Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 73 reacties
Submitter: Erulezz

Sony heeft bekendgemaakt dat het voor gebruikers vanaf nu mogelijk is om hun PSN-accounts te voorzien van een aanvullende laag beveiliging in de vorm van tweetrapsauthenticatie. Daarmee ontvangen gebruikers een verificatiecode via sms.

Sony PSN logo fpaPSN-gebruikers kunnen tweetrapsauthencticatie inschakelen via een speciale pagina. Nadat de functie is geactiveerd, ontvangen gebruikers bij het inloggen op net netwerk een verificatiecode op hun telefoon. In het geval dat hun wachtwoord wordt achterhaald, bijvoorbeeld bij een hack, biedt de code een aanvullende beveiligingsbarrière. Ook voorziet Sony PSN-leden van tien aanvullende codes die gebruikt kunnen worden in het geval inloggen via sms niet werkt, bijvoorbeeld als de eigen telefoon niet in de buurt is.

Hiermee kiest Sony er niet voor om accounts te beschermen met een eigen applicatie of een alternatief als Google Authenticator of Authy. Tweetrapsauthencticatie via sms werd onlangs door het Amerikaanse NIST niet als veilig aangemerkt. Het is onduidelijk of er in de toekomst andere verificatiemethodes toegevoegd worden. Sony had de komst van de beveiligingsfunctie al eerder bevestigd, toen de  functie werd ontdekt in een systeemupdate van de PlayStation 3.

Microsoft introduceerde tweetrapsauthenticatie voor de Xbox in 2013 en biedt de mogelijkheid om gebruik te maken van een eigen authenticatie-app. Ook Blizzard biedt sinds 2009 een mobiele versie van zijn Battle.net Authenticator aan. In juni introduceerde het bedrijf de functie om authenticatie met een enkele knop door te voeren.

In 2011 werden gegevens van ongeveer 77 miljoen PSN-gebruikers buitgemaakt tijdens een hack.

Moderatie-faq Wijzig weergave

Reacties (73)

Eindelijk m'n Trophies fatsoenlijk beveiligen! :Y
Als ze iets van me mogen stelen, dan zijn het wel deze trophies ;)

OT: Ondanks dat het nu enkel nog via SMS is, beter laat dan nooit Sony.
Ik heb liever niet dan via SMS, altans ik activeer nooit 2FA die SMS gebruikt. Als een partij dan ooit 2FA afdwingt via SMS is het exit voor mij, ik heb ooit SMS uitgeschakeld voor mijn abonnement en die optie (en ook het aanzetten) was op een moment dat ik 1 SMSje wilde ontvangen verdwenen uit de klant portal.

Er is gewoon een zinnige standaard oplossing voor: TOTP

[Reactie gewijzigd door Dorank op 25 augustus 2016 11:10]

TOTP: Mee eens. Ik vind het raar dat Sony dat al niet eerder geïmplementeerd heeft. Maar tweetrapsauthencticatie middels SMS is in mijn ogen beter dan niets, en een stap in de goede richting.

Ik heb er dan ook tot nu toe geen problemen mee gehad zoals het voorval wat jij schetst.
Al je in de PSN store gekochte games hangen ook aan je PSN account, een account kan zo dus al snel honderden euro's waard zijn.
Eindelijk geen 'password reset' mails meer... poeh... |:(
Ik was vorige week ook ineens gehacked bij PSN, waarbij ze ¤150 hadden buitgemaakt door het via 't gelinkte Paypal account over te laten maken. Gelukkig alles netjes teruggekregen, maar het feit dat ik gehacked was terwijl ik nooit de inloggegevens heb gedeeld met iets of iemand, lijkt mij reden genoeg om te verwachten dat Sony extra maatregelen gaat nemen tegen deze hacks.

Het is ten slotte niet de eerste keer dat PSN gehacked is. Maar dat het met een semi-beveiliging zoals een SMS-code gaat verbaast me ook wel een beetje. Een app lijkt me dan een stuk veiliger. Misschien dat ze daar nog mee bezig zijn, maar ik vind 't in ieder geval hoog tijd worden.
Dan zit je qua app wel met een probleem;

1) Kan ook weer worden gehackt
2) Niet iedereen heeft een smartphone
3) Je hebt tegenwoordig veel OS'en op mobiele telefoons, Anodroid, Mozilla, iOS, Windows...
onderhoud om dat te laten werken is best duur en niet iedere android toestel krijgt ook daadwerkelijk alle updates.
Maar 2 dingen hacken i.p.v. 1 is al een extra stap in ieder geval. En wat ik nu ook doe is m'n Paypal ontkoppelen van PSN als ik 't niet gebruik, en alleen koppelen als ik daadwerkelijk iets wil kopen.

Een app kan natuurlijk ook een probleem zijn, maar wat zou dan een betere oplossing zijn? SMS is ook niet helemaal veilig... dat is eigenlijk niets. Maar omdat bijna iedere gamer wel iets van een smartphone heeft (of een tablet of computer), kun je vast wel iets van een (web?)app maken voor een extra hoge drempel tegen hackers.
Ik was op 11 augustus ook plots gehackt voor ¤150 via mijn gelinkte PayPal account! Eenmaal voor ¤100 en eenmaal voor ¤50. Netjes aan Sony en PayPal gemeld en eveneens mijn geld een kleine week later teruggekregen.

Ik heb toen wel met Sony gebeld en ze zeiden dat ze de laatste tijd veel hacks krijgen zoals degene die bij mij (en kennelijk jou) werd uitgevoerd. Ik vind dit persoonlijk verontrustend: Het lijkt bijna alsof er weer een grootschalige hack bij hen is gebeurd.

Ik ben tenslotte ook naar de Belgische politie gestapt om een proces verbaal te laten opmaken en die zeiden me dat er niets met die pv zou gebeuren tenzij het bedrag boven de ¤1000 is of er 7 personen een klacht van ¤150 indienen (in totaal meer dan 1000 dan).

Het lijkt me dus dat die hackers verdomd goed weten waar ze mee bezig zijn. Wat is immers de kans dat er in 1 gemeente 7 personen gehackt worden én de moeite doen om naar de politie te stappen?

Heel angstaanjagend dit. Ik gebruik een paswoordmanager voor alles en alsnog wisten ze mijn PSN te hacken en geld van m'n PayPal te halen. En ondertussen is Sony dit stil aan het houden zodat ze zelf politie kunnen spelen.
Dat gevoel had ik ook. Ik had na de hack gelijk het wachtwoord van Paypal en PSN veranderd, en even op 't Playstation forum gekeken of er iets bekend was. Nou, dat stroomde vol daar met berichten die dag!

Maar ik weet niet of er een limiet is aan wat men via Sony van Paypal kan plukken, want niemand had meer dan ¤150 zien verdwijnen namelijk. Het lijkt er bijna op dat er iemand intern bij Sony lekker zit te knippen-plakken met die wachtwoorden of zo.

Het wordt natuurlijk wel netjes opgelost, maar ik meen me te herinneren dat vorig jaar zowel Sony als Microsoft gehacked waren, dus érgens gaat er iets goed mis bij de veiligheid van onze accounts daar.
Een vriend van mij is ook aantal dagen geleden gehackt. Hij kreeg mailtje van PayPal dat iemand ¤150 aan Neverwinter zen heeft besteed, terwijl hij dat spel niet eens heeft.
Op reddit klagen ook veel mensen hiervoor: https://www.reddit.com/r/...rt_same_unauthorized_psn/. En Sony houdt zich erg stil ...
Als ik dit lees samen met andere Google-resultaten, dan ben ik vrij zeker dat er weer een grootschalige hack is: https://www.reddit.com/r/...unt_was_hacked_150_euros/ Meerdere mensen klagen hierover en volgens joramoudenaarde stond het PSN-forum er ook vol van.

Sony bevestigde zelf aan de telefoon dat mijn incident binnen het patroon lijkt te vallen dat ze de laatste tijd zien: Account wordt gehackt voor ¤150, er wordt game currency mee gekocht die je kan giften en die wordt aan spotprijzen doorverkocht.

Lijkt in mijn ogen heel hard op de WoW gold sellers van een tiental jaar geleden. Alleen ligt de hack dit keer ogenschijnlijk bij Sony en niet de individuele gebruikers.

Ik vind het schandalig dat Sony dit momenteel onder de mat veegt. Ze vertelden me dat dit standaardprocedure is om na voldoende onderzoek een honeypot te kunnen opzetten en zo de daders zelf te kunnen vatten. Daarna zouden ze met alle klachten en de gegevens van de daders naar de politie stappen.

Mij lijkt het eerder een manier om PR-schade te voorkomen terwijl ze goed beseffen dat er intussen nog veel mensen dit probleem zullen ervaren.
Als ik dit lees samen met andere Google-resultaten, dan ben ik vrij zeker dat er weer een grootschalige hack is: https://www.reddit.com/r/...unt_was_hacked_150_euros/ Meerdere mensen klagen hierover en volgens joramoudenaarde stond het PSN-forum er ook vol van.
Oh fijn. Vanavond maar eens even mijn account controleren dan....
(Al zeker een maand niet meer online geweest op PSN.)
Ik begrijp dat het niet 100% veilig is. Maar het gaat om een psn account. Geen bankzaken. Dit is een goede toevoeging als je het mij vraagt, zeker als je ziet hoeveel mensen gedupeert zijn door gehackte accounts en dat die spellen op dat account vervolgens verkocht worden. Ook op o.a. marktplaats.
Voor wat betreft 'geen bankzaken' ; je kunt je creditcard gegevens opslaan bij je account, en dat lijken me toch wel belangrijke gegevens. Daarom sla ik deze dus niet op, en vul ze steeds in.
Wanneer je PSN gekraakt is, gaat de boosdoener wellicht verder graven. Ik kan me voorstellen dat minder technisch begaafde mensen bijvoorbeeld hetzelfde wachtwoord gebruiken om in te loggen op hun e-mail bijvoorbeeld en op die manier nog meer privacy-gevoelige informatie te vergaren.

Ondanks dat het hergebruiken van wachtwoorden wordt afgeraden, hoor ik bij veel mensen dat ze overal hetzelfde wachtwoord gebruiken, want "ik kan niet vijf verschillende wachtwoorden onthouden".
sinds wanneer kun je PSN spellen doorverkopen?
je kan theoretisch een account verkopen met de spellen er bij.
Ja, ok, een compleet account.. Maar dat is wel in strijd met de voorwaarden, dus als iemand gaat klagen dat zijn account overgenomen is, dan heb je een probleem.. Zou zelf daarom nooit een account overkopen van iemand om spellen te krijgen..
Dat zal de gemiddelde 15 jarige gameverslaafde (petje optioneel) dan weer aan zijn dicker schwanz roesten.
dit gebeurt veel, ook door bekende keyshops.
Accounts kan je wel doorverkopen inclusief spellen.
Welk alternatief zou er dan als vervanging van de SMS moeten zijn dan?
Apps kunnen weer worden gehackt waardoor dit ook niet 100% veilig is.
Aangetekende brief :-)
Een hardware authenticator zoals banken dat hebben
Iris scanner
Fingerprint reader
etc. En dat kost allemaal geld.

[Reactie gewijzigd door trogdor op 25 augustus 2016 11:20]

Zo'n hardware authenticator kan vrij snel kapot gaan. Ook kost dat geld inderdaad. Je hebt niet zo veel keus; via een authenticatie applicatie, of via SMS.
Of gezichtsherkenning / gebaren herkenning als je een eye / ps4 camera hebt
Of dat nou zo veilig/precies is, betwijfel ik. Volgens mij kun je gewoon het gezicht uitprinten op een papiertje, en er voor houden :P. Of als de camera 3D objecten herkent, een 3D geprint gezicht ervoor houden.
Natuurlijk kan dat. Maar dat is natuurlijk wel een hele hoop gedoe, en het vinden van iemands gezicht na het jatten van iemands accountgegevens is waarschijnlijk een stuk lastiger dan inloggen op een account zonder die extra beveiliging. Sterker nog, als je gezichtsherkenning gebruikt op je account en iemand anders probeert in jou account in te loggen dat en het werkt niet, dan heb je (heeft sony) meteen een foto van de dief.

[Reactie gewijzigd door trogdor op 25 augustus 2016 11:59]

Natuurlijk kan dat. Maar dat is natuurlijk wel een hele hoop gedoe, en het vinden van iemands gezicht na het jatten van iemands accountgegevens is waarschijnlijk een stuk lastiger dan inloggen op een account zonder die extra beveiliging. Sterker nog, als je gezichtsherkenning gebruikt op je account en iemand anders probeert in jou account in te loggen dat en het werkt niet, dan heb je (heeft sony) meteen een foto van de dief.
Dat klopt vanzelfsprekend.

Maar hoezo herkenbaar? Je kunt met de verificatie, toch gewoon dat stuk papier/object voor je gezicht houden? Dan zien ze je gezicht ook niet.
Het is al eens getest dat een filmpje kan werken om gezichtsherkenning als het ware te foppen.
Het eerste wat bij mij opkomt, is dat ze op deze wijze aan mijn telefoonnummer komen. Kunnen ze weer gebruiken om data te koppelen aan Twitter en Facebook.
Een SMS versturen kost niks voor een groot bedrijf. T's een beetje onveilig maar een hoop data kan worden gecombineerd en geanalyseerd.
Hier sla je de plank mis. Dit artikel slaat op het feit dat een (bank)applicatie op een telefoon en SMS stuurt naar diezelfde telefoon. Staat er op die telefoon toevallig een stukje foute software dan kan er geluisterd worden wat er wordt uitgestuurd en ontvangen en zouden de gegevens gemanipuleerd kunnen worden.

De PlayStation staat los van de telefoon dus de link raakt eigenlijk kant nog wal in relatie met dit artikel.
Ik zie niet in waarom SMS minder veilig zou zijn dan bv via google authenticator..
Daarvoor moet je het artikel lezen dat als link is toegevoegd door bresjt ;), en eventueel het artikel waarop het gebaseerd is.

Voor nu is 2-factor via sms beter dan geen 2-factor. Maar sms heeft wel zijn langste tijd gehad om met dit doel ingezet te worden.
Omdat SMS makkelijk af te luisteren is in tegenstelling tot TOTP.
Normaal gesproken is die 2-factor sms ook time-based, het is niet zo dat die sms onbeperkt geldig is.. En die time based zijn ook op basis van een algoritme die zelfs op je smartphone loopt, dus is ook in principe 'makkelijk' te achterhalen indien men al 'toegang' heeft tot de smartphone..
Het gaat niet om toegang tot de smartphone, de SMS is op netwerk niveau te onderscheppen. B.v. door 'm uit de lucht te plukken. Een SMS is niet encrypted dus op elke plek tussen Sony en jouw toestel valt deze af te luisteren.
Het gaat niet om toegang tot de smartphone, de SMS is op netwerk niveau te onderscheppen. B.v. door 'm uit de lucht te plukken. Een SMS is niet encrypted dus op elke plek tussen Sony en jouw toestel valt deze af te luisteren.
Wat geen drol uitmaakt als men niet weet bij welke PSN account die SMS hoort.
Hoog tijd.. hopelijk werkt het ook naar behoren. Dat dit soort zaken nog niet goed geïmplementeerd zijn door Sony is letterlijk niet meer van 'deze tijd'.
nou nou, er zijn genoeg accounts waar er geen twee-traps athenticatie voor bestaat..
Klopt; maar in het geval van SEN zijn zaken al eens gehackt; en gaat het hier ook om accounts waaraan creditcards (en mogelijk andersoortige betaalopties) aan zijn gekoppeld. Op gamefora zie ik met regelmaat gevallen voorbij komen van 'account hijacking'. Nu is alles natuurlijk overkomelijk; maar Sony's customer service schijnt niet de beste te zijn, met als gevolg veel gedoe om zaken te herstellen. Tweetrapsauthencticatie (even buiten de discussie om of dit de beste manier is) komt dus voor een aantal mensen te laat.
Bij centraal beheer heb ik een spaarrekening. Daar is ook geen 2 factor mogelijkheid. Toen ik er naar vroeg waarom het niet bestaat, begrepen ze niet waar ik het over had. Na een korte uitleg was ik de enige die ernaar vroeg en dus geen prio heeft.
Tegen alle mensen die zeggen dat SMS niet veilig is, het is nog altijd beter dan helemaal geen tweetrapsauthenticatie :)
Eindelijk. Ik wacht hier al jaren op. Alle accounts die 2-traps authenticatie ondersteunen heb ik het geactiveerd. Toen PSN gehackt werd enkele jaren geleden, heb ik expres mijn creditcard gegevens bij ze verwijderd, dan maar geen creditcard on file bij Sony.

Ik ben een PSN gamer en ben al jaren supporter van Sony in hun console wereld, maar het niet hebben van 2-traps authenticatie vond ik wel een flink gemis.

Way to go Sony. Better late then never, though earlier would've been even nicer ;)
Gewoon een veilig en uniek wachtwoord gebruiken. Probleem is dat veel mensen overal dezelfde gebruikersnaam en wachtwoord combo gebruiken. Er hoeft maar een website gekraakt te worden en ze hebben toegang tot al je accounts.
Probleem is echter dat Playstation 4 geen toetsenbord ondersteund en jij dus op je TV je wachtwoord met je joystick moet invoeren.
Ga dan maar eens een wachtwoord als;
N^Vwyh99(BEVu/RBjn4 invoeren.. niet te doen.. dus kiezen mensen snel voor wachtwoorden als;
frosty-unruly-bert
De Playstation 3 en 4 ondersteunen allebei gewoon toetsenborden hoor
Maar niemand gaat dat aan zijn console gaan hangen voor een wachtwoord. Op Xbox gebruik ik daar de Xbox app voor om dit in te vullen, anders kan iedereen ook gewoon op het scherm meevolgen wat je typt. (of een chatpad natuurlijk).
SMS authenticatie is beter dan niks natuurlijk, al is in het verleden ook al gebleken dat al is dat ook nog niet het veiligste gebleken.
Ow.. had ik eerder willen weten :P
My bad.. dan kan ik dus wel iets betere wachtwoorden gebruiken :P
TB werkt wel. Ik heb zelf zo een kleine Bluetooth toetsenbord gekoppeld aan m'n ps4. Ideaal voor typen tijdens online games. Maar ook voor tekst. Zoals websites en wachtwoorden.
Hoevaak moet je je wachtwoord nou werkelijk invoeren dan? En hiernaast, gebruik het toetsenbord via de app op je smartphone voor die enkele keer dat je het wachtwoord in moet voeren.
N^Vwyh99(BEVu/RBjn4 invoeren.. niet te doen.. dus kiezen mensen snel voor wachtwoorden als;
frosty-unruly-bert
Da's de grap: een pass-phrase opgebouwd uit meerdere woorden is praktisch even veilig als een random reeks tekens van dezelfde lengte, want op een pass-phrase kun je niet zomaar een dictionary attack uitvoeren. Dat werkt alleen als je zo dom bent om een bekende zegswijze of uitspraak te gebruiken.

[Reactie gewijzigd door R4gnax op 25 augustus 2016 15:41]

Ze hadden de PSN gekraakt, dus daarom hebben ze toegang tot de PSN accounts. Daar helpt geen veilig en uniek wachtwoord tegen.
Top! Zat hier al een tijd op te wachten :) Jammer dat het via SMS is en niet via bijvoorbeeld een QR code.
Niet iedereen heeft een smartphone die dat ondersteund.
Klopt, maar dan kunnen ze toch een keuze geven? Amazon/Google geven bijvoorbeeld ook de keuze voor SMS/Authenticatie via app
Maar hoe veilig is dan weer de app.. je kan de app op je PC zetten en dan zoeken naar gaatjes en die weer misbruiken.
Daarnaast vertrouw ik Google mijn gegevens niet toe.. die worden direct verkocht aan rare bedrijven.
Zijn in dit geval Android Only Apps, die ook weer achter slot en grendel zitten :)
Juist en Android is weer van Google...
Het is alvast een mooi begin naar beveiliging toe. Volgens mij gaan ze hier in de toekomst ook wel verder mee gaan. Vandaag start het met SMS wat al een eerste extra is, nadien kunnen ze nog meerdere opties toevoegen. Ik hoop ook wel dat je de optie kunt zetten dat een bepaalde locatie je standaard is waardoor je niet elke keer thuis voor het spelen een SMS krijgt :)
Waarom zou je iedere keer een SMS krijgen als je gaat spelen, je bent al ingelogd dan toch?
Dat is enkel als je alleen op je Playstation speelt, in het geval van meerdere accounts moet je telkens inloggen.
Ah, logisch...daar had ik niet aan gedacht (heb zelf maar 1 account vandaar)
Heeft wat mij betreft best lang geduurd. Tegenwoordig wil ik niet meer zonder, en schakel overal tweetrapsauthenticatie in.

Op dit item kan niet meer gereageerd worden.



Nintendo Switch Google Pixel Sony PlayStation VR Samsung Galaxy S8 Apple iPhone 7 Dishonored 2 Google Android 7.x Watch_Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True