Twitter start met tweestapsverificatie zonder dat telefoonnummer vereist is

Berichtendienst Twitter heeft zijn systeem van tweestapsverificatie vereenvoudigd en veiliger gemaakt. Gebruikers kunnen de beveiligingsfunctie voortaan instellen zonder dat ze daarbij hun mobiele telefoonnummer moeten invoeren.

Bij tweestapsverificatie wordt vaak via sms een code naar de gebruiker gestuurd waarmee hij opnieuw toegang tot een dienst krijgt. Deze methode is niet alleen kwetsbaar voor zogeheten sim-swappingaanvallen, waarbij de code naar een hacker wordt gestuurd, maar stuit ook op verzet van gebruikers omwille van privacyredenen. Zo heeft Twitter al eens toegegeven dat de nummers gebruikt werden voor advertentiedoeleinden.

Twitter Safety heeft via een tweet bekendgemaakt dat de berichtendienst voor tweestapsverificatie voortaan geen telefoonnummer van de gebruiker meer verlangt. De functie was enige tijd geleden al overbodig geworden toen Twitter met een verificatieapp kwam, maar voor de extra verificatie bleef een telefoonnummer tot nu vereist. Aan die kwetsbaarheid maakt de berichtendienst nu dus een einde door het gebruik van de verificatieapp mogelijk te maken zonder opgave van het telefoonnummer.

Gebruikers die eerder hun telefoonnummer aan hun Twitter-account hadden gelinkt, kunnen dat via de instellingen van de dienst nu weer ongedaan maken.

Twitter Safety

Door Michel van der Ven

Nieuwsredacteur

Feedback • 22-11-2019 12:06 51

22-11-2019 • 12:06

51

Lees meer

Mastodon-directeur: Twitter lijkt kloon te maken van Mastodon
Mastodon-directeur: Twitter lijkt kloon te maken van Mastodon Nieuws van 12 december 2019
Twitter introduceert 'privacycentrum' en verandert privacybeleid
Twitter introduceert 'privacycentrum' en verandert privacybeleid Nieuws van 3 december 2019
Twitter laat gebruikers in Benelux antwoorden verbergen
Twitter laat gebruikers in Benelux antwoorden verbergen Nieuws van 21 november 2019
Twitter laat gebruikers tweets inplannen in test
Twitter laat gebruikers tweets inplannen in test Nieuws van 20 november 2019
Meer producten en artikelen
Websites en community's Twitter

Reacties (51)

-Moderatie-faq
51
51
13
2
0
35
Wijzig sortering
WokeBroke 22 november 2019 12:12
Ik snap dat tweestapsverificatie niet zo, als er iets mis is met je telefoon en telefoonnummer kan je toch nergens meer bij komen?
walteij @WokeBroke22 november 2019 12:18
2FA is een prima extra beveiligingslaag.
Er zijn naast 2FA ook nog wel andere methodes om je wcahtwoord te resetten of in te loggen, maar om te voorkomen dat de verkeerde mensen je account gebruiken is 2FA (naast een sterk wachtwoord) een prima oplossing.

Een app als de Microsoft Authenticator kun je ook prima backuppen (in bijvoorbeeld je OneDrive Vault, of op google drive, maar helaas niet naar een lokale disk). Als je telefoon dan crashed, kun je na een herinstallatie gewoon de backup terughalen en je hebt alle security tokens weer.
84hannes @walteij22 november 2019 12:21
Een app als de Microsoft Authenticator kun je ook prima backuppen (in bijvoorbeeld je OneDrive Vault, of op google drive, maar helaas niet naar een lokale disk)
Hoe haal je een backup op zonder verificatie?

[Reactie gewijzigd door 84hannes op 23 juli 2024 15:59]

KeesAlderlieste @84hannes22 november 2019 12:30
andere vorm van extra verificatie, bijv mail of sms met nummer. De authenticator app is nl niet je enige vorm van 2e factor.
84hannes @KeesAlderlieste22 november 2019 12:47
Klopt, maar daarmee wordt je afhankelijk van de zwakste factor. Zoals in het artikel al genoemd is is SMS niet echt veilig (al denk ik dat het beter is dan een enkele factor).
Gé Brander @84hannes22 november 2019 13:34
Dan dus geen telefoonnummer gebruiken maar mail.
garriej @Gé Brander22 november 2019 16:38
Maar hoe kom je je mail dan in, daar zit ook 2FA op 8)7

Gebruik je daar dan wel SMS? maar dat is dan weer niet veilig :+
GLaDTheresCake @garriej23 november 2019 09:20
Twee hardware security keys (nitrokey, yubikey, google atlas ed.) Of een hardware key en je mobiele device. Of twee mobiele devices met authenticator apps. Noem het maar op, genoeg veilige 2FA opties. Zelf heb ik backup codes in een password manager met 2 dedicated keys erop, 1 daarvan veilig opgeborgen off site, en een andere key voor al m'n andere accounts. Dat is natuurlijk overdreven voor de meeste mensen, maar het geeft aan dat ik geen e-mail of sms nodig heb mits de 2FA goed veilig geïmplementeerd is.
Jerie @84hannes23 november 2019 13:55
Hoe haal je een backup op zonder verificatie?
HOTP codes.
84hannes @Jerie23 november 2019 15:15
Dat is een vorm van verificatie.
Jerie @84hannes23 november 2019 15:23
True, maar niet een interactieve vorm. Die HOTP codes heeft de klant ergens in bewaring (hopelijk op een veilige manier). Daarmee is het potentieel veiliger dan SMS/phone.
icecreamfarmer @walteij22 november 2019 12:21
Als Google dat ook eens ging regelen met hun authenticator.
Cebby @icecreamfarmer22 november 2019 12:36
Je bent niet verplicht Google's app te gebruiken, de meeste services ondersteunen gewoon TOTP codes en daarvoor maakt het niet uit welke app je hebt. Zelf gebruik ik al een aantal jaar Authy, sinds kort in combinatie met de 2FA functionaliteit in 1Password. Beiden met een backup functie.
icecreamfarmer @Cebby22 november 2019 13:13
Ook voor googles eigen diensten?
Bart @icecreamfarmer22 november 2019 13:16
Ja hoor, dat werkt prima. Ik gebruik zelf ook Authy.
Sharkoon @Bart22 november 2019 14:12
Google trekt waarschijnlijk toch de stekker uit Google Authenticator.. dus mooi dat je dat kunt gebruiken. Bedankt iig voor de tip, ga het meteen proberen.

[Reactie gewijzigd door Sharkoon op 23 juli 2024 15:59]

walteij @icecreamfarmer22 november 2019 13:37
Absoluut. Ik kan mijn Microsoft Authenticator probleemloos gebruiken voor Google en Apple diensten
KeesAlderlieste @walteij22 november 2019 14:44
En Facebook,Amazon, Instagram, en etc etc
Maar icm met Microsoft accounts werkt ie wel 't mooiste, geen nummers meer over hoeven typen
P_Tingen @icecreamfarmer22 november 2019 13:48
Yes, Googles authenticatiecodes zijn ook TOTP codes en met een willekeurige TOTP app te genereren. Zelf gebruik ik ook Authy, want handig en kan een backup maken van mijn codes.
freaky @P_Tingen22 november 2019 16:38
Nee niet willekeurig. Elke OATH TOTP compatible applicatie, genoeg andere standaarden.
Eagle Creek @icecreamfarmer22 november 2019 16:51
Totp is een standaard die iedereen op dezelfde manier in z'n applicaties kan implementeren. Volledig uitwisselbaar. Dat Google uitsluitend altijd Google Authenticate promoot heeft eerder commerciële belangen.

Dus ja: ook voor Google diensten is elke andere Authenticator app prima.
sxbrentxs @walteij22 november 2019 16:15
En voor de freaks onder ons is er: andOTP. Naar mijn mening zelfde idee maar dan onafhankelijk en open source. Back-uppen kan ook, maar moet je dan handmatig naar een cloud verplaatsen (wat misschien 2 seconden werk is).

Dat hele telefoon nummer gedoe was leuk, maar hielp ook aardig goed bij het personaliseren van een account. Met een beetje know how kom je ook al met een wachtwoordbeheerders-systeem waaruit je een of ander gebrabbel pakt als wachtwoord en voor ieder account uniek maakt. Dus dan wordt het al heel moeilijk om zulk soort mensen te hacken. Als er dan een lek is moet hij wel heeeel ernstig zijn wil je tweefactorauthenticatie zin hebben. Maar goed, op die doelgroep is het dan ook niet gericht.
michaelkamen @walteij22 november 2019 17:24
Het backuppen werkt prima, maar helaas niet voor Microsoft's eigen Office 365 accounts.
Die worden wel meegenomen in de backup, maar moeten na de recovery opnieuw geactiveerd worden, wat neerkomt op volledig opnieuw instellen. (dus het nut van die backups is nul)
Jerie @walteij23 november 2019 13:54
2FA is een prima extra beveiligingslaag.
Hangt van de implementatie af. Bij 2FA via SMS/telefoon kan het afhangen van de kundigheid van de telco medewerkers.

Zie ook https://www.nytimes.com/2...wap-jack-dorsey-hack.html
michaelkamen @WokeBroke22 november 2019 16:33
2-factor authentication is eigenlijk een achterhaalde term. MFA (Multi-factor) is veel beter.
Bij Office 365 kan je bijvoorbeeld MFA niet aanzetten m.b.v. de Authenticator app tenzij je ook je e-mailadres en telefoonnummer hebt gevalideerd. Daar kan je op terugvallen als de app onverhoopt niet werkt of niet beschikbaar is.
Cerberus_tm @michaelkamen22 november 2019 17:18
Hoe meer factoren, des te beter.

Maar zijn inloggen op een website en toestemming geven via een Authenticator-app werkelijk twee verschillende factoren? Als iemand toegang tot je telefoon heeft, kan hij toch meteen bij beide 'factoren' en in de browser van je telefoon gewoon inloggen?
michaelkamen @Cerberus_tm22 november 2019 17:22
True. Het principe gaat ook uit van 'iets wat je weet' (wachtwoord) en 'iets wat je hebt' (telefoon).
Zodra één van de twee wegvalt is je beveiliging aangetast en zal je z.s.m. je account moeten blokkeren / wachtwoord wijzigen.

Het is daarom ook aan te raden om je wachtwoorden niet meer op te slaan in je browser, maar alleen in je password manager, die bijvoorbeeld weer te unlocken is met een ander wachtwoord of biometrie.
Cerberus_tm @michaelkamen22 november 2019 17:27
...maar als je zo redeneert, dan geldt toch hetzelfde als je dat op je computer doet, zonder telefoon? Dan is het ding dat je hebt je computer, en je wachtwoord je wachtwoord.
michaelkamen @Cerberus_tm22 november 2019 19:00
sorry, heb het niet helemaal duidelijk omschreven. Het 'iets wat je hebt' is niet zozeer de telefoon als wel de authenticator app op die telefoon.
Cerberus_tm @michaelkamen22 november 2019 19:02
Okee, maar wat als iemand anders je telefoon in handen krijgt (toch het makkelijkst te stelen toestel)? Kan hij dan niet ook in die app?
michaelkamen @Cerberus_tm22 november 2019 19:23
Waarschijnlijk wel. Maar zolang je je wachtwoorden niet opslaat in je browser zal de dief nog steeds niet kunnen inloggen.
Cerberus_tm @michaelkamen22 november 2019 23:26
Oké, maar laten we dat dan even vergelijken met wanneer je telefoon gestolen wordt en je niet die app gebruikt. Dan kunnen ze nog steeds niet bij die dienst inloggen zonder je wachtwoord? Dus de app draagt alleen iets bij voor het geval iemand je wachtwoord heeft en geen toegang tot je telefoon. Kan me wel gevallen voorstellen waarin dat helpt, ja.
michaelkamen @Cerberus_tm22 november 2019 23:30
Het idee is inderdaad dat je het 'multi-factor device' bij je hebt/houdt, of het nu een app op een telefoon is, of een beveiligde USB key of een vingerafdruk..
Cerberus_tm @michaelkamen22 november 2019 23:36
Een telefoon kun je wel makkelijk kwijtraken.
Fusi0nking @WokeBroke22 november 2019 12:37
Ik heb op alles wat 2FA ondersteund 2FA aan. Bij alle heb ik ook herstelcodes gekregen die je ergens apart bewaart (bijwijze van bijvoorbeeld opschrijven).
Deze codes kan je gebruiken om weer in je account te komen en eventueel je telefoon informatie aanpassen etc.

Edit: zo als hierboven mij ergens word uitgelegd kan je ook inderdaad je Authenticator app backuppen. Dus zijn genoeg (veilige) methodes om alles weer op orde te krijgen mocht er wat met je telefoon gebeuren.

[Reactie gewijzigd door Fusi0nking op 23 juli 2024 15:59]

Aikon @WokeBroke22 november 2019 13:16
Dat is net als met 1 stap in feite. Maar wat je bijv. bij Google kan doen is een tiental codes uitprinten en deze in geval van 'nood' gebruiken.
lucatoni @WokeBroke22 november 2019 16:51
Bij het instellen van 2fa krijg je een een qr code te zien die je moet scannen. Daaronder staat een code, wanneer je die opslaat buiten je telefoon heb je een veilige backup.
crankthisup @WokeBroke22 november 2019 17:14
Was inderdaad wel een probleempje toen mijn telefoon gestolen werd in het buitenland. Vaak is er nog wel een alternatieve manier om binnen te komen, bijvoorbeeld via back-up codes. Ik had gelukkig m'n NL simkaart in een andere telefoon zitten die ik in het hotel had laten liggen, maar als ik die kwijt was kon ik niet inloggen op m'n nieuwe telefoon zonder m'n laptop waar de back-up codes opstonden.
Anoniem: 113730 @WokeBroke22 november 2019 17:43
Ik heb alles in Bitwarden staan, ook de 2FA (TOTP) code's en bijbehorende herstel code's.

Hiervan maak ik regelmatig een (.json) export. Deze staat op een versleutelde USB stick en is als versleutelde zip via Google Drive gedeeld met enkele personen die ik vertrouw en staat op nog een paar plekken! (anderen kunnen zonder ww (> 16 cars) deze zip toch niet openen). Volgens https://howsecureismypassword.net/ (It would take a computer about 2 billion years to crack your password) Als kan een botnet het in een paar miljoen jaar!

De Bitwarden export bevat dus alle informatie die ik nodig heb om in het geval ik al mijn apparaten gelijktijdig zou verliezen opnieuw te beginnen!

[Reactie gewijzigd door Anoniem: 113730 op 23 juli 2024 15:59]

Carlos93 22 november 2019 12:15
Niet zo heel gek dat ze er nu pas mee komen, hebben tenslotte al van het overgrote gedeelte van de gebruikers met 2FA hun nummers. Lijkt me een beetje voor de schijn dit,heel zuur gezegd.
84hannes @Carlos9322 november 2019 12:20
Naar mijn mening is data alleen relevant als het actueel is. Een lijst met historische telefoonnummers verliest snel zijn waarde.
faim @84hannes22 november 2019 13:19
Denk dat dat wel meevalt, zo vaak wijzigen mensen hun telefoonnummers niet niet.
RickSanchez 22 november 2019 17:16
Goed nieuws, Authy is de 2FA oplossing, in tegenstelling tot Google Authenticator, WEL met backup mogelijkheid. 2FA via tel nummer niet aan te raden, maar beter dan geen 2FA.
rinobroer 22 november 2019 12:13
Dat is meestal met 2FA toch?
joeri1 @rinobroer22 november 2019 12:34
Nope, het woord '2FA' of 'MFA' zegt niks over de implementatie hiervan. Het geeft alleen aan dat er een of meerdere stappen vereist zijn naast bijvoorbeeld het wachtwoord om in te loggen.
onscreen 22 november 2019 12:10
Bizar dat ze hier nu pas mee komen.
Martinspire 22 november 2019 12:27
Was telefoon niet alleen voor backup nodig?

Lijkt me verder dat er nu veel bots bij zullen komen als een 06 niet meer nodig is...
Kjoe_Ljan @Martinspire22 november 2019 13:17
Een account aanmaken zonder 2FA is nog steeds mogelijk, telefoonnummer of niet. Tenzij gebruikers zonder 2FA extra in de gaten worden gehouden, heeft deze wijziging geen invloed op bots.
AtleX 22 november 2019 12:46
Wel jammer dat je maar één security key kunt registreren en die niet van een naampje kunt voorzien. Ik heb natuurlijk meerdere keys om bij verlies, diefstal of een defect niet in de problemen te komen. Overal kan je dan ook meerdere keys registreren, maar bij Twitter dus niet. Ik moet nu onthouden welke key daar geregistreerd is en bij een probleem met die key heb ik een issue.
dwizzy @AtleX22 november 2019 12:52
heb je het over WebAuthn FIDO2-sleutels, of over de TOTP-sleutels?
ik heb één FIDO2-sleutel, en registreer daarnaast een TOTP-sleutel die ik kopieer op twee plekken. Heb ik de FIDO2-sleutel niet, dan gebruik ik TOTP
AtleX @dwizzy22 november 2019 12:59
WebAuthn/FIDO2. Voor TOTP gebruik ik een authenticator app. Die heb ik dus ook geregistreerd voor Twitter als fallback voor mijn security key nu.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq