Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 38 reacties

Instagram bevestigt dat het sociale netwerk tweetrapsauthenticatie gaat invoeren. Momenteel zou al met de extra beveiligingslaag getest worden. Wanneer alle 400 miljoen gebruikers de mogelijkheid krijgen om de functie te activeren is nog niet bekend.

InstagramDe komst van tweetrapsauthenticatie is door Instagram bevestigd tegenover TechCrunch. Tot nu toe is het op Instagram niet mogelijk om in te loggen met een extra beveiliging, naast het zelfgekozen wachtwoord. Het sociale netwerk heeft veel te kampen met spam en voor hackers zijn Instagram-accounts met veel volgers een interessante prooi, omdat met zo'n account een groot aantal mensen bereikt kan worden.

Het inbreken op Instagram-accounts is relatief eenvoudig omdat er geen extra beveiligingslaag aanwezig is naast gebruikersnaam en wachtwoord. Zo bleek in november dat een populaire app voor Android en iOS wachtwoorden ontfutselde van gebruikers. De app claimde gebruikers te laten zien wie hun Instagram-foto's bekijkt, maar stuurde ondertussen de inloggegevens naar een andere server. Gebruikers moesten de app wel toegang geven tot hun Instagram-account en de dienst waarschuwt in zijn richtlijnen om dit niet te doen.

Met de komst van tweetrapsauthenticatie zijn gebruikers beschermd tegen dergelijke accountdiefstal, omdat bij iedere inlogpoging ook een code ingevoerd dient te worden die per sms naar de gebruiker wordt gestuurd. Sommige gebruikers zien in het menu van de app al de mogelijkheid om de functie te activeren. Instagram heeft het nieuws zelf nog niet naar buiten gebracht en het is niet bekend wanneer alle gebruikers de beveiligingslaag kunnen inschakelen.

Moderatie-faq Wijzig weergave

Reacties (38)

Als je hier heen gaat heb je een overzicht van veel voorkomende sites die het wel en niet ondersteunen. Heb onlangs voor mijzelf ook twee staps authenticatie aangezet
Toch wel lekker handig als je geen mobieltje heb of sms, zoals er nog miljoenen zijn, hier in mijn woonblok tel ik er zo al 22, die alleen een standaard telefoon hebben zonder die mogelijkheden en dat zijn dus ouderen van 55 en hoger.
a) je kunt bij veel providers ook sms'en naar een landlijn
b) Het aantal mensen onder die "miljoenen" die geen SMS kunnen ontvangen maar wel gebruik maken van bv Instagram, Paypal, AWS, Bitcoin of Apple Cloud, kun je vermoedelijk op de vingers van 1 hand tellen. En dan nog is 2FA in de meeste gevallen meestal optioneel.
Dat begrijp ik wel, maar in het bejaardentehuis waar ik kom zie en hoor ik dat er vele nog nooit een computer gehad hebben en al helemaal geen mobieltje, zelf weet ik dat AH een SMS stuurt wanneer de boodschappen worden bezorgd, maar ik heb er nog nooit 1 gehad, ik heb gebeld naar de klantenservice en het verhaal uitgelegd, toen vertelde de klantenhulp, dat het helaas niet gaat naar mijn nummer en ik denk dat er vele duizenden mensen zijn die ook in die omstandigheden zitten.
Mooi dat ze deze techniek toepassen. Het liefst heb ik twee-traps-authenticatie bij bijna elke online dienst.

Tweakers :*, zou wel een toegevoegde waarde voor mij zijn, als jullie een keer met twee-traps-authenticatie komen :).
Wat zou iemand precies met je Tweakers-account moeten? Precies, bar weinig. Waarom dan een extra beveiligingslaag toevoegen?

Heb er natuurlijk geen bezwaar tegen zolang het optioneel blijft, maar ik zie er geen toegevoegde waarde in. Alleen meer werk om in te loggen.
Als iemand op een redelijk bekend Tweakers account kan inloggen is diegene in staat om foutieve V&A items te plaatsen, discriminerende forumposts en ga zo maar door. De financiŽle schade zal klein zijn, maar de morele schade kan zeker aanwezig zijn.

En eventuele reputatie kan natuurlijk ook verwoest worden.
Hacken is altijd vervelend voor het slachtoffer, maar je moet ook vanuit de hacker denken: wat schiet die er mee op? Meestal worden hackpogingen gedaan voor eigen gewin, zij het financieel of om andere redenen (zoals een hekel hebben aan het slachtoffer in kwestie). Bovendien zijn ongewenste forumposts en V&A adds sowieso al een problem op elk forum ,en daar hebben we dan ook moderators voor op Tweakers ( _/-\o_ ). Dat los je niet op met beveiliging van accounts zolang de accounts in kwestie vrij en gratis aan te maken zijn.

[Reactie gewijzigd door MadEgg op 17 februari 2016 11:36]

Het gaat er niet om dat er vervelende forumposts in het algemeen zijn, maar meer het plaatsen van deze posts vanaf het account van een ander, met als doel om de reputatie en het vertrouwen in deze persoon onderuit te halen.

Tegelijkertijd, je moet je eigen account gewoon niet weggeven. Maar 2FA kan dan toch nog zorgen voor een extra beveiliging en meer vertrouwen uit de ogen van de gebruiker.
Inderdaad, kan mij geen hacker op de wereld voorstellen, zelfs politie en NSA :) die enig belag heeft in mijn geldrekening die op dit moment 73 euro rood staat, of enige forum reaktie wat meestal een hoop gezwets is :) :)
Hoe groot is die schade als iedereen onder nicknames post?
Niet iedereen heeft een anonieme nickname, en sommigen maken zichzelf met achternaam zichtbaar in een forum onderschrift (portfolio website e.d.) of forum posts.

Dus ja, er is zeker schade mogelijk.
Ik heb 2 reviews geschreven, waaronder er 1 nogal lang en uitgebreid is (al zeg ik het zelf). Stel, iemand hackt Foritain z'n account, met 250 reviews. Vervolgens verwijderd de 'hacker' alle reviews. Dat is dan wel erg zuur namelijk..
Zo specifiek? Dan is de hacker iemand die iets persoonlijk tegen je heeft, of tegen de reviews. Dat is echt een niche, moet je daarom iedereen er maar mee opzadelen?

En dan nog, voor nagenoeg alle diensten kan een wachtwoord best veilig zijn zolang de eigenaar er verstandig mee omgaat en het niet lukraak in allerhande apps invult. En als het wachtwoord voldoende lengte heeft natuurlijk, en de site het goed gezouten en gehashed opslaat. Ik zie er voor mezelf dan echt geen meerwaarde in, dus hou het graag optioneel.

Voor dingen als bankzaken en DigiD is het een ander verhaal, daar kan je als hacker veel meer kwaad mee doen en is het dus een aantrekkelijker doelwit.
Ach, stel, dat ze het invoeren, dan ben jij niet degene die verplicht wordt hoor ;). Mij lijk het eerder handig als het een optionele optie is.
Dan is dat toch een kwestie van de backup terugzetten die Tweakers ongetwijfeld maakt. En als er geen backup is, moet dat eerst worden opgelost lijkt me.
Mij lijkt dat juist weer niets... dan heb je straks heel je telefoon vol zitten met apps/smsjes om op verschillende websites te kunnen inloggen want ze gebruiken weer bijna allemaal een eigen authenticatie app (ipv 1 universele). Ik ben groot voorstander voor twee trap authenticatie maar dan wel alleen voor belangrijke websites. Niet instagram tweakers etc. Als je een keer je telefoon vergeet kun je gelijk niets meer.
Fout. De meeste websites met 2FA (2-Factor-Authentication) hebben support voor de Google Authenticator app, welke alle 2FA codes in 1 app stopt zonder onnodige functionaliteit of advertenties.

Google Authenticator:
https://play.google.com/s...droid.apps.authenticator2
voor jouw misschien niet, maar mijn Instagram account is al 2x uitgeschakeld geweest voor onrechtmatig gebruik, waar ik me niet bewust van was.. zoals ze zelf omschrijven zijn accounts met veel volgers erg interessant.

(ik heb 11'000 volgers, en is het een mooi reclame platform voor mijn fotografie)
Moet het dan niet eerder de vraag zijn HOE ze je account al 2x hebben overgenomen? Zelf heb ik geen intstagram, maar het lijkt mij dat ze wel een captcha oid hebben om brute force te voorkomen. Ik weet wel dat als mijn account 2x overgenomen zou zijn, ik al mijn accounts stevig zou aanpakken.
Voor wat betreft 2staps authenticatie, zoals al meerdere hebben gezegt, voor DigiD, Bankzaken eventueel zelfs mail (ivm het resetten van wachtwoorden) maar daar blijft het voor mij bij. Ik moet er niet aan denken dat je bij elke keer inloggen je telefoon bij de hand moet hebben, zeker niet bij websites waar ze toch niets aan mijn gegevens hebben. Wordt al gestoord als Steam er weer om vraagt.
uhh... nee ze hebben geen captcha... :Y)
het is niet gekoppeld met me facebook of ander account, bruteforce.. hmm met + 12 characters en vreemde tekens lijkt me dat ook onwaarschijnlijk.

wel ooit eens hulpprogramma's zoals instatrack en hyperlapse gebruikt, maar dat zijn apps die in de Apstore van Apple staan met honderden - duizende recenties..
dus tja.. zeg het maar...
Als je een wachtwoord van 12 willekeurige karakters hebt gaat er echt ergens anders iets fout, dat is niet gebruteforced. Ofwel ga je zelf niet zorgvuldig met je login-gegevens om of laat je ingelogde browser-vensters open staan, ofwel Instagram heeft de beveiliging niet op orde. Dan hebben ze wel wat anders om aan te pakken, dan 2FA toe te voegen.

2FA biedt technisch gezien weinig extra beveiliging. Het is voornamelijk een beveiliging tegen social engineering en lakse houdingen van gebruikers t.o.v. beveiliging, zoals de app die in het artikel genoemd wordt. In dat geval is het dus sowieso PEBKAC.
Een quote van mijn bericht in dit artikel:
Met Origin heb ik het niet, omdat ik dan de Google App authenticator moet downloaden. Vind het nogal onzin om dit voor 1 applicatie te doen. Alhoewel ik alles kan migreren naar die app van Google.
Mooi moment om er mee te komen ;)

Ik ben laatst ook overgestapt, en de extra tijd die inloggen soms kost is het volledig waard voor de veiligheid die je terug krijgt.
Exact! Ik heb bij erg veel online diensten twee-traps-authenticatie ingeschakeld. Bijvoorbeeld ook bij Skype (inloggen met Microsoft account). Dan krijg ik eerst een SMS en dan vul je die code in. Dit moet ik dus elke keer doen als ik in wil loggen. Hetzelfde met Steam. Met Origin heb ik het niet, omdat ik dan de Google App authenticator moet downloaden. Vind het nogal onzin om dit voor 1 applicatie te doen. Alhoewel ik alles kan migreren naar die app van Google.

Het kost wat moeite, maar dan heb je ook wat.

[Reactie gewijzigd door AnonymousWP op 17 februari 2016 09:40]

Opzich is 2FA een hele goede stap qua veiligheid en ook aan te raden voor bijna alle veelgebruikte online diensten.

Wat ik alleen jammer vind is dat bij de implementatie van 2FA ze eigenlijk standaard niet verder komen dan meestal een telefoonnummer of Facebook terwijl 2FA eigenlijk niets anders is dan 2 onafhankelijke verificatiemethoden.

Veel diensten wil ik mijn telefoonnummer echter helemaal niet geven en inloggen via Facebook doe ik buiten Facebook zelf ook nergens. Hierdoor komt 2FA in veel gevallen nog niet echt van de grond bij mij al zou ik wel willen.
De meest praktische methode vind ik toch die van Steam, dat hij om de zoveel seconde, een nieuwe code genereert die je moet invullen.
Ik vind dat er 1 standaard moet komen, of gewoon alles met de google authenticator, allemaal losse apps voor elke website wil ik ook weer niet.
2FA werkt goed; echter word ik wel moe van al die Facebook-login vragen; ik heb namelijk geen Facebook meer. OAuth leek het een poos echt te gaan worden; echter vraag ik me af of dat niet langzamerhand aan het dood bloeden is. Zonde; want het werkte altijd soepeltjes. Maar thumbs-up voor instragram met de 2FA!
Waar ik me nog meer aan dood erger, is dat ik m'n Facebook account met geen mogelijkheid kan verwijderen. Ik kan niet eens meer inloggen (is al sinds 4 jaar zo). Dus ja.. dan kan ik hem moeilijk verwijderen :/. Contact opnemen met Facebook is ook vrijwel onmogelijk..
Type in google "direct link delete facebook account". Binnen 14 dagen is die weg. Heb dat paar jaar geleden zo gedaan en na die 14 dagen nooit meer in kunnen loggeb. En mn nep naam, dat ik in timboekto woonde en de studie 'gaatjeniksaan' volgde. Die data mogen ze houden, veel plezier ermee.
Ja, maar dan moet je toch alsnog inloggen?

Heb het geprobeerd. Ik krijg een error 500 serverfout...

Heb dat van die direct link al eerder geprobeerd. Heeft nooit mogen baten..

[Reactie gewijzigd door AnonymousWP op 17 februari 2016 10:28]

OAuth (2) is zeker niet dood hoor. OAuth is dan ook maar een protocol.

Je bedoelt allicht OpenID? of Persona?
Zulke sites laat je toch niet je echte gegevens achter? 2 step heb ik bij bankzaken, helaas heeft protonmail dat nog niet, zoals paypal, digid enzo.

Instagram of facebook vertrouw ik mn mobiele nummer niet toe. Google ook niet, die zeikt echt altijd om mn mobiele nr, flikker toch op.
Hoewel 2FA natuurlijk een erg nuttige toepassing is vind ik het wel jammer dat het vaak alles of niets is. Of je gebruikt het helemaal niet of je gebruikt het voor alles (inclusief inloggen zodat je meerdere keren per dag een SMS moet ontvangen).

Ik zou soms graag willen dat 2FA gelimiteerd is tot bepaalde handelingen. Dat je bijvoorbeeld kunt instellen dat inloggen zonder 2FA kan maar dat wachtwoord of email wijzigen wel met 2FA moet. Daarmee voorkom je in ieder geval account diefstal.

[Reactie gewijzigd door Maurits van Baerle op 17 februari 2016 10:02]

Ben vooral benieuwd naar welke methodiek ze gaan gebruiken. Het is echt een goede zaak dat een boel websites 2FA gaan aanbieden, maar het is wel strontirritant als ik voor elke website een eigen app moet downloaden. Wij hebben voor al onze producten een aantal jaar geleden al 2FA op basis van TOTP geÔmplementeerd. Kan je gewoon regelen met de Google Authenticator en voor andere platformen zijn er gewoon alternatieven te downloaden.
Als je inloggegevens versleuteld op de server staan kan zo'n app die dus echt nooit ontfutselen... Maar altijd goed zo'n extra beveiligingslaag....
Ik vind 2-trapsauthenticatie waarbij je je telefoonnummer aan bijvoorbeeld Instagram moet geven voor een code via SMS waardeloos. Instagram krijgt echt niet mijn telefoonnummer. Gaat niet gebeuren.

[Reactie gewijzigd door Orac op 17 februari 2016 23:04]

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True