Facebook krijgt ondersteuning voor inloggen met U2F-beveiligingssticks

Facebook krijgt ondersteuning voor inloggen met U2F-beveiligingssticks, dat zijn usb-sticks voor tweetrapsauthenticatie. Op telefoons werkt de beveiliging via nfc. Facebook vereist wel een alternatieve manier van tweetrapsauthenticatie naast de beveiligingsstick.

De alternatieve manier is nodig omdat de mobiele app van Facebook vooralsnog geen ondersteuning krijgt voor de beveiligingssticks, meldt het sociale netwerk. Bovendien hebben gebruikers op de desktop alleen de keuze uit de recentste versies van Opera en Chrome om bij Facebook in te loggen met een beveiligingsstick.

Gebruikers kunnen de usb-stick gebruiken als tweede factor bij het inloggen in de browser. Om de stick op mobiel te gebruiken, moet deze net als de telefoon over nfc beschikken. Daarnaast is het nodig dat de telefoon op Android draait en dat Chrome en Google Authenticator op het toestel staan.

Facebook biedt al langer tweetrapsauthenticatie. Dat kan functioneren met de mobiele app of sms als tweede factor naast het wachtwoord. Het sociale netwerk raadt de veiligere manier van inloggen aan als beveiliging tegen onder meer phishing. Verkrijgt een kwaadwillende de inloggevens van een gebruiker, dan kan hij vanwege de vereiste tweede factor nog steeds niet inloggen op Facebook.

Naast de toevoeging van de authenticatiemethode heeft Facebook zijn privacypagina van een nieuw uiterlijk voorzien. Hier kunnen gebruikers hun privacy-instellingen nalopen, bijvoorbeeld aan de hand van verschillende handleidingen en een check-up. Er is geen nieuwe informatie aan de pagina toegevoegd.

Door Arnoud Wokke

Redacteur

Feedback • 26-01-2017 16:0332

26-01-2017 • 16:03

32 Linkedin

Lees meer

Instagram werkt aan tweetrapsauthenticatie zonder sms Nieuws van 18 juli 2018
Opera creëert functie voor laden pagina's op achtergrond tijdens typen url Nieuws van 7 februari 2017
Europese Commissie gaat kijken naar gebruikersdata bij overnames Nieuws van 30 september 2016
Belgische politie waarschuwt voor gebruik nieuwe Facebook-reactieknoppen Nieuws van 12 mei 2016
Veiligere loginmethode Twitter werkt nu ook in Nederland Nieuws van 7 augustus 2013
Two-step-authentication van Twitter werkt nog niet in Nederland Nieuws van 23 mei 2013
Wordpress.com introduceert two-factor-authenticatie Nieuws van 8 april 2013
Meer producten en artikelen
Netwerk en systeembeheer Facebook

Reacties (32)

-Moderatie-faq
32
30
11
2
0
16
Wijzig sortering
AnonymousWP
26 januari 2017 16:05
Facebook heeft ook zijn privacy-pagina vernieuwd: https://www.facebook.com/about/basics

De nieuwe pagina bestaat uit 32 interactieve gidsen in 44 talen en is ook mobielvriendelijk. De privacy-instellingen zelf zijn niet veranderd, waardoor de mogelijkheden voor de gebruikers hetzelfde blijven. De nieuwe layout moet er wel voor zorgen dat gebruikers bepaalde instellingen gemakkelijker moeten kunnen terugvinden.
duqu
@AnonymousWP26 januari 2017 16:13
Dank, heb een alineaatje toegevoegd.
Anoniem: 428562
26 januari 2017 19:26
Opensource ontwerp voor een u2f device, firmware + pcb ontwerp

https://www.u2fzero.com/
ToFast
26 januari 2017 16:54
Goh, net of er niet genoeg mensen zijn die niet hun USB sticks al laten slingeren. En wat krijgen we straks bij andere apps/inlogzaken, ook USB sticks voor two factor inlog? Heb je dadelijk 2 handen vol usb-beveiligings sticks alleen al. Tegen two factor inlogmogelijkheden an sich heb ik niets, maar wel op deze manier of lijkt dit jullie onzin en zie ik iets over het hoofd?
biglia
@ToFast26 januari 2017 17:11
Het bestaat al voor andere apps. Als je de productpagina bekijkt op https://www.yubico.com/why-yubico/for-individuals/facebook/ , lees je:

One-touch login for Facebook, Gmail, Dropbox, and all U2F supported services.

Misschien wel interessant voor 18$
nst6ldr
@ToFast26 januari 2017 16:57
[...] of lijkt dit jullie onzin en zie ik iets over het hoofd?
Ja, een klein detail maar: je hebt aan één stick voldoende.
Anoniem: 428562
@nst6ldr26 januari 2017 18:17
Wat te doen als die ene stick zoekraakt ?
119961
@Anoniem: 42856226 januari 2017 20:29
rechten intrekken.
--Andre--
@11996126 januari 2017 20:46
Hoe log je in zonder die stick?
PostHEX
@--Andre--26 januari 2017 21:39
Alternatieve 2FA, herstel code, herstel email adres, of iets anders. Ligt maar aan wat de service aanbieder (Facebook, Google, etc) aanbied als alternatief. Ook is het mogelijk om meerdere keys aan je account te koppelen. Althans dat is het geval bij je Google Account.
Hugo_ijslijk
@Anoniem: 42856227 januari 2017 17:34
Je herstelcodes gebruiken die je uiteraard veilig hebt opgeslagen.
PostHEX
@ToFast26 januari 2017 21:54
Goh, net of er niet genoeg mensen zijn die niet hun USB sticks al laten slingeren
Bind je key aan je sleutelbos. Dat is wat ik doe. Kan je ook een bluetooth keyfinder aan koppelen als je dat nodig acht.
En wat krijgen we straks bij andere apps/inlogzaken, ook USB sticks voor two factor inlog? Heb je dadelijk 2 handen vol usb-beveiligings sticks alleen al.
Nope, dat is het mooie aan U2F. Voor auth via U2F heb je maar één FIDO U2F Security Key nodig voor al je diensten die U2F ondersteunen.
Tegen two factor inlogmogelijkheden an sich heb ik niets, maar wel op deze manier of lijkt dit jullie onzin en zie ik iets over het hoofd?
Andere zaak die je misschien mist is: U2F auth is challenge-response, waardoor U2F auth niet vatbaar is voor phising, wat betekent dat het vrijwel superieur is t.o.v. 2FA methodes die One-time Password (OTP) gebaseerd zijn.
U2F auth is challenge-response, waardoor deze vorm van 2FA veel meer resistent is tegen phising dan Time-based One-time Password Algorithm (TOTP), of HMAC-based one-time password (HOTP).

edit: moest wat onwaarheden corrigeren.

[Reactie gewijzigd door PostHEX op 26 januari 2017 22:16]

bigbadbull
@PostHEX27 januari 2017 09:56
dat is leuk maar ik heb ook nog een secureID dongle, een secureID kaartje, een verisign dongle.
SecureID virutal dongle (dat is pas een leuke).
Maar ja ben dan wss ook een van de uitzonderingen, die veel klanten heeft met elk hun eigen beveiliging.
PostHEX
@bigbadbull27 januari 2017 22:15
Lijkt me idd ergerlijk dat je meerdere authenticatie devices mee moet zeulen. Misschien moet je ze dan adviseren om naar U2F over te stappen. Dat, of tenminste een van de andere vele authenticatie mogelijkheden van Yubikeys to mogen kunnen gebruiken voor hun producten/diensten. Als Yubikeys goed genoeg zijn voor intern gebruik binnen Facebook, Google, DoD (Pentagon), Salesforce, CERN, Turkse overheid... dan zouden ze ook goed genoeg moeten zijn voor jouw klanten. Al als het mkbtjes zijn, is er waarschijnlijk een motivatie en/of financieel tekort om een dergelijke overstap te maken.
bigbadbull
@PostHEX30 januari 2017 11:09
helaas overheden, multinationals ed. met hun behorende stugheid en eigenzinnigheid.
als ze niet zelf tot dat besef komen , dan helpt mag je dat aankaarten zoveel je wil.
beste manier is zaadjes planten en de managers laten denken dat ze het warm water uitgevonden hebben.
Helaas zijn sommige traag van begrip.
PostHEX
@bigbadbull30 januari 2017 17:49
Ai, ja... ik zie wat je bedoeld. Grote oude entiteiten met een niet-platte bedrijfshiërarchie. Zou ik m'n tijd ook niet in willen dumpen om verandering aan te sporen.
supersnathan94
26 januari 2017 16:23
Om de stick op mobiel te gebruiken, moet deze net als de telefoon over nfc beschikken. Daarnaast is het nodig dat de telefoon op Android draait en dat Chrome en Google Authenticator op het toestel staan.
En dat is dan weer vanwege het feit dat windows phone toestellen en iPhones geen public NFC API hebben. Heeft de 950 (XL) überhaupt nfc eigenlijk?
SunnieNL
@supersnathan9426 januari 2017 17:10
De 920 en de 930 hadden zelfs al NFC aan boord
Voxxie
@supersnathan9426 januari 2017 16:46
[...]
Heeft de 950 (XL) überhaupt nfc eigenlijk?
Jazeker, veel Windows Phone/Windows Mobile toestellen heben NFC aan boord.
callmebackdraft
@Voxxie26 januari 2017 18:35
Het gaat niet om de aanwezigheid van NFC, Supernathan heeft het over de aanwezigheid van een public API.

