<html><head><meta http-equiv="content-type" content="text/html; charset=us-ascii"></head><body style="overflow-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;"><div><span id="docs-internal-guid-72984463-7fff-9088-8c8a-8b1171b8c067"><p dir="ltr" style="line-height: 1.38; margin-top: 0pt; margin-bottom: 0pt;"><span style="font-size: 11pt; font-family: Arial, sans-serif; font-variant-ligatures: normal; font-variant-alternates: normal; font-variant-numeric: normal; font-variant-east-asian: normal; font-variant-position: normal; vertical-align: baseline; white-space: pre-wrap;">Dear Aleksi, Peter, and all,</span></p><br><p dir="ltr" style="line-height: 1.38; margin-top: 0pt; margin-bottom: 0pt;"><span style="font-size: 11pt; font-family: Arial, sans-serif; color: rgb(0, 0, 0); background-color: transparent; font-weight: 400; font-style: normal; font-variant-ligatures: normal; font-variant-caps: normal; font-variant-alternates: normal; font-variant-numeric: normal; font-variant-east-asian: normal; font-variant-position: normal; font-variant-emoji: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">Thank you for your emails, currently our efforts are focused on the first phase of deploying mandatory two-factor authentication (2FA). This first phase will include functionality to migrate 2FA to a new device.</span></p><p dir="ltr" style="line-height: 1.38; margin-top: 0pt; margin-bottom: 0pt;"><span style="font-size: 11pt; font-family: Arial, sans-serif; color: rgb(0, 0, 0); background-color: transparent; font-weight: 400; font-style: normal; font-variant-ligatures: normal; font-variant-caps: normal; font-variant-alternates: normal; font-variant-numeric: normal; font-variant-east-asian: normal; font-variant-position: normal; font-variant-emoji: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">The second phase is scheduled for the following quarters, and this is where we will look at expanding the authentication choices for 2FA. We will definitely consider your suggestions as we evaluate the possible options we can provide. </span></p><p dir="ltr" style="line-height: 1.38; margin-top: 0pt; margin-bottom: 0pt;"><span id="docs-internal-guid-74ed0a20-7fff-fb2b-2bc9-55dbc6faf877"></span><br class="Apple-interchange-newline"></p><br><p dir="ltr" style="line-height: 1.38; margin-top: 0pt; margin-bottom: 0pt;"><span style="font-size: 11pt; font-family: Arial, sans-serif; font-variant-ligatures: normal; font-variant-alternates: normal; font-variant-numeric: normal; font-variant-east-asian: normal; font-variant-position: normal; vertical-align: baseline; white-space: pre-wrap;">Regards,</span></p><p dir="ltr" style="line-height: 1.38; margin-top: 0pt; margin-bottom: 0pt;"><span style="font-size: 11pt; font-family: Arial, sans-serif; font-variant-ligatures: normal; font-variant-alternates: normal; font-variant-numeric: normal; font-variant-east-asian: normal; font-variant-position: normal; vertical-align: baseline; white-space: pre-wrap;">Eleonora,</span></p><p dir="ltr" style="line-height: 1.38; margin-top: 0pt; margin-bottom: 0pt;"><span style="font-size: 11pt; font-family: Arial, sans-serif; font-variant-ligatures: normal; font-variant-alternates: normal; font-variant-numeric: normal; font-variant-east-asian: normal; font-variant-position: normal; vertical-align: baseline; white-space: pre-wrap;">Chief Information Security Officer</span></p><p dir="ltr" style="line-height: 1.38; margin-top: 0pt; margin-bottom: 0pt;"><span style="font-size: 11pt; font-family: Arial, sans-serif; font-variant-ligatures: normal; font-variant-alternates: normal; font-variant-numeric: normal; font-variant-east-asian: normal; font-variant-position: normal; vertical-align: baseline; white-space: pre-wrap;">RIPE NCC</span></p></span><br class="Apple-interchange-newline"></div><div><br></div><div><br></div><br><div><blockquote