Twitter komt met optie om alleen in te loggen met fysieke beveiligingssleutel

Twitter gaat het mogelijk maken voor gebruikers om in te loggen met alleen een fysieke beveiligingssleutel. Nu is dat wel een optie, maar het is verplicht ook nog verificatie via een app of sms in te stellen. Ook kunnen gebruikers meerdere sleutels gaan gebruiken.

Die opties komen er snel aan, zegt Twitter. Met de nieuwe optie kunnen gebruikers aangeven dat ze alleen willen inloggen door een fysieke beveiligingssleutel in het apparaat te steken. Dat is nu nog niet mogelijk: verificatie via een app of sms moet dan ook ingeschakeld zijn. Het is vanaf woensdag ook mogelijk meerdere fysieke veiligheidssleutels te koppelen aan de app.

Beveiligingssleutels gelden als veiligste methode van inloggen bij webdiensten, omdat daarvoor een fysieke sleutel nodig is. Inloggen via een app werkt met diensten als Microsoft Authenticator, Google Authenticator of Authy; die genereren unieke codes die dienen als tweede stap bij het inloggen, naast gebruikersnaam en wachtwoord. Tweakers publiceerde vorig jaar een test van diverse usb-sleutels.

securitykeys

Reacties (41)

vDorst 16 maart 2021 17:06

Fijn, ik hoop dat meer websites deze webauthn standaard gaan ondersteunen.
Ik gebruik het al erg veel op Google, Github en zelfs met OpenSSH 8.4 of hoger.
Ik vind het fijne van de WebAuthn icm een sleutel met een led en knopje, dat je ziet dat je iets moet doen.
Tevens weigert de sleutel als de domeinnaam niet klopt.

Ik hoop dat in de toekomst er ook sleutels komen met een scherm erop zodat je nog eens een extra controle hebt waarvoor "goedkeuring" geeft.
Daarnaast kosten ze steeds minder. Voor € 10,- heb je al een, FIDO2 sleutel in een kleine vormfactor, LED en knopje.

DefaultError @vDorst • 16 maart 2021 17:46

Het zou wel praktisch zijn om een inlog sleutel voor bijvoorbeeld twitter te hebben die verbonden kan worden via blauwtand. Kan zo aan je sleutelbos en blijft vaak aan het lijf.

Bender @DefaultError • 16 maart 2021 18:08

Maar waarom dan niet gewoon je smartphone gebruiken? Die vergeet je doorgaans minder snel dan je sleutels :-P

Frij5fd @Bender • 16 maart 2021 20:41

Omdat de batterij van je smartphone wel eens leeg kan zijn, of dat deze kapot gaat, of dat er iets mis gaat en de ICT afdeling op je werk 'm moet resetten (overkwam me een paar weken geleden). Ik had PayPal nog via de Microsoft authenticator app en kon niets meer in het weekend, want PayPal doet niet aan backup codes en bellen kan alleen binnen kantooruren (en ze willen dat je belt).
Ik had al 2 Yubikey 5 keys, maar PayPal nog niet over gezet. Nu kan ik de Yubikey gebruiken op elke willekeurige device, ook de smartphone van mijn vrouw of een PC.

MeMoRy @Frij5fd • 16 maart 2021 22:32

Een sleutel via bluetooth heeft ook een batterij. Die kan ook leeg zijn. Of kapot.

Frij5fd @MeMoRy • 17 maart 2021 15:01

Die gebruik ik dan ook niet. De Yubikey werkt zonder batterij via NFC en door insteken in USB-poort

MeMoRy @Frij5fd • 17 maart 2021 15:31

Waarom reageer je dan in dit draadje, in navolging van de reactie van DefaultError?

Frij5fd @MeMoRy • 17 maart 2021 15:48

Ik reageer op de smartphone opmerking van Bender

MeMoRy @Frij5fd • 17 maart 2021 18:13

...en dat was een reactie daarop. Hence de "dan".
Context is belangrijk.

vDorst @DefaultError • 16 maart 2021 17:57

Deze bestaan ook. WebAuthN ondersteund USB, BT en NFC.
USB, NFC en APPLE: https://www.yubico.com/products/yubikey-5-overview/
USB, NFC en BT: https://ftsafe.us/collect...e-security-key-casing-k13

DefaultError @vDorst • 17 maart 2021 18:29

Bedankt, en ga me erin verdiepen wat een goede oplossing is. Als ik mijn cookies wis laat ik een deel staan en dat komt staan mijn privacy in de weg. Ik ben dus ook benieuwd de manier van aanmelden niet volledig vanzelf gaat.

Voorbeeld, raadpleeg ik een bepaalde website die vervolgens de trackers via gmail, facebook of een soortgelijke portal inschakelt. Ben ik benieuwd naar in ieder geval.

Dat zou een reden zijn om een usb sleutel met 2fa mogelijkheid te overwegen.

jellemdekker

@vDorst • 16 maart 2021 17:33

Oh top, €10 is inderdaad geen geld. Waar vind je ze voor die prijs, heb je een link?

vDorst @jellemdekker • 16 maart 2021 17:42

Ik gebruik de Hyperfido Pro Mini, https://www.amazon.de/dp/B0813YWZB2, helaas nu niet te krijgen.
Het is volgens mij een rebranded Feitian K8.
Nu al 2 de keer dat deze niet meer verkrijgbaar is.
Ik hoop dat deze weer terug komt en voor €10,-.

Update: Hij is weer beschikbaar! Maar wel 1 in stock

[Reactie gewijzigd door vDorst op 27 juli 2024 11:05]

Mopperman @jellemdekker • 16 maart 2021 17:44

ik kom zo snel niet lager dan 12.95

Juliuth @Mopperman • 16 maart 2021 17:49

Nouja die 2,95 breekt de bank nou ook niet.

vDorst @Mopperman • 16 maart 2021 17:54

Het is niet duidelijk of het een "Fido U2F" of een FIDO2 sleutel is.
De titel zegt iets anders dan de tekst en het plaatje.

"U2F" is de oude standaard en deze werken ook nog steeds.
Ik heb er zelf ook nog twee van dit soort sleutels.
Voorkeur is om een FIDO2 variant te vinden.
Deze hebben meer opties en ondersteund wat nieuwere encryptie algoritmes.
Wat meer info https://www.yubico.com/blog/what-is-fido2/

The Zep Man 16 maart 2021 16:49

Beveiligingssleutels gelden als veiligste methode van inloggen bij webdiensten, omdat daarvoor een fysieke sleutel nodig is. Inloggen via een app werkt met diensten als Microsoft Authenticator, Google Authenticator of Authy; die genereren unieke codes die dienen als tweede stap bij het inloggen, naast gebruikersnaam en wachtwoord.

Let op dat een beveiligingssleutel niet fysiek hoeft te zijn. Niets staat je in de weg om je TOTP codes te genereren in bijvoorbeeld Bitwarden, wat je op hetzelfde apparaat in software kan draaien.

Zer0 @The Zep Man • 16 maart 2021 16:51

De sleutel moet wel degelijk fysiek zijn, TOTP codes in bitwarden vervangen hardwarematige TOTP generators, niet dit type sleutels.

Sebazzz

@Zer0 • 16 maart 2021 18:09

Echter kan WebAuthn ook worden geïmplementeerd door het besturingssysteem, bijvoorbeeld touch ID van een iPhone of Windows Hello.

Zer0 @Sebazzz • 16 maart 2021 21:45

En zowel touch ID als Windows Hello leunen op hardware.

-DEVON- @Zer0 • 17 maart 2021 06:04

Niet helemaal. Windows hello is een verzameling van allerlei manieren om in te loggen. Ook de lokale pincode login valt daar onder.

MiesvanderLippe @The Zep Man • 16 maart 2021 16:58

Stop nou niet je tweede factor bij je eerste 😌

The Zep Man @MiesvanderLippe • 16 maart 2021 20:32

Wat precies het punt is dat ik maak.

Als je TOTP toestaat, dan sta je het toe hoe gebruikers hun tweede factor inrichten. Dat kan ook bij de eerste factor zijn. Het is daarmee net zo (on)veilig als dat zij het maken.

Kevinns

@MiesvanderLippe • 16 maart 2021 21:30

Offtopic: dit is een persoonlijke afweging. Je kan ook denken: als mijn password manager wordt gekraakt, dan is er sowieso iets goed mis. 2FA is alsnog nuttig omdat deze niet kan worden afgekeken of afgetroggeld, zoals bij pw dat wel kan. Dat maakt inbreken vanaf de andere kant van de wereld een stuk lastiger.

Als je password manager is beveiligd met een ijzersterk wachtwoord en een hardware key dan is het risico van die TOTP volgens mij erg beperkt.

supersnathan94 @The Zep Man • 16 maart 2021 16:51

wat je op hetzelfde apparaat in software kan draaien.

Maar daarmee zijn ze wel minder veilig. Bij remote toegang tot het systeem kun je dan alsnog een sleutel genereren.
Edit: in theorie tenminste. Praktisch is dat nog wel een uitdaging.

[Reactie gewijzigd door supersnathan94 op 27 juli 2024 11:05]

supersnathan94 16 maart 2021 16:47

Oh ik dacht dat ze wat meer security erop gingen zetten, maar kennelijk is het dus minder strict dan eerst.

Is er met deze manier ook nog een wachtwoord nodig?

litebyte @supersnathan94 • 16 maart 2021 16:49

In ieder geval nog een extra verificatie (wachtwoord bijv.)

er0mess @litebyte • 16 maart 2021 16:54

Misschien de eerste keer maar in het artikel staat 2x ‘alleen (...) fysieke sleutel’.

Dat lijkt me toch niet zo veilig

Skix_Aces @er0mess • 16 maart 2021 17:19

Ze doelen er in het artikel op dat een fysieke sleutel de enige vorm van two factor authentication is die straks nodig is als je zo'n sleutel wil gebruiken. Nu is het nodig om ook een andere vorm van two factor authentication aan te hebben en dat hoeft straks dus niet meer. Het wachtwoord zal natuurlijk blijven, waarna de sleutel gebruikt kan worden om in het account te komen. Het heet niet voor niets TWO factor authentication.

TheVMaster Moderator WOS @Skix_Aces • 16 maart 2021 19:40

Volgens mij is het bij bv. een FIDO2 key zo, dat de key zelf de eerste factor is en het feit dat je vaak een fingerscan of PIN moet invullen daarna de tweede factor.

Overigens wordt het überhaupt tijd dat we afscheid gaan nemen van wachtwoorden

wauwwie @supersnathan94 • 16 maart 2021 17:04

Je kan nog een pincode/ww instellen op gebruik van je security key, maar je (oude) ww zelf is dan niet meer geldig/te gebruiken.

Als je instelt dat je alleen een securitykey wilt gebruiken, is dat zeker veiliger dan alleen een wachtwoord + sms token. De token en secret raden van een securitykey is onbegonnen werk.

Vergeet niet om dan minstens twee security keys te authenticeren, als ie stuk/kwijt/etc is dan kom je niet meer bij je account.

m_snel 16 maart 2021 19:27

Ondertussen wordt ik gemaal gek van. Al die extra beveiliging, en vooral van die onzin sites.

Als je geen telefoon meer heb, kan je niks meer , en als die in verkeerde handen valt ben je nergens meer.

Het wordt tijd voor een betere oplossing.

stefanhendriks @m_snel • 16 maart 2021 19:31

Je kan een password manager gebruiken en je 2fa ook daar in zetten? Meeste password managers kennen een cloud oplossing waar je bij kan als je telefoon kwijt is bijv?

Linksquest Moderator Spielerij 16 maart 2021 17:16

Ik zelf heb via Google Autenticator en als 2de optie SMS, dit moet ik elke keer invullen, gebruik meestal de app maar op me werk log ik via de browser in.

delphium

16 maart 2021 17:10

Twitter gaat het mogelijk maken voor gebruikers om in te loggen met alleen een fysieke beveiligingssleutel.
Beveiligingssleutels gelden als veiligste methode van inloggen bij webdiensten.

Define veilig. Hoeveel mensen ik niet ken die regelmatig hun sleutels kwijt zijn...
Ik heb toch liever ook nog de mogelijkheid om met een app in te loggen.

vDorst @delphium • 16 maart 2021 17:14

Het idee is dat je meerdere, minimaal twee, sleutels registert per account. Dus ben je er een kwijt dan heb je de andere nog.
Veel diensten ondersteuning dit ook netjes.

[Reactie gewijzigd door vDorst op 27 juli 2024 11:05]

Sleepkever @vDorst • 16 maart 2021 18:37

Dat maakt het niet veiliger, het voorkomt alleen dat je niet meer in kan loggen als je je eerste sleutel kwijt bent.

Als de sleutel op straat gevonden word door iemand en gebruikt word kan hij dus, zonder wachtwoord of iets anders, zo inloggen op je account. Dat is nu wel anders omdat je nog iets gebruikt wat je weet, namelijk het wachtwoord in je hoofd.

FriXion @Sleepkever • 16 maart 2021 20:12

Dan moet diegene wel weten welke accounts gekoppeld zijn aan die sleutel. Dat is net zoiets als een papiertje met een wachtwoord op straat laat vallen; dat kan ook weinig kwaad zolang de vinder niet weet voor welke account en welke site/applicatie het wachtwoord is.

vDorst @Sleepkever • 16 maart 2021 20:11

Met WebAuthN zou het zo niet mogen werken.
Wat ik begrepen heb, heeft WebAuthN verschillende profielen en de site kan een profiel eisen en accepteren.
Sleutel is altijd icm met iets anders.
Dat anders is nu meestal een los wachtwoord. Bijvoorbeeld bij Google en Github, log je eerst in met gebruikersnaam en wacthwoord. Daarna pas wordt 2FA gevraagd, dit kan een TOTP zijn of een hardware sleutel.
Je kan al sleutels kopen met een vingerafdrukscanner dan wordt de sleutel + wachtwoord vervangen voor een sleutel die door een vingerafdruk wordt geactiveerd.
Die zou zelfs nog uitgebreid kunnen worden met een pin/wachtwoord op de sleutel.
Hiermee verdwijnt het wachtwoord bij de dienst en wordt alles afgehandeld op de hardware sleutel.
Omdat je voor elk account een prive/publieksleutel maakt, kan je zelfs de gebruikersnaam stap overslaan. Dit is al meegenomen in de standaard.

Nog wat youtubes
https://youtu.be/uwS531DcFaA
https://youtu.be/03sAfmCDjFg

[Reactie gewijzigd door vDorst op 27 juli 2024 11:05]

blorf @delphium • 16 maart 2021 20:13

Er is ook nog "de korte weg". Een methode waarbij een apparaat een digitaal signaal overdraagt kan vrijwel zeker screwed worden.
Een activatiesysteem dat met een sleutel werkt kan op verschillende niveau's gekraakt worden. Je kopieert de sleutel, onderschept en manipuleert het signaal, je bootst de interface na, je hackt de telefoon zodat ie alles accepteert, noem maar op.

FastFred 17 maart 2021 08:35

Grappig, ik kijk op nu.nl naar een bericht van een tiener die 3 jaar cel krijgt omdat ie Twitter gebeld heeft en gevraagd heeft het wachtwoord te resetten voor de accounts van Joe Biden, Bill Gates, Elon Musk en Kanye West en nu lees ik dit

Hij had een interne tool van Twitter weten te bemachtigen die blijkbaar ook functioneert als je niet in het interne netwerk van Twitter zit (op 1 van hun kantoren dus). En blijkbaar vereist de tool ook geen username en password.

[Reactie gewijzigd door FastFred op 27 juli 2024 11:05]

Op dit item kan niet meer gereageerd worden.

Twitter komt met optie om alleen in te loggen met fysieke beveiligingssleutel

Lees meer

Trusted execution environments

Beveiligingssleutels onder de loep

Reacties (41)

Sorteer op:

Weergave: