebt, nooit meer zal kunnen inloggen op het dashboard. Dan moet er lijkt mij toch wel een extra mogelijkheid zijn? Het kan namelijk eens gebeuren dat een klant z'n mobiel kapot gaat of verliest, dan lijkt het me nogal vreemd als je helemaal buitengesloten wordt terwijl je wel gewoon betaald.
Is het echt zo? Of bedoelen ze het 'figuurlijk' om aan te tonen hoe veilig 2FA zal zijn zodra ingesteld?
Onderwerp: 2FA: toegang tot een account verliezen als je 2FA app het niet meer doet
Ikzelf gebruik Authy i.p.v. Google Autohenticator. Authy heeft exact dezelfde functionaliteit, echter met automatische backup functie. Het is ook mogelijk om Authy op meerdere devices te installeren (en synchroniseert automatisch tussen die devices). Mocht mijn telefoon kapot gaan, kan ik een backup restoren van m'n Authy account en kan ik gewoon middels 2FA inloggen. Verder heb ik Authy ook nog op de telefoon van m'n vrouw staan, waarop ik ook nog terug kan vallen, mocht er onverhoopt iets met mijn telefoon gebeuren. Zie: https://authy.com/.
En ik bevind me in precies die situatie: Mijn telefoon is enkele maanden geleden gestolen(!), dus ik was daarmee al mijn 2FA's in Google auth kwijt. Ik had gehoopt dat google die mee nam in backups, maar dat is niet het geval. Juist niet by default, zeggen ze. Telefoon (of token) weg, is login optie bij vimexx weg. Geen herstel procedure? Dat lijkt me sterk. Alle andere 2FA's heb ik alweer werkend gekregen.
Ook erg vreemd om zonder token van een user ineens te doen alsof èn het goede wachtwoord weten, èn aantonen sinds wanneer er al niet meer is ingelogd, èn aantonen wat je naam, adres, bankrekeningnr is, en aantonen welke domeinnamen je in bezit hebt NIET voldoende zou zijn om dat te resetten. Als dat zo is, dan zou dat betekenen dat ze nooit iets doen met verkeerde logins, of met pogingen van derden om een account te kraken. Zo ongeveer het eerste wat nodig is om een veilige betrouwbare registrar te kunnen zijn.