Facebook krijgt ondersteuning voor inloggen met U2F-beveiligingssticks

Facebook krijgt ondersteuning voor inloggen met U2F-beveiligingssticks, dat zijn usb-sticks voor tweetrapsauthenticatie. Op telefoons werkt de beveiliging via nfc. Facebook vereist wel een alternatieve manier van tweetrapsauthenticatie naast de beveiligingsstick.

De alternatieve manier is nodig omdat de mobiele app van Facebook vooralsnog geen ondersteuning krijgt voor de beveiligingssticks, meldt het sociale netwerk. Bovendien hebben gebruikers op de desktop alleen de keuze uit de recentste versies van Opera en Chrome om bij Facebook in te loggen met een beveiligingsstick.

Gebruikers kunnen de usb-stick gebruiken als tweede factor bij het inloggen in de browser. Om de stick op mobiel te gebruiken, moet deze net als de telefoon over nfc beschikken. Daarnaast is het nodig dat de telefoon op Android draait en dat Chrome en Google Authenticator op het toestel staan.

Facebook biedt al langer tweetrapsauthenticatie. Dat kan functioneren met de mobiele app of sms als tweede factor naast het wachtwoord. Het sociale netwerk raadt de veiligere manier van inloggen aan als beveiliging tegen onder meer phishing. Verkrijgt een kwaadwillende de inloggevens van een gebruiker, dan kan hij vanwege de vereiste tweede factor nog steeds niet inloggen op Facebook.

Naast de toevoeging van de authenticatiemethode heeft Facebook zijn privacypagina van een nieuw uiterlijk voorzien. Hier kunnen gebruikers hun privacy-instellingen nalopen, bijvoorbeeld aan de hand van verschillende handleidingen en een check-up. Er is geen nieuwe informatie aan de pagina toegevoegd.

Door Arnoud Wokke

Redacteur Tweakers

26-01-2017 • 16:03

32

Reacties (32)

32
30
11
2
0
16
Wijzig sortering
Facebook heeft ook zijn privacy-pagina vernieuwd: https://www.facebook.com/about/basics

De nieuwe pagina bestaat uit 32 interactieve gidsen in 44 talen en is ook mobielvriendelijk. De privacy-instellingen zelf zijn niet veranderd, waardoor de mogelijkheden voor de gebruikers hetzelfde blijven. De nieuwe layout moet er wel voor zorgen dat gebruikers bepaalde instellingen gemakkelijker moeten kunnen terugvinden.
Dank, heb een alineaatje toegevoegd.
Anoniem: 428562 26 januari 2017 19:26
Opensource ontwerp voor een u2f device, firmware + pcb ontwerp

https://www.u2fzero.com/
Goh, net of er niet genoeg mensen zijn die niet hun USB sticks al laten slingeren. En wat krijgen we straks bij andere apps/inlogzaken, ook USB sticks voor two factor inlog? Heb je dadelijk 2 handen vol usb-beveiligings sticks alleen al. Tegen two factor inlogmogelijkheden an sich heb ik niets, maar wel op deze manier of lijkt dit jullie onzin en zie ik iets over het hoofd?
Het bestaat al voor andere apps. Als je de productpagina bekijkt op https://www.yubico.com/why-yubico/for-individuals/facebook/ , lees je:

One-touch login for Facebook, Gmail, Dropbox, and all U2F supported services.

Misschien wel interessant voor 18$
[...] of lijkt dit jullie onzin en zie ik iets over het hoofd?
Ja, een klein detail maar: je hebt aan één stick voldoende.
Anoniem: 428562 @nst6ldr26 januari 2017 18:17
Wat te doen als die ene stick zoekraakt ?
rechten intrekken.
Hoe log je in zonder die stick?
Alternatieve 2FA, herstel code, herstel email adres, of iets anders. Ligt maar aan wat de service aanbieder (Facebook, Google, etc) aanbied als alternatief. Ook is het mogelijk om meerdere keys aan je account te koppelen. Althans dat is het geval bij je Google Account.
Je herstelcodes gebruiken die je uiteraard veilig hebt opgeslagen.
Goh, net of er niet genoeg mensen zijn die niet hun USB sticks al laten slingeren
Bind je key aan je sleutelbos. Dat is wat ik doe. Kan je ook een bluetooth keyfinder aan koppelen als je dat nodig acht.
En wat krijgen we straks bij andere apps/inlogzaken, ook USB sticks voor two factor inlog? Heb je dadelijk 2 handen vol usb-beveiligings sticks alleen al.
Nope, dat is het mooie aan U2F. Voor auth via U2F heb je maar één FIDO U2F Security Key nodig voor al je diensten die U2F ondersteunen.
Tegen two factor inlogmogelijkheden an sich heb ik niets, maar wel op deze manier of lijkt dit jullie onzin en zie ik iets over het hoofd?
Andere zaak die je misschien mist is: U2F auth is challenge-response, waardoor U2F auth niet vatbaar is voor phising, wat betekent dat het vrijwel superieur is t.o.v. 2FA methodes die One-time Password (OTP) gebaseerd zijn.
U2F auth is challenge-response, waardoor deze vorm van 2FA veel meer resistent is tegen phising dan Time-based One-time Password Algorithm (TOTP), of HMAC-based one-time password (HOTP).

edit: moest wat onwaarheden corrigeren.

[Reactie gewijzigd door PostHEX op 23 juli 2024 15:58]

dat is leuk maar ik heb ook nog een secureID dongle, een secureID kaartje, een verisign dongle.
SecureID virutal dongle (dat is pas een leuke).
Maar ja ben dan wss ook een van de uitzonderingen, die veel klanten heeft met elk hun eigen beveiliging.
Lijkt me idd ergerlijk dat je meerdere authenticatie devices mee moet zeulen. Misschien moet je ze dan adviseren om naar U2F over te stappen. Dat, of tenminste een van de andere vele authenticatie mogelijkheden van Yubikeys to mogen kunnen gebruiken voor hun producten/diensten. Als Yubikeys goed genoeg zijn voor intern gebruik binnen Facebook, Google, DoD (Pentagon), Salesforce, CERN, Turkse overheid... dan zouden ze ook goed genoeg moeten zijn voor jouw klanten. Al als het mkbtjes zijn, is er waarschijnlijk een motivatie en/of financieel tekort om een dergelijke overstap te maken.
helaas overheden, multinationals ed. met hun behorende stugheid en eigenzinnigheid.
als ze niet zelf tot dat besef komen , dan helpt mag je dat aankaarten zoveel je wil.
beste manier is zaadjes planten en de managers laten denken dat ze het warm water uitgevonden hebben.
Helaas zijn sommige traag van begrip.
Ai, ja... ik zie wat je bedoeld. Grote oude entiteiten met een niet-platte bedrijfshiërarchie. Zou ik m'n tijd ook niet in willen dumpen om verandering aan te sporen.
Om de stick op mobiel te gebruiken, moet deze net als de telefoon over nfc beschikken. Daarnaast is het nodig dat de telefoon op Android draait en dat Chrome en Google Authenticator op het toestel staan.
En dat is dan weer vanwege het feit dat windows phone toestellen en iPhones geen public NFC API hebben. Heeft de 950 (XL) überhaupt nfc eigenlijk?
De 920 en de 930 hadden zelfs al NFC aan boord
[...]
Heeft de 950 (XL) überhaupt nfc eigenlijk?
Jazeker, veel Windows Phone/Windows Mobile toestellen heben NFC aan boord.
Het gaat niet om de aanwezigheid van NFC, Supernathan heeft het over de aanwezigheid van een public API.

Over windows phone(s) durf ik niet te spreken maar ik weet wel dat Apple tot op heden zijn NFC API niet bepaald public heeft gemaakt.
Anoniem: 646678 26 januari 2017 16:17
Erg jammer dat ik mijn mobiele telefoonnummer niet kan verwijderen om enkel gebruik te kunnen maken van TOTP en backup codes.
Dat moet wel kunnen hoor. Heb zelf mijn 06 een tijd geleden verwijderd, en net Google Authenticator én een security key kunnen instellen (screenshot).

[Reactie gewijzigd door TomWassenberg op 23 juli 2024 15:58]

Goeie actie. Dan weet Facebook tenminste dat degene die inlogt ook echt degene is die inlogt. Dat maakt hun informatie een stuk waardevoller om te verkopen zonder uw toestemming.

Alle sarcasme terzijde, ik begrijp niet heel goed hoe dit privacy verhogend zou moeten werken versus het feit dat vervolgens bijna iedereen z'n privacy te grabbel gooit door de site überhaupt te gebruiken.

Goed dat het mogelijk is, maar ik zou, als je je veiligheid en privacy hoog in het vaandel hebt staan, eerder adviseren om je social media gebruik af te bouwen dan een U2F key aan te schaffen.
Je kunt vrij precies instellen wie wat ziet. Als je daarnaast selectief bent in wat je deelt moeten beiden prima samen kunnen gaan.
Ben erg blij mee dat Facebook FIDO U2F nu ook voor hun klanten beschikbaar maakt (voorheen was het uitsluitend onder Facebook werknemers). Dit is huge. Misschien is dit de schop onder de kont voor Mozilla om native U2F ondersteuning in te bouwen in de browser. En als Mozilla over is, dan zullen er waarschijnlijk ook meer diensten U2F auth gaan aanbieden. Tot nu toe zijn Chrome en Opera de enige -- wat overigens niet insignificant is, kijkend naar Chrome's marktaandeel -- maar als ook Mozilla over de brug komt...
Verkrijgt een kwaadwillende de inloggevens van een gebruiker, dan kan hij vanwege de vereiste tweede factor nog steeds niet inloggen op Facebook.

Dat klopt niet helemaal. Stel ik schotel u een valse FB login pagina voor en jij vult uw login en wachtwoord in. Nu heb ik enkel nog 2-step verificatie nodig door weer een vals berichtje te sturen dat er een sms is verzonden met een code. Als je ook die ingeeft in de valse pagina kan ik inloggen met uw account.

De usb-stick of nfc is veel veiliger. Technologie zoals apple Touch ID zijn ook onkraakbaar.
maar daarvoor moet je dus wel het telefoonnummer voor hebben, die je dan inprinciepe niet hebt, een vals SMSje kan je dan niet verzenden
Ik denk dat je het niet volledig begrijpt:

Ik vraag alle info aan u via een valse website en vervolgens vul ik de gegevens in op de echte facebook website. Uw nummer hoef ik zelfs niet te weten, facebook stuurt die sms automatisch op. Jij krijgt de code aan en vult die in de valse website in, ik krijg die code aan en vul die vervolgens weer in de echte fabook website in. Ik kan inloggen en jij krijgt een error message dat de service tijdelijk offline is bijv.

2-step via sms is iets veiliger maar makkelijk te kraken. 2-step via mail is veiliger want Facebook kan een ip-check uitvoeren om te kijken de aanvraag van de code en de login in de website opdezelfde regio of computer gebeurt.

Een stick of nfc is het veiligst.
Een Man-in-the-middle attack is iets anders dan iemands inloggegevens verkrijgen. Oh, en hiermee kan je maar voor een x aantal seconden met de gegevens inloggen, waarna de code verloopt.
Overigens zou een gebruiker dan nog kunnen zien dat het beveiligingscertificaat van FB niet aanwezig is.
Maar houdt dit in dat als je iOS gebruikt en je 2FA inschakelt met zo'n Yubi key dat dit niet gaat werken omdat Apple geen NFC ondersteund en je je dus niet kan authenticeren met je key? Of kan je 2FA op je mobiele app uitschakelen en terugvallen op slechts je wachtwoord terwijl het wel verplicht is op je computer om ook die Yubikey (of welk merk/DYI dan ook) te gebruiken?

Op dit item kan niet meer gereageerd worden.