Twitter werkt aan two-step-authentication
Twitter is waarschijnlijk van plan om two-step-authentication in te voeren. In een vacature vraagt het bedrijf om iemand die de beveiligingsmaatregel kan ontwerpen en ontwikkelen. Afgelopen zaterdag werd bekend dat hackers hebben ingebroken op de servers van Twitter.
In de vacature, die door The Guardian werd opgemerkt, vraagt Twitter specifiek om een ontwikkelaar die zich richt op het 'ontwerpen en ontwikkelen van beveiligingsmaatregelen aan de kant van de gebruiker, zoals multifactor authentication'. Ook detectie van frauduleuze loginpogingen behoort tot de taken van de aan te nemen ontwikkelaar.
Two-factor-authentication laat gebruikers niet alleen een wachtwoord invoeren, maar ook een code die bijvoorbeeld naar de mobiele telefoon van de gebruiker wordt gestuurd. Dat moet de beveiliging van accounts verbeteren. Onder meer Google, Facebook en Dropbox bieden de verscherpte beveiliging al aan, en ook in veel zakelijke omgevingen wordt de techniek gebruikt, bijvoorbeeld met een apart apparaatje dat bij het inloggen een unieke code genereert die moet worden ingevoerd.
Het nieuws volgt kort op een hack op de servers van Twitter, waarbij misschien toegang is verkregen tot gegevens van 250.000 gebruikers, vooral oudgedienden die zich in 2006 of 2007 hadden geregistreerd. De aanvallers wisten van die gebruikers onder meer e-mailadressen, tokens van sessies en versleutelde wachtwoorden buit te maken. Het is onduidelijk of Twitter pas na deze hack besloot om two-factor-authentication in te voeren.
Reacties (24)
Waarschijnlijk wilden ze dit al langer toevoegen, omdat je ook op andere sites met je twitter account kunt authenticeren (net als FB).
Dit bericht is meer een goedmakertje voor die hack, ook al heeft het niet direct met elkaar te maken.
Dit bericht is meer een goedmakertje voor die hack, ook al heeft het niet direct met elkaar te maken.
Ik denk dat men ervoor moet waken dat nieuwe beveilingsmaatregelen te veel ten koste zullen gaan van user experience.
Hetzelfde geldt overigens voor captcha's die steeds lastiger leesbaar worden (zie nieuwsbericht Ticketmaster).
Zolang er keuzevrijheid is, zoals bij Google, is er niet zo veel aan de hand. Persoonlijk hecht ik niet dusdanig veel belang aan mijn Twitter account om two-step authentication te willen. Maar dat de mogelijkheid geboden wordt voor diegene die dat wel willen (en snappen waarom het belangrijk kan zijn) lijkt me prima.
Overigens begrijp ik niet de direct link met de hack. Ik neem even voor het gemak aan dat er niet duizendende accounts zijn buitgemaakt door één user account te hacken (iets wat met two step authentication moeilijker wordt gemaakt), maar dat het de oorzaak bij een intern beveilingsprobleem ligt.
Hetzelfde geldt overigens voor captcha's die steeds lastiger leesbaar worden (zie nieuwsbericht Ticketmaster).
Zolang er keuzevrijheid is, zoals bij Google, is er niet zo veel aan de hand. Persoonlijk hecht ik niet dusdanig veel belang aan mijn Twitter account om two-step authentication te willen. Maar dat de mogelijkheid geboden wordt voor diegene die dat wel willen (en snappen waarom het belangrijk kan zijn) lijkt me prima.
Overigens begrijp ik niet de direct link met de hack. Ik neem even voor het gemak aan dat er niet duizendende accounts zijn buitgemaakt door één user account te hacken (iets wat met two step authentication moeilijker wordt gemaakt), maar dat het de oorzaak bij een intern beveilingsprobleem ligt.
[Reactie gewijzigd door werchter op dinsdag 5 februari 2013 14:56]
Moet dit dan telkens wanneer je inlogt? Dat lijkt me nogal omslachtig. Ik neem mijn Twitter account ook niet echt serieus. Het is een kleine kans dat ik het verlies, en dan nog zou ik het geen ramp vinden.
Google biedt tegenwoordig een "Trust this computer" aan, waardoor zoals bovengenoemd je PC een bepaalde sessie blijft bevatten totdat je echt keihard je cache gaat legen, waarna je weer opnieuw zou moeten authenticeren.
Dus als jij 30 dagen doet met je cache dan hoef je het dus maar eens in de 30 dagen te doen.
Dus als jij 30 dagen doet met je cache dan hoef je het dus maar eens in de 30 dagen te doen.
Trust this computer can google is niets meer Dan een cookie die op he of wordt geplaatst. Google geeft hier een ttl aan mee soms kan de bezoeker kiezen zoals Bin t.net hoelang de sessie mag duren. Maar ook je cache legen heeft hier invloed op.
Beste wat je zou kunnen doen is met een cert werken die gekoppeld wordt aan jouw pc hoeft btw geen cert te zijn zoals we nu kennen maar zou ook een nieuw type beveiliging kunnen zijn die fysiek op je pc aanwezig is op cookie na natuurlijk. Belangrijkste is dat er iets is dAt wordt opgeslagen op je computer en alleen bekend is op de webservices. Door middel van een aparte authenticatie server.
Beste wat je zou kunnen doen is met een cert werken die gekoppeld wordt aan jouw pc hoeft btw geen cert te zijn zoals we nu kennen maar zou ook een nieuw type beveiliging kunnen zijn die fysiek op je pc aanwezig is op cookie na natuurlijk. Belangrijkste is dat er iets is dAt wordt opgeslagen op je computer en alleen bekend is op de webservices. Door middel van een aparte authenticatie server.
Eindelijk! Heerlijk is dat. Al is two step authentication niet de ideale oplossing, inloggen duurt zo weer langer. Gewoon een sterke passphrase gebruiken?
Afhankelijk van welke techniek er wordt gebruikt.
Als je een Certificaat op je machine laat zetten. en je hebt een wachtwoord heb je al een Two Step Auth. Want op geen andere computer kan je met je wachtwoord dan op je account komen als voorbeeld.
Het hoeft dus niet perse langer te duren om in te loggen. Het ophalen en installeren van een certificaat die gekoppeld is aan je account en wachtwoord kan al voldoende zijn om eeen systeem iets veiliger te maken. Certificaat kan dan ook gekoppeld worden aan een bepaalde machine waardoor cert op een andere machine dus onbruikbaar is
Anderemanier is om een externe database jou te authentiseren. Die stuurt jou door naar Twitter die jouw gegevens controleerd dus Password en je persoonlijke inlogpagina met SAML token.. Dan heb je ook maar single point of contact. en 1 wachtwoord.
Als je een Certificaat op je machine laat zetten. en je hebt een wachtwoord heb je al een Two Step Auth. Want op geen andere computer kan je met je wachtwoord dan op je account komen als voorbeeld.
Het hoeft dus niet perse langer te duren om in te loggen. Het ophalen en installeren van een certificaat die gekoppeld is aan je account en wachtwoord kan al voldoende zijn om eeen systeem iets veiliger te maken. Certificaat kan dan ook gekoppeld worden aan een bepaalde machine waardoor cert op een andere machine dus onbruikbaar is
Anderemanier is om een externe database jou te authentiseren. Die stuurt jou door naar Twitter die jouw gegevens controleerd dus Password en je persoonlijke inlogpagina met SAML token.. Dan heb je ook maar single point of contact. en 1 wachtwoord.
Een passphrase zou iedereen kunnen achterhalen door je bijvoorbeeld te kennen. Een token is eenmalig en daardoor veiliger omdat (als het goed is) jij de enige bent die je smsjes kan lezen.
Straks heb je dus je mobieltje nodig, om in te kunnen loggen op twitter?
Waar is dat nu goed voor?
Ik vind het prima als extra beveiliginsoptie, zolang er maar keuzevrijheid blijft.
Waar is dat nu goed voor?
Ik vind het prima als extra beveiliginsoptie, zolang er maar keuzevrijheid blijft.
2 step? Meestal heet het echt 2 factor authorisation.
kies 2
-Something you know, (b.v.. password)
-Something you have (e.g Rsa token, of sms berichtje)
-Something you are (biometrie)
kies 2
-Something you know, (b.v.. password)
-Something you have (e.g Rsa token, of sms berichtje)
-Something you are (biometrie)
Lijkt me niets voor Twitter omdat gebruikers vaak snel een kort berichtje posten. Als je dan steeds moet inloggen met een code van je gsm is dat best een omslachtige handeling.
Je koppelt deze zaken eenmalen of een token heeft een bepaalde levensduur. Zo kan je bijvoorbeeld bij Google een device (bijvoorbeeld je mobiel) koppelen met een eenmalig password. Wanneer dit eenmaal gekoppeld is en je telefoon word gestolen dan kun je deze pass "revoken" waardoor de account niet meer ingelogd is op het device.
Dus je typt niet bij elke tweet het token in, maar wanneer iemand je username en wachtwoord hebt ontvang jij op je device bijvoorbeeld nog een sms. Zo kan iemand die op dat moment niet op je scherm kan kijken inloggen op je account, doordat jij de eenmalige code van een aantal karakters op je scherm krijgt.
In dat geval heb je dus de volgende dingen nodig om te authenticatie te starten:
Gebruikersnaam
Wachtwoord
Token die 5 minuten geldig is, en zal worden verstuurd naar een device (mobiel bijv).
Dus je typt niet bij elke tweet het token in, maar wanneer iemand je username en wachtwoord hebt ontvang jij op je device bijvoorbeeld nog een sms. Zo kan iemand die op dat moment niet op je scherm kan kijken inloggen op je account, doordat jij de eenmalige code van een aantal karakters op je scherm krijgt.
In dat geval heb je dus de volgende dingen nodig om te authenticatie te starten:
Gebruikersnaam
Wachtwoord
Token die 5 minuten geldig is, en zal worden verstuurd naar een device (mobiel bijv).
Het is wel frustrerend dat crackers je business verzieken en het kost kapitalen. Maar ja, het hoort er eenmaal bij.
Het zorgt alleen voor een extra beveiliging tijdens het inloggen.
Als ze in de database kunnen (zoals laatst) heeft een two-step helemaal geen meerwaarde.
Je argument over crackers heeft daarom niet echt een meerwaarde.
Als ze in de database kunnen (zoals laatst) heeft een two-step helemaal geen meerwaarde.
Je argument over crackers heeft daarom niet echt een meerwaarde.
Werd ook tijd, het Google netwerk heeft het al jaren, Facebook heeft het al een poos, echter ontbrak Twitter nog.
Niet dat het trouwens zin heeft bij een hack van de database maar alsnog...Het nieuws volgt kort op een hack op de servers van Twitter, waarbij misschien toegang is verkregen tot gegevens van 250.000 gebruikers, vooral oudgedienden die zich in 2006 of 2007 hadden geregistreerd. De aanvallers wisten van die gebruikers onder meer e-mailadressen, tokens van sessies en versleutelde wachtwoorden buit te maken. Het is onduidelijk of Twitter pas na deze hack besloot om two-factor-authentication in te voeren.
Natuurlijk wel. Vaak is zo'n hack van een database alleen een database dump die naar buiten wordt gebracht. Echter heb je met two factor authentication niets meer aan alleen de wachtwoorden. Dan moet je ook de codes of het mobieltje waarnaartoe gestuurd wordt in bezit hebben.
Tenzij ze natuurlijk two-factor authentication met een app gaan implementeren ala blizzard, dan zullen de keys per user wel weer in de database ergens staan...
Tenzij ze natuurlijk two-factor authentication met een app gaan implementeren ala blizzard, dan zullen de keys per user wel weer in de database ergens staan...
Nou zolang ze de gebruikersgegevens (username, password, mobiel telefoonnummer, e.d.) niet encrypten dan kan je dus alsnog een grote personenlijst samenstellen. Deze informatie is ook openbaar, maar over het algemeen kan je het e-mailadres nergens zien.
