2FA verplicht voor ALLE gebruikers (geen opt-out) #125

New issue

Closed

opened 2026-05-26 18:23:53 +00:00 by jesse-a · 1 comment

jesse-a commented

2026-05-26 18:23:53 +00:00

Owner

Severity: MEDIUM

2FA was opt-in. Een gebruiker zonder TOTP-setup kon dus blijven inloggen met alleen wachtwoord, óók als de organisatie 2FA wilde forceren. Een gehackte sessie of geleakt wachtwoord = vol-toegang zonder tweede factor.

Fix: app-layout redirect gebruikers zonder totpEnabled naar /account om in te schrijven; route-handlers checken vervolgens server-side (Codex-ronde 3, commit 8e18add) zodat de UI-redirect niet omzeilbaar is.

Files: src/app/(app)/layout.tsx + (later) src/lib/auth.ts

**Severity: MEDIUM** 2FA was opt-in. Een gebruiker zonder TOTP-setup kon dus blijven inloggen met alleen wachtwoord, óók als de organisatie 2FA wilde forceren. Een gehackte sessie of geleakt wachtwoord = vol-toegang zonder tweede factor. **Fix**: app-layout redirect gebruikers zonder `totpEnabled` naar `/account` om in te schrijven; route-handlers checken vervolgens server-side (Codex-ronde 3, commit 8e18add) zodat de UI-redirect niet omzeilbaar is. **Files**: src/app/(app)/layout.tsx + (later) src/lib/auth.ts

jesse-a added the

fixed

security

severity-medium

labels

2026-05-26 18:23:54 +00:00

jesse-a commented

2026-05-26 18:23:54 +00:00

Author

Owner

Opgelost in commit b106b17.

Opgelost in commit b106b17.