Mijn Communities
Help

Opschonen oude 2FA apparaten

door Sabine Koelewijn (Bijgewerkt ‎15-06-2023 13:54 door Sabine Koelewijn VISMA )

------------------------------------------------------------------------------------------------------------------------------------------------

Update 15-06-23

We zien dat dit onderwerp veel reacties en vragen oproept. Voor nu zetten we de opschoning van de apparaten van de 2FA op on hold en we zullen terugkomen met een nieuw voorstel waarin we jullie vragen hebben kunnen beantwoorden. Dank voor jullie reacties.

---------------------------------------------------------------------------------------------------------------------------------------------

Inmiddels werken we allemaal alweer een tijdje met twee factor authenticatie. Dit is natuurlijk heel goed voor de beveiliging van de accounts. We zien alleen dat er ook veel accounts zijn waarvan de apparaten, die ingesteld zijn als twee factor authenticatie, al lange tijd niet meer gebruikt zijn. We willen onze systemen toch netjes bijhouden en de oude apparaten gaan opschonen. Daarom zullen we de apparaten die al lange tijd niet meer gebruikt worden ontkoppelen. 

 

Wat houdt dit in?

Wanneer een apparaat voor 1-6-22 voor het laatst gebruikt is voor de twee factor authenticatie gaan we deze ‘pairing’ opheffen. Dit houdt in dat we het apparaat gaan loskoppelen van het account. Het account zelf zal blijven bestaan, het is alleen de connectie met het apparaat dat voor twee factor authenticatie wordt gebruikt dat verwijderd wordt. 

 

Wanneer?

19 juni na 18.00 uur.

 

Voor wie? 

Dit geldt voor alle gebruikers met een Youforce Account, die het apparaat voor twee factor authenticatie sinds 1-6-22 niet meer heeft gebruikt. 

 

Wat betekent dit voor jou? 

Als je na 1-6-22 nog hebt ingelogd zul je hier helemaal niets van merken. Je valt namelijk buiten de doelgroep. 

 

Heb je voor 1-6-22 ingelogd en wil je je apparaat gekoppeld houden? Dan kun je daarvoor zorgen door voor 19 juni nog een keer in te loggen. Door in te loggen met het apparaat voor twee factor authenticatie val je buiten de doelgroep. 

 

Mocht iemand dit nou vergeten of vanwege langdurig ziekte of verlof hier niet de mogelijkheid voor hebben gehad, dan is er ook niks aan de hand. Je zult dan alleen bij de eerste keer inloggen weer je account moeten koppelen aan een apparaat voor de twee factor authenticatie. 

 

Vergeten hoe het koppelen van een apparaat voor twee factor authenticatie ook alweer zat? Dit kan je eenvoudig terugvinden in de handleiding

 

Actie

  • Informeer jouw gebruikers over de opschoning van 19 juni. 
  • Vraag medewerkers om in te loggen in Youforce met het Youforce account als ze dat al langere tijd niet hebben gedaan. 
  • Deel eventueel de handleiding wanneer gebruikers een nieuw apparaat moeten koppelen. 
30 Opmerkingen
Carola de Vries1
CHAMPION *
door Carola de Vries1

Ik denk dat de datum, 1/1/2023,  die jullie willen hanteren erg kort is.  Omdat je kunt aangeven dat je de salarisstrook per mail wilt ontvangen hoeven sommige mensen niet zo vaak in te loggen.  Bij veel collega's zijn we allang blij dat het uiteindelijk gelukt is om de inlog met 2FA te realiseren, als we medewerkers straks weer moeten helpen met het koppelen is dit een mega werklast voor ons.  Wij zijn hier op zijn zachts gezegd echt niet blij mee. 

 

 

 

Anonymous
Niet van toepassing
door Anonymous (Bijgewerkt ‎14-06-2023 08:47 ( )

Ik sta versteld van deze berichtgeving, wij zijn absoluut geen voorstander van deze manier van opschonen. Onze medewerkers loggen over het algemeen in via SSO, maar een groot aantal logt incidenteel in via 2FA, bijvoorbeeld in geval van vakantie, ziekte en bij uit dienst. Voor onze zou deze actie dan ook voor veel extra vragen van medewerkers en voor extra beheer zorgen, wat absoluut niet wenselijk is. 

 

Sylvia van Horick
CONTRIBUTOR ***
door Sylvia van Horick

Ik ben het helemaal met Carola eens. Ook bij ons is het een hele klus geweest om iedereen gekoppeld te krijgen. Ik vind de termijn van 1 januari 2023 ook erg kort. 

R Gorissen
CONTRIBUTOR **
door R Gorissen

Ik begrijp dit eenzijdige besluit ook niet.  Bij ons logt een bepaalde groep gebruikers (raadsleden en babs) in met 2 factor authenticatie. Maar ervaring is dat zij dit niet regelmatig doen, maar 1 á 2 x per jaar. Het is juist voor deze groep gebruikers een hele klus om bij hen alles werkend te krijgen. Daarin hebben wij veel tijd en energie in gestoken. Het eenzijdig schonen vanuit de leverancier vind ik dus ook niet verkoopbaar richting deze gebruikers. 

Dennis van der Weerd
CONTRIBUTOR ***
door Dennis van der Weerd

Zo lekker klantvriendelijk weer. En bedacht vanachter de keukentafel i.p.v. vanuit de praktijk. Stop met die onzin. Er zijn docenten die maar twee keer per jaar inloggen, juist omdat ze het een gedoe vinden. En die krijgen we dan nu allemaal weer aan de lijn omdat ze de volgende keer weer niet in kunnen loggen. Neem een datum van 1-8-2022 of zo, maar 1-1-2023 is echt veel te kort.

Anonymous
Niet van toepassing
door Anonymous (Bijgewerkt ‎14-06-2023 09:22 ( )

@Dennis van der Weerd . Helemaal mee eens. Echter liever helemaal niet toepassen, ook geen datum verder in het verleden. De medewerkers zijn met een reden gekoppeld aan 2FA, dit moet niet beëindigd worden. Hier zijn we zelf als organisatie verantwoordelijk voor, daar dient de leverancier geen rol in te spelen.

 

Alleen eventueel toepassen bij medewerkers die langer dan 2 jaar uit dienst zijn, al zorgen wij hier zelf voor door het jaarlijks opschonen van de Youforce-accounts. 

Raymond_de_Rozario
ACTIVE CONTRIBUTOR ***
door Raymond_de_Rozario

Ik sluit mij aan bij de vorige commentaren. Ook bij ons logt het grootste gedeelte in via SSO, en een kleiner gedeelte via 2FA. Van de SSO medewerkers is een klein gedeelte wat af en toe gebruik maakt van Youforce Reporting, waarvoor je een @onyouforce.com account nodig hebt. Het kan zijn dat men dit maandelijks doet, maar sommigen zullen dit misschien een paar keer per jaar doen. Ook hier komen er behoorlijk wat extra werkzaamheden achterweg waar wij niet op zitten te wachten. Wordt er nu van iedere organisatie verwacht dat deze zelf de communicatie naar de gebruikers doen? En hoe bereik je dan alleen de medewerkers die een @onyouforce.com account heben?

 

 

skakiay
CONTRIBUTOR ***
door skakiay

Mee eens @Anonymous  liever niet toepassen. Wij willen zelf opschonen, bijvoorbeeld als de medewerker langer dan 1 jaar uit dienst is.

JvdB
CONTRIBUTOR ***
door JvdB

Ik ben het ook niet eens met deze actie, maar om een andere reden.

 

Op deze manier haal je één factor van de 2FA weg. Het account is dan niet meer met multifactor beveiligd. De accounts worden zo minder veilig. Dit is absoluut onacceptabel.

 

Je gaat toch ook niet zomaar wachtwoorden weghalen van accounts? Absoluut ongehoord dat er zomaar aan de beveiliging van accounts geprutst wordt.

ErwinW
CONTRIBUTOR ***
door ErwinW

Wij gebruiken Surfconext. Geldt dit dan ook voor ons? 

JvdB
CONTRIBUTOR ***
door JvdB

@Sabine KoelewijnAls jullie dit alsnog doorzetten, moeten wij een lijst ontvangen met alle accounts waar 2FA wordt uitgeschakeld.

 

Deze voldoen dan niet meer aan onze beveiligingseisen, en wij zullen deze accounts dan zelf moeten uitschakelen.

Ralph
CHAMPION ***
door Ralph

Sluit mij ook aan bij voorgaande opmerkingen, In het bijzonder bij het gebruik van SSO (zoals bij Cordaan van toepassing) is het niet opmerkelijk dat een 2FA lang niet is gebruikt met het gekoppelde apparaat. 

Gea Bussink-Veerbeek
CHAMPION ***
door Gea Bussink-Veerbeek

@Sabine Koelewijn Jammer dat we geen duimpje naar beneden kunnen geven. Ik ben het helemaal eens met de gegeven commentaren. Wij maken hoofdzakelijk gebruik van sso en juist degenen die dat niet hebben loggen zelden in. Het was een heel gedoe om deze mensen aangehaakt te krijgen en aangehaakt te houden. Deze actie maakt het er niet makkelijker op. Bovendien is de termijn veel en veel te kort. Op 14 juni bericht je dat op 19 juni accounts worden verwijderd. Voor ons onmogelijk om iedereen te bereiken die dat aangaat. De betreffenden zijn veelal ouderen en pensionada die van een heerlijk rustige vakantie in het voorseizoen genieten. 

Graag het beheer van de accounts bij de verantwoordelijken houden, namelijk de beheerders van de organisaties. Ondersteuning in de vorm van een reminder voor opschoning en een overzicht van gebruikers die gebruik maken van 2FA en de laatste datum dat ze ingelogd hebben met 2FA zou fijn zijn, maar ga als Visma alsjeblieft niet accounts ontkoppelen van apparaten. 

MarvinTergooi
CHAMPION *
door MarvinTergooi (Bijgewerkt ‎14-06-2023 10:07 door MarvinTergooi )

Helemaal eens met voorgaande reacties. Veel medewerkers loggen 1 a 2x per jaar in als het nodig is. Termijn is veel te kort. Bovendien zijn er accounts voor noodgevallen die nauwelijks inloggen maar die de mogelijkheid wel moeten hebben. 

 

Volgens mij ook verkeerde prioriteiten. Zorg er eerst voor dat de beheerders van de klant zelf fatsoenlijk kunnen beheren qua onyouforce accounts. Bijvoorbeeld een overzicht waarin we kunnen zien wie er een onyouforce account heeft en of dit gebruikt wordt.

Quico Staps
CONTRIBUTOR ***
door Quico Staps (Bijgewerkt ‎14-06-2023 10:32 door Quico Staps )

Voordat deze actie word uitgevoerd moeten wij dit eerst voorleggen bij onze privacy/security/AVG specialist want mocht het wachtwoord van de gebruiker op straat liggen dan zorgt deze 'opschoning' ervoor dat een onbekende zou kunnen inloggen en eigen device zou kunnen koppelen! Je haalt letterlijk 1FA van de 2FA weg!

Aangezien jullie zelf besloten hebben dat het wachtwoord geen verval datum meer heeft staat deze actie totaal tegenover dit besluit.

Volgens mij hebben klanten al vaker aangegeven niet verrast te willen worden met dit soort besluiten. Hoe kan het bericht dan op 13-6-2023 geplaatst worden met een uitvoering van 19-6-2023? je geeft ons 3! werkdagen om hiervoor met onze gebruikers te communiceren.

En wat is überhaupt het belang van deze actie? wat is het doel hiervan?

pschamp
CONTRIBUTOR **
door pschamp

Ik vind het bizar dat hier zo op gereageerd wordt..

Visma Raet had dit ook niet kunnen communiceren en dan had niemand hier iets van gemerkt!

 

We zien alleen dat er ook veel accounts zijn waarvan de apparaten, die ingesteld zijn als twee factor authenticatie, al lange tijd niet meer gebruikt zijn. We willen onze systemen toch netjes bijhouden en de oude apparaten gaan opschonen. Daarom zullen we de apparaten die al lange tijd niet meer gebruikt worden ontkoppelen. 

 

Als medewerkers voor het laatst nog voor 1-1-2023 nog met 2FA ingelogd zijn geweest, dan is het niet erg om deze 2FA op te heffen.
Het ergste wat er dan kan gebeuren is dat die medewerkers bij het inloggen een QR-code krijgen om een 2FA zelf opnieuw te koppelen.

