Instagram voegt ondersteuning voor tweetrapsauthenticatie met apps toe

Instagram is begonnen met het toevoegen van tweetrapsauthenticatie met behulp van apps van derden, zoals Google Authenticator. In de komende weken moet de functionaliteit wereldwijd beschikbaar zijn voor alle Instagram-gebruikers.

In een aankondiging beschrijft Instagram wat gebruikers moeten doen om in te loggen met tweetrapsauthenticatie middels een app. In het settingsmenu verschijnt een Authentication App-instelling en als gebruikers al een authenticatie-app hebben geïnstalleerd, wordt deze gedetecteerd en wordt er een code naar gestuurd. Gebruikers die nog geen app hebben voor tweetrapsauthenticatie worden doorverwezen naar de App Store of de Google Play Store.

Dat Instagram met een alternatief zou komen voor tweetrapsauthenticatie met sms, bleek vorige maand al toen een ontwikkelaar verwijzingen in de code ontdekte. Instagram bevestigde toen aan de functionaliteit te werken. De inlogmethode met tweetrapsauthenticatie via een app is veiliger dan wanneer er sms gebruikt wordt voor het verzenden van de code. Het Amerikaanse NIST zei in 2016 al dat het sms beschouwt als ongeschikt voor authenticatiedoeleinden.

Verder gaat Instagram aan populaire accounts met veel volgers een About This Account-sectie toevoegen. Daar kunnen gebruikers zien wanneer het account in gebruik is genomen en uit welk land het account komt. Ook is zichtbaar of het account een andere naam heeft aangenomen in het afgelopen jaar en wordt er getoond welke advertenties het account momenteel in omloop heeft.

Instagram zegt dat te doen omdat er vraag zou zijn naar een beter begrip van accounts die veel mensen bereiken, met name als het gaat om accounts die informatie delen met een politieke of maatschappelijke boodschap.

Reacties (32)

Fermion 28 augustus 2018 21:18

Alle online diensten zouden tweetraps moeten aanbieden, zoals met Authy.

EngineerCoding @Fermion • 28 augustus 2018 22:19

En dan komen developers erachter dat ook dat weer geld kost (niet dat sms gratis is..). Reeds bezig geweest met 2FA en moet zeggen dat ik ook wel voorstander ben van open source alternatieven ipv SaaS.

Jeoh @EngineerCoding • 28 augustus 2018 22:38

Uhh, een TOTP-token generen (of U2F implementeren) kan je gewoon zelf, daar heb je geen derde partij voor nodig.

EngineerCoding @Jeoh • 29 augustus 2018 08:29

Helemaal mee eens. Maar als je de mooie features van authy wilt gebruiken is het een ander verhaal

ryndemum 28 augustus 2018 21:41

Ik ben een voorstander van twee staps verificatie. Toch vind ik het gebruik van de Google authenticator app erg onhandig. Eerst de telefoon ontgrendelen, op zoek naar de authenticator app, zoeken naar de juiste code en dan optijd zien in te voeren. Wat ik persoonlijk ideaal vind is de push melding die ik krijg wanneer ik inlog op Google op een nieuwe computer. Bij deze twee staps verificatie hoef ik alleen mijn telefoon te ontgrendelen en te klikken op "ja dit was ik". Een dergelijke optie voor instagram, Facebook, psn of wat dan ook lijkt mij een stuk aangenamer.

84hannes @ryndemum • 29 augustus 2018 09:25

Toch vind ik het gebruik van de Google authenticator app erg onhandig.

Extra veiligheid is altijd onhandig. Een slot op de deur? Onhandiger dan gewoon naar binnen kunnen lopen. Een versleutelde website? Extra rekenkracht, certificaten up to date houden etc. Pincode voor een betaling? Kost extra tijd. Veters strikken als je je schoenen aantrekt? Etc. etc.
Maar een sms-bericht dat je kunt zien zonder de telefoon te ontgrendelen vind ik ook geen veilig idee. Een pop-up zoals jij voorsteld is een mooi compromis, maar ik merk dat ik soms zonder echt na te denken op "ja, prima" klik. Het is bij mij nog nooit door iemand misbruikt, maar ik kan me voorstellen dat als je bij duizend mensen een pushbericht voor authenticatie weet te triggeren (dus de eerste trap van authenticatie al genomen hebt), er toch 1 of 2 "op de stam" akkoord gaan. Dan is een nummer overtypen toch veiliger.

ryndemum @84hannes • 29 augustus 2018 09:52

Ja dat klopt absoluut. Een extra code invoeren zal altijd veiliger zijn dan een pop up notificatie. Toch zou ik persoonlijk daar liever gebruik van maken. Misschien wordt het mogelijk om beide varianten te gebruiken, zodanig dat je per account kan kiezen welke variant van tweestapsverificatie je wilt gebruiken.

gise @ryndemum • 29 augustus 2018 12:47

Grootste nadeel van Google Authenticator voor mij is dat hij geen backup maakt van je gelinkte accounts.
Als je dus je telefoon kwijt raakt/kapot gaat, kan je wel een nieuwe telefoon je backup terug zetten, maar de accounts met 2FA kan je dan alsnog niet in.

RickSanchez @gise • 29 augustus 2018 14:23

Kijk eens naar de 2FA app "Authy". Deze heeft in tegenstelling tot Google-authenticator goede back-up mogelijkheden.

[Reactie gewijzigd door RickSanchez op 23 juli 2024 00:32]

WhatsappHack

Instagram
Smartphones

@ryndemum • 28 augustus 2018 21:49

De app van Google zelf is zwaar ruk, er zijn veel betere alternatieven die t wat makkelijker maken. Op iOS is Authenticator Plus bijvoorbeeld een mooie.

unreal0 @WhatsappHack • 28 augustus 2018 22:08

De Microsoft Authenticator vind ik ook prettig, werkt ook met pushberichten.

RickSanchez @ryndemum • 29 augustus 2018 10:42

Het is natuurlijk een klein ongemak, net als een sleutel op je deur zoals @84hannes goed aangeeft, maar het in mijn ogen dubbel en dwars waard. Het is sowieso goed om uit veiligheidsoverwegingen zo veel mogelijk over te stappen van tweestapsverificatie (2FA) met sms naar 2FA via een app. Kijk eens naar de 2FA app "Authy". Deze heeft in tegenstelling tot Google-authenticator goede back-up mogelijkheden. Dit in combinatie met een password manager en je verzekert jezelf van een stuk betere veiligheid, controle en flexibiliteit.

In het algemeen, hier een goed en helder overzicht van dingen die je kunt doen voor je online veiligheid: https://laatjeniethackmaken.nl/
edit: kleine toevoeging.

[Reactie gewijzigd door RickSanchez op 23 juli 2024 00:32]

84hannes @RickSanchez • 29 augustus 2018 11:14

Een slot op je deur is geen klein ongemak. Je moet altijd een hand vrij hebben om je sleutels te pakken, je kan jezelf buitensluiten, sleutels maken gaten in broekzakken, kunnen kwijtraken, het kost allemaal geld etc. Het punt is dat we een slot op de voordeur zo vanzelfsprekend vinden dat je dénkt dat het maar een klein ongemak is. Helaas is 'cyberveiligheid' veel minder vanzelfsprekend en zien veel klanten bijvoorbeeld een raboscanner als groot ongemak.

RickSanchez @84hannes • 29 augustus 2018 11:48

Nouja het is maar hoe je het allemaal definieert dan. Denk dat we het er beide wel over eens zijn dat het goed zou zijn als demense een password-manager en tweetrapsauthenticatie -app zoals Authy ook als vanzelfsprekend en dus een minimaal ongemak zouden gaan ervaren.

[Reactie gewijzigd door RickSanchez op 23 juli 2024 00:32]

84hannes @RickSanchez • 29 augustus 2018 12:29

Nee, passwordmanagers zijn een lapmiddel, ik hoop dat we echt naar een ander systeem toegaan.

RickSanchez @84hannes • 29 augustus 2018 13:29

Heb je iets in gedachten of bepaalde ideeën die potentie hebben?

84hannes @RickSanchez • 29 augustus 2018 14:00

Wachtwoorden zijn bedoeld om te onthouden. Maar mensen kunnen maar een handvol veilige wachtwoorden onthouden. Daarom hebben we alle wachtwoorden in een kluisje gestopt en zetten we daar een wachtwoord op. Dan gebruiken we niet de kracht van wachtwoorden. Dus in plaats van zo'n 16 random tekens, met beperkingen als wel of niet special tekens, wel of niet cijfers, minimaal aantal hoofdletters, maximaal aantal cijfers en andere gekke dingen, moet er een standaard formaat komen. Bij voorkeur wordt deze nooit verzonden, maar gebruiken we bijvoorbeeld een private key om op een challenge te reageren. Een website waar je een nieuw account aanmaakt geeft je eenmalig je public key, en iedere keer dat je je aan wilt melden krijg je een challenge. Die challenge kan opgelost worden door je browser of een plugin, of door een extern apparaat of een smartphone, en die, maar alleen die, kun je beveiligen met een wachtwoord/cijfercode. Of iedere website zijn eigen key-pair krijgt, of dat je altijd dezelfde gebruikt makt me weinig uit, mag je van mij ook kiezen, je hebt toch al alle eieren in hetzelfde mandje (net als bij een wachtwoordmanager). Kunnen we meteen een systeem opzetten dat alle websites afgaat om je key te wijzigen bij verdachte acties op een van je accounts (met een derdetrapsauthenticatie wellicht).

RickSanchez @84hannes • 29 augustus 2018 14:34

Wachtwoorden zijn bedoeld om iets te beschermen, hergebruik van veelal zwakke wachtwoorden is een probleem, voor alle diensten een uniek wachtwoord hebben is niet echt te onthouden, dus: wachtwoord manager met één uniek, lang- "niet" te kraken - wel te onthouden- wachtwoord.
Ik kan je suggestie min of meer volgen en interessant idee, maar ben je het dan eens dat tot die tijd een password manager veel veiliger is dan het niet gebruiken ervan?

[Reactie gewijzigd door RickSanchez op 23 juli 2024 00:32]

84hannes @RickSanchez • 29 augustus 2018 16:36

maar ben je het dan eens dat tot die tijd een password manager veel veiliger is dan het niet gebruiken ervan?

Tuurlijk, daarom noem ik het een lapmiddel. Maar ik wil niet dat mensen het als een noodzakelijk ongemakje gaan zien, ik wil dat mensen inzien dat het niet meer is dan een tijdelijke oplossing. We moeten blijven streven naar een wachtwoordvrije samenleving (al vind ik een lokaal wachtwoord op een lokale authenticator het overwegen waard).

GeforceAA 28 augustus 2018 21:14

Hele goede zaak. Ik hoop nu dat andere social media en platforms volgen zoals de PSN...

lagefrequentie @GeforceAA • 28 augustus 2018 21:22

PSN heeft het al.
https://www.playstation.c...rk/two-step-verification/

Ik ben een groot voorstander van tweetrapsauthenticatie ! Mede hierdoor krijgen buitenstaanders een stuk minder kans om kwaad aan te richten.

GeforceAA @lagefrequentie • 28 augustus 2018 21:34

Ik heb het specifiek over "met behulp van apps van derden, zoals Google Authenticator". De PSN heeft alleen support voor smscodes.

Naafkap @GeforceAA • 28 augustus 2018 22:19

Voor de gemiddelde gebruiker is tweestapsverificatie via sms meer dan voldoende beveiliging, zeker ten opzichte van alleen een wachtwoord.

HetGezegde @Naafkap • 28 augustus 2018 22:31

Prima, maar lees even het artikel:

De inlogmethode met tweetrapsauthenticatie via een app is veiliger dan wanneer er sms gebruikt wordt voor het verzenden van de code. Het Amerikaanse NIST zei in 2016 al dat het sms beschouwt als ongeschikt voor authenticatiedoeleinden.

Het is veiliger.
Daarnaast zijn wij hier geen gewone gebruikers, maar Tweakers en willen wij nieuwe (en veiligere) features voor o.a. al onze accounts.

Naafkap @HetGezegde • 28 augustus 2018 22:34

Ik beweer toch nergens dat sms veiliger is dan een app? Ik beweer dat sms voldoende veilig is voor de gemiddelde gebruiker.

Dat er op tweakers meer verwacht wordt, prima, maar Instagram is er voor de gemiddelde gebruiker en niet alleen voor de tweaker.

StefanJanssen @Naafkap • 28 augustus 2018 22:49

ik geef je gelijk, de app is veiliger, maar een sms is voor de gemiddelde consument makkelijker en bovendien veiliger dan een alleen een wachtwoord.

Sk313t0r @GeforceAA • 28 augustus 2018 21:23

Het is zeker een goede zaak, al zijn er wellicht ook mensen die het teveel moeite vinden...

rendejo 29 augustus 2018 11:02

Ben me net in 2FA aan het verdiepen. Heb het voor enkele cloud services al ingesteld. Maar voor bijvoorbeeld email (in de standaard mail app van iOS en MacOS) nog niet. Simpelweg omdat ik me afvraag hoe de 2FA dan in z'n werk gaat en ik daar geen goed antwoord op kan vinden. Misschien domme vraag hoor, maar moet ik dan, elke keer als ik de betreffende mail apps open, dan een verificatiecode invullen?

Is misschien beetje off-topic, maar iemand die weet hoe het bovenstaande in z'n werk gaat?

ex87 @rendejo • 29 augustus 2018 12:41

Nee, hoe dit vaak werkt is dat je voor specifieke apps een tijdelijk wachtwoord kan aanmaken die dan alleen werkt voor die app.

Voorbeeld: Stel je hebt Gmail en je zet 2-step authenticatie aan maar, wil graag de native iOS mail app blijven gebruiken, dan genereer je via je Google account pagina een eenmalig wachtwoord, die je daarna gebruikt voor de mail client. Nadat je deze hebt ingesteld 'werkt' het wachtwoord niet meer voor andere apps en, als je ooit je e-mail opnieuw moet instellen (nieuwe telefoon bijvoorbeeld) geneer je weer een nieuw eenmalig wachtword. Hier staat meer informatie voor Google specifiek: https://support.google.com/mail/answer/185833?hl=nl maar, wij op kantoor gebruiken dit ook bij onze exchange omgeving.

rendejo @ex87 • 29 augustus 2018 13:48

Dank! Heb het inmiddels ingesteld op de Mail app van m'n iPhone. Nu nog op de iPad en de Macbook, maar daar heb ik pas vanavond gelegenheid toe. Telefoon werkt in ieder geval zo als je het beschrijft!

RickSanchez @rendejo • 29 augustus 2018 11:55

In het algemeen: als je gebruik maakt van een app hoeft dat niet. Eénmaal aan het begin inloggen (soms met een app-specifiek-wachtwoord), 2FA code, vanaf dan waarschijnlijk alleen op een nieuw apparaat of bijv in de browser.
edit:ocd

[Reactie gewijzigd door RickSanchez op 23 juli 2024 00:32]

Jossie23 28 augustus 2018 21:43

Interessant, die About This Account-sectie! Het schept toch wat meer duidelijkheid over accounts met veel volgers.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (32)

Sorteer op:

Weergave: