Twitch introduceert two-factor-authenticatie

Streamingsite Twitch voegt een nieuwe beveiligingslaag toe in de vorm van two-factor-authenticatie. Gebruikers kunnen vrijwillig gebruikmaken van deze optie, waarbij na het invullen van een wachtwoord een unieke token naar de mobiele telefoon wordt gestuurd.

Volgens Twitch kunnen gebruikersaccounts op deze manier beter beveiligd worden. Twitch logo
Na het instellen van two-factor-authenticatie is het alleen nog maar mogelijk in te loggen met een combinatie van het wachtwoord en de unieke token. Zonder deze token is het account niet te benaderen. Dit zorgt ervoor dat ook wanneer het wachtwoord bekend is bij derden het account niet in gevaar is. Begin dit jaar kwam Twitch nog in de problemen door een hack waarbij accountgegevens waren buitgemaakt.

Twitch geeft aan dat deze vorm van authenticatie op dit moment alleen mogelijk is via sms en de partner-app Authy, dus niet via populaire apps als Google Authenticator. Bij software die gebruikmaakt van een oudere authenticatiewijze, bijvoorbeeld El Gato of Wirecast, dient de token direct achter het wachtwoord geplakt te worden bij het inloggen. Het instellen van two-factor-authenticatie neemt bij Twitch ongeveer vijf minuten in beslag en vereist alleen een mobiel telefoonnummer

Door Sander van Voorst

Nieuwsredacteur

Feedback • 10-11-2015 12:05
31 • submitter: Vickiieee

10-11-2015 • 12:05

31

Submitter: Vickiieee

Lees meer

Google voert vereenvoudigde tweetrapsauthenticatie in
Google voert vereenvoudigde tweetrapsauthenticatie in Nieuws van 21 juni 2016
Twitch geeft gebruikers mogelijkheid om clips van 30 seconden te delen
Twitch geeft gebruikers mogelijkheid om clips van 30 seconden te delen Nieuws van 26 mei 2016
Twitch wil dat ontwikkelaars streamingdienst in games inbouwen
Twitch wil dat ontwikkelaars streamingdienst in games inbouwen Nieuws van 15 maart 2016
Google test manier om zonder wachtwoord in te loggen op account
Google test manier om zonder wachtwoord in te loggen op account Nieuws van 22 december 2015
Twitch kampt mogelijk met hack
Twitch kampt mogelijk met hack Nieuws van 24 maart 2015
Meer producten en artikelen
Websites en community's Netwerk en systeembeheer Twitch Beveiliging

Reacties (31)

-Moderatie-faq
31
29
27
2
0
0
Wijzig sortering
stin00 10 november 2015 12:10
Een tweetraps authenticatie is vele malen veiliger, maar ik vind het zelf enorm irritant om elke keer een code te moeten intypen bij het inloggen. Daarnaast ben ik benieuwd wat er bij een nieuwe hack gebeurt; wordt dan ook mijn mobiele telefoonnummer buit gemaakt? Enfin het is in ieder geval veiliger dan alleen een wachtwoord, maar ik wil liever niet zo extreem afhankelijk worden van m'n mobiele telefoon.. Ik kijk al veel te vaak op dat ding :)
RobIII Moderator GoT @stin0010 november 2015 12:22
Daarnaast ben ik benieuwd wat er bij een nieuwe hack gebeurt; wordt dan ook mijn mobiele telefoonnummer buit gemaakt?
Kort: waarschijnlijk wel. Maar lees even verder voor de nuance(s).

Tenzij je dat invult in je account en/of de SMS-2FA variant gebruikt: nee. Voor TOTP 2FA is een (eenmalige) secret vereist die je (vaak in de vorm van een QR-code) in je telefoon zet. Dat is gewoon een random zooitje bits. Op basis daarvan kan de 2FA-app elke X interval (doorgaans 30 seconden) een code genereren. Omdat de andere kant (server-side) je secret ook weet (zij zijn immers degenen die 't je hebben verstrekt) kan de andere kant controleren of de code die je invoert overeen komt met wat zij verwachten dat je invoert omdat men aan die kant hetzelfde algoritme gebruikt.

Echter: Helaas kiest Twitch dus voor de SMS variant en dan is het afhankelijk van hoe ze je telefoonnummer opslaan hoe 'open en bloot' het is in geval van een hack. Hadden ze voor TOTP gekozen dan waren ze meteen veel meer compatible met allerlei 2FA apps (waaronder Google authenticator) en hadden ze zich de SMS kosten etc. ook nog eens bespaard...

[Reactie gewijzigd door RobIII op 25 juli 2024 01:47]

CH4OS @RobIII10 november 2015 12:47
Alleen wordt TOTP niet gebruikt, aangezien Google Authenticator niet ondersteund wordt en die juist een TOTP 2FA tool is.

[Reactie gewijzigd door CH4OS op 25 juli 2024 01:47]

bartvb @CH4OS10 november 2015 13:02
Net als Authy alleen gebruikt Authy een wat aangepaste versie van de (open) TOTP standaard die Google Authenticator implementeert. Wat meer details:
https://blog.cloudflare.c...or-authentication-system/

Twitch gebruikt SMS (via je telefoon) en TOTP (via Authy).
wjn @stin0010 november 2015 12:23
Een tweetraps authenticatie is vele malen veiliger
Je hoort er weinig mensen over, omdat het als een veilig alternatief moet gelden, maar dit is allang gehackt.

Kort door de bocht, ze hacken je gegevens (desnoods uit een andere bron, mogelijkheden zat), vragen daarmee een nieuwe simkaart aan bij je provider en klaar.

Bron: Computerbild 24/2015.

[Reactie gewijzigd door wjn op 25 juli 2024 01:47]

Zer0 @wjn10 november 2015 12:30
Een tweetraps authenticatie is vele malen veiliger
Two-factor is veiliger, niet onkraakbaar. Zoals je zelf al aangeeft, men zal een hoop extra moeite moeten doen om two-factor te omzeilen, en dat is lang niet zo simpel als jij het doet lijken.
RobIII Moderator GoT @wjn10 november 2015 12:31
Bij een TOTP 2FA heb je geen kont aan een nieuwe SIM. Daarbij is 2FA, ook "de SMS manier", nog altijd vele malen veiliger dan 'alleen een wachtwoord'. Je werpt immers een (behoorlijke) extra drempel op; of je die drempel kunt overwinnen door een nieuwe Simkaart te bestellen of door andere kunst-en-vliegwerk uit te halen is leuk maar vaak niet lonend of makkelijker traceerbaar naar de kwaadwillende.
cariolive23 @wjn10 november 2015 12:33
[...]
Kort door de bocht, ze hacken je gegevens (desnoods uit een andere bron, mogelijkheden zat), vragen daarmee een nieuwe simkaart aan bij je provider en klaar.
En dit laat weer zien dat het aanvragen van een nieuwe simkaart niet op een veilige manier gebeurt: Iedereen kan dit voor jou doen, er is voldoende informatie over jou bekend om een medewerker voor de gek te houden.

Beveiliging is zo sterk als de zwakste schakel.
MAher @cariolive2310 november 2015 13:15
Geen Facebook, alleen onder nick online, geen linkedin. Niks. Dan wordt het lastig.

Wordt internet ook wat minder gebruiksvriendelijk/entertaining maar dat is de prijs die je moet betalen.
Yggdrasil @stin0010 november 2015 12:17
Goede opmerkingen. Dat laatste wordt gelukkig verholpen doordat Authy kan synchroniseren tussen meerdere apparaten, bijv. je telefoon, tablet en pc. Zo is er ook een Chrome app voor op je pc waarmee je dezelfde tokens kunt genereren.
Zer0 @Yggdrasil10 november 2015 12:26
Dat levert natuurlijk wel een extra risico op, als een ander er in slaagt zijn Authy-app met die van jouw te synchroniseren kan hij ongemerkt de juiste codes genereren.
RobIII Moderator GoT @Zer010 november 2015 12:33
Dan moet diegene dus nog steeds én je wachtwoord te pakken zien te krijgen én je authy gegevens te pakken krijgen. Hence 2FA: 2 factoren die je moet overwinnen om iets te kunnen.
Jerie @Zer010 november 2015 12:51
De manier waarop je een 2de toestel toevoegd is door die authenticatie te geven vanaf een van de geauthenticeerde computers (waarbij voor de duidelijkheid een PC/smartphone/tablet een "computer" is). Dus stel je hebt een smartphone en een tablet met Authy en je wilt graag je Chrome op je PC ook gebruiken. Dan zul je vanuit je smartphone of tablet toestemming moeten geven. Ook _nadat_ je bent ingelogd met de juiste username en password.

Overigens, op de screenshot https://www.authy.com/app/desktop/ onderaan staat "Twitch". Authy schijnt ook veel gebruikt te worden bij Bitcoin.
Sloeber @stin0010 november 2015 12:35
Ik zou zeggen dat deze optie erg handig is voor streamers, maar niet viewers. Als viewer heb je niet veel te verliezen op je twitch account (subscriptions kun je allemaal stopzetten via paypal). Voor een streamer is het 1 extra handeling dagelijks om met 100% zekerheid je account te behouden.

Erg handige feature dus voor de personen die heet nodig hebben.
klipperx @stin0010 november 2015 21:42
Alternatief voor nummers inkloppen: De Yubikey. Ik werk er al weer bijna 2 jaar mee. Werkt prima. De Yubikey steek je in een vrije USBpoort. De sleutel werkt als een mini usb toetsenbord. Even de key aanraken en een code van 64 tekens wordt meegestuurd bij het inloggen. Als je de Yubikey Neo neemt zit er ook een NFC chip in, zodat je hem ook kunt gebruiken met mobiele apparaten.
Azziax 10 november 2015 12:15
Een app zoals de Authenticator van Blizzard zou prettig zijn. Hoef je ook niet te wachten op een sms en kun je meteen inloggen. Het voordeel hiervan is dan ook dat je mobiele telefoonnumer ook niet bekend is bij een eventuele hack.

edit: typos

[Reactie gewijzigd door Azziax op 25 juli 2024 01:47]

Jerie @Azziax10 november 2015 12:40
Een app zoals de Authenticator van Blizzard zou prettig zijn. Hoef je ook niet te wachten op een sms en kun je meteen inloggen. Het voordeel hiervan is dan ook dat je mobiele telefoonnumer ook niet bekend is bij een eventuele hack.
De Battle.net authenticator gebruikt ook SMS. Wanneer een adversary toegang heeft tot je telefoon en je Battle.net account dan kan hij je authenticator uitschakelen.

De Blizzard Authenticator is bovendien niet zo handig als het lijkt. Dat ding is gericht op slechts een platform, terwijl de TOTP 8 digits is ipv 6. Daardoor voldoet het niet aan de standaard die omschrijft dat bij TOTP met een andere authenticatie (2FA) 6 digit voldoende is (dus voor Battle.net zou dat ook het geval zijn) waardoor het lastig (maar niet onmogelijk) is om andere TOTP applicaties ervoor te gebruiken. Terwijl het verschil tussen 6 en 8 digits letterlijk is dat 6 alleen de laatste 6 laat zien en 8 de laatste 8. De eerste 2 missen dus bij 6 digit (totaal is het geloof ik 12 digit). En je wilt niet 248491 applicaties voor al je verschillende 2FA.

Mocht je met hetzelfde probleem zitten raad ik aan WinAuth voor Windows, OATH-Toolkit voor Linux/OSX en voor Android FreeOTP. Allemaal open source, en ze werken ook allemaal met Battle.net en alle standaard 6 digit TOTPs, optioneel 8.

Authy is niet open source, en weer een extra applicatie. Bovendien heeft het wel cloud sync, maar dat is proprietary. Je kunt dus niet je eigen cloud(s) uitkiezen. SMS vind ik bovendien geen veilige manier van communicatie ik snap niet dat dit voor serieuze authenticatie wordt gebruikt. Voor mij allemaal dealbreakers, YMMV.

Voor 2FA zou het beste zijn 6 digit, Yubikey support, en geen lock-in met Authy.
2Dutch @Azziax13 november 2015 10:30
Die Authenticator was ook niet altijd zo geweldig: had dit ingesteld en alles werkte goed..maar na enkele weken genereerde hij invalid codes. Hele heisa met ID insturen en whatnot om alles weer aan de praat te krijgen. Was er toen meteen van genezen met die app :P

Ik gooi vrijwel overal 2FA aan waar het kan: Kickstarter, TransIP, LastPass..icm Google Authenticator werkt dat perfect. Wil het ook nog instellen voor mail, want daarbij is het ook een prima beveilingslaag, maar moet daar nog even mee testen hoe dat bevalt. Mis het bijvoorbeeld bij eBay (die doen nog aan suffe beveiligingsvragen?). Las dat via een omweg PayPal het ook aanbiedt, had van mij veel eerder gemogen (gaat om een betaaldienst, hallo het is 2015!). Natuurlijk is het wat irritant om die code erin te kloppen, maar als eenmaal de code ingevoerd hebt in een browsersessie ben daarna klaar zeg maar. Beveiliging kost moeite en wat werk, maar heb dat er wel voor over :)

[Reactie gewijzigd door 2Dutch op 25 juli 2024 01:47]

Ruw ER 10 november 2015 12:21
Als je een streamer bent die subs heeft en donaties krijgt, zou ik deze methode gaan gebruiken, maar voor ieder andere user.. Mocht je gehacked worden, wat dan? Ik heb 1 subscription open staan, nou stel ik ben mijn account kwijt, dan stop ik die via paypall, en maak ik een nieuw account. Niets aan het handje. Zie niet in waarom een niet streamer dit zou gebruiken.
Celioxis @Ruw ER10 november 2015 12:26
Zie niet in waarom een niet streamer dit zou gebruiken.
Er zijn natuurlijk ook mensen die een Moderator zijn van een channel, of misschien wel van Twitch zelf. Hierbij is het natuurlijk veel veiliger om de multifactorauthenticatie wel te gaan gebruiken.

Stel dat er iemand een admin is van Twitch en hij wordt gehackt. Wat kan deze hacker dan allemaal met zijn account? Ik weet in ieder geval dat de hacker dan meer kan dan zonder zijn account.
Ruw ER @Celioxis10 november 2015 12:58
Uiteraard, mods e.d. ook. Ik bedoelde met niet-streamer meer de normale kijker, of in (te) veel gevallen, iemand die uren per dag bezig is met spammen. Ik had duidelijker kunnen zijn.
The Zep Man
@Ruw ER10 november 2015 13:02
Als je een streamer bent die subs heeft en donaties krijgt, zou ik deze methode gaan gebruiken, maar voor ieder andere user..
Je kan natuurlijk ook alleen de tweede factor gebruiken wanneer je de betalingsbestemming (PayPal, bankrekening, whatever) en het primaire communicatiekanaal (e-mailadres) wijzigt. Maar mogelijk is men bang dat accounts (op grote schaal?) gekaapt worden en dat dit niet goed gemitigeerd wordt (procedure om account terug te krijgen), waardoor ze altijd de tweede factor vragen.

[Reactie gewijzigd door The Zep Man op 25 juli 2024 01:47]

nullr0ute @Ruw ER10 november 2015 14:14
Maar diegene gebruikt dus wel je naam...
joon 10 november 2015 12:24
Mooi dat twitch hier ook mee begint, zeker geen overbodige luxe tegenwoordig.
Kan menig bedrijf nog wel van leren *uche* paypal bijv *uche*
Jerie @joon10 november 2015 12:57
PayPal schijnt 2FA te bieden voor enkele landen. Hier is een website met een handige lijst welke websites en services 2FA aanbieden https://twofactorauth.org/
joon @Jerie10 november 2015 13:08
Klopt, het zit al een tijdje in hun systeem verwerkt maar functioneert niet voor NL..
Begin dit jaar is mij verteld dat ze in de clinch lagen met de providers ofzo en kort daarna stopte de hele pagina met functioneren.
2 weken geleden nog eens gevraagd waarnaar ik het antwoord kreeg dat er geen plannen zijn om dit te implementeren in Nederland

Zodra al mijn betalingen zijn afgerond via PayPal zal ik het daarom dus ook opzeggen.
Omdat mijn bankrekening direct aan PayPal zit gekoppeld voel ik me met enkel een wachtwoord niet veilig genoeg om het account te behouden.

Natuurlijk ligt deze veiligheid bij mezelf, het probleem daarmee is dat als je 1x iets fout doet mag je het misschien de rest van je leven bekostigen, en daar zit ik niet op te wachten.
vlc 10 november 2015 13:05
Jammer dat andere apps niet ondersteund worden of een hardware token gebruikt kan worden ipv SMS
Jelmer505 10 november 2015 13:13
Ondersteund dus niet FIDO U2F? 8)7

Vind die fysieke keys altijd juist handig.. ;(
entetex 10 november 2015 16:32
Ik vrees dat ze dit niet gaan porten naar verouderde apps. Ik gebruik mijn antieke allereerste generatie iPad nog steeds om steams op te bekijken, maar deze wordt reeds lang niet meer geüpdate.

Ik hoop dan ook dat ze zeer binnenkort met de HTML5 video speler komen. Die zou in theorie gewoon vanuit safari moeten kunnen werken.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq