Twitter-account van Vlaamse premier Jan Jambon lijkt te zijn gehackt

Het probleems is dat de mensen vaak:
- Niet weten dat het bestaat
- Het wel weten, maar niet weten hoe het werkt (en niet de moeite willen doen, "want het werkt toch?")
- Het wel weten, wel de moeite willen doen, maar het niet zelf kunnen uitzoeken omdat er wat begeleiding/uitleg nodig is.
- Het wel weten, wel de moeite willen doen, ook de kunsten om het zelf uit te zoeken, maar uiteindelijk toch geen zin hebben om de tijd er in te stoppen.

Resultaat is dat er veel oplossingen zijn, maar uiteindelijk de mens nog steeds de zwakste schakel blijft.

[Reactie gewijzigd door Byron010 op 29 juli 2024 18:48]

Je kan toch ook gewoon de 2FA aan meerdere apps koppelen? (natuurlijk verlaagd elk device die je toevoegd de security wat...) Dit is alleszins mogelijk op verschillende applicaties (AWS, apple, ...)

Daar zijn oplossingen voor; zoals password managers met ingebouwde 2FA (TOTP) functionaliteit.

Daar wil ik toch even tegen in gaan, ook al heb je pragmatisch gezien misschien gelijk.

Persoonlijke Accounts horen persoonlijk te zijn. Altijd.

Daarmee bedoel ik niet dat je niet samen mag werken maar dat moet dan door de software ondersteunt worden. Het concept van 'groepen' en 'rollen' is oud genoeg dat iedereen het nu wel zou mogen snappen.
Ik weet niet of Twitter dat kan maar gezien het enorme aantal zakelijke en professionele gebruikers lijkt het mij niet te veel gevraagd. In 1 minuut zoeken op internet kan ik vinden dat Twitter iets met 'multi-user login' en 'team accounts' doet. Op het eerste gezicht lijkt het dus allemaal te kunnen.
Ik verwachtte eigenlijk ook niet anders van Twitter want dat is een van de voorlopers als het gaat om 2fa en accountbeveiliging.

Dan moet ik ook nog een ander punt aanstippen, namelijk het combineren van 2fa met je passwordmanager. Is het nog wel een tweede factor als beide middelen toegankelijk zijn vanuit dezelfde passwordmanager? De meeste mensen die ik ken beveiligen hun passwordmanager alleen met een wachtwoord.

Daar komt nog bij dat het eigenlijk de bedoeling is dat je verschillende /soorten/ factoren gebruikt. Maar als je alle 2fa-(recovery)-informatie opslaat in een file wat is dan nog het verschil met een wachtwoord? In beide gevallen gaat het om een paar bytes die op je HD staan en die je geheim moet houden. Als al die bytes dan in dezelfde file terecht komen en met dezelfde applicatie en hetzelfde wachtwoord beveiligd worden, is het dan niet eigenlijk allemaal 1 groot wachtwoord? Is de hele stapel van password-manager en 2fa niet een hoop onnodige complexiteit en met veel theater er om heen?

Let op: ik ben geen bezwaren tegen MFA, sterker nog, ik ben groot voorstander. Maar we moeten het wel goed doen want anders hebben we er niks aan en kost het een hoop.

Daar komt bij dat wachtwoorden eigenlijk niet zo'n fijne manier van beveiligen zijn. Ik wil er nu niet te lang op in gaan want deze post is al lang genoeg maar bytes lekken makkelijk uit. Een deel van je bytes op een ander apparaat hebben staan is echt noodzakelijk voor een hoge mate van veiligheid.

Het is niet fundamenteel onmogelijk om één passwordmanager te gebruiken om verschillende factoren mee te beheren maar je moet er bijzonder goed over nadenken.

Misschien wel de eerste vragen die je misschien moet stellen zijn: "Wat probeer ik te bereiken?" en "Wie wordt er hier bescherm? De gebruiker, het bedrijf, de klant, de leverancier?" en "Wat wordt er beveiligd en waar tegen? Data? Privacy? Beschikbaarheid? Integriteit? Geheimhouding? Hackers? Brand? Ziekte? Vijandige overname? Chantage? Oorlog?".

De antwoorden op die vragen leiden tot totaal andere prioriteiten en dus andere oplossingen. Helaas wordt dat vaak niet gezien gooien we alles op één hoop onder de naam "MFA".

Een prachtig voorbeeld is dat Amerikaanse kernwapens beveiligd zijn met 2FA. Je hebt een sleutel nodig en een pincode. Maar de kernwapens moeten het wel altijd doen, dus de sleutel zit er altijd in en de pincode is altijd 0000. Strict genomen is aan alle eisen voldaan maar je kan je afvragen of ze nu echt iets hebben bereikt of alleen een hoop geld uitgegeven en de wapens minder betrouwbaar gemaakt, ieder extra onderdeel kan immers stuk gaan.

Misschien stond het wel aan maar is er door een van de beheerders gedacht dat het een valide inlogpogingen was. Was er laatst ook niet een verhaal op Tweakers van iemand die toegang kreeg tot Azure systemen (van ik dacht de belastingdienst) ondanks dat er 2FA aan stond?

Yep
geek: Tweaker ontdekte admingegevens Azure-ontwikkelomgeving Belastingdienst ...

Misschien heeft hij wel als hobby 'computeren'.

De interesse was er destijds wel, ik vind het wat prematuur om dan meteen maar te zeggen dat hij het begrip 2FA niet kent.

Bruteforcen van een reiskoffer met 3 of 4 cijfers kan iedere vmbo scholier zelfstandig bedenken. Geen IT kennis voor nodig.

Wat nodig is, is dat scholen eens laten zien dat het ook met letters en symbolen zo werkt, bij wiskundeles bijvoorbeeld. Zelfs boefjes worden dan opeens geïnteresseerd want hey het gaat over inbreken.

[Reactie gewijzigd door Mushroomician op 29 juli 2024 18:48]

Maken we ons hier nu zelf ook niet schuldig van het fenomeen "ha, jij hebt IT gestudeerd, jij kunt dus mijn computer herstellen"?

ja, dat hoop je maar.
het klopt dat dit zou moeten gebeuren. maar gebeurd dit ook werkelijk?
bij grote bedrijven waarschijnlijk wel, kleine bedrijven? of de bedrijven die lui zijn en denken, ahh, komt wel goed, tegen de wil van de beheerders in.

er zijn vaak genoeg verhalen van bedrijven die logintokens die klantid gebruikt, en dat dan een oplopend nummer is. en dan kan je al gauw gewoon inloggen zonder uberhaupt een wachtwoord nodig gehad te hebben, om dat je de token hebt kunnen achterhalen.

ik ben niet zo optimistisch dat dit goed gebeurd

Tell linkedin

Omdat je toch de bereik vergroot. Je kan ook dingen neerzetten waar je geen persberichten voor wil gebruiken. Iemand publiekelijk een fijne verjaardag wensen als voorbeeld. Ook ben je dan meer bereikbaar omdat men je dan makkelijker bereikbaar voor de gewone volk (en ja uiteraard zal een belangrijk persoon vask genoeg niet zijn eigen account compleet bijhouden maar toch lijkt men beter bereikbaar).

En waarschijnlijk om er gewoon bij te horen aangezien de meeste belangrijke mensen wel zo een account hebben. Ik denk dat anders ook gewoon veel mensen zouden klagen dat hun leiders geeneens op Twitter of Facebook zitten maarvde rest van de leiders in de wereld wel. Dan zijn ze ouderwets, gaan niet met de tijd mee, ect.