Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 29, views: 15.256 •

WordPress.com heeft een extra authenticatiestap toegevoegd aan zijn blogplatform. Wie de functie inschakelt, moet naast zijn wachtwoord een door zijn smartphone gegenereerde code invoeren. Vooralsnog is de functie alleen beschikbaar voor bij WordPress gehoste blogs.

De implementatie van two-factor-authenticatie door WordPress.com maakt gebruik van de Google Authenticator-app voor iOS, Android, BlackBerry en Windows Phone, zo blijkt uit een blogpost. Die applicatie genereert elke halve minuut een nieuwe code, gebaseerd op een sleutel die verder alleen de server van WordPress.com kent. De code moet worden ingevoerd bij het inloggen, na het invoeren van het wachtwoord.

Daardoor zijn accounts beter beveiligd, belooft het blogplatform. De functie is optioneel, en wie niet over een smartphone beschikt kan codes laten toesturen via sms. De afgelopen tijd introduceerden veel internetbedrijven, waaronder Google, Facebook en Dropbox, ondersteuning voor de veiligere loginmethode.

Vooralsnog is de functionaliteit enkel beschikbaar voor weblogs die op WordPress.com worden gehost, en nog niet voor weblogs die de opensource-software van WordPress zelf hebben draaien. Een ontwikkelaar van Wordpress, Gary Pendergas, schrijft dat WordPress op dit moment bekijkt hoe de functionaliteit zou kunnen worden uitgerold naar die weblogs, maar dat daar op dit moment nog geen concreet plan voor is. Er is al wel een onofficiële plugin die two-factor-authenticatie toevoegt.

Wordpress two-factor authenticatieWordpress two-factor authenticatie

Reacties (29)

Op zich wel leuk als extra toevoeging natuurlijk. Dit is een reactie op de eerdere hacks waar wordpress mee kreeg te maken en two factor identificatie is niet alleen wenselijk maar ook ndoig om vertrouwen terug te winnen in mijn ogen. Dat gezegd hebbende is het dan wel weer zo dat je een smartphone moet hebben voor gebruik. Ik mag hopen dat two factor identificatie zonder ook gewoon nog een optie is voor het geheel.

Hoop dat de open source versie ook snel komt overigens. :)

@wwwhizz: Fijn om te horen. Niet overal waar wordtpress wordt gebruikt is smartphone een gemeengoed. Veel blogs vanuit wat minder gestelde landen bijvoorbeeld.

@Bones: o.a. nieuws: Hackers krijgen root-toegang tot WordPress-servers - update

[Reactie gewijzigd door Auredium op 8 april 2013 10:56]

Je hoeft geen smartphone te hebben, je kunt ook codes krijgen per SMS.
Je kan ook SMSjes ontvangen op een standaard huis-telefoon.
Koop dan een prepaid toestel met simkaart voor 15 euro en leg het in een la? Je kan echt niet serieus verwachten dat er rekening gehouden wordt met mensen zonder GSM als zelfs in zwart afrika meer en meer mensen er één beginnen krijgen. In sommige landen zoals India wordt het zelfs als een belangrijk betaalmiddel gebruikt.

Ik vind het trouwens moeilijk te geloven dat je er echt geen hebt. Hoe bel je dan? Goede oude huistelefoon? Wat als je onderweg of gewoon niet thuis bent? Je kan Skype zeggen, maar dan heb je nog een toestel nodig?

Btw als je dan echt zo graag GSM wilt vermijden, er zijn genoeg online diensten waar je een nummer kan kopen. Zelfs met gewoon Skype zou dat moeten lukken voor een paar euro.
Koop dan een prepaid toestel met simkaart voor 15 euro en leg het in een la?
En dan moet je elk jaar minimaal 1x opwaarderen om je nummer te behouden. Als je heel weinig belt, kost je dat dus meer dan dat je uiteindelijk belt... ;)
het is een optioneel middel, lees je het artikel wel?

WordPress.com heeft een extra authenticatiestap toegevoegd aan zijn blogplatform. Wie de functie inschakelt, moet naast zijn wachtwoord een door zijn smartphone gegenereerde code invoeren.

Verder als de titel lezen is tegenwoordig ook lastig geworden....
Welke eerdere hacks dan? Bron?
...gebaseerd op een algoritme dat verder alleen de server van WordPress.com kent.
Lijkt me dat hier de Google authenticatie server voor gebruikt word. Wel interessant om te zien dat externe partijen hun authenticatie via de Google Authenticator laten lopen!

@Auredium de open-source versie heeft hele andere problemen namelijk updates die niet uitgevoerd worden en door updates thema's die niet goed opgezet zijn gereset worden etc.

[Reactie gewijzigd door GewoonWatSpulle op 8 april 2013 10:32]

Kleine correctie hier.

De google authenticator is een applicatie die werkt op basis van TOTP ( time-based one-time password). Dat is gewoon een algoritme dat werkt met de 100% open source applicatie die toevallig door google gemaakt is. Er wordt geen informatie met google uitgewisseld om deze paswoorden te maken of te vergelijken. Het zal zelfs zonder netwerk verbinding kunnen werken bij lokaal inloggen.

Dit voordat mensen bang zijn dat hun informatie bij google terecht komt ;)
Nee; het artikel verwoordt het ook onjuist. Het algoritme kent iedereen; de seed zal slechts bij WordPress en op het toestel van de gebruiker bekend zijn. Het algoritme staat gewoon in 1 of meer RFC's beschreven.

Echte afhankelijkheid van Google is er dus ook niet. Er zijn ook andere apps waarmee dit prima werkt. Door te zoeken in de app-store op "totp" kom je alternatieven tegen.
Al langer gebruiken andere partijen ook de authenticator van google. Zo kun je het ook voor dropbox gebruiken.
Haha.. en dan toch back-up codes genereren.. Voor als je je telefoon verliest :)

aanvullend: "Print out some backup codes to keep in a safe place — your wallet, a filing cabinet or your document safe in case your phone is lost or stolen. You can print backup codes right from your WordPress.com Security tab."

[Reactie gewijzigd door vhartong op 8 april 2013 10:34]

Dat verplaatst het probleem dus naar de gebruiker zelf. Geen slechte zaak lijkt me. Een mens moet maar leren om verantwoord om te gaan met wachtwoorden :P

Je schrijft je pincode toch ook niet op je bankkaart...
Ja, maar dat haalt toch het hele effect weg van je telefoon gebruiken? Of zie ik dit nu verkeerd?
De hele truc van de dubbele beveiliging is dat je iets moet weten (je wachtwoord) en iets moet bezitten (de telefoon) om in te kunnen loggen. Een wachtwoord is relatief eenvoudig te onderscheppen. Maar alleen daarmee ben je nog niet binnen, dan moet je nog toegang hebben tot de bewuste telefoon. De combinatie van deze twee factoren is veel sterker dan de twee losse methoden.

De reserve-wachtwoorden (als je er voor kiest om die aan te maken) heb je ook fysiek bij je. Bijvoorbeeld in je portemonnee of in een schoenendoos met je belangrijke documenten. Hiervoor geldt exact hetzelfde als voor de smartphone: je moet het fysieke papiertje met daarop de codes in handen zien te krijgen voordat je kunt inloggen. Overigens moet je (bij Google tenminste) ook dan het wachtwoord invoeren - aan alleen de codes heb je dus niets.

[Reactie gewijzigd door ari op 8 april 2013 12:44]

Mijn hele punt is juist dat je de huidige wachtwoorden ook physiek bij je kan hebben. En dat je dus ook een wachtwoord hebt indien je telefoon dus weg is, dan heb je dus niet meer dat ene nodig wat je moet bezitten.
Dus kun je alsnog met een wachtwoord dus inloggen. (zonder het 'bezit' erbij te hebben). Dat maakt de functie naar mijn idee overbodig.
Netjes! Zoiets zullen we vast nog wel terugzien in de Opensource versie van Wordpress. Dat gaat nog wel even duren denk ik, maar het is wel zeker zo veilig. Ook voor mensen die niet zo voorzichtig omgaan met hun wachtwoorden helpt deze extra stap.
Ik verwacht eigenlijk dat we 't in Jetpack, een bundel officiële extensies die ook op WordPress.com gebruikt worden, terug zullen gaan zien.
Er is reeds een plugin voor beschikbaar: Wordpress > Google Authenticator.
En wat nu als je geen smartphone hebt? Niet iedereen hangt aan dit infuus namelijk. Een sms code zou beter zijn, dat ondersteund elke telefoon.
Staat in het artikel.. :)
Daardoor zijn accounts beter beveiligd, belooft het blogplatform. De functie is optioneel, en wie niet over een smartphone beschikt kan codes laten toesturen via sms.

[Reactie gewijzigd door Erulezz op 8 april 2013 11:10]

Goede zet. Nu hoop ik wel dat ze de mogelijkheden uitbreiden. Ik zou graag mijn YubiKey willen gebruiken.
Dit gebruik ik inmiddels al een jaar op mn eigen wordpress? je kan de module Google Authenticator installeren, zie hier de site van degene die deze gemaakt heeft: http://henrik.schack.dk/google-authenticator-for-wordpress
Dit kan al gebruikt worden via een Google Applicatie. Wel lijkt het me een mooie toevoeging als het standaard in Wordpress kan. Ik ben benieuwd hoe het gaat lopen.
Goed om te lezen. 2 Factor zet ik praktisch voor alles aan waar het kan. Het is even wennen en soms doorbijten, maar uiteindelijk wordt het een gewoonte, net als je computer locken op kantoor als je naar het toilet gaat.

Ik ben verbijsterd dat Microsoft zich zo hardnekkig blijft verzetten tegen 2 factor authentication.

Leuk je infrastructuur bij Windows Azure, maar als een username wachtwoord voldoende is om binnen te komen....
Ik ben voorstander, maar ik kan me alvast voorstellen dat een eenvoudige gebruiker dit als een tweede extra, overbodige stap ziet. Maar zolang het niet verplicht is, heeft men nog de keuze.

Op dit item kan niet meer gereageerd worden.



Populair: Gamescom 2014 Websites en communities Smartphones Beheer en beveiliging Windows Sony Microsoft Games Consoles Besturingssystemen

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013