Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Instagram werkt aan tweetrapsauthenticatie zonder sms

Instagram werkt aan integratie van tweetrapsauthenticatie die werkt met een beveiligingscode die niet via sms wordt gestuurd, maar in plaats daarvan wordt gegenereerd door een app als Google Authenticator. Deze methode, die niet nieuw is, was tot nu toe niet beschikbaar bij de dienst.

Afbeelding via J M Wong

Instagram bevestigt aan TechCrunch dat het aan de functie werkt, nadat Twitteraar Jane Manchun Wong daarvoor aanwijzingen had gevonden in de apk van de Android-app. De mogelijkheid om een code voor tweetrapsauthenticatie via een app te genereren is niet nieuw en is beschikbaar voor een groot aantal diensten. Volgens TechCrunch ontbrak deze echter op Instagram, dat pas in 2016 tweetrapsauthenticatie introduceerde. Op dat moment had de dienst al 400 miljoen gebruikers. Deze vorm van authenticatie is een aanvullende beschermingslaag, zodat bijvoorbeeld een buitgemaakt wachtwoord niet voldoende is om een account in te komen.

Het nieuws volgt op een artikel van Motherboard waarin de site de praktijk van het overnemen en verkopen van gewilde accounts op onder meer Instagram en Twitter beschrijft. Zo zijn bijvoorbeeld zeer korte accountnamen of bepaalde woorden zeer gewild en kunnen die op internetmarktplaatsen voor aanzienlijke bedragen verkocht worden. Het overnemen van accounts zou vaak gebeuren via sim swaps of port out scams, waarbij een aanvaller een telefoonnummer van een doelwit via social engineering door de klantenservice van een provider laat overzetten naar een simkaart in zijn bezit. Vervolgens heeft de aanvaller toegang tot de verstuurde sms-codes voor tweetrapsauthenticatie en tot het account.

Verschillende bedrijven zijn bezig met het uitfaseren van sms voor tweetrapsauthenticatie, waaronder Google. Het Amerikaanse NIST zei in 2016 dat het sms beschouwt als ongeschikt voor authenticatiedoeleinden.

Door Sander van Voorst

Nieuwsredacteur

18-07-2018 • 10:00

52 Linkedin Google+

Reacties (52)

Wijzig sortering
vind dat niet nodig, sms werkt gewoon goed ik heb geen zin in weer een extra app
De technologie die Instagram wil gebruiken is het systeem wat o.a. Google Authenticator en Authy gebroken. Dat is een systeem ontwikkeld voor 2FA waarbij je meerdere accounts in 1 app kan gebruiken. Het werkt op basis van een cryptografische berekening waardoor de codes op elk device gegenereerd kunnen worden, niet enkel via SMS.

Zoals in het artikel staat laat je bij SMS-auth een deel van je beveiliging over aan je provider, welke dus opgelicht kunnen worden om controle te krijgen over jouw telefoonnummer.
Als aanvulling (ook op het artikel), die technologie heet Time-based One-Time Password algorithm (TOTP)

https://en.wikipedia.org/...e-time_Password_algorithm
En daar weer een aanvulling op: TOTP wordt toegepast in Google Authenticator maar niets weerhoud je ervan om een andere/eigen applicatie te gebruiken. Het algoritme is beschreven in RFC 6238 (https://tools.ietf.org/html/rfc6238). Voorbeeldcode is vrij verkrijgbaar voor diverse programmeertalen.
andOTP is een goed alternatief.
Klopt, dat staat ook gewoon in het Wikipedia artikel. Zie het kopje "Client implementations" voor een aantal beschikbare apps op diverse platformen. Zelf gebruik ik Microsoft Authenticator op W10M.
Ah, bedankt. Die had ik er inderdaad net zo goed bij kunnen zetten. Het is nog vroeg.
Authy is wat onbekender dan Google authenticator maar ik vind de applicatie stukken gebruiksvriendelijker. Je kunt bijv. een back-up maken van je codes en die dan op een nieuw ander apparaat terugzetten als het vorige verloren/kapot is.
De killer feature wat mij betreft is het beveiligen van de app zelf dmv een pin of vingerafdruk. De backup is handig maar ik bewaarde de secrets toch al op een andere plaats, maar ik wilde niet dat iemand die mijn telefoon geopend vindt gelijk bij de authenticator kan.
saved my live dat Authy, door een gecrashte harddisk kon ik een iPhone backup niet herstellen, gevolg: ik heb nu geen toegang meer tot mijn github, dat was de enigste dienst die ik nog niet in Authy had staan, de rest wel, 1 jammerlijke misser dus, github, die stond alleen in Google Authenticator en niet, zoals met de rest in bieden apps. dus tsja, authy is wel belangrijk, kan nog steeds bij m'n belangrijkste accounts, en voor github maak ik wel een nieuw account aan als ik dat wil, ben toch over naar dat Nederlandse alternatief.
Kan ook met andOTP: encrypted en vervolgens offline bewaren op een USB-stick ofzo. Die app heeft nog andere extreme veiligheidsfeatures zoals ondersteuning voor een 'panic app' die alles kan wegvagen in geval van een gewapende overval ofzo.
Ik gebruik zelf freeOTP welke ontwikkeld is door red hat voor android en ios. Vooral fijn dat er meerdere alternatieven zijn qua apps op de google authenticator, voor de mensen die zich een beetje los willen weken van de google biotoop.
Tip: andOTP is een mooi alternatief voor freeOTP.
Sowieso zijn out-of-band oplossingen minder veilig dan in-band oplossingen, ik juich het alleen maar toe.
2FA verplichte kost nu dat je Authy hebt, elke website zo dit verplicht dit moeten aanbieden.
Zoals in het artikel staat laat je bij SMS-auth een deel van je beveiliging over aan je provider, welke dus opgelicht kunnen worden om controle te krijgen over jouw telefoonnummer.
De laatste keer dat ik op de Telfort site zat zag ik de optie dat je een PIN kon instellen. Die PIN moest je opgeven indien je de klantenservice wilde bereiken. Ik weet niet of die optie nog steeds wordt aangeboden, maar Telfort was/is een van de weinige (enige?) in Nederland met die optie. Eigenlijk zou een dergelijke optie verplicht moeten worden bij elke provider. Al is het dan wel aan de provider om klantenservice dom te houden. Dat houdt in dat de klantenservice letterlijk niets kan doen zonder dat de klant de PIN op heeft. Daarvoor zou voordat je een persoon te spreken kan krijgen i.v.b. met account problemen, je eerst een robot krijgt die je om een PIN vraagt. Het probleem met klantenservice is dat het mensen zijn, en dus het inspelen op emoties de aanvalsvector is hoe men jouw account over kan nemen.

Voorbeeld in de praktijk: https://youtu.be/F78UdORll-Q?t=1m59s

Dat gezegd is er met TOTP gewoon geen excuus meer om SMS verificatie te gebruiken. Waarom zou je een middleman in je authenticatie willen (je telefonie provider) als met TOTP je authenticatie tussen jouw en je dienstverlener (Instagram, Google, Facebook, etc) blijft. En over Facebook gesproken: Facebook ondersteund nu al een tijdje U2F op Facebook.com; het verbaast mij dat gezien Instagram van Facebook is, dat ze niet dezelfde koers varen omtrent welke auth methodes worden aangeboden.
Mooi dat jij dat niet nodig vind echter is SMS onveilig en dus een goede stap in de richting om het veiliger te maken. Zo heb ik 1 app die meerdere 2FA's voor mij doet dus dan maar een app erbij.
Kun je ook onderbouwen waarom sms onveilig is?
Achterhaald. Alle netwerken hebben SS7 en SMS firewalls geimplementeerd. Helaas blijven resultaten uit het verleden lang, ongewijzigd, op internet rondzwerven.
Iets recenter zijn dit soort verhalen:
https://motherboard.vice....ijacking-t-mobile-stories

Dat is nl. zover ik begreep ook precies de reden waarom instagram dit wil implementeren:
https://wccftech.com/instagram-non-sms-2fa-sim-hijacking/
Jouw eerste voorbeeld heb ik enkele jaren geleden van dichtbij meegemaakt. Een kennis had malware die meekeek met internetbankieren van ING. Vervolgens hebben de malware boefjes ook zijn T-mobile simkaart laten vernieuwen bij een T-mobile store. Tja, toen was zijn geld ineens weg omdat de boefjes controle hadden over zijn internetbankieren en zijn TANcodes, die per SMS worden verstuurd door de ING. De ING stapt overigens dit jaar nog van TANcodes af.
Dat ligt niet aan de SMS veiligheid maar aan de domme T-Mobile medewerkers of je kennis die blijkbaar zijn legitimatie verloren is/kopie heeft geleverd ergens zonder na te denken ?
Dat ligt wel degelijk aan SMS veiligheid, want dit truukje werkt niet met TOTP. Je wilt juist niet dat een fout in het verleden (die iedereen kan maken) effect kan hebben op de veiligheid van de methode op dit moment. En al helemaal niet als de fout bij een willekeurig ander persoon kan liggen, want het is wel jouw access die dan comprimised is.
Ik zei NIET dat SMS onveilig is ;-)

Ik suggereerde WEL dat het wel mogelijk is een 'SMS account' te kapen (en dat lag inderdaad aan T-mobile shop medewerkers die, laat ik zeggen 'behulpzaam' wilden zijn).
Ik ken die markt, daarom ... ze kunnen vaak niet analytisch te denken met de gevolgen...
Gisteren per toeval een video over gezien waarin kort wordt verteld hoe zoiets onveilig is per sms. Een voorbijganger heeft beschikking tot aparatuur die het mogelijk maakt om gegevens/sims/tel.nummer over te nemen, door lang je af te lopen. Binnen een korte tijd kan zal je zien dat je telefoonverbinding verloren is en kan de "voorbijganger" doodleuk alles doen met jou telefoonnummer, zoals 2FA ontvangen. Het gevaar is namelijk bij een aantal accounts, waarbij het mogelijk is om aan te geven dat je je wachtwoord bent vergeten en een nieuwe kan krijgen door alleen een sms te ontvangen. Dus een soort SingleSignOn*

Linux Tech Tips, vanaf 4:00
https://www.youtube.com/watch?v=LlcAHkjbARs

*Denk dat dit steeds minder vaak voorkomt en als voorbeeld ben ik mijn Microsoft account verloren geraakt, omdat ik mijn ww vergeten was en de 2FA niet meer was ge´nstalleerd. Microsoft zal geen account herstel doen. Ben om eerlijk te zijn redelijk geiriteerd geweest, maar het was een wijze les. Hierbij hebben sommige accounts, zoals EA/Origin niet de mogelijkheid om je email te wijzigen. (Bevestiging wordt naar je oude email gestuurd) Daarbij ben ik dus alle aankopen kwijt en bij Uplay alle ingame aankopen/beloningen verloren.

[Reactie gewijzigd door m.z op 18 juli 2018 11:06]

Lees dit artikel eens, https://motherboard.vice....numbers-instagram-bitcoin

Met name mensen met unieke en korte instagram usernames zijn vaak het slachtoffer.

Een 06 nummer is namelijk niet van jou maar van je telecom provider en zou eigenlijk nooit gebruikt mogen worden als 2FA omdat je hier niet altijd invloed op hebt
Begrijpelijke reactie maar er zit wel degelijk een goede reden achter.
Voor helder advies, lees het deel over tweestapsverificatie op LaatJeNietHackMaken, en het liefst de rest ook.
Als je ge´nteresseerd bent in een verhaal uit de praktijk waarin niet-sms 2FA relevant blijkt te zijn:
iPhones, Armed Robbery, and Hacking
Tl;dr advies: gebruik Authy (en een password manager).

[Reactie gewijzigd door RickSanchez op 18 juli 2018 12:51]

Ik hoop dat Instagram, de gebruiker van te voren heel duidelijk maakt, hoe ze kunnen herstellen als hun device kapot/gestolen is.
En dat ze niet mee genomen worden met je backup van je iOS device.

Elke keer als ze hier een nieuwe telefoon krijgen, staat er weer een rij met mensen die hun MFA "kwijt" zijn.
Je krijgt allemaal recovery codes. Als je die niet bewaard is dat een beetje onhandig. Ik zou zeggen kwestie van lezen.
Of je gebruikt Authy dat op verschillende toestellen tegelijkertijd kan draaien (tablet/smartphone, Android/iOS) en waarvan je een automatische backup kan nemen en restoren.
Bedankt voor deze suggestie.
Ik denk dat ik hier best wel blij van ga worden.
Vooral van wegen de backups en op meerdere devices te kunnen gebruiken inclusief Desktop :)
Klinkt een beetje als hoe ik Telegram gebruik in plaats van dat mateloos irritante Whatsapp, ik moet er niet aan denken dat ik niet meer bij mijn mail, OneDrive, YouTube en andere social media accounts kan inloggen omdat ik m´n telefoon kwijtraak... Of sterker nog, dat hij gestolen wordt (al is een LG G5 niet zo populair, dus ik ben niet bang :+)
Je krijgt allemaal recovery codes.
Dit is dus niet altijd waar, kom genoeg diensten tegen die dit niet geven.

Maar dan nog, waar slaan de meeste mensen deze recovery codes op?
Juist op hun computer.
Ik heb ze opgeslagen in m'n 1Password. Waar ik overigens ook 2FA op heb aanstaan en dus nog steeds een probleem heb 😩.
Watte? Lezen? Uhh, ja "OK", als ik daarop druk gaat 'ie door. Top, OK dus. Hoef ik echt niet al die rare tekst voor te lezen.
Gebeurt meestal niet hetzelfde met het wachtwoord dat ze vergeten zijn?
Om heel eerlijk te zijn. Ben vaker bezig met MFA te resetten voor mensen, dan ik een wachtwoord moet resetten.

Maar ik ga eens kijken naar de suggestie van @Whatts , Authy
lichtjes offtopic
Spijtig om te horen dat SMS authenticatie zal uitgefaseerd worden. Altijd erg handig gevonden als ik de smartphone opnieuw moet instellen na een hard reset, of bij aankoop van een nieuw toestel (of diefstal?).

Ik ga er echt niet aan denken om 2FA van mijn Google account uit te zetten vooraleer ik een hard reset wil doen. En ja, ik heb ook recovery codes klaarliggen, maar die zie ik ook als een security probleem en stop ze dus op een moeilijk bereikbare plaats.

Misschien dat binnenkort RCS hiervoor zal kunnen gebruikt worden?

[Reactie gewijzigd door bvanaerde op 18 juli 2018 10:53]

RCS heeft dezelfde problematische link, de provider.

Het hele idee van TOTP is dat er geen communicatie nodig is. Jij zult er gewoon aan moeten denken om je TOTP key te backuppen. En dan kan prima, gebruik gewoon niet Google's app.
Niet dat ik nog Instagram heb, maar een app als Authy en Google Authenticator zijn voor mijn wel voorwaarden voor het gebruik van 2FA. Ik wil mijn nummer niet perse kwijt bij sommige organisaties. En zo'n app heb ik toch al.
Een fall back met sms (of in ieder geval een keuze voor beide systemen) is wel wenselijk.
Ik vind het grappig dat de meeste diensten het nog steeds Google Authenticator noemen terwijl het eigenlijk gewoon TOTP is, zelfs Instagram (=Facebook) een grote concurrent van Google, doet dat!
Dat komt omdat veel mensen liever een app gebruiken met een bekende naam "U kunt nu inloggen met Google Authenticator, dat grote bedrijf waar je waarschijnlijk minimaal 1 product van gebruikt." in plaats van een technisch protocol "U kunt nu inloggen met elke app compatibel met het TOTP-protocol zoals uitgeschreven door het W3C." Wedden dat veel mensen na "W3C" al niet meer kunnen zeggen dat het protocol TOTP heet?
True maar had er dan van gemaakt: "Log nu in met uw tweede factor. Deze code kunt u vinden in een app zoals Authy of Google Authenticator, afhankelijk welke u heeft gekozen bij het instellen van twee factor authenticatie".
Tsja, helaas worden vaak bekende producten gebruikt als naam voor de technologie. Via Tikkie verstuur je ook betaalverzoeken via WhatsApp in plaats van via een instant messenger, of via de sharing extension van je mobiele OS.

En zo is Xerox het werkwoord voor fotokopiŰren geworden in de VS.

Voor de concurrentie niet best. Voor de consument wel het meest herkenbaar, en daar wordt op ingespeeld op deze manier.
Mooie, net als dat de meeste personen Tikkie gebruiken als woord voor request / betaalverzoek.
In de screenshots zie ik terug dat ze ook een Duo Mobile aanbevelen (ken ik verder niet).
Duo Mobile, is ook een app met TOTP maar ook (indien site het ondersteunt) d.m.v. push voor accepteren.
Dit is nu toch al helemaal 'hot'? Totdat iemand op een smartphone inbreekt en die codes gewoon gaat uitlezen.
Dan is het toch al te laat. Dus dan maakt het ook niet meer uit. Mensen moeten begrijpen dat een smartphone een sleutel is tot bijna hun hele (online) leven, en zo moet het apparaat ook behandeld worden. Gelukkig maar dat steeds meer fabrikanten volledige encryptie toepassen. Nu mensen nog voorzichtig laten zijn en wat gezond verstand bij brengen...

Op dit item kan niet meer gereageerd worden.


Call of Duty: Black Ops 4 HTC U12+ dual sim LG W7 Google Pixel 3 XL OnePlus 6 Battlefield V Samsung Galaxy S9 Dual Sim Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True