Twitter zette 5500 werknemers in drie maanden over naar fysieke securitykeys

Twitter heeft in minder dan drie maanden tijd 5500 werknemers overgezet naar het gebruik van fysieke beveiligingssleutels. Het bedrijf zegt dat het intern is afgestapt van legacy-tweetrapsauthenticatie na een grote hack vorig jaar.

Twitter beschrijft in een blogpost hoe het de operatie heeft ondernomen. Dat proces begon in juni, en werd in oktober volledig afgerond. Binnen Twitter gebruikten werknemers verschillende soorten tweetrapsauthenticatie, waaronder via sms. Dat laatste is over het algemeen onveiliger dan 2fa via een one-time password of een fysieke sleutel.

Het bedrijf beschrijft hoe het ervoor koos om alle medewerkers te voorzien van een YubiKey 5 NFC. Daarbij moest worden samengewerkt met maker Yubico om de sleutels wereldwijd te distribueren. Vervolgens moesten op alle interne systemen WebAuthn worden ingeschakeld zonder dat dat direct verplicht werd. Later werden werknemers individueel begeleid in het instellen van de systemen. Daarna werd gecommuniceerd dat alle werknemers binnen een maand moesten overstappen, wat volgens Twitter voor 90 procent lukte.

Twitter zegt dat het voornamelijk heeft moeten leren veel ondersteuning vanuit systeembeheer te geven. Ook zegt het bedrijf dat apparaten met ingebouwde WebAuthn-protocollen zoals Apple met FaceID en Windows met Hello essentieel zijn voor dagelijks gebruik. De belangrijkste obstakels die er in de toekomst nog moeten worden genomen, zijn volgens het bedrijf het gebrek aan WebAuthn-ondersteuning in embedded browsers bij single sign-on-modellen, en het roteren van beveiligingssleutels.

De operatie werd uitgevoerd nadat Twitter in de zomer van vorig jaar gehackt werd. Aanvallers wisten via een werknemersaccount binnen te komen, en plaatsten vervolgens cryptoscams op accounts van prominente gebruikers. Twitter maakte tweetrapsverificatie met fysieke beveiligingssleutels al langer mogelijk, al blijft de adoptie met zo'n drie procent van gebruikers nog erg laag.

securitykeys

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 28-10-2021 11:51 32

28-10-2021 • 11:51

32

Lees meer

Yubico YubiKey 5 NFC

vanaf € 57,54

4 van 5 sterren

Alles over dit product

Wachtwoordmanagers in je browser

13 aug 2021

Wachtwoordmanagers in je browser

Hoe handig en veilig zijn ze?

144
Beveiligingssleutels onder de loep

27 jun 2020

Beveiligingssleutels onder de loep

Wat kun je met deze fysieke securitykeys?

228
YubiKey-maker Yubico wil in derde kwartaal naar Zweedse beurs
YubiKey-maker Yubico wil in derde kwartaal naar Zweedse beurs Nieuws van 19 april 2023
Yubico brengt nieuwe beveiligingssleutel met USB-C en NFC uit
Yubico brengt nieuwe beveiligingssleutel met USB-C en NFC uit Nieuws van 27 oktober 2021
Yubico brengt beveiligingssleutel YubiKey Bio met vingerafdruklezer uit
Yubico brengt beveiligingssleutel YubiKey Bio met vingerafdruklezer uit Nieuws van 5 oktober 2021
Meer producten en artikelen
Overige randapparatuur Beveiliging en antivirus Yubico

Reacties (32)

-Moderatie-faq
32
31
7
0
0
19
Wijzig sortering
Verwijderd 28 oktober 2021 12:09
Misschien moet ik maar eens een dagje inplannen om ook over te stappen. Ik heb al een nfc/usb YubiKey liggen maar heb nog steeds de stap niet genomen omdat ik goed moet uitzoeken hoe ik mezelf niet buitensluit als ik die key verlies of hij stuk gaat.
RocketKoen @Verwijderd28 oktober 2021 12:20
Bij bedrijven is dit veel minder een probleem. Je bent nooit de enige met toegang. Er is altijd wel iemand bij IT die je account aan een nieuwe key kan koppelen.
Je hebt nu hetzelfde met SMS als je van nummer wisselt. Met 2FA apps als je je telefoon kwijt raakt en met 2FA code generators die stuk gaan of kwijt raken.

Bij een privé computer is het handig om een 2e key te hebben. Die je dan ergens veilig opbergt.
Rav @RocketKoen28 oktober 2021 15:26
Met de Microsoft Authenticator app kun je een backup achter de hand houden gekoppeld aan je Microsoft account. Dan is er niets aan de hand als je telefoon stuk gaat of gejat wordt.
Elconejo @RocketKoen28 oktober 2021 21:20
Lastpass heeft net zoals Microsoft een backup functie voor de 2FA app, defecte telefoon is bijgevolg geen issue.
The Zep Man
@RocketKoen28 oktober 2021 12:59
Bij bedrijven is dit veel minder een probleem. Je bent nooit de enige met toegang. Er is altijd wel iemand bij IT die je account aan een nieuwe key kan koppelen.
Vertel dat maar aan Facebook... ;)
Recovery became difficult because all Facebook’s data centers were inaccessible

