Reddit introduceert tweetrapsauthenticatie voor accounts

Reddit heeft een nieuwe beveiligingsfunctie voor accounts beschikbaar gesteld voor zijn gebruikers, in de vorm van tweetrapsauthenticatie. Zo kan een kwaadwillende niet inloggen, ook al heeft hij het wachtwoord van een gebruiker verkregen.

Reddit schrijft dat het de functie al enige tijd aan het testen was, bijvoorbeeld onder moderators. Nu is de functie echter voor iedere gebruiker van het platform beschikbaar. Deze is in te schakelen via de accountinstellingen die gaan over het wachtwoord en e-mailadres. Om ervan gebruik te maken moet het account wel gekoppeld zijn aan een geverifieerd e-mailadres.

Het is mogelijk om de functie te gebruiken met elke app die ondersteuning biedt aan totp. Daar zijn verschillende varianten van; Reddit zelf noemt Google Authenticator en Authy, die allebei geschikt zijn voor iOS en Android. Een van de verschillen is dat Authy een back-up kan aanmaken zodat het bijvoorbeeld eenvoudiger is om over te gaan naar een nieuw toestel.

Het is aan te raden om back-upcodes aan te maken op Reddit, voor als het even niet mogelijk is om met behulp van de telefoon in te loggen, aldus het bedrijf. Is 2fa eenmaal ingeschakeld, dan moet bij het inloggen een aanvullende, zescijferige code ingevuld worden.

Reddit is vrij laat met de invoering van deze beveiligingsmaatregel, die al door veel andere grote internetbedrijven is geïntroduceerd. Niet iedereen maakt er echter gebruik van. Zo meldde Google onlangs dat minder dan tien procent van zijn Gmail-accounts is beveiligd met tweetrapsauthenticatie.

Reddit 2fa

Door Sander van Voorst

Nieuwsredacteur

Feedback • 25-01-2018 10:08 49

25-01-2018 • 10:08

49

Lees meer

Google voegt melding voor tweetrapsauthenticatie toe aan Gmail voor iOS
Google voegt melding voor tweetrapsauthenticatie toe aan Gmail voor iOS Nieuws van 18 april 2018
Google: minder dan tien procent Gmail-gebruikers heeft tweetrapsauthenticatie
Google: minder dan tien procent Gmail-gebruikers heeft tweetrapsauthenticatie Nieuws van 18 januari 2018
Man-in-the-middle-aanval treft Fox-IT
Man-in-the-middle-aanval treft Fox-IT Nieuws van 14 december 2017
Google introduceert beschermingsprogramma voor gevoelige accounts
Google introduceert beschermingsprogramma voor gevoelige accounts Nieuws van 17 oktober 2017
Blizzard brengt Battle.net-app uit voor Android en iOS
Blizzard brengt Battle.net-app uit voor Android en iOS Nieuws van 27 september 2017
Nintendo maakt tweetrapsauthenticatie mogelijk bij accounts
Nintendo maakt tweetrapsauthenticatie mogelijk bij accounts Nieuws van 25 september 2017
Mobiele Dropbox-app is inzetbaar voor tweetrapsauthenticatie bij inloggen op pc
Mobiele Dropbox-app is inzetbaar voor tweetrapsauthenticatie bij inloggen op pc Nieuws van 11 augustus 2017
Google begint met uitfasering van sms bij tweetrapsauthenticatie
Google begint met uitfasering van sms bij tweetrapsauthenticatie Nieuws van 14 juli 2017
Meer producten en artikelen
Netwerk en systeembeheer reddit Security

Reacties (49)

-Moderatie-faq
49
47
29
5
0
12
Wijzig sortering

Sorteer op:

Weergave:
Devaqto 25 januari 2018 10:11
Ik raad iedereen direct gebruik te maken van Authy in plaats van Google Authenticator. Deze maakt wel backups! Het is namelijk niet zo fijn om alles kwijt te raken na een telefoon swap :+
AndrewBourgeois @Devaqto25 januari 2018 10:27
Je kan ook gewoon de code die je in Google Authenticator ingeeft ergens veilig opslaan en later weer gebruiken voor een andere telefoon.
AOC @AndrewBourgeois25 januari 2018 12:54
Precies. Ik maak een copy van de QR code en backupcode in een .doc bestand. Deze gaat op een usb stick die ik brandveilig bewaar. En het .doc bestand print ik ook uit welke tussen de boekhouding gaat.
not2secure4u @AOC26 januari 2018 07:31
Nog beter, opslaan in LastPass!
Anonymoussaurus
@Devaqto25 januari 2018 10:12
Definieer "alles kwijtraken". Volgens mij heeft elke dienst die gebruik maakt van tweetrapsauthenticatie ook altijd back-up codes, of bedoel je dat je na een telefoon swap weer al die diensten moet toevoegen?

Heb geen zin om te wennen aan een nieuwe app/systeem :p.
Slavy @Anonymoussaurus25 januari 2018 10:15
Google Authenticator maakt geen back-up van de accounts die in de app staan, betekenend dat als jij je telefoon wiped of de app per ongeluk verwijderd, je vanaf 0 kan beginnen alle websites opnieuw in te stellen.
Anonymoussaurus
@Slavy25 januari 2018 10:18
Dat snap ik, anders had ik dat wel gezien. Je kunt het op 2 manieren zien, dus vandaar de vraag.

Denk dat Google dat expres heeft gedaan, omdat het wel veilig is zodat niet jan en alleman die back-up kan restoren.

[Reactie gewijzigd door Anonymoussaurus op 24 juli 2024 02:49]

Mavamaarten @Anonymoussaurus25 januari 2018 10:49
Klopt, het is in principe niet veilig om je private key voor je 2-factor auth ergens in de cloud te zetten bij een derde partij. Maar ik had het laatst ook voor, het is echt niet handig dat je de private keys niet even manueel kan exporten en terug importeren op een nieuw device.
royalt123 @Anonymoussaurus25 januari 2018 11:08
Je kan met deze app "Authenticator Plus" ook back-ups maken en zelf manueel opslaan op je sd card als je cloud niet vertrouwd of liever vermijd :)
Ondersteunt ook extra beveiliging laag voor mensen met gsm die geroot toch extra beschermd kan zijn.
DoubleYouPee @Slavy25 januari 2018 10:23
Kan je een backup maken met Titanium Backup e.d.?
Devaqto @Anonymoussaurus25 januari 2018 10:14
Authy werkt echt goed, de overstap was ook eenvoudig voor mij.

Stel je voor als je 50 accounts hebt in Authenticator en die kwijt raakt, succes met het zoeken naar backup codes :p
Anonymoussaurus
@Devaqto25 januari 2018 10:16
Dat wel. Ik heb er welgeteld 6 in m'n Google Authenticator staan, terwijl ik overal waar het kan 2FA inschakel. Komt misschien ook omdat ik niet bij elke site een account (wil) aanmaken ;).
SmokingCrop @Devaqto25 januari 2018 11:14
Het zoeken zal niet lang duren, staat in eenzelfde geencrypteerd bestand, het invullen zal wel eventjes duren :P
Hertog_Martin @Devaqto25 januari 2018 10:13
Maken die backups het niet onveiliger?
Devaqto @Hertog_Martin25 januari 2018 10:15
Die worden encrypted opgeslagen in iCloud. En om in iCloud te komen kun je 2FA aanzetten die werkt met andere Apple devices of email.
MiesvanderLippe @Hertog_Martin25 januari 2018 10:16
Hangt er vanaf. Bij mij is het een iCloud backup. Die verificatie loopt op een andere manier. Daarnaast zit er een wachtwoord op de backups. Wat dit al met al inhoud is dat om toegang te verkrijgen tot mijn Authy backup je toegang moet hebben tot een van mijn Macos/iOs systemen (wachtwoord beveiligd) plus het wachtwoord dat op Authy rust moet weten plus ook het wachtwoord van het account waarop je probeert in te loggen.
NSG @Hertog_Martin25 januari 2018 10:40
Valt denk ik wel mee. Ik heb recentelijk al ondervonden dat 2FA/backupcodes niet heilig zijn bij o.a. gmail, outlook, dropbox, facebook en twitter. In alle gevallen heb ik het kunnen omzeilen middels een herstelmail naar mijn (backup) mail adres.
Dorank @Devaqto25 januari 2018 12:06
Ik raad om vooral geen authenticator te gebruiken die gegevens kan lekken via netwerk.

Als je 2FA gebruikt spreekt het vanzelf dat je die tokens ook moet opslaan (in je password manager) en dan ook gewoon nogmaals kan invoeren op andere devices. Samen met natuurlijk de backup codes die er altijd moeten zijn voor als de sharedkey voor TOTP verloren is gegaan.

Voor veilige opslag op m'n mobiele devices gebruik ik liever de Yubikey authenticator, dan is er nog een 3de token nodig via NFC of USB-OTG.
53645714n @Dorank25 januari 2018 13:11
In je password manager? Dus als iemand je master password raad is je tweede factor schone schijn..
com2,1ghz @Devaqto25 januari 2018 10:43
De reden waarom Google dit niet opslaat in de cloud is omdat men achterdochtig is over het feit dat Google alle 2FA tokens kon beheren.
nl03228 @Devaqto25 januari 2018 10:49
Handig is ook dat Authy een Chrome implementatie heeft.
RobinJ1995 @Devaqto25 januari 2018 11:34
Klinkt echter niet als zo'n fantastisch idee om beveiligingssleutels in "de cloud" (op iemand anders' computer) te stoppen :+
Devalno @Devaqto25 januari 2018 14:35
Voor iedereen die zijn 2FA liever niet bij een andere partij gehost ziet en/of voor zijn beveiliging liever gebruik maakt van open source software en Google software wil vermijden, kan ik FreeOTP aanraden, https://freeotp.github.io/ (opensource, werkt op iOS en Android).
Bart_GR @Devaqto25 januari 2018 10:33
Om in Reddit termen te blijven spreken: the real life pro tip is always in the comments :Y)
ShellGhost 25 januari 2018 10:10
Gaat Tweakers ook 2FA aanzetten in de nabije toekomst?
Anonymoussaurus
@ShellGhost25 januari 2018 10:14
Ook ik vind dit heel erg belangrijk en vind het jammer dat het er (nog) niet is. Hier is wel vaker een discussie over geweest:

[Reactie gewijzigd door Anonymoussaurus op 24 juli 2024 02:49]

batjes
@Anonymoussaurus25 januari 2018 11:32
Blijf het apart vinden, dat een website die technologie op de proef stelt.

Veelste vaak achter loopt om die techniek in de praktijk toe te passen.
Martinspire
@batjes25 januari 2018 12:58
Kwestie van geld. Ze zijn geen grote multinational die dit makkelijk kan toevoegen. Reddit idem dito. Maar ze zouden er wel een mooi artikel van kunnen maken om in ieder geval een deel van de kosten terug te verdienen.
batjes
@Martinspire25 januari 2018 13:11
Reddit is dan ook proactief met zijn communitie aan het ontwikkelen. Je kunt je gewoon opgeven voor de BETA en meedoen.

Maar ook Reddit loopt enorm achter op de ontwikkeling, maar Reddit stelt de technologie niet op de proef.

[Reactie gewijzigd door batjes op 24 juli 2024 02:49]

Slavy @ShellGhost25 januari 2018 10:11
Die vraag heeft de almachtige @zeef in het verleden (half jaar terug) beantwoord op GoT. :)

https://gathering.tweaker...message/52343011#52343011
Hopman42 @Slavy25 januari 2018 10:51
Geen info, geen plannen op korte termijn.
Safe a click, safe the environment!

[Reactie gewijzigd door Hopman42 op 24 juli 2024 02:49]

A87 25 januari 2018 14:07
Mijn advies gebruik 1 wachtwoord van minimaal 20 tekens. Al die 2ledige verificatie is zon onzin. zorg dat je je shit together hebt! Als je alles altijd vergeet ben je nu ook wel je geld/pinpas en huis kwijt denk...

[Reactie gewijzigd door A87 op 24 juli 2024 02:49]

Despen @A8725 januari 2018 15:28
Ook al heb je een wachtwoord van 500 karakters, als je een keylogger op je machine hebt staan is die zo weg. Ook kan je wachtwoord gestolen worden als iemand over je schouder mee kijkt.

Het idee van 2FA is dat als iemand je wachtwoord steelt, hij nog steeds niet in jouw account kan omdat hij je "secret" niet heeft.
Twanekel @A8725 januari 2018 22:17
Of je nou 8 karakters hebt op 50, maakt niks uit. Verandering in gebruik van kleine letter, hoofdletters, cijfers en speciale karakters in een wachtwoord van 8 tekens ga je nooit via brute force kunnen raden of iets in die richting.

[Reactie gewijzigd door Twanekel op 24 juli 2024 02:49]

Stoelpoot 25 januari 2018 10:12
Nu maar eens afwachten hoe dat gaat met RES en 3rd party en dan hopelijk snel over!
MiesvanderLippe @Stoelpoot25 januari 2018 10:18
Met apps log je als het goed is sowieso in via OAuth (doorverwijzen naar de site, inloggen met een token) dus dat hoeft niet te veranderen. God hebbe je ziel als je overal pardoes je inloggegevens achterlaat.
The Zep Man
@MiesvanderLippe25 januari 2018 16:12
Soms kan je ook application passwords instellen. Met zo'n wachtwoord kan je bijvoorbeeld de dienst (via een applicatie) gebruiken, maar niet je account beheren.
MiesvanderLippe @The Zep Man25 januari 2018 17:01
Github is hier een voorbeeld van, omdat niet iedere applicatie ceritifcaat authenticatie ondersteunt.
The_Worst @Stoelpoot25 januari 2018 13:27
RES heeft al langere tijd ondersteuning hiervoor.
rover87 25 januari 2018 10:25
Niet veel mensen weten dit maar 1password ondersteund ook one-time-passwords die automatisch gekopieerd worden na invoeren password.
CaffeineCipher @rover8725 januari 2018 13:42
Hoe veilig is dit dan nog? Als je 1Password-masterpassword gestolen wordt, hebben ze alsnog je account.
Of ondersteunt 1Password ook 2FA?

Edit: ik lees hier dat je de gegevens zelf natuurlijk ook moet hebben.

[Reactie gewijzigd door CaffeineCipher op 24 juli 2024 02:49]

Chuk 25 januari 2018 10:32
Vraag me af of je ook een FIDO authenticator kan gebruiken om met 'one-click' in te loggen op reddit. zoiets als dit :Werkt vrij handig op Facebook, Github en andere grote wesbties waar je je account op meerdere manieren kan beveiligen met 2FA.
Kain_niaK 25 januari 2018 11:04
Ben ik erg blij mee. Ik kreeg een keer 1 Bitcoin Cash (had toen een waarde van 3200 CAD) via the tippr bot op reddit. En er was een bug in reddit die het mogelijk maakte om Bitcoin Cash te stelen van gebruikers. Die bug is vrij snel gefixed en nu is er gelukkig 2FA voor iedereen op reddit. Het was al mogelijk als je moderator van een sub bent.

Goede zaak dus! De tippr bot op reddit en twitter is erg gaaf en cool om mee te werken. Wou dat ik hier op Tweakers ook Bitcoin Cash kon tippen. En via yours.org verdien ik nu als creatief persoon een stuk meer dan via YouTube. Ipv een euro per 1000 views kan het nu 10 euro op 2 views zijn. Dat is nu de power of crypto. _/-\o_

[Reactie gewijzigd door Kain_niaK op 24 juli 2024 02:49]

FreshMaker @Kain_niaK25 januari 2018 11:39
Je doet goede zaken inderdaad :+
https://tsbw.io/tippr/Kain_niaK

EDIT :
De video is inderdaad interessant .. good job
* FreshMaker kan alleen nogn iet tippen :|

[Reactie gewijzigd door FreshMaker op 24 juli 2024 02:49]

Kain_niaK @FreshMaker26 januari 2018 05:57
Man ik wist helemaal niet dat er tippr statistieken voor mij zijn.

Eens kijken of ik nu meer heb weggeven of ontvangen. Thanks for the link! Die gaat in my bookmarks. Veeeeet cool. :P

edit: Ik bedoel zonder die 1 BCH .... lol (0.33 ging naar frank)


edit 2: Hier zitten ook betalingen tussen. Ik maak graag jobs voor mensen en betaal ze dan via tippr. Bijvoorbeeld video editing is niet mijn sterkste punt dus dat outsource ik graag.

[Reactie gewijzigd door Kain_niaK op 24 juli 2024 02:49]

StephanVierkant 25 januari 2018 11:44
Eigenlijk is het schandalig dat dit nieuws is. Het zou eigenlijk nieuws moeten zijn als een grote website geen tweetrapsauthenticatie aanbiedt.
Shamalamadindon 25 januari 2018 13:23
Mocht je RES gebruiken met meerdere accounts dan is het niet echt praktisch.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq