Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Microsoft roept op om geen tweestapsverificatie via sms meer te gebruiken

Microsoft roept gebruikers op af te stappen van telefoonberichten voor tweestapsverificatie. Het gaat dan specifiek om sms en voiceberichten. Die zijn volgens het bedrijf kwetsbaar voor onderschepping. Microsoft raadt authenticatieapps aan als alternatief.

De waarschuwing staat in een blogpost van Alex Weinert. Die schreef eerder al een veelbesproken blogpost over de toekomst van wachtwoorden, waarin hij zei dat multi factor authentication meer dan 99 procent van alle phishing- en inbraakpogingen op Microsoft-accounts tegenhoudt. Weinert pleit er nu voor af te stappen van sms en 'voice' als tweestapsverificatiemethodes. "Deze mechanismes zijn gebaseerd op publicly switched telephone networks of pstn's en ik denk dat dat de onveiligste 2fa-methodes van dit moment zijn", schrijft hij in de blogpost.

Weinert schrijft dat iedere mogelijke methode om credentials te stelen op deze PSTN's, kunnen worden toegepast. Dat kan bijvoorbeeld via phishing, social engineering, accountovernames en diefstal van een toestel.

Bij sms en telefoonberichten worden de one-time passwords verzonden in plaintext. Dat kan volgens Weinert ook niet zomaar veranderen, want encryptie zou onpraktisch toe te passen zijn op bijvoorbeeld sms-berichten. Ook zouden sms-credentials tijdloos zijn, waardoor er meer tijd is om ze te achterhalen, in tegenstelling tot authenticatieapps waarbij een code meestal maar dertig seconden geldig is.

Weinert schrijft in de blogpost overigens niet hoe groot de problemen zijn rondom 2fa via sms. Het is dus niet bekend in hoeveel gevallen dat bij Microsoft-accounts bijvoorbeeld is omzeild en op welke manieren dat dan gebeurde. Volgens Weinert is het onvermijdelijk dat tweestapsverificatie uiteindelijk overal wordt ingezet, maar dat Microsoft denkt dat authenticatieapps daar beter geschikt voor zijn. Hij raadt zelf de Microsoft Authenticator aan, maar gebruikers kunnen iedere soort authenticatieapp gebruiken op verschillende diensten.

ToekomstWachtwoord_FPA

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Tijs Hofmans

Redacteur privacy & security

12-11-2020 • 11:22

314 Linkedin

Reacties (314)

Wijzig sortering
Ik probeer vaak a-technische mensen te helpen met het verbeteren van hun internetveiligheid en tweestapsverificatie is hierbij een vast onderdeel. Toch vind ik het moeilijk een app aan te bevelen. Dit zou betekenen dat als de mobiel kapot gaat, zij geen toegang meer kunnen hebben tot hun account. Een backup code zou hiervoor de oplossing zijn, maar deze goed bewaren blijkt voor veel mensen toch lastig (waaronder ikzelf).

Dus dan blijft sms toch het handigst. Dit verbeterd beveiliging aanzienlijk en de kans voor onderschepping voor de gewone burger is volgens mij nihil.
Tegenwoordig kan je binnen Microsoft Authenticator een online backup maken. Is je telefoon kwijt/stuk dan kan je vanaf een andere trusted device (bijv je laptop/desktop) je nieuwe smartphone goedkeuren en de backup daarop terug zetten.

Zie https://techcommunity.mic...uthenticator/ba-p/1006678 voor technische uitleg.
Maar dan moet je dus the en 2e trusted device hebben, ik heb alleen mijn telefoon daarvoor.
Als je maar één device hebt en niets anders (zelfs geen laptop/tablet/ingelogde browser sessie op je werk device met dat account) dan is het inderdaad lastig om je nog een keer te identificeren.

Dan werkt sms idd prima. Ook als je een echt doelwit bent want dan kan die sms ook "makkelijk" onderschept worden. Er zijn genoeg voorbeelden te vinden waarin deze vorm gebruikt is om toegang te krijgen tot bitcoin wallets.
Jammer dat ze in dat artikel niet uitleggen hoe je jezelf op je nieuwe telefoon veilig kunt identificeren.
Het zou heel simpel kunnen als mensen ook de Outlook App hebben (zo doet google dat ook). En als dat niet werkt kan de backup nog steeds met sms (hoe groot is dat risico nou echt, en je moet toch een backupmogelijkheid hebben).
Kan je dat wat meer toelichten? Hoe werkt dit? Als ik vandaag een nieuwe telefoon heb (de oude is onherstelbaar stuk) ik log in met mijn google account er is nog geen G-mail of iets dergelijk (want daar heb je die authenticator app code voor nodig) hoe gaat google mij dan verifiëren?
Als dat niet werkt is de backup dus sms :)
De Microsoft Authenticator heeft een online backup - dus dat zou geen probleem moeten zijn.
Authy gebruiken, dan staan je 2FA tokens veilig online opgeslagen. En je kunt er bij vanaf elke apparaat dat je wil: iOS, Android, Dekstop, Web.
Authy (nu Twilio) was vroeger ingesteld als "Single device". Toen ik mijn telefoon verloor kon ik dus niet bij mijn codes. Er bleek wel een procedure voor en die duurde enkele dagen (en het beantwoorden van verschillende berichten). Nu staat Authy bij mij ingesteld als multi-device en heb ik altijd tenminste 2 apparaten met mijn codes. Ik zou die codes ook nog kunnen opslaan in Bitwarden (mijn PW manager) maar als je 2FA token en je wachtwoord in dezelfde tool staat lijkt het me weinig zinvol meer |:(
Daarom moet je zorgen dat je 2 wachtwoorden kunt onthouden: die van je PW manager en die van Authy. Daarboven op gebruik ik dan nog een hardware key, namelijk een Yubikey.
Ik heb het allemaal in Bitwarden staan. Ook Bitwarden heeft 2FA en die daarvoor inclusief de recovery heb ik ergens offsite beschikbaar! (Encrypted file / usb met sterke wachtwoordzin!)
Zo trots, selfhosted is the way 2 go. Bitwarden is echt gebruiksvriendelijk in gebruik op mobiel.
"veilig" en "online" in 1 zin? Als het online is beschouw ik het al niet meer als veilig. Al is het alleen al omdat je wachtwoorden dan bij een andere partij liggen. Zelfs al hebben ze geen medewerkers met slechte intenties, iedereen kan gehacked worden. Een datalek ligt altijd om een hoekje.
Niet dat een inlog koppelen aan een smartphone zo'n goed idee is... als die kapot gaat, kwijt raakt, gestolen wordt of je batterij gewoon leeg is, kom je nergens meer in.
En dit alles is dus precies waarom ik nergens 2FA gebruik. Het maakt het niet alleen voor hackers moeilijker maar ook vooral voor jezelf.
Daarom dat de online dienst de private key van een gebruiker zijn database bij de gebruiker moet leggen. Dan kan die dienst niets met wat ze van je hebben want enkel jij kent de toegangscode.
Dan is het niet meer echt multifactor. De factoren zijn: iets wat je weet (een wachtwoord of PIN), iets wat je hebt (mobiel, bankpas) , en iets wat je bent (bijvoorbeeld je vingerafdruk).

Als je een authenticator-app hebt, telt dat alleen als iets wat je hebt wanneer het geheim alleen op die telefoon staat. Wanneer iedereen met een wachtwoord erbij zou kunnen, is het feitelijk weer een wachtwoord dat geraden moet worden, dus heb een factor dubbel in plaats van dat je twee factoren hebt.
Dan is het alternatief: meerdere hardwaresleutels. Dus bijvoorbeeld de authenticatieapp op je eigen telefoon installeren, en die van een neef. Waarom een neef en niet je broer? Omdat de twee telefoons dan bij elkaar in de buurt zijn tijdens het zomeruitje. Als jullie dan alle twee in het water vallen zijn alle twee de telefoons mogelijk kapot. Twee apparaten thuis hebben liggen is geen optie vanwege bijvoorbeeld brand of diefstal, etc.

Het is niet makkelijk.
Ik advieseer altijd om 2FA back-up codes op een telefoon te zetten die je niet meer gebruikt en die ergens uit in een kluis of iets der gelijke te leggen als je de optie hebt. Op deze telefoon wel een boot wachtwoord te zetten en instellen op 10x fout hij gewiped wordt.

Als je telefoon kapot is heb je een back-up. Plus het is voor criminele een stuk lastiger om fysiek aan je back-up te komen.
Bij Google kun je gewoon back-up-codes afdrukken. Ik heb zo'n vel ergens liggen. Je kunt de codes ook copy-pasten in een tekst of zo voordat je ze afdrukt, opdat een dief er nooit achter komt dat je die codes hebt en waar ze zijn (soms helpt security from obscurity wel degelijk).
Je kunt de codes ook copy-pasten in een tekst of zo voordat je ze afdrukt,

?
Nou, ik heb in mijn bureaula een A4'tje met "codes Google" liggen. Een boef zou dat kunnen vinden. Ik zou ook een bestaande tekst kunnen nemen, b.v. een pagina uit een wetenschappelijk artikel als Word-document, daar de codes ergens tussen zetten zodat ze niet opvallen maar ik ze wel kan vinden, zonder dat er ergens staat dat het om Google-codes gaat, en dat afdrukken en in mijn la leggen. Dan heb ik de codes beschikbaar, maar een boef zal niet op het idee komen dat wat getallen in een random blad tekst Google-codes zijn.
Dan kom je weer terug op het goed bewaren van je private key, iets waarvoor je dus de online dienst gebruikte om dit goed te regelen.
Als je zo denkt, is er gewoon niks meer veilig. Ga ik dus niet doen. Lees je even in in de beveiliging die bijvoorbeeld Lastpass, Bitwarden en Authy gebruiken. Ik weet zeker dat mijn setup vele male veiliger is, dan jouw setup. Helemaal als je nergens 2FA gebruikt, zoals je zelf aangeeft. Dat is natuurlijk echt vragen om problemen.

Precies zoals @Blokker_1999 al aangeeft. Authy heeft helemaal niks van mij, behalve een gesloten "doos" waar ze niet in kunnen.

[Reactie gewijzigd door dehardstyler op 12 november 2020 12:06]

en jij gelooft dat de fabrikant van u gelsoten doos niet in die gelsoten doos kan kijken.
En wat doe je wanneer dat bedrijf wordt overnomen of geld vraagt voor toegang of overkop gaat.
Daar gaat al je toegang tot alles en je kan nergens nog aan.
Zelfde met die hardware tokens en app's op telefoons.
dat werkt even tot het ding defect geraakt en dan ben je letterlijk genegerd want je bent alles kwijt.

heb het onlangs nog gezien bij een collega alles 2FA op smartphone.
telefoon defect > nieuwe telefoon > 3dagen naar helpdesks liggen bellen om het terug inorde te krijgen ondanks "backups" van de private key's en dergelijke.

nee dank u
en jij gelooft dat de fabrikant van u gelsoten doos niet in die gelsoten doos kan kijken.
Jazeker! Hier kun je de door Authy gebruikte setup zien: https://authy.com/blog/ho...-two-factor-backups-work/
heb het onlangs nog gezien bij een collega alles 2FA op smartphone.
telefoon defect > nieuwe telefoon > 3dagen naar helpdesks liggen bellen om het terug inorde te krijgen ondanks "backups" van de private key's en dergelijke.
Dat ligt dan voor de volle 100% aan je collega.
Hoeft niet per se want je denkt het goed geregeld te hebben met bv de Google Authenticator maar na het terugzetten van een backup op je nieuwe telefoon zijn al je codes weg.
Daarom gebruik ik voor deze codes en wachtwoorden Enpass en kun je je totp codes ook op je laptop of telefoon zien en gebruiken. De database staat ook lokaal en is encrypted, en kun je ook via Onedrive of Google drive e.d syncen.
De door jouw afgesloten doos bevind zich op het systeem van een 3e partij. Deze hebben dus fysieke toegang tot dat systeem. Sorry om je bubbel te laten barsten, maar als fysieke toegang onderdeel van het spel is, dan is er zeer zeker tijd genoeg om dat ding te klonen en de kloon open te breken. Zonder dat jij dit zelfs merkt, want jouw data word niet aangepast.

In hoeverre jouw data interessant is om dat soort resources eraan te spenderen, dat weet ik niet. En wees gerust, dat wil ik ook niet weten. En zo zullen nog een heleboel mensen, bedrijven, organisaties en veiligheidsdiensten erover denken.

Maar de toko die jouw data in handen heeft? Het moment dat de winstcijfers een beetje tegenvallen, dan worden de financiele vergoedingen voor jouw metadata wel interessant.
Wat gebruik je dan als authorizatie voor Authy?
Een lang wachtwoord.
Complex wachtwoord die je maandelijks uitbreid of veranderd > KeePass > Authy wachtwoord > 2FA tokens > 2FA app > App waar je in moet loggen.

Het begint echt absurd te worden. Leuk dat snel starten van je werkplek, maar vervolgens ben je 15 minuten bezig met inloggen. :P
Het grote probleem is gewoon dat er mensen zijn die je willen bedriegen. Als dat nu eens niet bestond... Helaas is bedriegen al zo oud als de evolutie. Maar ik wordt er horendol van wat je allemaal niet moet doen om het veilig te houden en ik vind het hachelijk dat ik meerdere dingen alleen maar kan zolang ik toegang tot mijn telefoon heb. Batterij leeg is met een uur laden te verhelpen, maar verloren of defect is een ander verhaal. Als mijn huis afbrand heb ik ook die recovery codes niet meer en wanneer je die recovery codes digitaal op zou slaan, ben je weer terug dat het met een wachtwoord te raden valt. Het is om horendol van te worden. Bedrog moet gewoon worden afgeschaft. Bedriegen? Criminaliteit? Niet meer doen! Punt.
Dus als iemand toegang heeft tot je KeePass heeft die zowel toegang tot alle wachtwoorden, als de OTP tokens? (want heeft toegang tot Authy) In die zin zou je de OTP codes dan net zo goed door KeePass kunnen laten genereren. Immers voegt Authy dan alleen maar lagen toe, maar geen echte veiligheid omdat je met toegang tot KeePass ook in Authy kunt komen.
Vandaar ook mijn beredenering dat het absurd begint te worden.
Je KeePass DB is enkel leesbaar als je het geheim weet, dwz het wachtwoord of de private key of een combinatie van beide.
Inderdaad, het voegt niks toe. Ik zou liever hebben dat Keepass dit gewoon zelf ondersteunt. Net als Bitwarden dat doet bijv.
Precies. Je moet dus ook echt zorgen dat je 2 wachtwoorden onthoudt. Dat is ook nog wel te overzien voor de meeste mensen. :)
Precies dit. Je moet er echt voor zorgen dat je niet via je passwordmanager in je Authy kan komen.
Welkom2020 en Welkom2021 straks voor sommigen :+
2022+: Welk jaar had ik ook al weer gekozen voor dat wachtwoord toen ik het instelde?
Daarom laat je je wachtwoorden iedere zoveel tijd verlopen, dan blijft het gebruikte jaartal een beetje bij :P
Ik gebruik daar dan nog een Yubikey bovenop. Veiligheid komt helaas met een prijs inderdaad. :P
Met het aankomende vuurwerk verbod ben ik helemaal klaar voor de vinger of iris scanners. :+
Vinger- en irisscanners zou je niet moeten opslaan. Als ze gelekt worden dan kan je deze lastig vervangen. Ik ben er dus ook fel tegen om biometrische data op te slaan die gelekt kan worden. Ik gebruik daarvoor ook mijn pink op plekken die ik niet vertrouw of middelvinger.
Ja voor echte beveiliging kan je biometrische data alleen gebruiken waarbij dat onder toezicht van anderen zoals een beveiligingsmedewerker gebeurt. Kan dus prima voor een deur op een militaire locatie ofzo, maar niet om online in te loggen. Op een laptop is het al enigszins dubieus maar wel lekker makkelijk.
Het probleem is dat als jan en alleman vingerafdrukscanners gaat plaatsen voor beveiliging er vanzelf scanners komen van dubieuze makelij. Ik moet er niet aan denken als er van mij een vingerafdruk online te vinden is. Op je telefoon is er een heel eigen cpu/ram/storage en OS dat de sensor koppelt met de rest van je telefoon. Op die manier is de veiligheid gewaarborgd, het is niet dat je even per ongeluk via een ssh sessie inlogt daarop. Maar als je straks goedkope scanners hebt die het allemaal niet zo nauw nemen ben je straks de pisang. Als je vingerafdruk opeens online staat is die compromised en kan je die niet meer gebruiken. Als dat een pink of middelvinger is: so what. Is het je wijsvinger? Dan kan je die niet meer veilig gebruiken voor je telefoon om er betalingen met uit te voeren i.c.m. je bankapp.
Het probleem is dat als jan en alleman vingerafdrukscanners gaat plaatsen voor beveiliging er vanzelf scanners komen van dubieuze makelij. Ik moet er niet aan denken als er van mij een vingerafdruk online te vinden is. Op je telefoon is er een heel eigen cpu/ram/storage en OS dat de sensor koppelt met de rest van je telefoon. Op die manier is de veiligheid gewaarborgd, het is niet dat je even per ongeluk via een ssh sessie inlogt daarop. Maar als je straks goedkope scanners hebt die het allemaal niet zo nauw nemen ben je straks de pisang. Als je vingerafdruk opeens online staat is die compromised en kan je die niet meer gebruiken. Als dat een pink of middelvinger is: so what. Is het je wijsvinger? Dan kan je die niet meer veilig gebruiken voor je telefoon om er betalingen met uit te voeren i.c.m. je bankapp.
Klopt maar dat is sowieso een probleem. Je vingerafdruk moet je niet zien als iets onbekends, er zijn namelijk een miljoen manieren om deze te achterhalen. Als iemand specifiek jouw telefoon jat om naar je internetbankieren te gaan dan ben je al persoonlijk getarget en is het sowieso niet heel moeilijk om ook je vingerafdruk te achterhalen.
Daarom ook alleen TPM (Trusted Platform Module) gebruiken, dan worden deze gegevens in ieder geval niet in de cloud opgeslagen, maar heel zwaar versleuteld op het device.
en wat doe als je u pc / laptop / telefoon vervangt.
dit chip kan je niet overzetten
Was ook een klein beetje ironisch bedoeld :)
Maar uiteraard goede punten!
De microsoft authenicator voor iPhone werkt met gezichtsherkenning of vingerafdruk.
Je 2FA tokens 'veilig online' opgeslagen lijkt me iets wat je juist ten alle tijden wil vermijden. Je maakt dan wel een erg gevaarlijk single point of failure.
Nee Google Authenticator of andere varianten gebruiken maakt het een SPOF. Dan is het namelijk telefoon weg, codes ook weg. En dan moet je gaan recoveren met een recovery key.

Nu kan mijn telefoon gewoon kwijt raken, en dan heb ik alles nog. En als Authy dan helemaal omvalt (zie ik niet gebeuren), dan heb ik pas mijn recovery keys nodig.
Dat is niet waar toch? bij Google Autenticator kun je gewoon je accounts overzetten. dus geen SPOF
Hoe ga je dat doen als je telefoon weg is dan? Daar ging het om. Uiteraard kun je 2 telefoon aanhouden voor de keys, kan ook.
simpel denk ik, bij de opties van Google Autenticator kun je kiezen voor export accounts.
Hij genereert dan een enkele QR code voor al je accounts.

Als je die QR code gewoon afdrukt en veilig opbergt, kun je deze altijd scannen als je telefoon defect raakt of gestolen wordt.
Die moet dan wel in een safe op een andere locatie. Als je huis affikt, heb je nog niets. Als je dat A4tje los bij bekenden neerlegt weet je nooit wie hem bekeken heeft.
Uiteraard leg je dat velletje in een brandkast of iets wat in ieder geval een beetje brandvertragend werkt, maar het blijft een risico. Mogelijk te verminderen door een kopie van het blaadje elders te bewaren (off-site off-line backup), maar dat heeft weer andere risico's natuurlijk.
Bij je ouders in de kluis? Er zullen toch wel altijd mensen zijn die je 100% vertrouwt?
Voor het brandscenario bv een Cryptosteel kapsule. Uit een set van metalen letters en cijfers kies je uw paswoord en dat steek je in een metalen cilinder (de kapsule). Water- en brandbestendig.
Klopt helemaal. Maar ik wil het gewoon altijd beschikbaar hebben. Als ik voor mijn werk weer naar China reis en ik raak daar mijn telefoon kwijt, dan is dat een gigantisch probleem. Dan is deze oplossing makkelijk, en mijn inziens nog steeds heel veilig.
Feit dat het al een discussie is op tweakers zegt ook al wel dat helaas weinig mensen dit doen.

Heb al aantal keer een appje gehad van mensen die toegang tot heel wat accounts kwijt waren door een kapotte telefoon en de recovery key niet hebben opgeslagen.

IT mensen snappen het belang van een recovery key maar niet technische mensen denken. Oke ik heb m'n code klaar next, next, next, skip.
Dat is juist het mooie aan SMS voor 2FA: als je je telefoon kwijtraakt, haal je bij je provider een nieuwe simkaart en je kunt weer overal bij.