Dus wanneer je two-step authentication toevoegd, en je hackt daarna alsnog de database dan heb je nog steeds een lijst met e-mailadressen, voornamen, achternamen, etc, zolang deze data niet is ge-encrypt.
Dus wanneer je two-step authentication toevoegd, en je hackt daarna alsnog de database dan heb je nog steeds een lijst met e-mailadressen, voornamen, achternamen, etc, zolang deze data niet is ge-encrypt.
Ik snap niet dat ze dit nog niet hebben. Facebook heeft het al een lange tijd (en het werkt ook goed).
Facebook is super qua beveiliging. Het detecteert vreemde toestellen, en vreemde locaties. Als je dan wil nog wil inloggen, heb je meer nodig dan enkel een paswoord.
Inderdaad, super irritant. Ben je op vakantie, wil je even snel iets posten, moet je eerst mensen op foto's gaan identificeren wat niet eens ergens op slaat omdat bij de helft van de foto's waarop iemand getagd is, dat met het idee gedaan is om aan te geven dat die persoon daarbij aanwezig was, en niet zo zeer dat die persoon daar op de foto staat.
Ik ben niet zo achterlijk om domme, onveilige wachtwoorden te gebruiken of die aan anderen kenbaar te maken, waarom mag ik dan niet gewoon dit soort maatregelen uitzetten die uitsluitend dienen om onwetende gebruikers met eenvoudige wachtwoorden te beschermen als ze weer eens op 'Ja, wachtwoord opslaan' of 'Blijf ingelogd' klikken op een vreemde computer, of gewoon hun wachtwoord invullen naar aanleiding van het eerste de beste phishing-mailtje?
Ik ben niet zo achterlijk om domme, onveilige wachtwoorden te gebruiken of die aan anderen kenbaar te maken, waarom mag ik dan niet gewoon dit soort maatregelen uitzetten die uitsluitend dienen om onwetende gebruikers met eenvoudige wachtwoorden te beschermen als ze weer eens op 'Ja, wachtwoord opslaan' of 'Blijf ingelogd' klikken op een vreemde computer, of gewoon hun wachtwoord invullen naar aanleiding van het eerste de beste phishing-mailtje?
Een two-step authentication houdt alleen in dat het de hacker moeilijker wordt gemaakt, niet onmogelijk.Hoe je het namelijk ook wendt of keert, er wordt een encryptie naar je mobiele telefoon gestuurd. DIt bericht verlaat een bepaald punt en de code komt weer op een bepaald punt binnen.
Niet met TOTP dat oa door Google, Amazon en Dropbox wordt gebruikt.Hoe je het namelijk ook wendt of keert, er wordt een encryptie naar je mobiele telefoon gestuurd.
Maar TOTP maakt wel gebruik van een shared key/seed die dus op je telefoon staat...
Ik vermoed dat Maistah doelt op het risico van MITM, al dan niet via SMS authentication.
Lekker solide argument. Dus omdat FB het al lange tijd gebruikt, had Twitter dit ook moeten doen?
Het is zeker waar dat het de veiligheid ten goede komt. Two factor vind je overigens op steeds meer plekken terug. Waar men dit eerst gewend was bij banken en andere betalingssites, worden nu alle accounts met hoge waarde (lees: Outlook.com, Gmail, social media, etc) beveiligd d.m.v. deze methode.
Het is zeker waar dat het de veiligheid ten goede komt. Two factor vind je overigens op steeds meer plekken terug. Waar men dit eerst gewend was bij banken en andere betalingssites, worden nu alle accounts met hoge waarde (lees: Outlook.com, Gmail, social media, etc) beveiligd d.m.v. deze methode.
[Reactie gewijzigd door Passeridae op dinsdag 5 februari 2013 13:47]
Op dit item kan niet meer gereageerd worden.
Onderwerpen
Populair: Samsung Websites en communities Mobiele telefoons Google Sony Games Microsoft Politiek en recht Consoles Microsoft Xbox One
© 1998 - 2013 Tweakers.net B.V. Contact Over Tweakers Jouw privacy Algemene voorwaarden Cookies
Tweakers wordt uitgegeven door De Persgroep en wordt gehost door True
