Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Reddit introduceert tweetrapsauthenticatie voor accounts

Reddit heeft een nieuwe beveiligingsfunctie voor accounts beschikbaar gesteld voor zijn gebruikers, in de vorm van tweetrapsauthenticatie. Zo kan een kwaadwillende niet inloggen, ook al heeft hij het wachtwoord van een gebruiker verkregen.

Reddit schrijft dat het de functie al enige tijd aan het testen was, bijvoorbeeld onder moderators. Nu is de functie echter voor iedere gebruiker van het platform beschikbaar. Deze is in te schakelen via de accountinstellingen die gaan over het wachtwoord en e-mailadres. Om ervan gebruik te maken moet het account wel gekoppeld zijn aan een geverifieerd e-mailadres.

Het is mogelijk om de functie te gebruiken met elke app die ondersteuning biedt aan totp. Daar zijn verschillende varianten van; Reddit zelf noemt Google Authenticator en Authy, die allebei geschikt zijn voor iOS en Android. Een van de verschillen is dat Authy een back-up kan aanmaken zodat het bijvoorbeeld eenvoudiger is om over te gaan naar een nieuw toestel.

Het is aan te raden om back-upcodes aan te maken op Reddit, voor als het even niet mogelijk is om met behulp van de telefoon in te loggen, aldus het bedrijf. Is 2fa eenmaal ingeschakeld, dan moet bij het inloggen een aanvullende, zescijferige code ingevuld worden.

Reddit is vrij laat met de invoering van deze beveiligingsmaatregel, die al door veel andere grote internetbedrijven is geļntroduceerd. Niet iedereen maakt er echter gebruik van. Zo meldde Google onlangs dat minder dan tien procent van zijn Gmail-accounts is beveiligd met tweetrapsauthenticatie.

Door

Nieuwsredacteur

49 Linkedin Google+

Reacties (49)

Wijzig sortering
Ik raad iedereen direct gebruik te maken van Authy in plaats van Google Authenticator. Deze maakt wel backups! Het is namelijk niet zo fijn om alles kwijt te raken na een telefoon swap :+
Je kan ook gewoon de code die je in Google Authenticator ingeeft ergens veilig opslaan en later weer gebruiken voor een andere telefoon.
Precies. Ik maak een copy van de QR code en backupcode in een .doc bestand. Deze gaat op een usb stick die ik brandveilig bewaar. En het .doc bestand print ik ook uit welke tussen de boekhouding gaat.
Nog beter, opslaan in LastPass!
Definieer "alles kwijtraken". Volgens mij heeft elke dienst die gebruik maakt van tweetrapsauthenticatie ook altijd back-up codes, of bedoel je dat je na een telefoon swap weer al die diensten moet toevoegen?

Heb geen zin om te wennen aan een nieuwe app/systeem :p.
Google Authenticator maakt geen back-up van de accounts die in de app staan, betekenend dat als jij je telefoon wiped of de app per ongeluk verwijderd, je vanaf 0 kan beginnen alle websites opnieuw in te stellen.
Dat snap ik, anders had ik dat wel gezien. Je kunt het op 2 manieren zien, dus vandaar de vraag.

Denk dat Google dat expres heeft gedaan, omdat het wel veilig is zodat niet jan en alleman die back-up kan restoren.

[Reactie gewijzigd door AnonymousWP op 25 januari 2018 10:20]

Klopt, het is in principe niet veilig om je private key voor je 2-factor auth ergens in de cloud te zetten bij een derde partij. Maar ik had het laatst ook voor, het is echt niet handig dat je de private keys niet even manueel kan exporten en terug importeren op een nieuw device.
Je kan met deze app "Authenticator Plus" ook back-ups maken en zelf manueel opslaan op je sd card als je cloud niet vertrouwd of liever vermijd :)
Ondersteunt ook extra beveiliging laag voor mensen met gsm die geroot toch extra beschermd kan zijn.
Kan je een backup maken met Titanium Backup e.d.?
Authy werkt echt goed, de overstap was ook eenvoudig voor mij.

Stel je voor als je 50 accounts hebt in Authenticator en die kwijt raakt, succes met het zoeken naar backup codes :p
Dat wel. Ik heb er welgeteld 6 in m'n Google Authenticator staan, terwijl ik overal waar het kan 2FA inschakel. Komt misschien ook omdat ik niet bij elke site een account (wil) aanmaken ;).
Het zoeken zal niet lang duren, staat in eenzelfde geencrypteerd bestand, het invullen zal wel eventjes duren :P
Maken die backups het niet onveiliger?
Die worden encrypted opgeslagen in iCloud. En om in iCloud te komen kun je 2FA aanzetten die werkt met andere Apple devices of email.
Hangt er vanaf. Bij mij is het een iCloud backup. Die verificatie loopt op een andere manier. Daarnaast zit er een wachtwoord op de backups. Wat dit al met al inhoud is dat om toegang te verkrijgen tot mijn Authy backup je toegang moet hebben tot een van mijn Macos/iOs systemen (wachtwoord beveiligd) plus het wachtwoord dat op Authy rust moet weten plus ook het wachtwoord van het account waarop je probeert in te loggen.
Valt denk ik wel mee. Ik heb recentelijk al ondervonden dat 2FA/backupcodes niet heilig zijn bij o.a. gmail, outlook, dropbox, facebook en twitter. In alle gevallen heb ik het kunnen omzeilen middels een herstelmail naar mijn (backup) mail adres.
Ik raad om vooral geen authenticator te gebruiken die gegevens kan lekken via netwerk.

Als je 2FA gebruikt spreekt het vanzelf dat je die tokens ook moet opslaan (in je password manager) en dan ook gewoon nogmaals kan invoeren op andere devices. Samen met natuurlijk de backup codes die er altijd moeten zijn voor als de sharedkey voor TOTP verloren is gegaan.

Voor veilige opslag op m'n mobiele devices gebruik ik liever de Yubikey authenticator, dan is er nog een 3de token nodig via NFC of USB-OTG.
In je password manager? Dus als iemand je master password raad is je tweede factor schone schijn..
De reden waarom Google dit niet opslaat in de cloud is omdat men achterdochtig is over het feit dat Google alle 2FA tokens kon beheren.
Handig is ook dat Authy een Chrome implementatie heeft.
Klinkt echter niet als zo'n fantastisch idee om beveiligingssleutels in "de cloud" (op iemand anders' computer) te stoppen :+
Voor iedereen die zijn 2FA liever niet bij een andere partij gehost ziet en/of voor zijn beveiliging liever gebruik maakt van open source software en Google software wil vermijden, kan ik FreeOTP aanraden, https://freeotp.github.io/ (opensource, werkt op iOS en Android).
Om in Reddit termen te blijven spreken: the real life pro tip is always in the comments :Y)
Gaat Tweakers ook 2FA aanzetten in de nabije toekomst?
Ook ik vind dit heel erg belangrijk en vind het jammer dat het er (nog) niet is. Hier is wel vaker een discussie over geweest:

[Reactie gewijzigd door AnonymousWP op 25 januari 2018 10:14]

Blijf het apart vinden, dat een website die technologie op de proef stelt.

Veelste vaak achter loopt om die techniek in de praktijk toe te passen.
Kwestie van geld. Ze zijn geen grote multinational die dit makkelijk kan toevoegen. Reddit idem dito. Maar ze zouden er wel een mooi artikel van kunnen maken om in ieder geval een deel van de kosten terug te verdienen.
Reddit is dan ook proactief met zijn communitie aan het ontwikkelen. Je kunt je gewoon opgeven voor de BETA en meedoen.

Maar ook Reddit loopt enorm achter op de ontwikkeling, maar Reddit stelt de technologie niet op de proef.

[Reactie gewijzigd door batjes op 25 januari 2018 13:12]

Die vraag heeft de almachtige @zeef in het verleden (half jaar terug) beantwoord op GoT. :)

https://gathering.tweaker...message/52343011#52343011
Geen info, geen plannen op korte termijn.
Safe a click, safe the environment!

[Reactie gewijzigd door Hopman42 op 25 januari 2018 10:55]

Mijn advies gebruik 1 wachtwoord van minimaal 20 tekens. Al die 2ledige verificatie is zon onzin. zorg dat je je shit together hebt! Als je alles altijd vergeet ben je nu ook wel je geld/pinpas en huis kwijt denk...

[Reactie gewijzigd door A87 op 25 januari 2018 14:08]

Ook al heb je een wachtwoord van 500 karakters, als je een keylogger op je machine hebt staan is die zo weg. Ook kan je wachtwoord gestolen worden als iemand over je schouder mee kijkt.

Het idee van 2FA is dat als iemand je wachtwoord steelt, hij nog steeds niet in jouw account kan omdat hij je "secret" niet heeft.
Of je nou 8 karakters hebt op 50, maakt niks uit. Verandering in gebruik van kleine letter, hoofdletters, cijfers en speciale karakters in een wachtwoord van 8 tekens ga je nooit via brute force kunnen raden of iets in die richting.

[Reactie gewijzigd door Twanekel op 25 januari 2018 22:18]

Nu maar eens afwachten hoe dat gaat met RES en 3rd party en dan hopelijk snel over!
Met apps log je als het goed is sowieso in via OAuth (doorverwijzen naar de site, inloggen met een token) dus dat hoeft niet te veranderen. God hebbe je ziel als je overal pardoes je inloggegevens achterlaat.
Soms kan je ook application passwords instellen. Met zo'n wachtwoord kan je bijvoorbeeld de dienst (via een applicatie) gebruiken, maar niet je account beheren.
Github is hier een voorbeeld van, omdat niet iedere applicatie ceritifcaat authenticatie ondersteunt.
RES heeft al langere tijd ondersteuning hiervoor.
Niet veel mensen weten dit maar 1password ondersteund ook one-time-passwords die automatisch gekopieerd worden na invoeren password.
Hoe veilig is dit dan nog? Als je 1Password-masterpassword gestolen wordt, hebben ze alsnog je account.
Of ondersteunt 1Password ook 2FA?

Edit: ik lees hier dat je de gegevens zelf natuurlijk ook moet hebben.

[Reactie gewijzigd door pietersr op 25 januari 2018 13:46]

Vraag me af of je ook een FIDO authenticator kan gebruiken om met 'one-click' in te loggen op reddit. zoiets als dit :Werkt vrij handig op Facebook, Github en andere grote wesbties waar je je account op meerdere manieren kan beveiligen met 2FA.
Ben ik erg blij mee. Ik kreeg een keer 1 Bitcoin Cash (had toen een waarde van 3200 CAD) via the tippr bot op reddit. En er was een bug in reddit die het mogelijk maakte om Bitcoin Cash te stelen van gebruikers. Die bug is vrij snel gefixed en nu is er gelukkig 2FA voor iedereen op reddit. Het was al mogelijk als je moderator van een sub bent.

Goede zaak dus! De tippr bot op reddit en twitter is erg gaaf en cool om mee te werken. Wou dat ik hier op Tweakers ook Bitcoin Cash kon tippen. En via yours.org verdien ik nu als creatief persoon een stuk meer dan via YouTube. Ipv een euro per 1000 views kan het nu 10 euro op 2 views zijn. Dat is nu de power of crypto. _/-\o_

[Reactie gewijzigd door Kain_niaK op 25 januari 2018 11:06]

Je doet goede zaken inderdaad :+
https://tsbw.io/tippr/Kain_niaK

EDIT :
De video is inderdaad interessant .. good job
* FreshMaker kan alleen nogn iet tippen :|

[Reactie gewijzigd door FreshMaker op 25 januari 2018 11:57]

Man ik wist helemaal niet dat er tippr statistieken voor mij zijn.

Eens kijken of ik nu meer heb weggeven of ontvangen. Thanks for the link! Die gaat in my bookmarks. Veeeeet cool. :P

edit: Ik bedoel zonder die 1 BCH .... lol (0.33 ging naar frank)


edit 2: Hier zitten ook betalingen tussen. Ik maak graag jobs voor mensen en betaal ze dan via tippr. Bijvoorbeeld video editing is niet mijn sterkste punt dus dat outsource ik graag.

[Reactie gewijzigd door Kain_niaK op 26 januari 2018 06:00]

Eigenlijk is het schandalig dat dit nieuws is. Het zou eigenlijk nieuws moeten zijn als een grote website geen tweetrapsauthenticatie aanbiedt.
Mocht je RES gebruiken met meerdere accounts dan is het niet echt praktisch.

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S9 Google Pixel 2 Far Cry 5 Microsoft Xbox One X Apple iPhone 8

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V. © 1998 - 2018 Hosting door True

*