Ook het argument dat Weinert aanhaalt dat “sms tokens vaak oneindige geldigheid hebben” lijkt me eerder iets om aan de achterkant op te lossen dan bij de gebruiker. Waarom zou je sms tokens immers ook niet na 30/60 sec laten vervallen?

Natuurlijk is SMS niet encrypted en vatbaar voor aanvallen, maar persoonlijk heb ik bij het inloggen of authenticatie liefst zo min mogelijk 3rd parties tussen mij en de dienst zitten.
Natuurlijk is SMS niet encrypted en vatbaar voor aanvallen, maar persoonlijk heb ik bij het inloggen of authenticatie liefst zo min mogelijk 3rd parties tussen mij en de dienst zitten.
Je ziet zelf geen problemen met het begin van de zin en de conclusie die je er vervolgens aanhangt? :P

Juist bij SMS zitten er veel partijen tussen, inclusief hackers die het kunnen sniffen. Lijkt een beveiligd alternatief je niet beter dan?
Fair enough, laat ik het herformuleren: persoonlijk heb ik bij het inloggen of authenticatie liefst zo min mogelijk verschillende 3rd parties tussen mij en de dienst zitten.

Mijn telco is altijd verbonden met mijn mobiele device, dus als ik hen niet vertrouw heb ik een ander probleem. Maar nog meer verschillende partijen in de authenticatie ertussen zetten, liever niet.
Hoe denk je dat de SMS vanaf de website waarop je inlogt uitkomt op jouw telefoon? Daar zit een heel platform aan bedrijven tussen. Wat je ook zegt, SMS voor 2FA is gewoon bewezen onveilig. Je mag het prefereren, maar het zeker niet veiliger dan iets als Authy.
is altijd verbonden met mijn mobiele device, dus als ik hen niet vertrouw heb ik een ander probleem.
Zoek IMSI catchers maar eens op. ;)
Het is niet voor niks dat Microsoft hier zegt dat je het niet meer moet gebruiken.

[Reactie gewijzigd door dehardstyler op 12 november 2020 12:38]

Nu kan mijn telefoon gewoon kwijt raken, en dan heb ik alles nog.
Datzelfde geld voor gebruik zonder Authy, je hebt immers nog je recovery keys.
en hoe geraak je in godsnaam terug in gelogd op een nieuwe telefoon als alles staat opgeslagen in die apps die je niet kan instalalten omdat je niet ingelogd geraakt op je telefoon?
wil daar ook geen moer van snappen heb dat 2FA rommel al genoeg geprobeerd met alle problemen vandien
er zijn zelf accounts op site waar ik daardoor niet meer ingeraak.

dus je mag dat steken waar de zon niet schijnt van mijn part
Dat klinkt niet als een oplossing: het gebruikt nog steeds je telefoonnummer om je te authenticeren en dat is juist het grote probleem. De diensten die bij een telefoonnummer horen blijken niet gemaakt om op te vertrouwen dat de gebruiker er controle over heeft.
Nee het gebruikt niet alleen je telefoonnummer, maar ook een wachtwoord.
Ik schrijf niet dat het alleen je telefoonnummer gebruikt maar dat het probleem het niet kunnen vertrouwen van de diensten bij een telefoonnummer is als je dat wel nodig hebt.

Hoe dan ook heb je dus een zwak punt in de beveiliging terwijl iemand je telefoon(dienst) kan overnemen. Dat je er een extra wachtwoord voor nodig hebt is lang niet altijd het geval. Ook daar hangt het dan weer af van de beveiliging waar je zelf nauwelijks controle over hebt (zoals bij het telefoonnummer). Nu zal dat hopelijk een stuk veiliger zijn dan bij telefoonnummers maar het klinkt niet handig om daar zomaar op te vertrouwen als we dat eerder ook al dachten.

Je lijkt gewoon beter af te zijn door gewoon niet op een dienst te vertrouwen dat een crimineel omwegen geeft om controle te krijgen waar je zelf nauwelijks invloed op hebt. En dan lijkt authy helaas geen oplossing tot ze duidelijk zijn wat die beveiliging precies te betekenen heeft.
Dan gebruik jij Authy dus niet. :)

Ik heb er voldoende vertrouwen in om het wel te gebruiken, ik ben het niet eens met de problemen die jij schetst. Ja ze kunnen mijn telefoonnummer overnemen, maar ze hebben dan ook nog een password nodig. En dan moeten ze dus nog wel mijn telefoonnummer overnemen, ook niet zomaar geregeld, ondanks dat het wel mogelijk is.
Het doel van 2FA is dat jij in controle bent, niet iemand die crimineel is. Daar waarschuwt het artikel juist voor. Als je bij authy support kijkt zie je dat als jij een nieuw toestel en nieuw telefoonnummer hebt en het ze vriendelijk genoeg vraagt ze voor jou je identiteit kunnen overzetten. Dat ze daar (net als we bij een telefoonprovider) allemaal processen omheen bedacht hebben die er voor zouden moeten zorgen dat het niet zomaar gebeurt is keer op keer (onder andere bij telefoonbedrijven) een zwakke plek gebleken.
Dus dat jij er vertrouwen in wil hebben terwijl je kennelijk niet eens wist dat dit kon en blijkbaar ook niet weet dat authy en een crimineel nogal veel kunnen wat bij andere 2FA niet kan is juist waarom dit artikel is ontstaan. Gebruikers vertrouwen erg makkelijk dat hun dienstverlener het wel goed voor ze zal regelen terwijl criminelen gebruik maken van te goed vertrouwen dat een ander het wel voor je regelt.
Dat begrijp ik Kodak en ik weet van de functie. Maar in welk deel van dat proces gaan ze het wachtwoord aan de hacker geven dan? Daar heb je dat wachtwoord voor. En met dat wachtwoord heb ik de support niet nodig, want dan kan ik het zelf gewoon terugzetten. Daar gaat het om.

Van de Authy site:
Unable to Recover Backups Password

If you are unable to recall your Backups password, any existing encrypted 2FA account tokens will be permanently lost. Users who want to continue using Authy, see Reconfigure Authy After a Lost or Forgotten Backups Password.
Dus leg mij nou eens uit hoe die hacker dat allemaal gaat doen?
@dehardstyler ik zou zeggen stel die vraag aan authy als ze ondertussen ook beweren dat ze iets voor je kunnen betekeken als jij zowel je telefoonnummer als je oude device kwijt bent. Je mag natuurlijk hopen dat een crimineel dan inderdaad zoals ze beweren niet meer bij je bestaande tokens kan maar wat heb je daar aan als die crimineel hoe dan ook zich op een nieuw device en nummer voor kan doen alsof het jou account is? Het gaat er namelijk om dat een crimineel zich ook niet verder als jou kan voordoen, ook geen nieuwe tokens krijgt enz.
aan als die crimineel hoe dan ook zich op een nieuw device en nummer voor kan doen alsof het jou account is?
En wat gaat hij dan doen, mijn lege Authy container vol zetten met fake data? Oeehhh de horror. :O
[...]En wat gaat hij dan doen, mijn lege Authy container vol zetten met fake data? Oeehhh de horror. :O
Nee, de crimineel gaat natuurlijk met zijn container aan de slag die volgens authy en je dienstverleners van jou is. Dus met echte data omdat als de crimineel zich als jou voor kan doen dus of ook andere/nieuwe tokens kan genereren/krijgen die authy en de andere diensten willen accepteren.
Hier gaan we gewoon niet uitkomen zie ik al. Het is vooral een heleboel "als" bij jou, maar daadwerkelijk een praktische aanval heb ik nog niet gehoord.
Je mag natuurlijk hopen dat een crimineel dan inderdaad zoals ze beweren niet meer bij je bestaande tokens
Ze kunnen inderdaad niet bij bestaande tokens, lees de security setup even door: https://authy.com/blog/ho...-two-factor-backups-work/

Het is allemaal client-side encryptie.
kan maar wat heb je daar aan als die crimineel hoe dan ook zich op een nieuw device en nummer voor kan doen alsof het jou account is?
Maar leg nou eens uit wat de hacker hiermee kan? Hij kan nog steeds niet bij mijn 2FA codes. Dus wat gaat de hacker nou doen? Het is allemaal heel luchtig van jou zijde, maar leg de praktijk eens uit?
Dus met echte data omdat als de crimineel zich als jou voor kan doen dus of ook andere/nieuwe tokens kan genereren/krijgen die authy en de andere diensten willen accepteren.
Hoe dan? Wat boeien mij die nieuwe codes? Kun je dat alsjeblieft uitleggen? De hacker kan een nieuw account aanmaken met nieuwe 2FA codes. Joh! Wat gek zeg...
Het gaat mij om de bestaande natuurlijk, dat lijkt mij logisch toch?

Dus nog eenmaal: Leg mij een praktische aanval uit op mijn Authy container, die de bestaande codes gaat lekken. De enige manier is het password bemachtigen mijn inziens.

edit: typo

[Reactie gewijzigd door dehardstyler op 12 november 2020 15:06]

Heel veel beveiligingsproblemen gaan over als, dat is met het verhaal van Microsoft niet anders. Alleen aan dat als zit wel een probleem: dat we liever doen dat als we iets niet zien er dus geen probleem is. We dachten (of denken) niet voor niets dat het gebruik van een telefoonnummer wel voldoende zekerheid zou brengen. Want wie kan daar nou geen vertrouwen in hebben.

Nu is er nog een situatie waar je afhankelijk bent van wat een bedrijf kan doen en dan is jou reactie net zo: ja maar ik zie het probleem niet dus ik prijs het aan. Dat kan, maar laten we dan proberen om te kijken hoe realistisch het is dat je het niet ziet of ik wel.

Het systeem wat jij als alternatief wil lijkt zo te werken dat je voor een account een device met een app nodig hebt waarop je een aantal unieke gegevens bewaard en ook een telefoonnummer nodig hebt. Over dat telefoonnummer is gezegd dat het niet zo veilig is om te gebruiken omdat iemand dat over kan nemen. Jij zegt dan wat boeit me het als iemand dat nummer kan overnemen of zelfs een nieuw nummer kan laten accepteren met een nieuw device. Ze kunnen toch niet bij mijn bestaande gegevens op het device dat ik heb. Alleen hebben de bedrijven waarvoor je authy nodig hebt niet alleen vertrouwen in wat jij hebt (of had) maar in wat authy zegt dat waar is. En authy legt daarbij niet uit welke gevolgen het heeft dat iemand anders zich als jou kan voordoen met een nieuw device en telefoonnummer. Als ze dat kunnen wijzigen zonder dat jij er iets over te zeggen hebt en de bedrijven die dat authenticatiesysteem vertrouwen dan hoef je er ook niet op te rekenen dat die bedrijven/sites jou oude device, tokens en nummer nog vertrouwen in plaats van wat de crimineel allemaal bij authy gedaan kan krijgen.
Natuurlijk kan je dan graag vertrouwen dat authy en die bedrijven/sites dan later te overtuigen zijn dat die crimineel niet jou is, maar waar wil je dat dan op baseren? Ze vertrouwen immers niet alleen op tokens die jij had. En authy zegt niet dat als jou tokens waardeloos zijn geworden omdat ze liever een ander device en nummer vertrouwen jij dus wel weer toegang kan krijgen of dat die crimineel geen toegang kan krijgen. Dat hangt dus volledig af van wat authy en dat andere bedrijf/site en de crimineel vervolgens willen vertrouwen.

Als je hiervan zegt dat je liever vertrouwen in een goede afloop hebt dan iets zekerder te weten dan hoef jij er natuurlijk geen probleem in te zien. Maar ik denk dat het verstandiger is om van een 2FA dienst gebruik te maken waarin je geen telefoonnummer gebruikt dat nodig is voor je identiteit al grotendeels te kunnen wisselen en je eigenlijk niet weet hoe je dat kan voorkomen en welke gevolgen dat heeft.
Maar dit was nog steeds geen praktische aanval. Weer een lang theoretisch verhaal en weer geen woord, letterlijk geen woord over het wachtwoord.

We laten het erbij! :)
Je gaat volledig voorbij aan de vraag die letterlijk een paar keer gesteld wordt: Hoe kan die crimineel die alleen Authy zo gek heeft weten te krijgen het telefoonnummer bij het account aan te passen, de TOTP codes in handen krijgen? Bij Authy staat alleen een geëncrypte backup geparkeerd die je kan recoveren als je een vertrouwd telefoonnummer hebt (ok, dat heeft die crimineel dan) EN het wachtwoord hebt om de backup te ontsleutelen. Heb je dat laatste niet dan geldt:
Alert: Authy Support is unable to recover a lost or forgotten backups password. We recommend that you write your backups password down somewhere safe immediately after creating it, or use a password that only you know.
Zie ook:
Since the Backups password is never sent to Authy or stored in our servers, Authy support is unable to recover your password.
Of dit:
If you are unable to recall your Backups password, any existing encrypted 2FA account tokens will be permanently lost.
Ik moet toegeven, je moet nog steeds vertrouwen hebben in Authy dat ze dit geïmplementeerd hebben zoals ze zeggen (ik weet niet of daar audits op hebben plaatsgevonden), maar als het geïmplementeerd is zoals beschreven hebben dan heb je niet genoeg aan het om de tuin leiden van de servicedesk van Authy om een telefoonnummer aan te passen. Mocht ik iets over het hoofd zien dan hoor ik het ook graag uiteraard. Ik vond het een interessante discussie, maar jammer dat er niet werd ingegaan op het benodigde wachtwoord voor de ontsleuteling van de geëncrypte backup. Dat lijkt me toch een belangrijk aspect in dit geheel.
Ik heb een paar maanden geleden de OnePlus Nord aangeschaft en de OnePlus migratie tool kopieerde zonder problemen vrijwel alle credentials van mijn oude telefoon naar de nieuwe telefoon..

De Authy database werd wel gekopieerd, maar die van de Google Authenticator niet. Daarvoer moest ik met het nieuwe toestel een QR-code scannen welke op het beeldscherm van het oude toestel werd getoond..

Overigens gebruik ik tegenwoordig ook LastPass voor de OTP codes. Ben dus langzaam bezig om alle Google Auhtenticator en Authy OTP codes over te zetten..
Wat maakt Authy betrouwbaar?

Ze zijn onderdeel van Twilio en die hebben een geschiedenis met security problemen.
Wat maakt Keypass betrouwbaar?

https://hackaday.com/2020...ass-and-twitter-warnings/

Wat maakt Google betrouwbaar?

nieuws: Google repareert opnieuw twee zerodays in Chrome

Wat maakt [INSERT RANDOM TOOL PROGRAMMED BY HUMANS] betrouwbaar?

Precies, helemaal niks. Er kunnen helaas altijd bugs optreden. Daarom maak ik dus niet exclusief gebruik van Authy, maar is Authy onderdeel van de beveiliging. Als ook een Yubikey voor nog een extra factor.
betrouwbaar als in "vertrouwen hebben in" ?

Als je het "trust nobody" motto aanhangt, vertrouw je het best slechts jezelf.
Dus username met heel lang wachtwoord dat je zelf fysiek bewaard kan dan best een goed oplossing zijn.
Zo hoef je vertrouwen niet in handen van anderen te leggen.
Mijn oplossing is het vertrouwen bij meerdere organisaties neerleggen.

Bij PW manager.
Bij Authy
En bij Yubikey.

Alles zelf doen is gewoon niet praktisch, en maar minimaal veiliger. Want dan spelen er weer andere problemen zoals back-up etc mee. Die geef ik nu uit handen aan partijen die dat soort zaken wel gewoon op orde hebben.
Twilio heeft de basis niet gelegd ;)
Kun je dat ook ff tegen de beleidsmakers van DigiD zeggen? Wil je daar gebruik maken van 2FA heb je niks te kiezen en moet je hún methode van 2FA, een code via SMS, gebruiken. Zover ik weet is er geen optie om dit op een andere manier te regelen...
Klopt inderdaad. Ik gebruik dus gewoon de DigiD app. Persoonlijk heb ik daar ook niet zo veel problemen mee en vind ik het juist fijn dat de overheid gerelateerde zaken weer gescheiden zijn van de rest. Alleen wel weer een extra app natuurlijk... :P
Als je er vanaf elk apparaat bij kan, hoe in vredesnaam is dat dan een goede beveiliging?

Dan reset je de authy app gewoon en kan je alsnog overal bij.
Dan reset je de authy app gewoon en kan je alsnog overal bij.
Deze mag je even toelichten. :)
Dit is mij inderdaad een keer overkomen, gelukkig kon ik eea herstellen. Ik gebruik daarom nu juist de Authenticator van Microsoft. Deze kun je koppelen aan je primaire outlook/hotmail account en kan zo je gegevens backuppen. De authenticator app is daardoor relatief eenvoudig te herstellen mocht het nodig zijn.
Let je wel op dat je niet je toegang tot je Microsoft account verliest? Het zou jammer zijn als je Microsoft account het enige is dat je 2FA codes kan herstellen, maar dat je dan 2FA nodig hebt om in te loggen bij je Microsoft account, en van alles dus bent buitengesloten
Men vergeet hier toch echt wel dat jan met de pet het moet uitvoeren. Authentificatie apps zijn bruikbaar voor bedrijven waar een IT dienst de sleutels bewaart maar voor de consument raad ik heel app gedoe net af, sms 2fa is daar net veiliger tenzij we ervoor kunnen zorgen dat die achter een ID verificatie zitten.

Immers als men een app gebruikt dient men ook ergens een restore optie te hebben die geen 2fa gebruikt, gebruik een lang en complex wachtwoord daarvoor, ofwel gaan ze dat niet doen ofwel zijn ze het vergeten als ze het nodig hebben.

Ik heb onlangs nog een werknemer gehad die privé gehackt werd door een stalker, inclusief fysieke aanvallen, inclusief klachten bij de politie. Alles gereset van wachtwoorden, nieuw nummer, overal 2fa aangezet, telefoon en pc volledig gereeset om dan tot de conclusie te komen dat de stalker nog altijd overal aankon.

Dan stel je u de vraag, hoe kan dat nu? Na de telefoon te resetten, wilt u laatste backup terug zetten? "Ja" => mdm van de aanvaller stond er meteen terug op waardoor hij terug toegang had tot sms verkeer En na te vragen welk nieuw zeer veilig wachtwoord, naamvanmijnkat + geboortejaar terwijl het oude wachtwoord naamvanmijnkat was. Dat nieuw wachtwoord vond het slachtoffer super veilig waarbij het slachtoffer niet begreep hoe de stalker daar ooit was aangeraakt.

Je houd het gewoon niet voor mogelijk wat jan met de pet uitsteekt met security zelf na keihard slachtoffer waar zeer strafbare feiten gepleegd zijn, na een en ander duidelijk gemaakt te hebben en terug heel de boel te resetten + bewijzen naar advocaat was het eindelijk over. Stalker was uiteraard pissed (had ik expliciet voor gewaarschuwd, dit ging zo diep dat het duidelijk serieus fout zat in de bovenkamer), lang verhaal kort, na de volgende escalatie is de stalker gevlucht naar het buitenland.

Kan je zeggen 2fa sms heeft de 1ste keer niet gewerkt, het had gewerkt mits men niet vervolgens klakkeloos een backup had terug gezet. Maar met een 2fa app waren we ofwel de accounts kwijt gespeeld ofwel was de achterdeur beveiligd met naamvanmijnkat, gegarandeerd. Het sms verkeer mag dan wel op provider niveau te onderscheppen zijn, wat voor een high risk omgeving een issue is, ik zie het nog niet snel gebeuren dat men zo ver gaat om een account van een consument te comprimeren.
De back-up/herstel code van je Microsoft account in de kluis leggen (oid) is een optie. Dan kan je daar altijd bij.
Eens. SMS is niet perfect, maar het hoeft niet perfect te zijn. Als de keuze is tussen multi-factor-met-SMS of geen multi-factor, dan moet je gewoon een SMS gebruiken.

Zie ook de scherpe opmerking van @Vich die in een paar tellen een stuk of 5 verschillende multi-factor apps kan opnoemen. Zelfs al is een app veiliger, veel platforms pushen hun eigen gesloten multi-factor app waardoor je er als gebruiker alleen maar meer hinder van ondervindt.
Welke dan? Daar zijn toch gewoon standaarden voor? Ik heb ongeveer 20 sites in mijn lastpass authenticator staan en ben persoonlijk nog nooit een website tegengekomen die mfa ondersteund waarbij je een aparte app moet gebruiken (op digid na).
- DigiD
- Steam
- Blizzard
- en nog veel meer....*

* Een deel hiervan is inderdaad een stock TOTP app met hun eigen skin, maar al is 1/10de custom, dan is dat nog steeds veel te veel.
+1Anoniem: 1409490
@Eonfge12 november 2020 12:08
Van Digi-D vind ik het nog wel toegevoegde waarde hebben dat je een custom process hebben voor de 2FA. Je kunt een hoop schade verrichten. Van die game launchers kan ik het echter niet begrijpen.
Probeer Microsoft maar eens
Die supporten gewoon standaard TOTP dus er is niets aan de hand. HEt gaat hier meer om de grappenmakers als Blizzard, Steam etc.
*kuch* Steam *kuch*
Dan zitten we straks met het probleem wat je nu ook hebt met de Oracle Authenticator. Die andere QR codes kan gebruiken dan de authenticators van Microsoft of Google.

Ook al kun je met wat moeite die Oracle QR codes ook gewoon gebruiken op andere authenticators. Er wordt onnodig een brug opgeworpen dat je weer specifiek app X of Y moet gebruiken. Ik had op een gegeven moment 5 van die token apps op mijn telefoon staan. Daar heb ik ook geen zin in, dan liever er het onveiligere SMS. Gemak dient de mens en onnodig barrieres opwerpen in de naam van security slaat ook nergens op en werkt averechts.

[Reactie gewijzigd door batjes op 12 november 2020 11:45]

In de Microsoft app heb je gewoon de mogelijkheid een backup van je instellingen en accounts op te slaan. Dus als mijn iPhone kapot gaat pak ik mijn iPad en ga gewoon verder. Of ik installeer de app op mijn vervangende iPhone en haal de instellingen uit mijn backup en ga gewoon verder....

Dus nee, dat is geen reden om de app niet aan te bevelen. Zo'n beetje al dit soort apps hebben de mogelijkheid om een backup in je zelf gekozen cloud op te slaan.
Als je geen alternatief hebt, dan kan het wel eens lastig worden.

Op mijn werk moest ik inloggen en tot mijn verbazing stond mijn GSM uit, met als gevolg kon ik mijn mfa niet gebruiken. Na verder onderzoek merk ik dat mijn GSM gewoon kapot is.

Dan sta je daar op je werk en aangezien ik geen reserve toestel meedraag, kan ik niet zomaar verder. Uiteindelijk vind jeje weg wel, maar je maakt het je ook soms erg moeilijk mee.

Het is een kwestie van impact / likelihood. Mijn vader van 65 jaar die amper weet hoe je een browser moet starten, ga ik geen mfa aanraden.
Microsoft Authenticator kan nu ook worden gebruikt en die wordt automatisch geback-upt. Dus dan zou je het eenvoudig moeten kunnen herstellen bij een nieuwe telefoon.
Hoe log je dan in bij Microsoft op die nieuwe telefoon? Je hebt daar vast ook 2FA aan staan, maar geen werkende app.

Nou kun je wellicht een mail laten sturen door Microsoft. Maar dan moet je wel bij je mail kunnen. En die heb je ook met 2FA beveiligd.
Waarom is sms handiger dan een app op een kapotte telefoon? 8)7
Omdat je je simkaart direct in een andere telefoon kunt plaatsen (of een nieuwe simkaart van je provider kunt krijgen) en dan krijg je je codes weer binnen.
Voor die situatie heb ik een setje backupcodes, en keepassxc waarin ik dezelfde sleutels ook opgeslagen heb. Zo kan ik vanuit een backup, mijn telefoon èn keepassXC de totp-token terug halen.

Bijkomend voordeel van KeepassXC is dat je geen problemen krijgt met ongeldige tokens als de telefoon een keer niet goed gesync is op de time-servers (waardoor hij te vroeg of te laat codes genereert en die niet meer bij het tijdstip op de computer horen)

Niettemin inderdaad lastig voor digibeten hoor, inloggen zelf is al lastig, laat staan op tijd een 2FA code intypen of snappen dat er iets extra's nodig is. Ik zie het ook bij mijn ouders.

[Reactie gewijzigd door Uchy op 12 november 2020 11:40]

De gebruiker is de zwakste schakel altijd. Als ik klanten vraag om iets van de overheid (dat ik niet voor hun kan) te copyen & pasten in 2 mails zonder enige tekst bij, dan krijg ik screenshots, alles in 1 mail met duidelijke omschrijving wat het is door etc.
Als mensen dan verplicht 2FA moeten gebruiken en deze kennen nog de basisprincipes niet van een pc ... Tsja daar houdt het dan op. En zo zijn er genoeg, ook 30tigers enzo.
Voor mensen in de IT is dit vanzelf sprekend. Maar voor anderen waar een probleem meestal een PEBKAC is (Problem exists between keyboard and chair) is een sms echt wel het gemakkelijkste.
Maar als je dan iets al authy gaat introduceren bijvoorbeeld ... ja dan heb je als support gewoon veel meer werk. En authy is goed als je je wachtwoord nog kent. Maar hoeveel mensen gebruiken niet altijd hetzelfde wachtwoord ... en dit is dan nog eens gemakkelijk. Je moet maar eens in een groot bedrijf maandelijks wachtwoord wijzigen verplichten en zie je support tickets maar eens naar omhoog gaan. Tevens gaan de mensen dan altijd het gemakkelijkste wachtwoord nemen en dikwijls gewoon 202010Wachtwoord ofzo

Nuja niks is 100% maar voor het overgrote deel van de mensen is en zal SMS nog altijd het beste en gemakkelijkste zijn.

Hoe mensen iets gebruiken is dikwijls mijlen ver weg van de best practice zou zijn. En je moet ook je gebruikers zeker niet overschatten (en onderschatten ook). Maar de realiteit is dat de meeste gebruikers iets kunnen opzoeken via Google, smoelboeken & instagram, een mail versturen en misschien nog wat gebruik maken van office. En daar houdt het dan meestal op.
Ikzelf verdeel gebruikers altijd onder in de volgende indeling:
- absolute leek
- basiskennis
- iemand die denkt dat hij iets weet, maar geen flauw benul heeft
- iemand die denkt dat hij veel weet, maar snel door de mand valt
- gemiddelde kennis
- poweruser
- goeroe

Maar de categorie 1, 2 is zeker het merendeel. 3, 4 al wat minder, maar de moeilijkste categorie, want deze moet het altijd beter weten en geeft je een oplossing (en je weet goed genoeg dat het dat niet is), 5 is al een pak minder, en dan heb je de poweruser/goeroe en dat zijn dan 99% mensen die binnen de IT werken. Maar 1,2,3,4 is met gemak 85% van de totaliteit van gebruikers. En daar moet je dus rekening mee houden. Dit wordt veel te vaak over het hoofd gezien, ok het is niet gemakkelijk om je voor te doen als "leek", maar dat is iets dat je moet leren om dat echt te doen. Als je dan een concept of idee bedenkt, zal dit altijd bruikbaar zijn.

[Reactie gewijzigd door cricque op 12 november 2020 11:55]

Ik gebruik zelf 1Password en daarin kun je ook one time passwords per account (Google / Microsoft etc.) toevoegen. Zo heb ik geen aparte authenticator nodig en ben ik niet afhankelijk van 1 apparaat. Het populaire alternatief Lastpass dat ook een gratis versie heeft ondersteunt volgens mij ook het genereren van one time passwords.

[Reactie gewijzigd door Donderr op 12 november 2020 11:55]

Een goed alternatief imho is zoiets als MobileConnect. Dit systeem maakt gebruik van de processor op de (e-)SIM, dus het mechanisme is gedistribueerd over 2 hardware devices. Nadeel is dat het net als SMS qua usability uit de 20e eeuw komt, met gebruik van een PIN code.
Bij 2fa via microsoft heb ik altijd een optie om een andere methode te kiezen. Standaard is dit bij de mobiele app, maar als dat niet werkt, kan ik altijd kiezen voor bijvoorbeeld SMS.

Het hoeft dus niet per se een probleem te zijn als de mobiel niet beschikbaar is. Hoe dit zit met o.a. google authenticator weet ik zo even niet, daar gebruik ik ze te weinig voor.
Kijk eens naar Myki, sinds ik het ontdekt heb vind ik het briljant.

- Gegevens staan encrypted op je mobiele device. Die gegevens kan je syncen met andere devices of een desktop app. Myki kan niet bij je gegevens.
- Een browser plugin praat met je mobiele device. Zelfs TOTP inloggen gaat daardoor zeer soepel met 1 druk op de knop.
- Je kan zelf ook nog MFA instellen dat je voor bepaalde login's extra moet bevestigen op je mobiel.
- Je kan (encrypted) backups maken van je database.

Sinds ik dit gebruik, heb ik KeePass vrijwel achter me kunnen laten. Enige waar ze op stuk gaan is non-webbased logins. Dat opslaan en raadplegen laten ze echt nog steken vallen.
De gewone burger wellicht niet, maar als je ook maar enige tractie krijgt op social media e.d. dan gaat het al wel snel. Dat kan met een tweet gebeuren of een filmpje van jaren terug.

Ik zie regelmatig op Twitter en Youtube dat accounts gehacked worden. Dan wordt eerst via SMS de verificatie uitgezet en daarna het wachtwoord veranderd. Dat gebeurd nu al vaker dan je denkt en dat kan tegenwoordig ook wel geautomatiseerd. Dit betekend dus dat in een paar jaar ook de rest van de accounts wel gehacked gaan worden en die mensen geven er dan niks om want ze gebruiken het toch al amper (of ze merken het niet eens). Zo ging het met ransomware ook.
En met sms heb je de zekerheid dat er maar één telefoon wordt gebruikt. Met de app kunnen mensen hun account delen, wat natuurlijk ongewenst is.
Ik gebruik Authy, alls 2FA. Die kan je gewoon installeren op een andere telefoon, en je kan overal weer terug in.
Raivo OTP op de iPhone werkt goed en iCloud back-ups zijn mogelijk.
Mijn methode vooralsnog is die reserve sleutels met een screenshot op te slaan, zonder dat uit de file herleidbaar is waar die codes voor zijn. Zo zijn het dus alleen maar reeksen getallen, wat niemand (behalve jij) wat aan heeft. Zo heb je je telefoon niet perse nodig om er toch bij te kunnen
Het onderscheppen van een SMS mag dan lastig zijn maar het spoofen van SMS is dat niet. Daarmee kun bijv iemand mee verleiden een smsje met een whatsapp herstelcode door te sturen. Vandaag nog een voorbeeld van gezien.
Je kunt ook 2FA via een app combineren met 2FA via een fysieke sleutel zoals een Yubikey. Gaat je smartphone stuk, dan kun je nog steeds je sleutel gebruiken. Verlies je je sleutelbos, dan kun je nog steeds je smartphone gebruiken om aan te melden.
Daarom bewaar ik mijn oude telefoon, is er altijd een reservetoestel. Idem dito voor de laptop en huis en autosleutel altijd twee exemplaren.

[Reactie gewijzigd door RAAF12 op 13 november 2020 02:05]

Die backup codes kan je tegenwoordig in elke password manager wel kwijt. De backup code van de password manager zit weer analoog op een plek waar ik mijn papieren bewaar. En 1 code zit als sticker op mijn bankpas. Best leuk, staan 3 x 4 cijferreeksen op(leuk voor de zakkenroller).

Ik heb niet alles bij 1 partij liggen, ik heb zowel Microsoft, Google als Authy in gebruik als 2FA. Werkt prima zo.
Wat ik me wel afvraag in hoeverre dit nou daadwerkelijk onveilig is voor Jan met de Pet. Een Smsje heb je ook weer niet zómaar onderschept. Als high level target is het wellicht goed om niet te gebruiken, maar het lijkt me overdreven om morgen niet meer te kunnen gebruiken.
Oke een half uur geleden was ik ook sceptisch. Maar na paar minuten zoeken zat ik via instagram en youtube filmpjes al op een website op het onion netwerk die SS7 diensten aanbied. Hiermee kan je dus smsjes en gesprekken onderscheppen. Eerste die ik vond was $1000,- na nog een beetje zoeken heb ik nu eentje voor $500 gevonden voor een maand toegang. Of ze betrouwbaar zijn weet ik uiteraard niet, maar dat zou je ook nog via verschillende fora op het onion netwerk kunnen uitzoeken.

In voorbeeld video's zie je dat je vaak niet eens het wachtwoord nodig hebt. Wil je inloggen op facebook? Je klikt op wachtwoord vergeten, vult de telefoonnummer van je doel in, onderschept het smsbericht welke niet op de telefoon van je doel komt. Reset wachtwoord en je zit erin. Zelfde manier voor Gmail. Je hoeft niet eens het email adres te weten, telefoonnummer is genoeg voor een reset en je zit zo in de mailbox. Kun je lekker door de mail spitten waar die allemaal accounts heeft, wachtwoorden daarvan resetten die naar de mailbox komen enz.
Akkoord, maar dan kost het je dus alsnog $500 om mijn account te hacken. De vraag is: wie heeft dat er voor over? Voor wie is mijn data zo belangrijk dat het hem of haar $500 waard is.
Bij Binck kun je pas aandelen verhandelen na verificatie via sms. Zij vinden zelf dat dit niet zo'n probleem is omdat je enkel naar een vaste rekening geld kan overschrijven.

Maar stel nu eens dat een criminele organisatie investeert in waardeloze centjesaandelen, dat zij vervolgens de account van enkele grote klanten van Binck overnemen, alle aandelen in die portefeuilles verkoopt en met die opbrengsten de koersen van die centjesaandelen naar ongekende hoogtes drijft, wat dan eventueel nog eens versterkt wordt door automatische algoritmes.
Maar ik kan wel je aandelen uit bedrijf A trekken en die dan in bedrijf B stoppen?

Als ik dit doe via honderdduizend accounts met zeg met gemiddeld 10K aan aandelen. Kan ik best wel wat geld verdienen zonder dat iemand daar ooit iets aan heeft.
Jouw data misschien niet maar als ik voor 500 dollar de 2FA kan onderscheppen voor een password reset van een medewerker bij bedrijf X waardoor ik via bijvoorbeeld sharepoint een berg aan data kan downloaden die weer bakken met geld waard is voor de concurrentie van dat bedrijf...
Dat soort mensen moet dan ook geen verificatie via sms gebruiken. Maar de gemiddelde Nederlander zonder waardevolle accounts?
Dit is ff wat ik snel heb gevonden zonder dat ik in die wereld zit. Dat is voor een maand toegang tot het systeem, je bent niet klaar na 1x gebruiken. Daarna is het aan de kwaadwillende om tijd in te steken om daar zoveel mogelijk geld van te maken. Social media nog daar aan toe, email is best wel waardevol als je er ook vanuit gaat dat bijna elke service wachtwoordreset of 2fa via email heeft. Grote kans dat ik ook bijna al je persoongegevens kan achterhalen uit je email en dat voor allerlei fraude gebruiken icm je accounts die via mail lopen. Verder is er ook nog een kans dat er informatie te vinden valt dat gebruikt kan worden voor chantage en ga maar door.
Voor die 500$ ben je niet het enige doelwit.
Nou, niet helemaal. Voor die $500 euro kun je een maand lang zoveel accounts hacken als je wil.

Daarnaast moet je dit als de eerste stap zien, niet als de uiteindelijk aanval.

Eerst breken ze je e-mail en twitter open. Dan gebruiken ze die om je marktplaats account over te nemen. Dan gebruiken ze jouw uitstekende reputatie op marktplaats om mensen op te lichten. Vervolgens staat de politie bij jou voor de deur. Als het ze lukt om 1 iemand een iPhone te verkopen dan zijn ze al uit de kosten.
Als iemand mijn WhatsApp overneemt (verificatie gaat via sms) kan hij met gemak 500€ loskweken bij familie en vrienden door te zeggen dat ik geld nodig heb.
"Niet gebeld = geen geld" !
Het gaat hier niet over een of andere complot.

Het gaat erom dat als ik voor 500 ekkies jouw Whatsapp hack masaal berichten stuur van betaal me 200 euro. Kans er drie mensen happen is aannemlijk. Maar ik ga ervan uit dat je voor die 500 wel meer dan een telefoonnummer kan gebruiken. Stel je komt zo in 100 Whatsapp accounts je stuurt overal een bericht van jongens mijn geld is op. Ik heb 200 euro nodig om te kunnen eten en te tanken.

Dat je die 500 zo heb terug verdient.
De TOTP 2FA-methode die Microsoft ondersteund is een open standaard en beschikbaar op o.a. Ubuntu in allerlei apps.
Wat een onzin. Als je met een paar honderd euro iemands account kan overnemen is de beveiliging gewoon slecht. Ik heb overigens een extra pincode ingesteld voor WhatsApp zodat dit niet kan gebeuren, maar erg gebruiksvriendelijk is de 2FA van WhatsApp mijns inziens niet. Het is wachten tot dit op grote schaal gaat worden misbruikt als niet snel iets verbetert aan de beveiliging van WhatsApp accounts.

Zie ook: nieuws: 'Criminelen lezen mee met WhatsApp-accounts Nederlandse ambtenaren'
SS7 diensten, werkt dat per land / netwerk?

Ik kan mij haast niet voorstellen dat dat zo makkelijk gaat, van, telefoonnummer invullen en onderscheppen maar.
Ja toch wel, vooral omdat de standaard erg oud is van een tijdperk waarin nog niet nagedacht werd over security. Een buitenlandse provider zegt hey 0612345678 is hier aangemeld op Zimbabwe Telecom stuur de smsjes hierheen, je vraagt de 2fa sms aan en de sms wordt daarnaartoe verstuurd.
Wauw. En telecomproviders bieden daar geen bescherming tegen? En loggen ze dat niet? Iemand die dat dus aanbied als dienst moet dus toegang hebben tot een providernetwerk?
Al loggen ze dat wel.... het kwaad is geschied en je hebt geen idee of je gmail, je whatsapp, je bedrijfs O365, Facebook, Insta, joepTjoep etc allemaal gehackt zijn
Als het gelogged wordt kan een dader toch gepakt worden? Valt op lijkt mij, telefoons die telkens voor 10 minuten plots aan de andere kant van de wereld zijn, een sms ontvangen, en dan weer terug zijn.
Nope. Klanten vragen er niet om dus zien ze het niet als hun probleem.

Daarbij is de investering om hier iets aan te doen enorm omdat deze systemen over de hele wereld gebruikt worden maar tegelijkertijd verouderd zijn. Nieuwere netwerken, zoals 4G, zijn beter beveiligd. Zolang er nog mensen zijn met ouderwetse telefoons blijft het oude, kwetsbare, systeem ook in gebruik. Maar niemand heeft zin om er nog in te investeren.
Het is inderdaad echt al heel erg oud. Eind jaren ‘90 deden we dat op school al via gratis obscure websites. Maar toen was het wel alleen bellen of sms’en vanuit een nummer wat je kon ingeven zoals ze tegenwoordig blijkbaar ook weer doen als ze zeggen namens de bank te bellen. Ook echt het nummer overnemen en sms’jes onderscheppen is natuurlijk wel een level verder.

[Reactie gewijzigd door Dennisdn op 12 november 2020 21:00]

Als je met alleen een SMS een password kan resetten, dan is het geen dual-factor, maar slechts een enkele factor. Dan is dus eigenlijk het dual-factor systeem defect. En ja, met inderdaad SMS een zwakheid maar geen paniek of alarm.

[Reactie gewijzigd door localhost op 12 november 2020 20:25]

In voorbeeld video's zie je dat je vaak niet eens het wachtwoord nodig hebt. Wil je inloggen op facebook? Je klikt op wachtwoord vergeten, vult de telefoonnummer van je doel in, onderschept het smsbericht welke niet op de telefoon van je doel komt. Reset wachtwoord en je zit erin.
Dat is dan toch gewoon een slechte implementatie van 2FA. Het blijft in feite 1FA en als je dat via SMS doet heb je inderdaad een probleem.
Precies. Het lijkt mij toch niet dat b.v. Google zo te werk gaat, dat je geen accountnaam nodig hebt? En mijn accountnaam + telefoonnummer achterhalen is wel moeilijk voor een boef.
Als je een high level target bent kopen ze gewoon een zero day voor je telefoon oid. En dan maakt het geen fluit meer uit.
Jij bent misschien bijvangst, maar je hebt er nog steeds flink last van. Plus dat die 500 euro genoeg is om niet alleen jou te grazen te nemen, maar net jou honderden anderen.

Dus ja, ik denk dat er genoeg mensen zijn die dat leuk, interessant vinden
Zo'n zero day kost miljoenen toch?
Als je high level genoeg bent..... :)
paar regels code ik verstuur payload en ik ben god over jou telefoon, sterker nog ik ben jou telefoon.
Stond er zelf versteld van dat dat zo makkelijk is met een framework voor testers laat ik maar niet teveel in detail treden mag vast niet hier. Dus ja sms is onveilig voor 2fa.
Mijn zoon zijn YouTube account (10 duizenden abonnees) is onlangs gehacked.
Een "bedrijf" deed zich voor als sponsor. Of hij wel even het toegestuurde spel wilde testen alvorens hij er reclame voor ging maken.
Het spel was dus een key logger. Ze hadden ook zijn telefoonnummer om eventueel contact op te nemen.
Hij had een 2 staps verificatie via sms.
De sms heeft hij nooit gehad, en zijn account was overgenomen.
Geen idee hoe, maar gewoon de 2 staps verificatie omzeild.
Wat ik me wel afvraag in hoeverre dit nou daadwerkelijk onveilig is voor Jan met de Pet. Een Smsje heb je ook weer niet zómaar onderschept. Als high level target is het wellicht goed om niet te gebruiken, maar het lijkt me overdreven om morgen niet meer te kunnen gebruiken.
Ik heb verschillende argumenten waarom je dit toch serieus moet nemen.

Fietsendieven pakken ook niet alleen dure fietsen. Die pakken die fietsen die ze makkelijk mee kunnen krijgen.

Internationaal gezien is heel Nederland overigens een high level target. We zijn rijk, hebben geweldig internet, doen enorm veel online (inclusief betalen), iedereen heeft internetbankieren, zijn hoog opgeleid en we hebben wereldwijd een flinke vinger in de pap.

Ieder high-level target is als nobody begonnen. Ook als nobody kun je dus maar beter goede gewoontes aanleren en zorgen dat je niet gehacked wordt voordat je beroemd/rijk bent. Nu denk je dat niemand geintersseerd is in die suffe naaktfoto. Over 20 jaar, als je minister president of paus bent of probeert te worden, ligt dat misschien anders.

Dan is er nog een kwestie van schaal. Hoe meer mensen iets doen hoe goedkoper het wordt. Als de grote massa alleen slechte beveiliging gebruikt dan wordt goede beveiliging onbetaalbaar voor wie het echt nodig heeft. Dat gaat niet alleen over de direct kosten van het programmeren van een oplossing of het aanschaffen van een dongle, maar ook alle support er om heen. Kan de helpdesk je helpen bij problemen of zeggen ze dan "zet die gekke zooi maar uit want daar snap ik niks van"?
Het is voor iedereen beter als we de ondergrens wat hoger leggen. Als we dat op voldoende schaal doen hoeft dat niet duurder te zijn dan SMS. Zolang je een paar cent per SMS moet betalen zou zo'n software oplossing zelfs goedkoper moeten zijn.
Ze hebben hun beleid er nog niet op aangepast. Als ik een aanvullende methode voor verifiëren wil toevoegen krijg ik 5 opties: De Microsoft Authenticator app, code per email, code per sms, Windows Hello, of een hardware key. Er is niets waaruit blijkt dat ik geen sms zou moeten kiezen, en er wordt ook niet aangeraden om verificatie per sms te verwijderen.
Omdat je je AzureAD wel volgens de best practices moet inrichten. Dan krijg je geen SMS opties meer.
Ik gebruik geen AzureAD voor mijn privé account.
Voor particulieren willen ze de optie wellicht open houden. Er is immers ook geen security defaults mogelijk op prive accounts.
Als je 2FA nu wil toevoegen op je persoonlijke Microsoft Account, staat er wel degelijk vermeld dat (spraakoproepen) een uitdovend scenario zijn.
Ze hebben hun beleid er nog niet op aangepast.
De titel van het artikel is wat misleidend. Het gaat om een blog-post van een engineer, niet een officieel standpunt van Microsoft.
De titel is niet misleidend. Als een medewerker van Microsoft met hulp van Microsoft en de website een oproep doet dan kan je niet zomaar zeggen dat Microsoft er niet achter zou staan. Microsoft lijkt het dus kennelijk wel prima te vinden dat hun naam gebruikt is bij deze verkondiging. En dus is het ook een uitspraak namens Microsoft.

Microsoft is alleen wel een heel groot bedrijf waarin verschillende mensen en bedrijfsonderdelen verschillende meningen kunnen hebben. De vraag is dus eerder welk deel van Microsoft deze mening vertegenwoordigt en of het misschien ook de bedoeling is dat hiermee andere onderdelen van Microsoft ook eens van mening gaan veranderen.
Ik zeg nergens dat Microsoft niet achter het advies staat, maar dat is iets anders dan dat het een beleid van Microsoft zou zijn.
En het is geen uitspraak namens Microsoft, het is geschreven op persoonlijke titel.
Today, I want to do what I can to convince you that it’s time to start your move away from the SMS and voice Multi-Factor Authentication (MFA) mechanisms.
Getekend: Alex (Twitter: @alex_t_weinert)
Je noemt dat het geen officieel standpunt zou zijn, daar reageer ik op. Dat een officieel standpunt wat anders is dan beleid dat is me juist duidelijk.

Het voorbeeld wat je geeft alsof het geen uitspraak namens Microsoft zou zijn vind ik niet overtuigend. Dat komt omdat je precies alleen de stukjes noemt die wel zouden moeten aantonen wat jij denkt dat het is. Ondertussen staat er boven het artikel gewoon nog zijn naam en bedrijf genoemd, op de site van microsoft met toestemming van microsoft met hun naam en logo er bij. Als hij of microsoft nu duidelijk zou zeggen dat het I staat als persoon en niet als medewerker namens microsoft of dat microsoft er afstand van neemt door het een mening te noemen dan ga ik wel in je gedachten mee. Maar dit is me te vaag en tegenstrijdig om alleen van iets wat wel er op wijst af te gaan en de rest maar te negeren.
Het is geen officieel standpunt van Microsoft...
Het voorbeeld wat je geeft alsof het geen uitspraak namens Microsoft zou zijn vind ik niet overtuigend.
Het is geen voorbeeld, het staat letterlijk in de bron.
Ondertussen staat er boven het artikel gewoon nog zijn naam en bedrijf genoemd, op de site van microsoft met toestemming van microsoft met hun naam en logo er bij.
Boven deze post staat ook de naam en het logo van Tweakers.net, is dit nu het officiele standpunt van Tweakers?
Boven deze post staat ook de naam en het logo van Tweakers.net, is dit nu het officiele standpunt van Tweakers?
Tweakers brengt nieuws. Microsoft is geen nieuwsbedrijf. Als jij namens je werkgever op hun website iets plaatst dan kan je er als buitenstaander niet zomaar vanuit gaan dat het niet ook namens het bedrijf is, tenzij de uitzondering heel duidelijk is. Voor jou is het kennelijk al snel geen standpunt als iemand iets schrijft, ik kijk liever iets verder omdat het niet de site van die medewerker is. Prima als we van mening verschillen maar als je daarmee zegt dat je niet verder wil kijken dan denk ik dat we er ook niet uit gaan komen en het er hier maar bij moeten laten.

edit:
PS: Dat je verwijst naar wat door iemand anders letterlijk is geschreven wil niet zeggen dat het geen voorbeeld is.
Als jij namens je werkgever op hun website iets plaatst dan kan je er als buitenstaander niet zomaar vanuit gaan dat het niet ook namens het bedrijf is
Het artikel is gepost op Microsoft Tech Community, in een blog, niks wat mij doet denken dat het hier op officiële Microsoft berichtgeving gaat.
Tja, dat hadden ze inderdaad beter eerst kunnen implementeren en daarna roepen. Ik zou verwachten dat Microsoft het wel slim aanpakt in de omgevingen waar het ingesteld kan worden. :)
Ik lees nergens dat dit een nieuwe beleid is (heb de bron niet gelezen), dus niet heel raar dat het niet is toegepast in het beleid.

Daarnaast als je elke dag de zwakste 2FA weg haalt heb je over een week niks meer over :Y)

Je kan prima mensen iets aanbieden terwijl je wat anders aanraadt (wat je ook aanbiedt). Er zijn ook mensen die bewust weer een dumbphone zijn gaan gebruiken, die heb je weer liever op SMS-2FA dan geen 2FA :)

[Reactie gewijzigd door watercoolertje op 12 november 2020 11:43]

Het is op m'n werkaccount op dit moment verplicht om een telefoonnummer voor 'herstel' te hebben, voor het geval ik toegang tot m'n Authenticator-app verlies... Dat maakt het dus voor mij onmogelijk om er helemaal van af te stappen, want die achterdeur blijft open staan. En het gaat nu juist om de zwakste schakel. Erg frustrerend als ik ook twee hardware keys heb die ik gerust wil koppelen als backup.
In ons deel van de wereld is dit eigenlijk niet zo relevant. De netwerken hier zijn voorzien van anti-spoofing/anti-fraud etc functionaliteit juist om SMS veilig te maken. Maar in andere delen van de wereld loopt men nog achter op dit gebied.

En v.w.b. een authenticatieapp: als je een website spooft, is het een kleine moeite om ook een nepapp te maken die de zogenaamde authenticatie doet. Authenticator werken als je weet wat je moet hebben. Maar als je mensen zo ver krijgt om op links in emails te klikken is het niet moeilijk om ze een authenticator xyz te laten installeren. Veel mensen kennen de standaardoplossingen van MS, Google e.d. niet.

[Reactie gewijzigd door K-aroq op 12 november 2020 11:37]

Volgens mij is het probleem vooral social hacking, waarbij iemand anders een nieuwe simkaart opvraagt en zo al het telefoon verkeer van iemand anders naar hem toegeleid krijgt.
Microsoft roept op om geen sms of telefonie te gebruiken als MFA omdat het op publieke netwerken loopt.
Maar hun app authenticator vind ik nu niet bepaald veiliger, dat valt volledig onder hun controle, je weet niet of die app een backdoor bevat (gewild of ongewild). Ik vind de authenticator zelf niet onafhankelijk genoeg.

Door gevolg te geven aan hun oproep krijgen ze volledig controle over je account indien ze hun authenticator app manipuleren.Bij een telefoon netwerk of sms netwerk kunnen ze niet buiten de grenzen van hun land accounts intercepteren, of dat is allesinds moeilijker omdat het niet onder hun controle valt. Terwijl de wachtwoord en je username al bij hun opgeslagen is.

Ik ben van het principe van niet alles in één mand te leggen. Ik zou het er minder moeilijk mee hebben om google authenticator te gebruiken voor microsoft accounts en de microsoft authenticator voor google accounts. Maar ook dat is niet super veilig, want beidde vallen ze onder amerikaanse wetgeving en kan dus door de CIA of FBI gemanipuleerd worden. Er zou dus iets moeten authenticaten buiten hun landgrenzen.

[Reactie gewijzigd door sebastienbo op 12 november 2020 13:11]

OTP is een open protocol. Je kunt een OTP-app gebruiken van wie je maar wilt, ook voor je MS-account. Je kunt zelfs vrij eenvoudig (relatief gezien, dan) je eigen app maken als je wilt, of als je echt hardcore bent, de OTP zelf uitrekenen.

[Reactie gewijzigd door CykoByte op 12 november 2020 13:14]

Google en Microsoft kunnen toch al bij jouw account en alle data daarin. Plus ze zijn beiden Amerikaans, dus als de Amerikaanse justitite achter je aan zit kunnen ze ook beide bedrijven aanschrijven. Uiteindelijk wil je dan toch ook zeker je data op een platform van EU of ander territorium waar je meer vertrouwen in hebt dan het Amerikaanse. Dat kan dat verder SaaS, hosted OwnCloud, vanalles zijn.

Microsoft en Google accounts wil je dan voor het absoluut minimale gebruiken, Facebook al helemaal niet gebruiken en al die toko's verder ook zeker niet gebruiken als inlogproviders voor andere diensten. Dan zijn je risico's redelijk onder controle toch al.
Er zijn verschillende andere partijen die een authenticator app vergelijkbaar met die van Microsoft aanbieden.
Als ik jouw was zou ik gewoon zoiets als een yubikey gebruiken. Dat is denk toch nog de meest veilige optie die beschikbaar is.
De SMS communicatie is neem aan nog steeds plain text toch? Kan je dan in theorie iemand z'n SMS'jes meelezen als je maar dicht genoeg in de buurt bent?

Wel een extreem voorbeeld natuurlijk want een hacker zal vrijwel nooit zoveel werk doen om iemand z'n 2FA code te krijgen.
Ik heb een hacker wel eens in actie gezien hoe makkelijk het was om een 06 te spoofen, denk niet dat SMS dan heel veel veiliger is.
Weinert schrijft in de blogpost overigens niet hoe groot de problemen zijn rondom 2fa via sms.
Heel weinig want daarmee zou 99% van de pogingen al worden tegen gehouden volgens hemzelf :Y)
Ook zouden sms-credentials tijdloos zijn, waardoor er meer tijd is om ze te achterhalen, in tegenstelling tot authenticatieapps waarbij een code meestal maar dertig seconden geldig is.
Je kan die sms-code toch ook maar x minuten laten werken, dat hangt niet af van de sms maar hun eigen implementatie...

[Reactie gewijzigd door watercoolertje op 12 november 2020 11:37]

2FA: combineer iets dat je kan vergeten(password) met iets dat je kan kwijtraken(phone/keyfile).

Ik blijf het toch vooral erg spannende materie vinden die 2FA.
Ook zouden sms-credentials tijdloos zijn, waardoor er meer tijd is om ze te achterhalen, in tegenstelling tot authenticatieapps waarbij een code meestal maar dertig seconden geldig is.
Tijdloos? Nee dan doe je het niet goed. Er moet wel een tijdslimiet aan zitten. Weliswaar langer dan bij OATH TOTP tokens (a la google authenticator), maar bij oath tokens heb je weer een 'window' van geaccepteerde tokens voor/na de juiste tijdsperiode omdat je niet 100% zeker kan zijn dat de beide klokken gelijk lopen.

Dus wat dat argument betreft vind ik het lood om oud ijzer. Het argument van gebrek aan encryptie snijdt echter wel hout. Het is wel mogelijk, dat heeft Signal (en TextSecure dat het vroeger was) aangetoond maar in de praktijk doet niemand dat.

Gewoon gelijk door naar Fido2 tokens en helemaal passwordless.
Dan heb je straks een waslijst aan apps nodig om je diensten te gebruiken, dat lijkt mij onhandig.

Het punt is toch juist dat de two-factor authentication één extra drempel geeft om je apparaat te ontgrendelen? Waarom dan nóg meer voorwaarden daaraan verbinden?
phishing, social engineering, accountovernames en diefstal van een toestel.
Dit zegt echt niets, waarom zou bovenstaande niet werken wanneer het via een app en een eigen platform loopt? SMS berichten lopen niet over een platform wat je eenvoudig kunt hacken, bij een app hangt dit af van de implementatie van het bedrijf of platform. Als je toestel gestolen is dan heb je sowieso wel wat meer aan je hoofd dan het wachtwoord van een Microsoft dienst, hoe helpt een app daar überhaupt tegen? Bij bijvoorbeeld de Steam Authenticator kan het wachtwoord direct afgelezen worden zodra de app geopend is.

Uiteindelijk heb je al je échte drempel, het wachtwoord. Deze moet je vaak veranderen en uniek zijn per dienst. Als deze dan toch één keer uitlekt, dáár is die Two-Factor Authentication voor. Niet om allerlei doem-scenario's te bedenken en dan nog is veertig lagen aan beveiliging toe te voegen, omdat de Two-Factor authentication wellicht ook gehackt zou kunnen worden.

Aanvulling: Bovendien, als je mobiel dan gestolen zou zijn dan heb je geen toegang meer tot je accounts (Of je moet de Authenticator resetten via e-mail of SMS, dan ben je weer terug bij af).

[Reactie gewijzigd door jetspiking op 12 november 2020 11:48]

Waarom een waslijst aan apps?
Als iedereen gewoon het protocol gaat gebruiken wat Microsoft Authenticator, Authy of Google Authenticator gebruiken, is er totaal niets aan de hand. Ik heb tegenwoordig eigenlijk alles onder Authy zitten, behalve het Microsoft deel omdat ik de push berichten net iets handiger vind dan de nummercodes die Authy genereert.
Als je telefoon gestolen wordt, kan iemand de SIM-kaart eruit halen en in een andere telefoon stoppen, of het netwerk-verkeer onderscheppen (alles behalve 2G blokkeren en telefoon aan laten staan), en dan kan je de SMS onderscheppen zonder de telefoon te hacken.

Hoe je bij een gestolen telefoon zelf weer moet inloggen is inderdaad een goede vraag, waar lang niet iedereen goed over nadenkt.
Als je telefoon gestolen wordt, kan iemand de SIM-kaart eruit halen en in een andere telefoon stoppen, of het netwerk-verkeer onderscheppen (alles behalve 2G blokkeren en telefoon aan laten staan), en dan kan je de SMS onderscheppen zonder de telefoon te hacken.
Dat is waar, maar je vergeet dat simkaarten ook optioneel een pincode ingeschakeld kunnen hebben. Persoonlijk vertrouw ik meer op de beveiliging van mijn simkaart, dan die van mijn smartphone.
Die voor 90% van de mensen tegenwoordig op 0000 staat...

En zonder beveiliging van je smartphone is de beveiliging van je SIM-kaart niks waard: zodra je telefoon unlocked wordt, hoef je de PIN niet in te voeren.

[Reactie gewijzigd door MBV op 12 november 2020 12:21]

Dat is een goed punt, maar tegenwoordig zie ik nog steeds dat mensen ontgrendeling door middel van zo'n patroontje hebben, die kun je vaak gewoon "aflezen" wanneer je het scherm uitzet.

Met de biometrische authenticatie is het wel lastiger natuurlijk, alhoewel ik dat eigenlijk alleen maar in gebruik genomen zie bij jongeren, terwijl ouderen vaak helemaal geen wachtwoord hebben.
Om dat te doen moet de aanvaller al erg dichtbij zijn (fysiek). Natuurlijk is "een malafide persoon heeft toegang tot apparatuur van degene wiens account over willen nemen" een vector waar je rekening mee moet houden, maar afaik gaat het in veruit de meeste voorvallen over 'hackers' die tientallen, honderden of zelfs duizenden kilometers bij hun slachtoffer vandaan zitten. Good luck met het vanuit Rusland opvangen van de radiosignalen tussen mijn telefoon en de zendmast... Uiteraard kunnen ze proberen die zendmast te hacken en het via die weg te verkrijgen, maar dat gaat wel erg ver.

Los daarvan is het ook een kosten/baten-analyse. Kan ik al mijn medewerkers uitleggen dat ze authenticator app X moeten installeren en instellen om vanuit huis te kunnen werken? Vast wel. Wil ik het mezelf aandoen om dit te moeten ondersteunen voor al mijn klanten (waarvan een groot deel 50+)? Hell no!
Kan ik al mijn medewerkers uitleggen dat ze authenticator app X moeten installeren en instellen om vanuit huis te kunnen werken? Vast wel.
Vast wel, maar als mijn baas daar mee aan zou komen zou ik zeggen 'prima, kom maar op met de smartphone waarop ik die kan installeren'.
Nee,
Microsoft wil dat iedereen de Microsoft Authenticator gaat gebruiken...
Dan heb je het niet goed gesteld staan in je voorkeuren. Die zou ik als ik jou was nog maar eens controleren.
Ik snap dat we in een veranderende wereld zitten, maar het is wel echt pokke-vervelend dat elk jaar er weer dingen zijn die toch weer 'slecht' of net niet veilig genoeg zijn...Waarom komen grote multinationals pas achteraf met dit soort mededelingen? Lijkt mij vrij vanzelfsprekend dat 2fa over publieke netwerken niet de veiligste oplossing is, maar als wij massaal gepusht worden om overal 2fa aan te zetten, vaak via sms, is het imho wel heel vervelend dat er nu weer zo'n bericht komt...
Dat is al enorm veel veiliger. De moeite om dit te kraken doe je alleen bij zeer high-profile accounts. Telefonie/sms kapen is echt heel moeilijk, zowel technisch als qua social engineering.
Zoals ik al zei, dit is iets voor high profile accounts. Het is niet zo dat helemaal niemand naar ss7-beveiliging kijkt. Per land en provider moet je dit (vziw) ook op een iets andere manier uitvoeren.
Waarom high profile?
Bepaalde banken versturen ook een TAN code per SMS,
Omdat je dit niet doet om maar 50 euro ergens te jatten maar voor de echt grote vissen. Waarbij je zowel username, password als 2FA-telefoonnummer nodig hebt trouwens, en dan ook nog eens de boel moet onderscheppen.
Weet ik, daarom blijf ik t lekker gebruiken. Heb ook de authenticator apps van zowel MS als Google op men telefoon staan, maar het was meer een algehele opmerking van: tja lekker dan..
Er is al heel lang bekend dat SMS for MFA niet de veiligste optie is, dit is dus niet nieuw of zo. Er zijn echter nog steeds mensen/bedrijven die niet standaard smartphones uitleveren/gebruiken die de MFA apps ondersteunen en heel veel mensen toch nog moeite hebben met die apps. Vandaar dat het nog steeds een optie is geweest.

Bij MS en bedrijven die dergelijke diensten gebruiken waren er echter andere prioriteiten. Maar SMS MFA uitschakelen staat echter wel op de kaart. Deel van het issue is gewoon dat er nog geen exploits van zijn die actief worden gebruikt, ondanks dat we al 10+ jaar weten dat SMS MFA berichten onderschept kunnen worden...
"Deze mechanismes zijn gebaseerd op publicly switched telephone networks of pstn's en ik denk dat dat de veiligste 2fa-methodes van dit moment zijn"
Volgens mij mist er een niet in deze zin
Minst zou het moeten zijn als ik de vertaling zou lezen;
and I believe they’re the least secure of the MFA methods available today

Op dit item kan niet meer gereageerd worden.


Apple iPhone 12 Microsoft Xbox Series X LG CX Google Pixel 5 Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True