Opschonen oude 2FA apparaten

Ik denk dat de datum, 1/1/2023,  die jullie willen hanteren erg kort is.  Omdat je kunt aangeven dat je de salarisstrook per mail wilt ontvangen hoeven sommige mensen niet zo vaak in te loggen.  Bij veel collega's zijn we allang blij dat het uiteindelijk gelukt is om de inlog met 2FA te realiseren, als we medewerkers straks weer moeten helpen met het koppelen is dit een mega werklast voor ons.  Wij zijn hier op zijn zachts gezegd echt niet blij mee. 

Ik ben het helemaal met Carola eens. Ook bij ons is het een hele klus geweest om iedereen gekoppeld te krijgen. Ik vind de termijn van 1 januari 2023 ook erg kort. 

Ik begrijp dit eenzijdige besluit ook niet.  Bij ons logt een bepaalde groep gebruikers (raadsleden en babs) in met 2 factor authenticatie. Maar ervaring is dat zij dit niet regelmatig doen, maar 1 á 2 x per jaar. Het is juist voor deze groep gebruikers een hele klus om bij hen alles werkend te krijgen. Daarin hebben wij veel tijd en energie in gestoken. Het eenzijdig schonen vanuit de leverancier vind ik dus ook niet verkoopbaar richting deze gebruikers. 

Zo lekker klantvriendelijk weer. En bedacht vanachter de keukentafel i.p.v. vanuit de praktijk. Stop met die onzin. Er zijn docenten die maar twee keer per jaar inloggen, juist omdat ze het een gedoe vinden. En die krijgen we dan nu allemaal weer aan de lijn omdat ze de volgende keer weer niet in kunnen loggen. Neem een datum van 1-8-2022 of zo, maar 1-1-2023 is echt veel te kort.

Ik sluit mij aan bij de vorige commentaren. Ook bij ons logt het grootste gedeelte in via SSO, en een kleiner gedeelte via 2FA. Van de SSO medewerkers is een klein gedeelte wat af en toe gebruik maakt van Youforce Reporting, waarvoor je een @onyouforce.com account nodig hebt. Het kan zijn dat men dit maandelijks doet, maar sommigen zullen dit misschien een paar keer per jaar doen. Ook hier komen er behoorlijk wat extra werkzaamheden achterweg waar wij niet op zitten te wachten. Wordt er nu van iedere organisatie verwacht dat deze zelf de communicatie naar de gebruikers doen? En hoe bereik je dan alleen de medewerkers die een @onyouforce.com account heben?

Mee eens @Anonymous  liever niet toepassen. Wij willen zelf opschonen, bijvoorbeeld als de medewerker langer dan 1 jaar uit dienst is.

Ik ben het ook niet eens met deze actie, maar om een andere reden.

Op deze manier haal je één factor van de 2FA weg. Het account is dan niet meer met multifactor beveiligd. De accounts worden zo minder veilig. Dit is absoluut onacceptabel.

Je gaat toch ook niet zomaar wachtwoorden weghalen van accounts? Absoluut ongehoord dat er zomaar aan de beveiliging van accounts geprutst wordt.

Wij gebruiken Surfconext. Geldt dit dan ook voor ons? 

@Sabine KoelewijnAls jullie dit alsnog doorzetten, moeten wij een lijst ontvangen met alle accounts waar 2FA wordt uitgeschakeld.

Deze voldoen dan niet meer aan onze beveiligingseisen, en wij zullen deze accounts dan zelf moeten uitschakelen.

Sluit mij ook aan bij voorgaande opmerkingen, In het bijzonder bij het gebruik van SSO (zoals bij Cordaan van toepassing) is het niet opmerkelijk dat een 2FA lang niet is gebruikt met het gekoppelde apparaat. 

@Sabine Koelewijn Jammer dat we geen duimpje naar beneden kunnen geven. Ik ben het helemaal eens met de gegeven commentaren. Wij maken hoofdzakelijk gebruik van sso en juist degenen die dat niet hebben loggen zelden in. Het was een heel gedoe om deze mensen aangehaakt te krijgen en aangehaakt te houden. Deze actie maakt het er niet makkelijker op. Bovendien is de termijn veel en veel te kort. Op 14 juni bericht je dat op 19 juni accounts worden verwijderd. Voor ons onmogelijk om iedereen te bereiken die dat aangaat. De betreffenden zijn veelal ouderen en pensionada die van een heerlijk rustige vakantie in het voorseizoen genieten. 

Graag het beheer van de accounts bij de verantwoordelijken houden, namelijk de beheerders van de organisaties. Ondersteuning in de vorm van een reminder voor opschoning en een overzicht van gebruikers die gebruik maken van 2FA en de laatste datum dat ze ingelogd hebben met 2FA zou fijn zijn, maar ga als Visma alsjeblieft niet accounts ontkoppelen van apparaten. 

Helemaal eens met voorgaande reacties. Veel medewerkers loggen 1 a 2x per jaar in als het nodig is. Termijn is veel te kort. Bovendien zijn er accounts voor noodgevallen die nauwelijks inloggen maar die de mogelijkheid wel moeten hebben. 

Volgens mij ook verkeerde prioriteiten. Zorg er eerst voor dat de beheerders van de klant zelf fatsoenlijk kunnen beheren qua onyouforce accounts. Bijvoorbeeld een overzicht waarin we kunnen zien wie er een onyouforce account heeft en of dit gebruikt wordt.

Voordat deze actie word uitgevoerd moeten wij dit eerst voorleggen bij onze privacy/security/AVG specialist want mocht het wachtwoord van de gebruiker op straat liggen dan zorgt deze 'opschoning' ervoor dat een onbekende zou kunnen inloggen en eigen device zou kunnen koppelen! Je haalt letterlijk 1FA van de 2FA weg!

Aangezien jullie zelf besloten hebben dat het wachtwoord geen verval datum meer heeft staat deze actie totaal tegenover dit besluit.

Volgens mij hebben klanten al vaker aangegeven niet verrast te willen worden met dit soort besluiten. Hoe kan het bericht dan op 13-6-2023 geplaatst worden met een uitvoering van 19-6-2023? je geeft ons 3! werkdagen om hiervoor met onze gebruikers te communiceren.

En wat is überhaupt het belang van deze actie? wat is het doel hiervan?

Ik vind het bizar dat hier zo op gereageerd wordt..

Visma Raet had dit ook niet kunnen communiceren en dan had niemand hier iets van gemerkt!

We zien alleen dat er ook veel accounts zijn waarvan de apparaten, die ingesteld zijn als twee factor authenticatie, al lange tijd niet meer gebruikt zijn. We willen onze systemen toch netjes bijhouden en de oude apparaten gaan opschonen. Daarom zullen we de apparaten die al lange tijd niet meer gebruikt worden ontkoppelen. 

Als medewerkers voor het laatst nog voor 1-1-2023 nog met 2FA ingelogd zijn geweest, dan is het niet erg om deze 2FA op te heffen.
Het ergste wat er dan kan gebeuren is dat die medewerkers bij het inloggen een QR-code krijgen om een 2FA zelf opnieuw te koppelen.

En hoe groot is die kans dat heel veel medewerkers dit NU ineens nodig hebben, als ze dit jaar nog niet eens ingelogd zijn  geweest?

@pschamp als jullie er niets van merken is dit prima. Bij ons gaat dit wel problemen opleveren, dus dan geven we dit ook aan.

@skakiay verklaar je probleem dan eens?
Je hebt het alleen over dat je zelf wilt opschonen als een medewerker een jaar uit dienst is.
Dit gaat niet over het verwijderen van het hele Youforce account, alleen over de koppeling van het account met een 2e factor (dus een telefoon hoogstwaarschijnlijk).

@pschamp:  Het was een aanvulling op de eerdere reactie van @Carola de Vries1  wij hebben medewerkers die over het algemeen niet digitaal vaardig zijn. Het heeft ons als organisatie veel tijd en inzet gekost om medewerkers te ondersteunen bij het activeren van het nieuwe inloggen. Wij hebben medewerkers die een aantal keren per jaar inloggen. Zij zullen niet blij zijn als ze gaan inloggen en de telefoon ontkoppelt blijkt te zijn door een opschoningsactie van Visma/Raet. En ook wij zijn niet blij, omdat we de medewerker opnieuw zullen moeten ondersteunen in dit proces. 

Als er dan geschoond moet worden, dan doen wij dit liever zelf. Wij zullen dan zelf een beleid maken, door de MFA van medewerkers in dienst niet te ontkoppelen bijvoorbeeld.

@skakiay Oké, dat is tenminste een duidelijke uitleg, waar wellicht Visma/Raet ook iets aan heeft.

Ikzelf denk dan, als die niet-digitaal vaardige medewerkers maar een paar keer per jaar zullen inloggen én dit nu ook nog niet gedaan hebben dit jaar, dan acht ik de kans ook niet groot dat ze überhaupt nog zullen inloggen.

Daarnaast wil ik ook nog toegevoegd hebben dat er veel medewerkers zijn, die na het aanschaffen van een nieuwe telefoon en daardoor niet meer met 2FA in Youforce kunnen komen ook altijd hulp nodig hebben om in Youforce hun 2FA te ontkoppelen.

Niet iedereen regelt deze hulp.
Door deze actie is dit opgelost en krijg je geen vraag om de oude telefoon te ontkoppelen in Account Beheer.

@pschamp 

maar mocht het wachtwoord dat geen verval datum heeft gelekt zijn dan kan een 3rde partij inloggen zonder prompt en eigen 2FA toevoegen en bij alle gegevens. dit is niet veilig. als een gebruiker zelf contact moet opnemen om oud 2fa te ontkoppelen dan kan je controle vragen stellen en ontkoppelen op het moment dat die gebruiker zelf gelijk nieuwe 2fa kan toevoegen.

Ik sluit mij aan bij alle afwijzende feedback op:

1. de publicatiedatum i.r.t. de ingangsdatum van de wijziging ;

2. de gekozen peildatum ;

3. het gebrek aan inzicht van de gevolgen van deze actie m.b.t. de accountbeveiliging ;

4. het besluit om de applicatiebeheerders te negeren in de actie ;

5. het gebrek aan tooling om de onyouforce accounts überhaupt fatsoenlijk te beheren. 

Ik zou hier een pas op de plaats op zijn minst terecht vinden. 

Beste allemaal, 

Heel erg bedankt voor jullie reacties. We begrijpen dat jullie veel gebruikers die slechts enkele keren per jaar inloggen. Daarom zullen wij de datum verplaatsen naar 1 juni 2022, om te voorkomen dat deze groep niet net buiten de boot valt. 

Het opschonen van de oude 2FA apparaten is voor ons noodzakelijk en we zullen dit ook moeten doorvoeren. Ik wil graag nogmaals benadrukken dat we geen accounts of data verwijderen en ook gaan we de 2FA niet uitzetten. Het gaat alleen om het opnieuw koppelen van het 2FA apparaat, als je hier in het afgelopen jaar niet mee bent ingelogd. We hebben in de afgelopen maanden de handleiding aangepast en hebben geprobeerd dit zo duidelijk mogelijk uit te leggen in deze handleiding. Mochten gebruikers dan toch opnieuw moeten koppelen omdat ze langer dan een jaar niet hebben ingelogd, dan kunnen ze dit met behulp van de handleiding doen.

Log je in via SSO? Dan ben je als organisatie zelf verantwoordelijk voor het wel/niet toekennen van 2FA en ben je ook zelf verantwoordelijk voor het opschonen van oude 2FA apparaten.

@Sabine : Fijn dat de peildatum verschoven wordt. Alleen dat is niet de enige reactie die hier gegeven is. Ik hoop dat jullie ook procesmatig kijken naar de timing van dit soort acties (3 werkdagen om dit te lezen actie te ondernemen is erg weinig).

Ook geef je geen antwoord op de zorgen over het uitzetten van 2FA terwijl de wachtwoorden niet verlopen. Een externe onbekende die toegang heeft tot bijvoorbeeld een oude telefoon/laptop kan dan inloggen in Youforce en bijvoorbeeld een rekeningnummer wijzigen. De kans ik klein maar dit is niet uit te leggen. Lijkt mij een risico dat onnodig is. Als je dan toch de 2FA uitzet laat dan voor die gebruikers ook de wachtwoorden aflopen. 

Daarbij komt ook nog eens dat wij als beheerders geen enkel inzicht kunnen krijgen welke gebruikers dit überhaupt betreft. Als we hier inzicht in hebben kunnen we eventueel zelf accounts blokkeren of iets dergelijks. Deze tools hebben wij nu niet in het accountbeheer. 

@Sabine 

en waarom is dit voor jullie noodzakelijk om op te schonen?

Goedemorgen,

volgens mij past op dit moment maar 1 reactie van Visma, deze actie even on hold zetten,

Daarnaast heeft Timo van Son 6 vragen gesteld, die ik graag beantwoord zie, waarbij ik dan de hoop heb dat jullie daarna zelf tot de conclusie komen dat deze actie iets anders uitgevoerd moeten worden.

Goedemorgen,

Deze aanpassing is niet akkoord. Wij zijn als verwerkingsverantwoordelijke verantwoordelijk voor het gebruikersbeheer en daarbij hoort de verwerker de instructies van de verwerkingsverantwoordelijke op te volgen. En derhalve dus niet (opschoon-)acties te verrichten die niet akkoord zijn van de verwerkingsverantwoordelijken (klanten).

Zoek maar op in de AVG.

mvg Saskia Kuijer

ik ben het eens met @MarvinTergooi  als dit dan toch uitgevoerd moet worden, zorg dan op zijn minst dat het wachtwoord van de betreffende accounts ook vervalt zodat de gebruiker in elk geval nieuw wachtwoord moet aanvragen via het mail adres.

We zien dat dit onderwerp veel reacties en vragen oproept. Voor nu zetten we de opschoning van de apparaten van de 2FA op on hold en we zullen terugkomen met een nieuw voorstel waarin we jullie vragen hebben kunnen beantwoorden. Dank voor jullie reacties.