type="cite"><div><div>----------------------------------------------------------------------<br><br>Message: 1<br>Date: Wed, 20 Mar 2024 19:09:23 +0200<br>From: Aleksi Suhonen <ripe-ml-2024@ssd.axu.tm><br>To: ncc-services-wg@ripe.net<br>Subject: Re: [ncc-services-wg] RIPE NCC Security Update<br>Message-ID: <9a980621-f64d-4d42-bac4-6a4e3109cf0e@ssd.axu.tm><br>Content-Type: text/plain; charset=UTF-8; format=flowed<br><br>Hi colleagues,<br><br>On 3/19/24 9:59 AM, Eleonora Petridou wrote:<br><blockquote type="cite">We have also strengthened password requirements and added a reminder<br>to enable 2FA when users log in to their RIPE NCC Access accounts.<br>This is an interim measure until mandatory 2FA is rolled out. Our<br>roadmaps have been updated to expedite the rollout of mandatory<br>two-factor authentication:<br></blockquote><br>The current policy does not allow for having the same OTP code on two <br>different mobile phones at the same time, so the only way to migrate to <br>a new phone is to turn off 2FA completely and then turn it back on again <br>to get a QR code for the new phone.<br><br>When 2FA becomes mandatory, it cannot be turned off, am I right?<br><br>What is the plan to enable the moving to a new phone or other <br>authenticator device?<br><br>Best Regards,<br><br>-- <br>         Aleksi Suhonen / Axu TM Oy<br>         Internetworking Consulting<br><br><br><br>------------------------------<br><br>Message: 2<br>Date: Wed, 20 Mar 2024 14:03:39 -0400<br>From: Peter Potvin <peter@accuris.ca><br>To: Aleksi Suhonen <ripe-ml-2024@ssd.axu.tm><br>Cc: ncc-services-wg@ripe.net<br>Subject: Re: [ncc-services-wg] RIPE NCC Security Update<br>Message-ID:<br><span class="Apple-tab-span" style="white-space:pre">       </span><CAC0MiJpKwc6Bh+L-kLf+QjwBvDN9W-yhifsweYkgV6R03bUUUQ@mail.gmail.com><br>Content-Type: text/plain; charset="utf-8"<br><br>This is a very good point, and I can see where the issue would occur when<br>the OTP application used doesn't support migration to a new device (which<br>some don;t in my experience). Another thing I (among other network<br>operators) would like to see is the implementation of support for WebAuthn<br>and multiple hardware keys. It's not solely sufficient in my opinion to<br>have only a single method of 2FA possible, so the support of different<br>types of 2FA would be great to have implemented prior to 2FA becoming<br>mandatory.<br><br>Kind regards,<br>Peter Potvin<br><br><br>On Wed, Mar 20, 2024 at 1:09?PM Aleksi Suhonen <ripe-ml-2024@ssd.axu.tm><br>wrote:<br><br><blockquote type="cite">Hi colleagues,<br><br>On 3/19/24 9:59 AM, Eleonora Petridou wrote:<br><blockquote type="cite">We have also strengthened password requirements and added a reminder<br>to enable 2FA when users log in to their RIPE NCC Access accounts.<br>This is an interim measure until mandatory 2FA is rolled out. Our<br>roadmaps have been updated to expedite the rollout of mandatory<br>two-factor authentication:<br></blockquote><br>The current policy does not allow for having the same OTP code on two<br>different mobile phones at the same time, so the only way to migrate to<br>a new phone is to turn off 2FA completely and then turn it back on again<br>to get a QR code for the new phone.<br><br>When 2FA becomes mandatory, it cannot be turned off, am I right?<br><br>What is the plan to enable the moving to a new phone or other<br>authenticator device?<br><br>Best Regards,<br><br>--<br>         Aleksi Suhonen / Axu TM Oy<br>         Internetworking Consulting<br><br>--<br><br>To unsubscribe from this mailing list, get a password reminder, or change<br>your subscription options, please visit:<br>https://mailman.ripe.net/<br><br></blockquote><br>***********************************************<br></div></div></blockquote></div><br></body></html>