En hoe groot is die kans dat heel veel medewerkers dit NU ineens nodig hebben, als ze dit jaar nog niet eens ingelogd zijn  geweest?

skakiay
CONTRIBUTOR ***
door skakiay

@pschamp als jullie er niets van merken is dit prima. Bij ons gaat dit wel problemen opleveren, dus dan geven we dit ook aan.

pschamp
CONTRIBUTOR **
door pschamp

@skakiay verklaar je probleem dan eens?
Je hebt het alleen over dat je zelf wilt opschonen als een medewerker een jaar uit dienst is.
Dit gaat niet over het verwijderen van het hele Youforce account, alleen over de koppeling van het account met een 2e factor (dus een telefoon hoogstwaarschijnlijk).

 

skakiay
CONTRIBUTOR ***
door skakiay

@pschamp:  Het was een aanvulling op de eerdere reactie van @Carola de Vries1  wij hebben medewerkers die over het algemeen niet digitaal vaardig zijn. Het heeft ons als organisatie veel tijd en inzet gekost om medewerkers te ondersteunen bij het activeren van het nieuwe inloggen. Wij hebben medewerkers die een aantal keren per jaar inloggen. Zij zullen niet blij zijn als ze gaan inloggen en de telefoon ontkoppelt blijkt te zijn door een opschoningsactie van Visma/Raet. En ook wij zijn niet blij, omdat we de medewerker opnieuw zullen moeten ondersteunen in dit proces. 

Als er dan geschoond moet worden, dan doen wij dit liever zelf. Wij zullen dan zelf een beleid maken, door de MFA van medewerkers in dienst niet te ontkoppelen bijvoorbeeld.

pschamp
CONTRIBUTOR **
door pschamp

@skakiay Oké, dat is tenminste een duidelijke uitleg, waar wellicht Visma/Raet ook iets aan heeft.

Ikzelf denk dan, als die niet-digitaal vaardige medewerkers maar een paar keer per jaar zullen inloggen én dit nu ook nog niet gedaan hebben dit jaar, dan acht ik de kans ook niet groot dat ze überhaupt nog zullen inloggen.

pschamp
CONTRIBUTOR **
door pschamp

Daarnaast wil ik ook nog toegevoegd hebben dat er veel medewerkers zijn, die na het aanschaffen van een nieuwe telefoon en daardoor niet meer met 2FA in Youforce kunnen komen ook altijd hulp nodig hebben om in Youforce hun 2FA te ontkoppelen.

Niet iedereen regelt deze hulp.
Door deze actie is dit opgelost en krijg je geen vraag om de oude telefoon te ontkoppelen in Account Beheer.

Quico Staps
CONTRIBUTOR ***
door Quico Staps

@pschamp 

maar mocht het wachtwoord dat geen verval datum heeft gelekt zijn dan kan een 3rde partij inloggen zonder prompt en eigen 2FA toevoegen en bij alle gegevens. dit is niet veilig. als een gebruiker zelf contact moet opnemen om oud 2fa te ontkoppelen dan kan je controle vragen stellen en ontkoppelen op het moment dat die gebruiker zelf gelijk nieuwe 2fa kan toevoegen.

Timo van Son - AAG
CONTRIBUTOR ***
door Timo van Son - AAG (Bijgewerkt ‎14-06-2023 16:47 door Timo van Son - AAG )

Ik sluit mij aan bij alle afwijzende feedback op:

1. de publicatiedatum i.r.t. de ingangsdatum van de wijziging ;

2. de gekozen peildatum ;

3. het gebrek aan inzicht van de gevolgen van deze actie m.b.t. de accountbeveiliging ;

4. het besluit om de applicatiebeheerders te negeren in de actie ;

5. het gebrek aan tooling om de onyouforce accounts überhaupt fatsoenlijk te beheren. 

 

Ik zou hier een pas op de plaats op zijn minst terecht vinden. 

door Sabine Koelewijn

Beste allemaal, 

 

Heel erg bedankt voor jullie reacties. We begrijpen dat jullie veel gebruikers die slechts enkele keren per jaar inloggen. Daarom zullen wij de datum verplaatsen naar 1 juni 2022, om te voorkomen dat deze groep niet net buiten de boot valt. 

 

Het opschonen van de oude 2FA apparaten is voor ons noodzakelijk en we zullen dit ook moeten doorvoeren. Ik wil graag nogmaals benadrukken dat we geen accounts of data verwijderen en ook gaan we de 2FA niet uitzetten. Het gaat alleen om het opnieuw koppelen van het 2FA apparaat, als je hier in het afgelopen jaar niet mee bent ingelogd. We hebben in de afgelopen maanden de handleiding aangepast en hebben geprobeerd dit zo duidelijk mogelijk uit te leggen in deze handleiding. Mochten gebruikers dan toch opnieuw moeten koppelen omdat ze langer dan een jaar niet hebben ingelogd, dan kunnen ze dit met behulp van de handleiding doen.

 

Log je in via SSO? Dan ben je als organisatie zelf verantwoordelijk voor het wel/niet toekennen van 2FA en ben je ook zelf verantwoordelijk voor het opschonen van oude 2FA apparaten.

MarvinTergooi
CHAMPION *
door MarvinTergooi (Bijgewerkt ‎14-06-2023 17:26 door MarvinTergooi )

@Anonymous : Fijn dat de peildatum verschoven wordt. Alleen dat is niet de enige reactie die hier gegeven is. Ik hoop dat jullie ook procesmatig kijken naar de timing van dit soort acties (3 werkdagen om dit te lezen actie te ondernemen is erg weinig).

 

Ook geef je geen antwoord op de zorgen over het uitzetten van 2FA terwijl de wachtwoorden niet verlopen. Een externe onbekende die toegang heeft tot bijvoorbeeld een oude telefoon/laptop kan dan inloggen in Youforce en bijvoorbeeld een rekeningnummer wijzigen. De kans ik klein maar dit is niet uit te leggen. Lijkt mij een risico dat onnodig is. Als je dan toch de 2FA uitzet laat dan voor die gebruikers ook de wachtwoorden aflopen. 

 

Daarbij komt ook nog eens dat wij als beheerders geen enkel inzicht kunnen krijgen welke gebruikers dit überhaupt betreft. Als we hier inzicht in hebben kunnen we eventueel zelf accounts blokkeren of iets dergelijks. Deze tools hebben wij nu niet in het accountbeheer. 

Quico Staps
CONTRIBUTOR ***
door Quico Staps

@Anonymous 

 

en waarom is dit voor jullie noodzakelijk om op te schonen?

Theo Vermeulen - Amarant
CONTRIBUTOR ***
door Theo Vermeulen - Amarant

Goedemorgen,

 

volgens mij past op dit moment maar 1 reactie van Visma, deze actie even on hold zetten,

Daarnaast heeft Timo van Son 6 vragen gesteld, die ik graag beantwoord zie, waarbij ik dan de hoop heb dat jullie daarna zelf tot de conclusie komen dat deze actie iets anders uitgevoerd moeten worden.

 

 

 

 

S_Kuijer
CHAMPION **
door S_Kuijer

Goedemorgen,

Deze aanpassing is niet akkoord. Wij zijn als verwerkingsverantwoordelijke verantwoordelijk voor het gebruikersbeheer en daarbij hoort de verwerker de instructies van de verwerkingsverantwoordelijke op te volgen. En derhalve dus niet (opschoon-)acties te verrichten die niet akkoord zijn van de verwerkingsverantwoordelijken (klanten).

Zoek maar op in de AVG.

mvg Saskia Kuijer

 

 

 

Quico Staps
CONTRIBUTOR ***
door Quico Staps

ik ben het eens met @MarvinTergooi  als dit dan toch uitgevoerd moet worden, zorg dan op zijn minst dat het wachtwoord van de betreffende accounts ook vervalt zodat de gebruiker in elk geval nieuw wachtwoord moet aanvragen via het mail adres.

door Sabine Koelewijn

We zien dat dit onderwerp veel reacties en vragen oproept. Voor nu zetten we de opschoning van de apparaten van de 2FA op on hold en we zullen terugkomen met een nieuw voorstel waarin we jullie vragen hebben kunnen beantwoorden. Dank voor jullie reacties.