[Reactie gewijzigd door The Zep Man op 23 juli 2024 00:02]

RocketKoen @The Zep Man28 oktober 2021 13:02
Dat was niet omdat iemand zn security key kwijt was. Ze hadden de routers gesloopt. En het toegangssysteem van het datacentrum had internet nodig om te werken.
The Zep Man
@RocketKoen28 oktober 2021 13:05
Jouw opmerking:
Er is altijd wel iemand bij IT die je account aan een nieuwe key kan koppelen.
In dit geval was er niemand. Hierom dat er herstelscenario's uitgewerkt dienen te worden, juist voor de situatie dat niemand meer toegang heeft (fysieke/eenmalige offline sleutels bij een key escrow in een kluis, bijvoorbeeld).
En het toegangssysteem van het datacentrum had internet nodig om te werken.
En om de internetverbinding weer te laten werken, moesten ze in het datacentrum zijn. En om in het datacentrum te zijn, hadden ze toegang nodig. En om toegang te krijgen, was er een internetverbinding nodig.

[Reactie gewijzigd door The Zep Man op 23 juli 2024 00:02]

Verwijderd @The Zep Man28 oktober 2021 14:25
Trololo :+
begintmeta @Verwijderd28 oktober 2021 12:17
Ik gebruik al voor diverse zaken een paar yubikey 5nfc. Daarbij gebruik ik er een en de andere zijn backups (dus ook geregistreerd bij de authenticatieservers waar de primaire sleutel geregistreerd is, voorzien van dezelfde OTP en hmac secrets en van dezelfde PIV en PGP sleutels.
Op korte termijn bestaat dan bij een probleem met de primaire sleutel geen groot probleem
metalmania_666 @Verwijderd28 oktober 2021 15:23
Je kan 2 sleutels koppelen aan 1 account.
Ik heb op alle pc's en laptops thuis de Ubikey 5 en heb 2 sleutels die ik onafhankelijk van elkaar kan gebruiken
Windows 10 met de Ubikey software
itavero @Verwijderd29 oktober 2021 08:33
Net als bij andere sleutels (zoals van mijn auto), heb ik ook hier reserve sleutels. Je moet er alleen wel altijd aan denken als je ergens een nieuw account beveiligd, om die reserve sleutel ook voor de dag te halen (maar goed, dat verkleint dan weer de kans dat je vergeet waar die ligt).
Iblies 28 oktober 2021 12:10
Dit is minder “geek” dan het lijkt.

Het is nog steeds niet optimaal, maar wel een relatief simpele extra drempel om betere veiligheid te krijgen.

Met name in omgevingen waar oa high-profile mensen hebt of extreem belangrijke informatie moet je je afvragen of sms wel geschikt is,

https://arstechnica.com/i...as-hacked-for-five-years/
Syniverse, a company that routes hundreds of billions of text messages every year for hundreds of carriers including Verizon, T-Mobile, and AT&T, revealed to government regulators that a hacker gained unauthorized access to its databases for five years. Syniverse and carriers have not said whether the hacker had access to customers' text messages.
En dit bedrijf regelde de SMS voor grote delen van de wereld.
pagani @Iblies28 oktober 2021 12:19
Nou kun je natuurlijk ook softwarematig 2FA doen zonder sms (authenticator van MS, Google of eender welke partij), al is een hardwaresleutel uiteraard nog moeilijker te omzeilen.
MazDaMan1970 28 oktober 2021 12:57
Wij gebruiken die krengen hier op de zaak ook nog, enorm onhandig. Ze raken vaak zoek & zijn verhoudingsgewijs een dure investering. Gewoon 2FA, via een app gebruiken, zoals Duo, of een authenticator. Veel flexibeler & breder geaccepteerd bij de gebruikers.
MightyFool @MazDaMan197028 oktober 2021 13:11
Kun je ze niet gewoon aan je sleutelbos hangen?
MazDaMan1970 @MightyFool28 oktober 2021 13:13
Een collega van mij had er 1 aan haar sleutelbos hangen, totdat het ringetje los schoot...
AceAceAce @MazDaMan197028 oktober 2021 13:19
gewoon in je laptop laten hangen, veel handiger

;(
lilmonkey @MazDaMan197028 oktober 2021 15:15
Tja… betere kwaliteit ringetjes gebruiken dan? Wat een argument zeg…
MazDaMan1970 @lilmonkey28 oktober 2021 15:41
Dus jij vindt het blijkbaar handig om zo'n klein (duur) ding op zak te hebben, die je gemakkelijk kwijt kan raken?!? Wat is er mis met een smartphone? Daarmee voorkom je geneuzel over los schietende ringetjes, in het water vallen & nog meer van dat soort ongein. Op een smartphone zijn de gebruikers over het algemeen een stuk zuiniger & die raakt niet zo gauw kwijt, dan zo'n klein ding.
lilmonkey @MazDaMan197028 oktober 2021 17:14
Rare redenatie… persoonlijk ben ik toch echt net zo zuinig op m'n sleutelbos als op m'n telefoon hoor. En mensen raken hun telefoon net zo goed kwijt. Daarnaast is in het water vallen voor een hoop telefoons gewoon riskant, en een Yubikey kun je gewoon in de vaatwasser of wasmachine stoppen als je zou willen, dus waar je die onzin vandaan hebt weet ik al helemaal niet.

Fatsoenlijke ringetjes kosten bijna niets, dus verzin aub geen problemen die er niet zijn. Mijn Yubikey zit al jaren aan m'n sleutelbos met titanium ringetjes en karabiners van een paar euro, die komen met geen mogelijkheid los.
MazDaMan1970 @lilmonkey28 oktober 2021 18:12
Ik vind het iig overbodige rotdingen en onze gebruikers ook. Heb al genoeg aan mijn sleutelbos hangen :-D
Ruuddie @MazDaMan197028 oktober 2021 13:56
Precies, ik zie ook niet echt in waarom MFA via een app zoveel onveiliger zou zijn dan een fysieke key. Misschien voor enkele randgevallen waar ze targeted je telefoon over proberen te nemen o.i.d. Maar dat lijkt me zelfs te sophisticated voor de crypto scammers hack van Twitter hier, laat staan voor normale bedrijfsaccounts.
dashorst248 @Ruuddie28 oktober 2021 14:49
Voor kwaadwillende gebruikers binnen je organisatie is een fysieke sleutel veiliger aangezien je de originele authenticatiecode voor de 2fa niet kan dupliceren en zo met meerdere toestellen de OTP authenticatie kan doen.

Bijv. wanneer je met je google authenticator een code scant om de MFA toe te voegen kan je die QR ook nog met andere authenticatieapps inlezen en daar ook je OTPs mee genereren. Nou is dat handig op je eigen telefoon wanneer je bijv. je realiseert dat de google authenticator de sleutels niet meeneemt in een backup/restore bij een nieuwe telefoon. Maar je kan je ook voorstellen dat die QR gedeeld wordt met een vriend om zo de dienst waar te nemen wanneer jij lekker ligt uit te brakken van een avondje stappen, of dat je je werk uitbesteedt aan een goedkopere kracht ergens in India, of dat je de code deelt met iemand die toegang wil verkopen. Die scenarios gaan niet werken met een hardware sleutel.
Ruuddie @dashorst24828 oktober 2021 15:43
Dit is dus misbruik waarbij je als eindgebruiker opzettelijk zorgt voor misbruik. Tuurlijk is dat ook niet de bedoeling, maar m.i. ben je dan een technische oplossing aan het verzinnen voor een organisatorisch probleem.

Als hij zo graag zijn gegevens deelt met een malafide persoon, kan hij ook Teamviewer o.i.d. op zijn PC draaien en daarop toegang geven.
MazDaMan1970 @dashorst24828 oktober 2021 18:17
Sorry, maar dat is wel heel ver gezocht! 2FA/MFA dmv. een authenticator App is gewoon veilig. Ik kan net zoals bij een hardwarekey van allerhand fantastische scenario's bedenken, die de security onderuit haalt, maar we moeten wel realistisch blijven, anders kunnen we net zo goed weer met een pen en kladblok gaan werken ;-)
IStealYourGun @MazDaMan197028 oktober 2021 15:44
En vervolgens heb je idiote discussies met mensen die weigeren die applicatie te installeren want het is een privé smartphone.
MazDaMan1970 @IStealYourGun28 oktober 2021 15:51
Prima, dan krijgen ze gewoon een super goedkope smartphone, probleem opgelost... Over het algemeen is dat goedkoper, dan zo'n token.
IStealYourGun @MazDaMan197028 oktober 2021 16:18
Voor minder dan tien euro heb je al een fido2 key, zeker als je die in bulk koop. Succes een goedkopere smartphone te vinden.

De kost zit hem vooral in de software licenties en die moet je ook betalen bij een authenticator.
MazDaMan1970 @IStealYourGun28 oktober 2021 16:37
Mijn collega is laatst op zoek geweest naar een vervanger vd. Gemalto tokens die wij nu hebben, maar de goedkoopste tokens waren 40 Euro. Maar goed, wij gaan ze niet meer gebruiken & stappen gewoon over op 2FA/MFA via een smartphone App, vele malen handiger & breder geaccepteerd door de gebruikers.
Sebazzz @MazDaMan197028 oktober 2021 15:46
Ze raken vaak zoek & zijn verhoudingsgewijs een dure investering.
Dat is een probleem van de medewerker, en maak dat ook hun verantwoordelijkheid.

Toen wij nog met hardtokens werkte, was je ervoor verantwoordelijk die niet kwijt te raken. Ze waren een paar honderd euro per stuk, dus je zorgde er wel voor dat je het niet kwijtraakte.
MazDaMan1970 @Sebazzz28 oktober 2021 15:53
Ja, dat voorkomt nog niet dat ze ze kwijtraken. Ik heb hierover al diverse discussies gehad. Wij gaan ze hier op de zaak afschaffen; te duur & teveel gedoe. Een smartphone is vele malen makkelijker/goedkoper & net zo veilig, zoniet veiliger.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq