Instagram gaat tweetrapsauthenticatie invoeren

Instagram bevestigt dat het sociale netwerk tweetrapsauthenticatie gaat invoeren. Momenteel zou al met de extra beveiligingslaag getest worden. Wanneer alle 400 miljoen gebruikers de mogelijkheid krijgen om de functie te activeren is nog niet bekend.

De komst van tweetrapsauthenticatie is door Instagram bevestigd tegenover TechCrunch. Tot nu toe is het op Instagram niet mogelijk om in te loggen met een extra beveiliging, naast het zelfgekozen wachtwoord. Het sociale netwerk heeft veel te kampen met spam en voor hackers zijn Instagram-accounts met veel volgers een interessante prooi, omdat met zo'n account een groot aantal mensen bereikt kan worden.

Het inbreken op Instagram-accounts is relatief eenvoudig omdat er geen extra beveiligingslaag aanwezig is naast gebruikersnaam en wachtwoord. Zo bleek in november dat een populaire app voor Android en iOS wachtwoorden ontfutselde van gebruikers. De app claimde gebruikers te laten zien wie hun Instagram-foto's bekijkt, maar stuurde ondertussen de inloggegevens naar een andere server. Gebruikers moesten de app wel toegang geven tot hun Instagram-account en de dienst waarschuwt in zijn richtlijnen om dit niet te doen.

Met de komst van tweetrapsauthenticatie zijn gebruikers beschermd tegen dergelijke accountdiefstal, omdat bij iedere inlogpoging ook een code ingevoerd dient te worden die per sms naar de gebruiker wordt gestuurd. Sommige gebruikers zien in het menu van de app al de mogelijkheid om de functie te activeren. Instagram heeft het nieuws zelf nog niet naar buiten gebracht en het is niet bekend wanneer alle gebruikers de beveiligingslaag kunnen inschakelen.

IT-banen

Reacties (38)

Slavy 17 februari 2016 09:26

Als je hier heen gaat heb je een overzicht van veel voorkomende sites die het wel en niet ondersteunen. Heb onlangs voor mijzelf ook twee staps authenticatie aangezet

Anoniem: 26447 @Slavy • 17 februari 2016 11:29

Toch wel lekker handig als je geen mobieltje heb of sms, zoals er nog miljoenen zijn, hier in mijn woonblok tel ik er zo al 22, die alleen een standaard telefoon hebben zonder die mogelijkheden en dat zijn dus ouderen van 55 en hoger.

Anders @Anoniem: 26447 • 17 februari 2016 13:47

a) je kunt bij veel providers ook sms'en naar een landlijn
b) Het aantal mensen onder die "miljoenen" die geen SMS kunnen ontvangen maar wel gebruik maken van bv Instagram, Paypal, AWS, Bitcoin of Apple Cloud, kun je vermoedelijk op de vingers van 1 hand tellen. En dan nog is 2FA in de meeste gevallen meestal optioneel.

Anoniem: 26447 @Anders • 17 februari 2016 17:47

Dat begrijp ik wel, maar in het bejaardentehuis waar ik kom zie en hoor ik dat er vele nog nooit een computer gehad hebben en al helemaal geen mobieltje, zelf weet ik dat AH een SMS stuurt wanneer de boodschappen worden bezorgd, maar ik heb er nog nooit 1 gehad, ik heb gebeld naar de klantenservice en het verhaal uitgelegd, toen vertelde de klantenhulp, dat het helaas niet gaat naar mijn nummer en ik denk dat er vele duizenden mensen zijn die ook in die omstandigheden zitten.

Anonymoussaurus 17 februari 2016 09:31

Mooi dat ze deze techniek toepassen. Het liefst heb ik twee-traps-authenticatie bij bijna elke online dienst.

Tweakers

, zou wel een toegevoegde waarde voor mij zijn, als jullie een keer met twee-traps-authenticatie komen

MadEgg @Anonymoussaurus • 17 februari 2016 09:43

Wat zou iemand precies met je Tweakers-account moeten? Precies, bar weinig. Waarom dan een extra beveiligingslaag toevoegen?

Heb er natuurlijk geen bezwaar tegen zolang het optioneel blijft, maar ik zie er geen toegevoegde waarde in. Alleen meer werk om in te loggen.

jmerle @MadEgg • 17 februari 2016 09:46

Als iemand op een redelijk bekend Tweakers account kan inloggen is diegene in staat om foutieve V&A items te plaatsen, discriminerende forumposts en ga zo maar door. De financiële schade zal klein zijn, maar de morele schade kan zeker aanwezig zijn.

En eventuele reputatie kan natuurlijk ook verwoest worden.

MadEgg @jmerle • 17 februari 2016 11:23

Hacken is altijd vervelend voor het slachtoffer, maar je moet ook vanuit de hacker denken: wat schiet die er mee op? Meestal worden hackpogingen gedaan voor eigen gewin, zij het financieel of om andere redenen (zoals een hekel hebben aan het slachtoffer in kwestie). Bovendien zijn ongewenste forumposts en V&A adds sowieso al een problem op elk forum ,en daar hebben we dan ook moderators voor op Tweakers ( $_/-\o_$ ). Dat los je niet op met beveiliging van accounts zolang de accounts in kwestie vrij en gratis aan te maken zijn.

[Reactie gewijzigd door MadEgg op 23 juli 2024 10:24]

jmerle @MadEgg • 17 februari 2016 11:30

Het gaat er niet om dat er vervelende forumposts in het algemeen zijn, maar meer het plaatsen van deze posts vanaf het account van een ander, met als doel om de reputatie en het vertrouwen in deze persoon onderuit te halen.

Tegelijkertijd, je moet je eigen account gewoon niet weggeven. Maar 2FA kan dan toch nog zorgen voor een extra beveiliging en meer vertrouwen uit de ogen van de gebruiker.

Anoniem: 26447 @MadEgg • 17 februari 2016 11:33

Inderdaad, kan mij geen hacker op de wereld voorstellen, zelfs politie en NSA

die enig belag heeft in mijn geldrekening die op dit moment 73 euro rood staat, of enige forum reaktie wat meestal een hoop gezwets is

Anoniem: 382732 @jmerle • 17 februari 2016 11:09

Hoe groot is die schade als iedereen onder nicknames post?

jmerle @Anoniem: 382732 • 17 februari 2016 11:18

Niet iedereen heeft een anonieme nickname, en sommigen maken zichzelf met achternaam zichtbaar in een forum onderschrift (portfolio website e.d.) of forum posts.

Dus ja, er is zeker schade mogelijk.

Anonymoussaurus @MadEgg • 17 februari 2016 09:46

Ik heb 2 reviews geschreven, waaronder er 1 nogal lang en uitgebreid is (al zeg ik het zelf). Stel, iemand hackt Foritain z'n account, met 250 reviews. Vervolgens verwijderd de 'hacker' alle reviews. Dat is dan wel erg zuur namelijk..

MadEgg @Anonymoussaurus • 17 februari 2016 09:51

Zo specifiek? Dan is de hacker iemand die iets persoonlijk tegen je heeft, of tegen de reviews. Dat is echt een niche, moet je daarom iedereen er maar mee opzadelen?

En dan nog, voor nagenoeg alle diensten kan een wachtwoord best veilig zijn zolang de eigenaar er verstandig mee omgaat en het niet lukraak in allerhande apps invult. En als het wachtwoord voldoende lengte heeft natuurlijk, en de site het goed gezouten en gehashed opslaat. Ik zie er voor mezelf dan echt geen meerwaarde in, dus hou het graag optioneel.

Voor dingen als bankzaken en DigiD is het een ander verhaal, daar kan je als hacker veel meer kwaad mee doen en is het dus een aantrekkelijker doelwit.

Anonymoussaurus @MadEgg • 17 februari 2016 09:53

Ach, stel, dat ze het invoeren, dan ben jij niet degene die verplicht wordt hoor

. Mij lijk het eerder handig als het een optionele optie is.

Anoniem: 382732 @Anonymoussaurus • 17 februari 2016 11:08

Dan is dat toch een kwestie van de backup terugzetten die Tweakers ongetwijfeld maakt. En als er geen backup is, moet dat eerst worden opgelost lijkt me.

sonox @Anonymoussaurus • 17 februari 2016 09:35

Mij lijkt dat juist weer niets... dan heb je straks heel je telefoon vol zitten met apps/smsjes om op verschillende websites te kunnen inloggen want ze gebruiken weer bijna allemaal een eigen authenticatie app (ipv 1 universele). Ik ben groot voorstander voor twee trap authenticatie maar dan wel alleen voor belangrijke websites. Niet instagram tweakers etc. Als je een keer je telefoon vergeet kun je gelijk niets meer.

jmerle @sonox • 17 februari 2016 09:40

Fout. De meeste websites met 2FA (2-Factor-Authentication) hebben support voor de Google Authenticator app, welke alle 2FA codes in 1 app stopt zonder onnodige functionaliteit of advertenties.

Google Authenticator:
https://play.google.com/s...droid.apps.authenticator2

carpcatcher @sonox • 17 februari 2016 10:17

voor jouw misschien niet, maar mijn Instagram account is al 2x uitgeschakeld geweest voor onrechtmatig gebruik, waar ik me niet bewust van was.. zoals ze zelf omschrijven zijn accounts met veel volgers erg interessant.

(ik heb 11'000 volgers, en is het een mooi reclame platform voor mijn fotografie)

reckik @carpcatcher • 17 februari 2016 10:47

Moet het dan niet eerder de vraag zijn HOE ze je account al 2x hebben overgenomen? Zelf heb ik geen intstagram, maar het lijkt mij dat ze wel een captcha oid hebben om brute force te voorkomen. Ik weet wel dat als mijn account 2x overgenomen zou zijn, ik al mijn accounts stevig zou aanpakken.
Voor wat betreft 2staps authenticatie, zoals al meerdere hebben gezegt, voor DigiD, Bankzaken eventueel zelfs mail (ivm het resetten van wachtwoorden) maar daar blijft het voor mij bij. Ik moet er niet aan denken dat je bij elke keer inloggen je telefoon bij de hand moet hebben, zeker niet bij websites waar ze toch niets aan mijn gegevens hebben. Wordt al gestoord als Steam er weer om vraagt.

carpcatcher @reckik • 17 februari 2016 11:11

uhh... nee ze hebben geen captcha...

het is niet gekoppeld met me facebook of ander account, bruteforce.. hmm met + 12 characters en vreemde tekens lijkt me dat ook onwaarschijnlijk.

wel ooit eens hulpprogramma's zoals instatrack en hyperlapse gebruikt, maar dat zijn apps die in de Apstore van Apple staan met honderden - duizende recenties..
dus tja.. zeg het maar...

MadEgg @carpcatcher • 17 februari 2016 11:19

Als je een wachtwoord van 12 willekeurige karakters hebt gaat er echt ergens anders iets fout, dat is niet gebruteforced. Ofwel ga je zelf niet zorgvuldig met je login-gegevens om of laat je ingelogde browser-vensters open staan, ofwel Instagram heeft de beveiliging niet op orde. Dan hebben ze wel wat anders om aan te pakken, dan 2FA toe te voegen.

2FA biedt technisch gezien weinig extra beveiliging. Het is voornamelijk een beveiliging tegen social engineering en lakse houdingen van gebruikers t.o.v. beveiliging, zoals de app die in het artikel genoemd wordt. In dat geval is het dus sowieso PEBKAC.

Anonymoussaurus @sonox • 17 februari 2016 09:41

Een quote van mijn bericht in dit artikel:

Met Origin heb ik het niet, omdat ik dan de Google App authenticator moet downloaden. Vind het nogal onzin om dit voor 1 applicatie te doen. Alhoewel ik alles kan migreren naar die app van Google.

jmerle @Anonymoussaurus • 17 februari 2016 09:35

Mooi moment om er mee te komen

Ik ben laatst ook overgestapt, en de extra tijd die inloggen soms kost is het volledig waard voor de veiligheid die je terug krijgt.

Anonymoussaurus @jmerle • 17 februari 2016 09:39

Exact! Ik heb bij erg veel online diensten twee-traps-authenticatie ingeschakeld. Bijvoorbeeld ook bij Skype (inloggen met Microsoft account). Dan krijg ik eerst een SMS en dan vul je die code in. Dit moet ik dus elke keer doen als ik in wil loggen. Hetzelfde met Steam. Met Origin heb ik het niet, omdat ik dan de Google App authenticator moet downloaden. Vind het nogal onzin om dit voor 1 applicatie te doen. Alhoewel ik alles kan migreren naar die app van Google.

Het kost wat moeite, maar dan heb je ook wat.

[Reactie gewijzigd door Anonymoussaurus op 23 juli 2024 10:24]

sambalbaj 17 februari 2016 09:48

Opzich is 2FA een hele goede stap qua veiligheid en ook aan te raden voor bijna alle veelgebruikte online diensten.

Wat ik alleen jammer vind is dat bij de implementatie van 2FA ze eigenlijk standaard niet verder komen dan meestal een telefoonnummer of Facebook terwijl 2FA eigenlijk niets anders is dan 2 onafhankelijke verificatiemethoden.

Veel diensten wil ik mijn telefoonnummer echter helemaal niet geven en inloggen via Facebook doe ik buiten Facebook zelf ook nergens. Hierdoor komt 2FA in veel gevallen nog niet echt van de grond bij mij al zou ik wel willen.

Anonymoussaurus @sambalbaj • 17 februari 2016 09:55

De meest praktische methode vind ik toch die van Steam, dat hij om de zoveel seconde, een nieuwe code genereert die je moet invullen.

Silence 17 februari 2016 09:41

Ik vind dat er 1 standaard moet komen, of gewoon alles met de google authenticator, allemaal losse apps voor elke website wil ik ook weer niet.

Knetterhard 17 februari 2016 09:41

2FA werkt goed; echter word ik wel moe van al die Facebook-login vragen; ik heb namelijk geen Facebook meer. OAuth leek het een poos echt te gaan worden; echter vraag ik me af of dat niet langzamerhand aan het dood bloeden is. Zonde; want het werkte altijd soepeltjes. Maar thumbs-up voor instragram met de 2FA!

Anonymoussaurus @Knetterhard • 17 februari 2016 09:44

Waar ik me nog meer aan dood erger, is dat ik m'n Facebook account met geen mogelijkheid kan verwijderen. Ik kan niet eens meer inloggen (is al sinds 4 jaar zo). Dus ja.. dan kan ik hem moeilijk verwijderen

. Contact opnemen met Facebook is ook vrijwel onmogelijk..

Anoniem: 319464 @Anonymoussaurus • 17 februari 2016 10:04

Type in google "direct link delete facebook account". Binnen 14 dagen is die weg. Heb dat paar jaar geleden zo gedaan en na die 14 dagen nooit meer in kunnen loggeb. En mn nep naam, dat ik in timboekto woonde en de studie 'gaatjeniksaan' volgde. Die data mogen ze houden, veel plezier ermee.

Anonymoussaurus @Anoniem: 319464 • 17 februari 2016 10:14

Ja, maar dan moet je toch alsnog inloggen?

Heb het geprobeerd. Ik krijg een error 500 serverfout...

Heb dat van die direct link al eerder geprobeerd. Heeft nooit mogen baten..

[Reactie gewijzigd door Anonymoussaurus op 23 juli 2024 10:24]

EraYaN @Knetterhard • 17 februari 2016 16:26

OAuth (2) is zeker niet dood hoor. OAuth is dan ook maar een protocol.

Je bedoelt allicht OpenID? of Persona?

Anoniem: 319464 17 februari 2016 10:01

Zulke sites laat je toch niet je echte gegevens achter? 2 step heb ik bij bankzaken, helaas heeft protonmail dat nog niet, zoals paypal, digid enzo.

Instagram of facebook vertrouw ik mn mobiele nummer niet toe. Google ook niet, die zeikt echt altijd om mn mobiele nr, flikker toch op.

Maurits van Baerle 17 februari 2016 10:01

Hoewel 2FA natuurlijk een erg nuttige toepassing is vind ik het wel jammer dat het vaak alles of niets is. Of je gebruikt het helemaal niet of je gebruikt het voor alles (inclusief inloggen zodat je meerdere keren per dag een SMS moet ontvangen).

Ik zou soms graag willen dat 2FA gelimiteerd is tot bepaalde handelingen. Dat je bijvoorbeeld kunt instellen dat inloggen zonder 2FA kan maar dat wachtwoord of email wijzigen wel met 2FA moet. Daarmee voorkom je in ieder geval account diefstal.

[Reactie gewijzigd door Maurits van Baerle op 23 juli 2024 10:24]

wackmaniac 17 februari 2016 12:51

Ben vooral benieuwd naar welke methodiek ze gaan gebruiken. Het is echt een goede zaak dat een boel websites 2FA gaan aanbieden, maar het is wel strontirritant als ik voor elke website een eigen app moet downloaden. Wij hebben voor al onze producten een aantal jaar geleden al 2FA op basis van TOTP geïmplementeerd. Kan je gewoon regelen met de Google Authenticator en voor andere platformen zijn er gewoon alternatieven te downloaden.

Nokian95dude 17 februari 2016 18:36

Als je inloggegevens versleuteld op de server staan kan zo'n app die dus echt nooit ontfutselen... Maar altijd goed zo'n extra beveiligingslaag....

Orac 17 februari 2016 23:00

Ik vind 2-trapsauthenticatie waarbij je je telefoonnummer aan bijvoorbeeld Instagram moet geven voor een code via SMS waardeloos. Instagram krijgt echt niet mijn telefoonnummer. Gaat niet gebeuren.

[Reactie gewijzigd door Orac op 23 juli 2024 10:24]

Op dit item kan niet meer gereageerd worden.

Instagram gaat tweetrapsauthenticatie invoeren

Lees meer

IT-banen

Reacties (38)

Sorteer op:

Weergave: