Facebook gaat hardwaresleutels voor beveiliging accounts verkopen

Het zal wel zijn om de Sign-in service als veilig en betrouwbaar te kunnen verkopen, waarbij een bepaalde hoeveelheid persoonsgegevens 'handig' zijn zodat je altijd 'veilig gegevens' kunt delen met derden. De winst voor Facebook is dan dat ze van meer gebruikers een volledig basisprofiel hebben met NAW-gegevens, telefoonnummer, mail etc.

En dit alles zou mooi zijn, als FB de faam had werkelijk veilig en privacy-gericht te zijn...

Zie mijn opmerking hierboven, dat sleutel werkt neem ik aan alleen voor gebruikers aan de voorkant. Er is geen achterdeur nodig aangezien er altijd facebook admins zullen zijn die mee kunnen kijken in een account.

Ik denk dat inmiddels high profilers wel een alternatief voor handen hebben. Maar er zijn ook ‘fresh’ sterren die geen 2fa gebruiken en hot pictures of filmpjes maken. Hoe menselijk is het maar geef het gezond verstand ook een kans.

Dat het een populair middel is om te communiceren neemt nog steeds niet weg dat facebook een compleet verrot bedrijf is.
Het trieste is dat te veel mensen ook totaal niet stilstaan met wat facebook van jou weet, je profiel, ach het maakt allemaal niet uit. Totdat je eens een inzicht zou krijgen in je profiel en welke profiel en data men allemaal van je heeft.

Een FB account voor marketing van je bedrijf/persona is niet hetzelfde als een FB account voor je persoonlijke zaken. Denk dat de meeste artiesten/etc. die scheiding aanbrengen.

Dat wist ik niet. Ik wist wel dat totp en sms-verificatie ondersteund werd, maar van Yubikeys had ik geen idee. Thanks

Ja maar geen passwordless Fido2 waarbij je de yubikey als enige methode ondersteunt.

Dat is inderdaad mijn bezwaar tegen die hardware matige middelen. Als ik mijn token voor mijn werk verlies, dan kan ik met mijn manager bellen, en dan komt het goed. Hetzelfde geldt ongeveer voor mijn bank. Die kan het een en ander naar mijn brievenbus sturen, of ik loop naar de bank om het op te laten lossen. Maar hardware-matig 2fa zonder een derde kanaal voor het geval dat één van twee eerste twee factoren uitvalt vind ik zinloos.

Onder aan de streep is het ‘slechts’ authenticatie. De server valideert je account. Als de server er voor kiest om met mfa te valideren, of met één factor is puur aan de server. De server kan dat dus veranderen. (Op dezelfde manier dat je je token toevoegt kan hij ook verwijderd worden door de beheerder)

Uiteindelijk doet de server een ‘ja’ of ‘nee’ op de door jou aangeleverde informatie.

Uiteraard kan het zo zijn dat (een deel van) een wachtwoord/sleutel/geheim ook gelijk de versleuteling van je data is, maar dan ga je een heel ander traject in met herstel van je gegevens als je je sleutel kwijt bent als het dan al mogelijk is.

Je bent officieel in de aap gelogeerd als je hem kwijtraakt.
Waardoor mensen dus onveilige methodes als 2e optie aan gaan zetten, voor het geval dat ze de key kwijtraken. En tja, dan heb je dus effectief je eigen hardware beveiliging om zeep geholpen...

Ter ondersteuning: https://www.youtube.com/watch?v=hGRii5f_uSc

Het is prettig dat je steeds meer two-factor kan gebruiken. Maar het zou op de meeste plekken wel een keuze moeten blijven. Ik hoef echt geen two-factor voor een site als Tweakers oid.

Vooropgesteld: ook een hardwaretoken is 2 factor authenticatie. Het gaat er om dat je zowel iets dat je weet (wachtwoord) als iets dat je hebt (token, of foon) laat zien. (Voor de volledigheid: of iets dat je 'bent', zoals vingerafdruk, gezicht, irisscan, etc.)

Waarbij het stukje wat je 'bent' zeer gevaarlijk is, aangezien je het niet kunt veranderen en je het bijna altijd toont/achterlaat. Een vingerafdruk is moeilijk na te bootsen, maar hij is zo verkregen...

Face-id is ook moeilijk na te bootsen, maar het verkrijgen vereist slechts een goede beveiligingscamera die het slachtoffer opneemt.

Naast nog het feit dat als ze mijn FB-account kunnen kraken via vingerafdruk, dan kunnen ze alles kraken waar je je vingerafdruk voor gebruikt.

Dat kan ook zonder YubiKeys. Een wachtwoordbeheerder komt al een heel eind. En dan is er nog TOTP, waarmee je zelf een apparaat kan kiezen om als extra factor te dienen.

Dat kan zeker, maar met een hardware token (zoals een Yubikey) wordt het makkelijker. Mensen zijn eigenlijk niet zo goed in wachtwoorden onthouden, daar zijn onze hersenen niet op gebouwd. Een fysiek dingetje zoals een huissleutel of een yubikey bewaken kunnen we wel goed. Er wonen hier wat bejaarden en in de straat die ik af en toe help met technieken. Wachtwoorden weten ze nooit, die moeten ze altijd opzoeken. Maar in al die jaren heb ik nooit van iemand gehoord die zijn of haar huissleutel kwijt is geraakt, ookal is de jongste ver boven de 70. Het is vast wel een keer gebeurd, maar het is uitzonderlijk.

Een wachtwoordbeheerder helpt, maar die moet je zelf ook weer beveiligen. Dat kun je met een wachtwoord doen maar dat zal je dan ook weer ergens moeten bewaren als je niet wil vertrouwen op de onfeilbaarheid van je geheugen. Bij externe dienstverleners is er meestal wel een procedure om je wachtwoord te resetten als je het niet meer weet, maar bij je eigen passwordbeheerder gaat dat niet.
Tenzij je een online password beheerder neemt en die de teugels in handen geeft maar dat heeft ook weer nadelen.

TOTP helpt, maar ook daar heb je het probleem dat je moet nadenken over recovery voor het geval je telefoon ooit stuk gaat. Ik heb er voor gezorgd dat ik een manier heb om een nieuwe telefoon te betalen als die van mij stuk is. Op telefoons moet je sowieso extra opletten omdat encyptie aan de hardware gebonden kan zijn en dan kun je niet zomaar je oude data naar een andere apparaat overzetten. Als je dat niet doet zal je moeten nadenken over waar je de TOTP data wel bewaard en hoe je die beveiligd. Ook weer een wachtwoord?

Als je in je hele leven alleen de wachtwoorden van je password manager en je TOTP manager hoeft te onthouden lukt dat misschien nog wel. Maar ik heb verschillende setjes wachtwoorden en andere codes, zoals een set voor werk en eentje voor prive.

Ik denk dat echte high-profile politici hun social media laten beheren. Een sleutel maakt daarbij de boel wat minder flexibel.

Je kan (technisch gezien) meerdere keys aan 1 account koppelen.
Wat je omschrijft is overigens een groter probleem. Accounts zijn gemaakt voor 1 persoon. De realiteit is dat er soms een heel team achter zit. Het zou beter zijn als Facebook dat erkent en het gewoon mogelijk maakt om meerdere persoonlijke inlog-accounts te koppelen aan publiek-account. Zodat iedereen met z'n eigen account en wachtwoord (of yubikey of wat dan ook) inlogt. Dat is alleen maar fijn omdat je dan nog terug kan zien wie van het team die domme post heeft gedaan.
(update: als ik de post van @Skit3000 goed begrijp dan is dat al zo)

[Reactie gewijzigd door CAPSLOCK2000 op 23 december 2020 09:49]

Gelukkig is de doelgroep groter.

Het programma komt volgend jaar beschikbaar voor journalisten, burgerrechtenactivisten en beroemdheden.

Een hardwaretoken die je bij je moet dragen maakt het voor veel partijen veel moeilijker om in een (toch belangrijk) Facebook account te komen. Mocht iemand haar social mediabeheer uitbesteden aan een team dan kan dit team waarschijnlijk over eigen sleutels beschikken. Sowieso loggen die mensen nu sowieso al in op hun eigen account en beheren het VIP-account vanaf daar.