Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 31 reacties
Submitter: Vickiieee

Streamingsite Twitch voegt een nieuwe beveiligingslaag toe in de vorm van two-factor-authenticatie. Gebruikers kunnen vrijwillig gebruikmaken van deze optie, waarbij na het invullen van een wachtwoord een unieke token naar de mobiele telefoon wordt gestuurd.

Volgens Twitch kunnen gebruikersaccounts op deze manier beter beveiligd worden. Twitch logo
Na het instellen van two-factor-authenticatie is het alleen nog maar mogelijk in te loggen met een combinatie van het wachtwoord en de unieke token. Zonder deze token is het account niet te benaderen. Dit zorgt ervoor dat ook wanneer het wachtwoord bekend is bij derden het account niet in gevaar is. Begin dit jaar kwam Twitch nog in de problemen door een hack waarbij accountgegevens waren buitgemaakt.

Twitch geeft aan dat deze vorm van authenticatie op dit moment alleen mogelijk is via sms en de partner-app Authy, dus niet via populaire apps als Google Authenticator. Bij software die gebruikmaakt van een oudere authenticatiewijze, bijvoorbeeld El Gato of Wirecast, dient de token direct achter het wachtwoord geplakt te worden bij het inloggen. Het instellen van two-factor-authenticatie neemt bij Twitch ongeveer vijf minuten in beslag en vereist alleen een mobiel telefoonnummer

Moderatie-faq Wijzig weergave

Reacties (31)

Een tweetraps authenticatie is vele malen veiliger, maar ik vind het zelf enorm irritant om elke keer een code te moeten intypen bij het inloggen. Daarnaast ben ik benieuwd wat er bij een nieuwe hack gebeurt; wordt dan ook mijn mobiele telefoonnummer buit gemaakt? Enfin het is in ieder geval veiliger dan alleen een wachtwoord, maar ik wil liever niet zo extreem afhankelijk worden van m'n mobiele telefoon.. Ik kijk al veel te vaak op dat ding :)
Daarnaast ben ik benieuwd wat er bij een nieuwe hack gebeurt; wordt dan ook mijn mobiele telefoonnummer buit gemaakt?
Kort: waarschijnlijk wel. Maar lees even verder voor de nuance(s).

Tenzij je dat invult in je account en/of de SMS-2FA variant gebruikt: nee. Voor TOTP 2FA is een (eenmalige) secret vereist die je (vaak in de vorm van een QR-code) in je telefoon zet. Dat is gewoon een random zooitje bits. Op basis daarvan kan de 2FA-app elke X interval (doorgaans 30 seconden) een code genereren. Omdat de andere kant (server-side) je secret ook weet (zij zijn immers degenen die 't je hebben verstrekt) kan de andere kant controleren of de code die je invoert overeen komt met wat zij verwachten dat je invoert omdat men aan die kant hetzelfde algoritme gebruikt.

Echter: Helaas kiest Twitch dus voor de SMS variant en dan is het afhankelijk van hoe ze je telefoonnummer opslaan hoe 'open en bloot' het is in geval van een hack. Hadden ze voor TOTP gekozen dan waren ze meteen veel meer compatible met allerlei 2FA apps (waaronder Google authenticator) en hadden ze zich de SMS kosten etc. ook nog eens bespaard...

[Reactie gewijzigd door RobIII op 10 november 2015 12:35]

Alleen wordt TOTP niet gebruikt, aangezien Google Authenticator niet ondersteund wordt en die juist een TOTP 2FA tool is.

[Reactie gewijzigd door CH40S op 10 november 2015 12:50]

Net als Authy alleen gebruikt Authy een wat aangepaste versie van de (open) TOTP standaard die Google Authenticator implementeert. Wat meer details:
https://blog.cloudflare.c...or-authentication-system/

Twitch gebruikt SMS (via je telefoon) en TOTP (via Authy).
Een tweetraps authenticatie is vele malen veiliger
Je hoort er weinig mensen over, omdat het als een veilig alternatief moet gelden, maar dit is allang gehackt.

Kort door de bocht, ze hacken je gegevens (desnoods uit een andere bron, mogelijkheden zat), vragen daarmee een nieuwe simkaart aan bij je provider en klaar.

Bron: Computerbild 24/2015.

[Reactie gewijzigd door wjn op 10 november 2015 12:24]

Een tweetraps authenticatie is vele malen veiliger
Two-factor is veiliger, niet onkraakbaar. Zoals je zelf al aangeeft, men zal een hoop extra moeite moeten doen om two-factor te omzeilen, en dat is lang niet zo simpel als jij het doet lijken.
Bij een TOTP 2FA heb je geen kont aan een nieuwe SIM. Daarbij is 2FA, ook "de SMS manier", nog altijd vele malen veiliger dan 'alleen een wachtwoord'. Je werpt immers een (behoorlijke) extra drempel op; of je die drempel kunt overwinnen door een nieuwe Simkaart te bestellen of door andere kunst-en-vliegwerk uit te halen is leuk maar vaak niet lonend of makkelijker traceerbaar naar de kwaadwillende.
[...]
Kort door de bocht, ze hacken je gegevens (desnoods uit een andere bron, mogelijkheden zat), vragen daarmee een nieuwe simkaart aan bij je provider en klaar.
En dit laat weer zien dat het aanvragen van een nieuwe simkaart niet op een veilige manier gebeurt: Iedereen kan dit voor jou doen, er is voldoende informatie over jou bekend om een medewerker voor de gek te houden.

Beveiliging is zo sterk als de zwakste schakel.
Geen Facebook, alleen onder nick online, geen linkedin. Niks. Dan wordt het lastig.

Wordt internet ook wat minder gebruiksvriendelijk/entertaining maar dat is de prijs die je moet betalen.
Goede opmerkingen. Dat laatste wordt gelukkig verholpen doordat Authy kan synchroniseren tussen meerdere apparaten, bijv. je telefoon, tablet en pc. Zo is er ook een Chrome app voor op je pc waarmee je dezelfde tokens kunt genereren.
Dat levert natuurlijk wel een extra risico op, als een ander er in slaagt zijn Authy-app met die van jouw te synchroniseren kan hij ongemerkt de juiste codes genereren.
Dan moet diegene dus nog steeds n je wachtwoord te pakken zien te krijgen n je authy gegevens te pakken krijgen. Hence 2FA: 2 factoren die je moet overwinnen om iets te kunnen.
De manier waarop je een 2de toestel toevoegd is door die authenticatie te geven vanaf een van de geauthenticeerde computers (waarbij voor de duidelijkheid een PC/smartphone/tablet een "computer" is). Dus stel je hebt een smartphone en een tablet met Authy en je wilt graag je Chrome op je PC ook gebruiken. Dan zul je vanuit je smartphone of tablet toestemming moeten geven. Ook _nadat_ je bent ingelogd met de juiste username en password.

Overigens, op de screenshot https://www.authy.com/app/desktop/ onderaan staat "Twitch". Authy schijnt ook veel gebruikt te worden bij Bitcoin.
Ik zou zeggen dat deze optie erg handig is voor streamers, maar niet viewers. Als viewer heb je niet veel te verliezen op je twitch account (subscriptions kun je allemaal stopzetten via paypal). Voor een streamer is het 1 extra handeling dagelijks om met 100% zekerheid je account te behouden.

Erg handige feature dus voor de personen die heet nodig hebben.
Alternatief voor nummers inkloppen: De Yubikey. Ik werk er al weer bijna 2 jaar mee. Werkt prima. De Yubikey steek je in een vrije USBpoort. De sleutel werkt als een mini usb toetsenbord. Even de key aanraken en een code van 64 tekens wordt meegestuurd bij het inloggen. Als je de Yubikey Neo neemt zit er ook een NFC chip in, zodat je hem ook kunt gebruiken met mobiele apparaten.
Een app zoals de Authenticator van Blizzard zou prettig zijn. Hoef je ook niet te wachten op een sms en kun je meteen inloggen. Het voordeel hiervan is dan ook dat je mobiele telefoonnumer ook niet bekend is bij een eventuele hack.

edit: typos

[Reactie gewijzigd door Azziax op 10 november 2015 12:16]

Een app zoals de Authenticator van Blizzard zou prettig zijn. Hoef je ook niet te wachten op een sms en kun je meteen inloggen. Het voordeel hiervan is dan ook dat je mobiele telefoonnumer ook niet bekend is bij een eventuele hack.
De Battle.net authenticator gebruikt ook SMS. Wanneer een adversary toegang heeft tot je telefoon en je Battle.net account dan kan hij je authenticator uitschakelen.

De Blizzard Authenticator is bovendien niet zo handig als het lijkt. Dat ding is gericht op slechts een platform, terwijl de TOTP 8 digits is ipv 6. Daardoor voldoet het niet aan de standaard die omschrijft dat bij TOTP met een andere authenticatie (2FA) 6 digit voldoende is (dus voor Battle.net zou dat ook het geval zijn) waardoor het lastig (maar niet onmogelijk) is om andere TOTP applicaties ervoor te gebruiken. Terwijl het verschil tussen 6 en 8 digits letterlijk is dat 6 alleen de laatste 6 laat zien en 8 de laatste 8. De eerste 2 missen dus bij 6 digit (totaal is het geloof ik 12 digit). En je wilt niet 248491 applicaties voor al je verschillende 2FA.

Mocht je met hetzelfde probleem zitten raad ik aan WinAuth voor Windows, OATH-Toolkit voor Linux/OSX en voor Android FreeOTP. Allemaal open source, en ze werken ook allemaal met Battle.net en alle standaard 6 digit TOTPs, optioneel 8.

Authy is niet open source, en weer een extra applicatie. Bovendien heeft het wel cloud sync, maar dat is proprietary. Je kunt dus niet je eigen cloud(s) uitkiezen. SMS vind ik bovendien geen veilige manier van communicatie ik snap niet dat dit voor serieuze authenticatie wordt gebruikt. Voor mij allemaal dealbreakers, YMMV.

Voor 2FA zou het beste zijn 6 digit, Yubikey support, en geen lock-in met Authy.
Die Authenticator was ook niet altijd zo geweldig: had dit ingesteld en alles werkte goed..maar na enkele weken genereerde hij invalid codes. Hele heisa met ID insturen en whatnot om alles weer aan de praat te krijgen. Was er toen meteen van genezen met die app :P

Ik gooi vrijwel overal 2FA aan waar het kan: Kickstarter, TransIP, LastPass..icm Google Authenticator werkt dat perfect. Wil het ook nog instellen voor mail, want daarbij is het ook een prima beveilingslaag, maar moet daar nog even mee testen hoe dat bevalt. Mis het bijvoorbeeld bij eBay (die doen nog aan suffe beveiligingsvragen?). Las dat via een omweg PayPal het ook aanbiedt, had van mij veel eerder gemogen (gaat om een betaaldienst, hallo het is 2015!). Natuurlijk is het wat irritant om die code erin te kloppen, maar als eenmaal de code ingevoerd hebt in een browsersessie ben daarna klaar zeg maar. Beveiliging kost moeite en wat werk, maar heb dat er wel voor over :)

[Reactie gewijzigd door 2Dutch op 13 november 2015 10:31]

Als je een streamer bent die subs heeft en donaties krijgt, zou ik deze methode gaan gebruiken, maar voor ieder andere user.. Mocht je gehacked worden, wat dan? Ik heb 1 subscription open staan, nou stel ik ben mijn account kwijt, dan stop ik die via paypall, en maak ik een nieuw account. Niets aan het handje. Zie niet in waarom een niet streamer dit zou gebruiken.
Zie niet in waarom een niet streamer dit zou gebruiken.
Er zijn natuurlijk ook mensen die een Moderator zijn van een channel, of misschien wel van Twitch zelf. Hierbij is het natuurlijk veel veiliger om de multifactorauthenticatie wel te gaan gebruiken.

Stel dat er iemand een admin is van Twitch en hij wordt gehackt. Wat kan deze hacker dan allemaal met zijn account? Ik weet in ieder geval dat de hacker dan meer kan dan zonder zijn account.
Uiteraard, mods e.d. ook. Ik bedoelde met niet-streamer meer de normale kijker, of in (te) veel gevallen, iemand die uren per dag bezig is met spammen. Ik had duidelijker kunnen zijn.
Als je een streamer bent die subs heeft en donaties krijgt, zou ik deze methode gaan gebruiken, maar voor ieder andere user..
Je kan natuurlijk ook alleen de tweede factor gebruiken wanneer je de betalingsbestemming (PayPal, bankrekening, whatever) en het primaire communicatiekanaal (e-mailadres) wijzigt. Maar mogelijk is men bang dat accounts (op grote schaal?) gekaapt worden en dat dit niet goed gemitigeerd wordt (procedure om account terug te krijgen), waardoor ze altijd de tweede factor vragen.

[Reactie gewijzigd door The Zep Man op 10 november 2015 13:03]

Maar diegene gebruikt dus wel je naam...
Mooi dat twitch hier ook mee begint, zeker geen overbodige luxe tegenwoordig.
Kan menig bedrijf nog wel van leren *uche* paypal bijv *uche*
PayPal schijnt 2FA te bieden voor enkele landen. Hier is een website met een handige lijst welke websites en services 2FA aanbieden https://twofactorauth.org/
Klopt, het zit al een tijdje in hun systeem verwerkt maar functioneert niet voor NL..
Begin dit jaar is mij verteld dat ze in de clinch lagen met de providers ofzo en kort daarna stopte de hele pagina met functioneren.
2 weken geleden nog eens gevraagd waarnaar ik het antwoord kreeg dat er geen plannen zijn om dit te implementeren in Nederland

Zodra al mijn betalingen zijn afgerond via PayPal zal ik het daarom dus ook opzeggen.
Omdat mijn bankrekening direct aan PayPal zit gekoppeld voel ik me met enkel een wachtwoord niet veilig genoeg om het account te behouden.

Natuurlijk ligt deze veiligheid bij mezelf, het probleem daarmee is dat als je 1x iets fout doet mag je het misschien de rest van je leven bekostigen, en daar zit ik niet op te wachten.
Jammer dat andere apps niet ondersteund worden of een hardware token gebruikt kan worden ipv SMS
Ondersteund dus niet FIDO U2F? 8)7

Vind die fysieke keys altijd juist handig.. ;(
Ik vrees dat ze dit niet gaan porten naar verouderde apps. Ik gebruik mijn antieke allereerste generatie iPad nog steeds om steams op te bekijken, maar deze wordt reeds lang niet meer gepdate.

Ik hoop dan ook dat ze zeer binnenkort met de HTML5 video speler komen. Die zou in theorie gewoon vanuit safari moeten kunnen werken.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True