Valve werkt aan nieuwe Steam-smartphoneapp met QR-functie voor sneller inloggen

Valve werkt aan een nieuwe versie van de Steam-app voor telefoons. De app krijgt onder meer een vernieuwde interface, betere notificaties en een functie om met een QR-code in te loggen op het platform.

Valve meldt dat de nieuwe Steam-app beschikbaar is als een bèta voor Android en iOS. Het bedrijf nodigt gebruikers uit om zich in te schrijven voor de bèta en feedback over de nieuwe app te geven. "We zijn nog steeds functies aan het toevoegen, bugs aan het oplossen en de app aan het verbeteren", schrijft het gamebedrijf.

Volgens Valve krijgt de app een modernere interface met verbeterde notificaties. Daarbij krijgt de app ook ondersteuning voor meerdere accounts. Gebruikers kunnen ook hun smartphone gebruiken om via een QR-code in te loggen op een pc, zoals bij bijvoorbeeld Discord ook mogelijk is. Om die functie te gebruiken, dienen gebruikers ook de bètaversie van de Steam-client voor desktops te installeren. Features uit de huidige app blijven beschikbaar in de bètaversie.

De ontwikkelaar deelt zelf geen beelden van de nieuwe app, maar op Twitter zijn screenshots verschenen. Navigatie tussen de Steam-winkel, Nieuws, Steam Guard en notificaties gaat nu via een balk aan de onderkant. Wat betreft het ontwerp doet de UI denken aan SteamOS 3, dat werd geïntroduceerd met de Steam Deck.

Het is niet bekend wanneer de nieuwe app beschikbaar komt voor alle gebruikers. De bètaversie kan wel door iedereen geïnstalleerd worden. Op het moment van schrijven zit de iOS-bètatest wel vol door TestFlight-restricties van Apple.

Steam-app QR-login

Door Daan van Monsjou

Nieuwsredacteur

29-08-2022 • 07:52

49

Lees meer

Reacties (49)

49
49
24
2
0
21
Wijzig sortering
De gebruikelijke phishing schurken wrijven zichzelf weer in de handen :P We hebben bij ING wel gezien hoe goed dat werkt. Ook met 30 waarschuwingen en verificatie stappen zijn mensen ruimschoots goedgelovig genoeg om hun complete account aan iemand op Marktplaats te geven... Ben benieuwd hoe ze dit bij Valve op denken te lossen.

Aanvullend:
https://www.youtube.com/watch?v=wZGHSr8beHE

[Reactie gewijzigd door MiesvanderLippe op 25 juli 2024 11:08]

Waarom moet valve dat oplossen? Is het niet aan de ouders om hun kind(eren) op te voeden?
Je moet je realiseren dat jij waarschijnlijk relatief hoog opgeleid bent, veel met de computer werkt, op de hoogte bent van veelvoorkomende fraude etc. Je heb écht alle streepjes voor en toch zijn er ook Tweakers die voor phishing vallen. Een systeem dat hier niet bij stilstaat is een slecht systeem en daar moeten wij (als IT-ers) voor waken.

Vergelijk het even met een andere gevaarlijke situaties waar onwetende mensen in sterven. Je gaat toch niet in een droog rivierbed lopen? Je snapt toch wel dat op de bruine draad stroom staat? Dat je geen ammonia en bleek moet mengen? Je snapt toch wel dat je niet de ene QR-code die je bank app opent moet scannen, maar wel die andere?
In 99% van de gevallen is de eindgebruiker de zwakste schakel, daar kan je je maar beperkt tegen indekken. Mensen die nog altijd overal hetzelfde wachtwoord gebruiken, lukraak (inlog)gegevens invullen, met een plaat voor de kop alles aanklikken of zelfs vrijuit delen met anderen zijn er in overvloed. Ondanks dat we al een eeuwigheid campagnes voeren om ze hier over in te lichten en de meeste (grote) bedrijven hierin faciliteren door bijvoorbeeld 2FA aan te bieden.

Op dat punt is het niet meer een geval van niet kunnen, maar gewoon niet willen. En dat komt ook wel aardig overeen met de algemene houding die ik steeds vaker zie; Men lijkt steeds minder verantwoordelijk te (willen) zijn voor wat ze zelf wel of juist niet doen. En dat komt deels juist doordat alles zo hard dichtgetimmerd wordt dat de gebruiker simpelweg geen vrijheid meer heeft om iets (fout) te doen.

Overigens gebeurt dat niet alleen bij de laagopgeleide stereotypen, ik zie mensen uit alle lagen "vallen" voor de meest basale / onzinnige dingen.

"Maar ik weet wat ik doe!" of "Maar dat is niet mijn fout!" om vervolgens 4 sticky notes op de laptop geplakt te zien zijn met verschillende logins met vergelijkbare zwakke wachtwoorden, een ton malware, shortcuts op het bureaublad naar shady software, Excel sheetje met bankzaken en ga zo maar door. Dat is uiteraard niks nieuws, maar komt nog altijd veel voor, en zal ook altijd blijven gebeuren. ;)

[Reactie gewijzigd door D4NG3R op 25 juli 2024 11:08]

In 99% van de gevallen is de eindgebruiker de zwakste schakel, daar kan je je maar beperkt tegen indekken.
Daar kun je je eigen tegenwoordig bijna totaal tegen indekken, door van een authenticatie-standaard gebruik te maken die het praktisch gezien onmogelijk maakt om je credentials af te staan. FIDO bijvoorbeeld.
Ik heb even gegoogled-- wat is het risico bij in een droog rivierbed lopen?
Moet Valve ook niet. Domheid zal altijd bestaan, er zijn nog steeds mensen die zonder zwem diploma de zee in gaan dus moeten we Scheveningen afsluiten 8)7
Er is ook nog zoiets als eigen verantwoordelijkheid. Als ik al mijn pinpas inclusief code aan een wildvreemde geef kan ik dat moeilijk mijn bank aanrekenen.

Mensen moeten zelf hun account beschermen. Valve faciliteert daarin door 2FA aan te bieden. Helaas zullen altijd een aantal mensen door ontwetendheid, onnozelheid of goedgelovigheid de dupe worden van frauders.
Door MiesvanderLippe:
De gebruikelijke phishing schurken wrijven zichzelf weer in de handen :P
Disclaimer: ik heb me nog niet verdiept in deze methode en sluit niet uit dat de makers een slimme aanpak hebben bedacht die ik nog niet ken, vooral voor degenen die op hun smartphone spelen.

Om uit te leggen waarom dit hoogstwaarschijnlijk -voor desktops- een risico vormt (en waarom ook de meeste MFA oplossingen kansloos zijn) bij moderne phishing aanvallen:

Phishing bericht
Cybercriminelen sturen je een phishingbericht (mail, appje, SMS etc.) met een link (vaak een verkorte URL zodat je nog niet weet waar je uitkomt).

Nepsite
Als je daarop klikt kom je uit op een site waarbij, in veel gevallen, de domeinnaam best van de bedoelde organisatie zou kunnen zijn, zoals steampowered-sso.com, steam-qr-login.net of steampowered.xyz.

Identieke webpagina
Die site bevat een kopie van de echte pagina (dit noemen we een proxy), inclusief de (dynamisch gegenereerde, zo te zien elke 22 seconden wijzigende) QR-code. Die nepsite doet zich vervolgens, richting de echte site, voor als jou.

Attacker in the Middle (AitM)
Als jij de QR-code scant en en jouw app aan Steam bevestigt (al dan niet met een code die je op je PC moet invoeren) dat jij jij bent, log niet jij in, maar de nepsite als jou op de echte site.

Steam denkt dat jij het bent
Die QR-code die je moet scannen, of een 2FA-code die je moet invoeren (bijv. ontvangen via SMS of uit een TOTP app zoals Authy), helpt geen zier: de echte site denkt dat jij op het IP-adres van de nepsite zit.

Leidt af; wat je wél moet doen
Sterker, door al die poespas kunnen mensen denken dat de beveilinging prima in orde is en zij de volgende essentiële items niet grondig hoeven te checken:
1) de aanwezigheid van het https-slotje
én
2) de echte domeinnaam uitlezen
én
3) zeker weten dat die domeinnaam van de bedoelde organisatie is.

Nb. 2 en 3 kunnen knap lastig zijn.

Fallback scenario's
Daar komt bij dat de maker van een nepsite jou kan laten zien wat hij of zij wil: als je nog steeds op de echte site met gebruikersnaam en wachtwoord (evt. plus MFA-code) kunt inloggen, kan er staan "wegens storing geen QR-inloggen" en kun je worden overgehaald om, op een voor de aanvaller kaapbare manier, in te loggen.

Conclusie
Laat je niet foppen: check altijd, op elke website en vóórdat je informatie leest, downloadt of iets invoert (vooral inloggegevens): het slotje, de échte en volledige domeinnaam en eigenaarschap daarvan.

Aanvulling 15:04: zo'n Steam QR-code bevat bijvoorbeeld
https://s.team/q/1/15064183844520317076
en geen aanvullende "slimigheden" waaruit de app zou kunnen afleiden dat die code van een nepsite wordt afgelezen. Dit lijkt mij vooral niet-phishing-bestendige schijnveiligheid (maar ik word graag gecorrigeerd).

[Reactie gewijzigd door Verwijderd op 25 juli 2024 11:08]

Ik zou graag zien dat je nu 2FA ook via de meer gebruikelijke TOTP apps kan gebruiken.
Dit is ook mijn gedachte! Maar zal niet gaan gebeuren, vrees ik. Valve wil graag dat je hun apps gebruikt, dus forceert dat een beetje hiermee. Daarnaast werken totp tokens via derden niet altijd even goed. Ik gebruik Enpass en heb bij meerdere diensten al eens gehad dat de totp stopte met werken, kreeg dan andere codes dan de dienst verwachtte.

[Reactie gewijzigd door CH4OS op 25 juli 2024 11:08]

Ik heb echt nog nooit meegemaakt dat een TOTP oplossing niet werkte, en ik gebruik er dagelijks tientallen. Misschien een andere app gebruiken? Authy kan ik aanraden voor Android.
Authy ben ik juist vandaan aan het migreren. Ik vind het een beetje eng om mijn sleutels in een kluisje van een ander te leggen. Als Authy plotsklaps stopt of niet bereikbaar is, kan ik niet bij de TOTP tokens, die ik op dat moment misschien wel nodig ben. De TOTP van Enpass werkt op zich naar behoren, maar je loopt het risico dat eea out of sync gaat en daardoor dus vanuit Enpass niet meer de juiste codes terug komen.
Hoe bedoel je "in een kluisje van een ander"? Bij Authy staat het op je device zelf, maar zij bieden wel online back-ups aan wat bij migreren van telefoons erg nuttig is. Authy werkt dus gewoon offline.
Met het kluisje bedoel ik de cloud. Ik heb destijds weleens mijn telefoon terug naar factory settings moeten resetten (inclusief wipe) en mijn tokens in Authy waren gewoon beschikbaar. Ze worden dus (ook) opgeslagen in de cloud en volgens mij was dat ook de enige optie.
Bor Coördinator Frontpage Admins / FP Powermod @CH4OS29 augustus 2022 16:37
Dat gebeurt alleen wanneer je er zelf voor kiest om een backup online op te slaan. Default staat dit uit.
Ik heb die vraag volgens mij nooit gehad, of kan het mij niet heugen in elk geval. Intussen zit ik in elk geval op Enpass, maar moet nog van een paar diensten (die ik toch bijna niet gebruik) nog even overstappen.
Ik weet niet of dit waar is. Hun implementatie is ouder dan de common TOTP.
Ik heb het met de TOTP van Enpass intussen drie maal gehad; bij PayPal, bij een urenverantwoordingssysteem van het werk en een website.
Inderdaad, zelfs Paypal heeft recent 2FA toegevoegd. Steam is hiermee echt een van de laatsten. En Marktplaats heeft ook nog geen 2FA natuurlijk :+
Steam heeft wel 2FA, echter alleen via hun eigen mobiele app. Standaard TOTP via bijvoorbeeld de authenticator apps van Google en Microsoft, of FreeOTP of Authy, werken niet met Steam.

Persoonlijk vind ik dit geen probleem, ik zou de Steam app toch wel installeren want ik gebruik het veel, maar ik kan me voorstellen dat anderen liever al hun 2FA tokens in 1 app hebben.
Ja, ik. Blizzard heeft namelijk ook geforceerd via de eigen app. Ik gebruik die app en Steam totaal niet buiten de login functie, en dat kan prima via een regulier kanaal. Deze nieuwe login is natuurlijk wel net iets anders, maar goed, geef het dan als optie.
Nee precies, TOTP bedoel ik dan specifiek, excuus. Het is inderdaad handig om vanuit je browser extensie direct de code in te voeren zonder een aparte app te hoeven te openen. En TOTP is een mooie standaard natuurlijk.
Werkt in Bitwarden! Hoewel je eerst wel iets als https://github.com/Jessecar96/SteamDesktopAuthenticator moet gebruiken om je key op te vissen.

[Reactie gewijzigd door MrHaas op 25 juli 2024 11:08]

Ik denk dat steam het via hun eigen app doet omdat de app niet enkel inlogcodes genereert om in te loggen, maar de app wordt ook gebruikt om community markt verkopen en trades te bevestigen. Dit heeft als voordeel dat je in de app iedere verkoop / trade nog een keer in de app ziet zodat je alles 2 keer controleert voordat je het accepteert.
Weer een app, eerst die Guard app, nu zo'n login ding.. waarom niet gewoon 2FA TOTP regulier ondersteunen?
Omdat ze op dit moment jou ook mobiel naar hun store trekken en je kunnen verleiden tot gebruik van het platform, sales onder de aandacht brengen, praten met je vriendjes op Steam en, wie weet, dat je nog een aankoopje doet ook.

Meer interactie staat gelijk aan meer verkopen voor ze hè, ze zouden wel gek zijn om dat los te trekken.
Maar wat is nou daadwerkelijk het probleem? Voor die enkele keren dat je de Steam Guard code moet invullen
Net even de bèta geïnstalleerd hier op mijn Android unit. Lijkt erop dat ze Chat eruit hebben gesloopt. Daar moet je een losse app voor gebruiken.

Steam Chat

[Reactie gewijzigd door Pikkemans op 25 juli 2024 11:08]

Ik weet niet of ik hier een fan van ben. Ja, het is een stuk makkelijker om direct via een QR code in te loggen, maar dit is niet 2FA meer. Je hoeft hiervoor niet aan iemand zijn wachtwood te komen, je hoeft enkel te manipuleren om aan een QR code te komen. Op Discord heb ik wel vaker vage websites voorbij zien komen met een 'gratis Nitro QR code'. Ook als je niet makkelijk wordt gefopt kan iemand jou geünlockte telefoon pakken en zo ergens inloggen, wachtwoorden pikken kost net wat meer moeite. Hopelijk staat er voldoende waarschuwing bij.
Want jij legt je telefoon ergens neer zonder hem op slot te zetten? Goh en als je je auto niet op slot zet als je parkeert dan kan iemand er in!
Uiteraard niet, maar het maakt het wel degelijk makkelijker om iemand zijn account binnen te dringen. Je overschat hoeveel mensen dit soort dingen snappen en serieus nemen. Een autoslot begrijpt de doorsnee Nederlander wel, beveiliging van digitale zaken niet.
Het is een goede verbetering. Voorheen duurde het 10-20 seconden om mijn library te laden wat nu direct getoond wordt. Verder ziet het er allemaal net wat strakker uit.
Eindelijk. Steam Guard is niet superprettig. Zou nog liever de mogelijkheid hebben om je eigen timebased token te gebruiken. Maargoed, in mijn inziens een stap in de goede richting qua gebruikservaring.
Ik vind dat battle.net wel een elegante oplossing heeft.
Daar krijg je op de mobiele app (of via gekoppelde smartwatch) direct de optie om nieuwe connectie te accepteren.
Ik heb een grafhekel aan de manier waarop Valve wederom hun eigen ding aan het doen is en blijft.

De huidige beta bewijst al weer waarom je eigen security oplossing rollen een slecht idee is:

Mensen die niet meer kunnen inloggen omdat bepaalde wachtwoordkaraketers niet geaccepteerd worden.
Mensen die elke keer als ze inloggen opnieuw om een 2FA code gevraagd worden ipv dat dit eenmalig per machine gebeurt.
Mensen die er achter zijn gekomen dat de 7-karakters lange recovery codes die je nodig hebt om nog in te kunnen loggen als je telefoon gejat wordt of stuk gaat, niet meer geaccepteerd worden omdat één of andere druif van Valve een limiet van 5 karakters op het 2FA code input veld gezet heeft.
etc.

Beta?
Vroege Alpha zonder dat er basale regressie-tests toegepast zijn, zullen ze bedoelen...

[Reactie gewijzigd door R4gnax op 25 juli 2024 11:08]

Hey leuk nieuws, want de Steam app is op het moment vrij beperkt en onoverzichtelijk. Kan niet eens m’n WishList bekijken bijboorbeeld. Het werkt meer als een gestripte mobiele website dan een fatsoenlijke en vlotte app.

Ben benieuwd! Nu nog even de nieuwe SteamOS 3 van de Deck als nieuwe Big Picture Mode op de PC :)

[Reactie gewijzigd door B0KIT0 op 25 juli 2024 11:08]

Menu > Store > Wishlist (Android)
Eigenlijk dezelfde handelingen als op de PC. :)

Dat klopt ook wel aardig aangezien de Steam client niet veel meer is dan een webbrowser/webapp. De mobiele app versie heeft daardoor eigenlijk alle functionaliteit van de normale storefront.

Al ben ik het er wel mee eens dat veel content erg onhandig en onoverzichtelijk is in gebruik zodra het op een telefoon moet gebeuren. Op iOS is het schijnbaar nog velen malen erger als ik de reactie van Martijn hieronder mag geloven.

[Reactie gewijzigd door D4NG3R op 25 juli 2024 11:08]

IOS --> Menu --> profiel --> spellen --> Verlanglijst (filtering).
Ik gebruik de app vooral voor de 2weg verificatie, als dat handiger kan met een qr code is dat welkom.
IOS of android? Want als je weet waar kun je bij je wishlist ;)
Ze hebben wel de chatfunctionaliteit eruit gehaald...

De Big Picture mode komt snel naar PC, staat in het nieuwe Steam Deck boek.
Daar heb je dan weer Steam Chat voor. Geen fan van dit op te splitsen, maar de overzichtelijkheid van de nieuwe beta versie is met zo'n sprong vooruit gegaan dat ik er niet eens over wil klagen.

[Reactie gewijzigd door DeathMaster op 25 juli 2024 11:08]

Op dit item kan niet meer gereageerd worden.