Over windows phone(s) durf ik niet te spreken maar ik weet wel dat Apple tot op heden zijn NFC API niet bepaald public heeft gemaakt.
646678
26 januari 2017 16:17
Erg jammer dat ik mijn mobiele telefoonnummer niet kan verwijderen om enkel gebruik te kunnen maken van TOTP en backup codes.
TomWassenberg
@64667826 januari 2017 17:19
Dat moet wel kunnen hoor. Heb zelf mijn 06 een tijd geleden verwijderd, en net Google Authenticator én een security key kunnen instellen (screenshot).

[Reactie gewijzigd door TomWassenberg op 26 januari 2017 17:31]

Froos
26 januari 2017 16:44
Goeie actie. Dan weet Facebook tenminste dat degene die inlogt ook echt degene is die inlogt. Dat maakt hun informatie een stuk waardevoller om te verkopen zonder uw toestemming.

Alle sarcasme terzijde, ik begrijp niet heel goed hoe dit privacy verhogend zou moeten werken versus het feit dat vervolgens bijna iedereen z'n privacy te grabbel gooit door de site überhaupt te gebruiken.

Goed dat het mogelijk is, maar ik zou, als je je veiligheid en privacy hoog in het vaandel hebt staan, eerder adviseren om je social media gebruik af te bouwen dan een U2F key aan te schaffen.
djiwie
@Froos26 januari 2017 20:58
Je kunt vrij precies instellen wie wat ziet. Als je daarnaast selectief bent in wat je deelt moeten beiden prima samen kunnen gaan.
PostHEX
26 januari 2017 21:59
Ben erg blij mee dat Facebook FIDO U2F nu ook voor hun klanten beschikbaar maakt (voorheen was het uitsluitend onder Facebook werknemers). Dit is huge. Misschien is dit de schop onder de kont voor Mozilla om native U2F ondersteuning in te bouwen in de browser. En als Mozilla over is, dan zullen er waarschijnlijk ook meer diensten U2F auth gaan aanbieden. Tot nu toe zijn Chrome en Opera de enige -- wat overigens niet insignificant is, kijkend naar Chrome's marktaandeel -- maar als ook Mozilla over de brug komt...
Coolstart
27 januari 2017 00:26
Verkrijgt een kwaadwillende de inloggevens van een gebruiker, dan kan hij vanwege de vereiste tweede factor nog steeds niet inloggen op Facebook.

Dat klopt niet helemaal. Stel ik schotel u een valse FB login pagina voor en jij vult uw login en wachtwoord in. Nu heb ik enkel nog 2-step verificatie nodig door weer een vals berichtje te sturen dat er een sms is verzonden met een code. Als je ook die ingeeft in de valse pagina kan ik inloggen met uw account.

De usb-stick of nfc is veel veiliger. Technologie zoals apple Touch ID zijn ook onkraakbaar.
mschol
@Coolstart27 januari 2017 08:36
maar daarvoor moet je dus wel het telefoonnummer voor hebben, die je dan inprinciepe niet hebt, een vals SMSje kan je dan niet verzenden
Coolstart
@mschol27 januari 2017 09:51
Ik denk dat je het niet volledig begrijpt:

Ik vraag alle info aan u via een valse website en vervolgens vul ik de gegevens in op de echte facebook website. Uw nummer hoef ik zelfs niet te weten, facebook stuurt die sms automatisch op. Jij krijgt de code aan en vult die in de valse website in, ik krijg die code aan en vul die vervolgens weer in de echte fabook website in. Ik kan inloggen en jij krijgt een error message dat de service tijdelijk offline is bijv.

2-step via sms is iets veiliger maar makkelijk te kraken. 2-step via mail is veiliger want Facebook kan een ip-check uitvoeren om te kijken de aanvraag van de code en de login in de website opdezelfde regio of computer gebeurt.

Een stick of nfc is het veiligst.
Hugo_ijslijk
@Coolstart27 januari 2017 17:42
Een Man-in-the-middle attack is iets anders dan iemands inloggegevens verkrijgen. Oh, en hiermee kan je maar voor een x aantal seconden met de gegevens inloggen, waarna de code verloopt.
Overigens zou een gebruiker dan nog kunnen zien dat het beveiligingscertificaat van FB niet aanwezig is.
Killraven
27 januari 2017 20:59
Maar houdt dit in dat als je iOS gebruikt en je 2FA inschakelt met zo'n Yubi key dat dit niet gaat werken omdat Apple geen NFC ondersteund en je je dus niet kan authenticeren met je key? Of kan je 2FA op je mobiele app uitschakelen en terugvallen op slechts je wachtwoord terwijl het wel verplicht is op je computer om ook die Yubikey (of welk merk/DYI dan ook) te gebruiken?

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee