Twitter maakt van tweestapsverificatie via sms een betaalde Blue-functie

Twitter laat vanaf 20 maart enkel nog Twitter Blue-abonnees sms-berichten gebruiken als tweestapsverificatiemethode. Reguliere gebruikers kunnen wel nog authenticatieapps of securitykeys instellen als 2fa-methode.

Twitter kiest er naar eigen zeggen voor om tweestapsverificatie via sms tot een betaalde optie om te dopen, omdat de 2fa-methode vaak 'misbruikt wordt door kwaadwillenden'. Verdere uitleg wordt niet gegeven. Bij gebruikers die vanaf 20 maart nog gebruikmaken van 2fa via sms en geen Blue-abonnement hebben afgesloten, wordt tweestapsverificatie automatisch uitgeschakeld, waarschuwt Twitter.

Twitter Blue 2fa sms
De melding die Twitter-gebruikers met 2fa via
sms ontvangen als ze geen Blue-abonnee zijn.

Tweestapsverificatie via sms wordt vaak als de onveiligste 2fa-methode gezien. Dat ligt volgens critici grotendeels aan het feit dat sms aan een telefoonnummer is gekoppeld. Er zijn veel voorbeelden bekend waarbij accounts werden overgenomen door via social engineering een telefoonnummer over te nemen. Via de klantenservice van providers blijkt dat in veel gevallen niet erg moeilijk. Onder meer Microsoft heeft daarom in het verleden al opgeroepen om geen gebruik te maken van tweestapsverificatie via sms.

Desondanks is dit verreweg de populairste 2fa-methode. Volgens Twitter maakt slechts 2,6 procent van alle accounts gebruik van tweestapsverificatie, waarvan 74,4 procent dat doet via sms. Een authenticatieapp wordt in 28,9 procent van de gevallen gebruikt en een securitykey slechts 0,5 procent.

Twitter probeert sinds de overname van Elon Musk geld te verdienen met abonnementen. Musk zei eerder dat de helft van de inkomsten van Twitter op termijn van betalende gebruikers moet komen. De Blue-dienst kost acht euro per maand op Android en elf euro als gebruikers die afsluiten via iOS.

Door Kevin Krikhaar

Redacteur

Feedback • 18-02-2023 09:49164

18-02-2023 • 09:49

164 Linkedin

Lees meer

Twitter haalt onderscheid tussen verificatievinkje en Twitter Blue-vinkje weg Nieuws van 3 april 2023
Twitter publiceert 'groot deel' van zijn broncode op GitHub Nieuws van 31 maart 2023
Twitter gaat gratis accounts minder aanbevelen en pollrechten ontnemen Nieuws van 28 maart 2023
Delen van broncode Twitter zijn uitgelekt op GitHub Nieuws van 27 maart 2023
Ierse waakhond is niet blij dat Twitters Blue-abo zonder overleg in EU verscheen Nieuws van 7 maart 2023
Twitter maakt Blue-abonnement beschikbaar in Nederland en België Nieuws van 3 maart 2023
The Information: Twitter heeft 290.000 betalende Blue-gebruikers Nieuws van 7 februari 2023
Twitter gaat advertentieomzet uit reactiethreads delen met Blue-abonnees Nieuws van 3 februari 2023
Twitter werkt aan duurdere abonnementsformule zonder advertenties Nieuws van 22 januari 2023
Antwoorden van betalende gebruikers krijgen vanaf nu voorrang op Twitter Nieuws van 24 december 2022
Meer producten en artikelen
Beveiliging en antivirus Websites en communities Abonnement Twitter

Reacties (164)

-Moderatie-faq
164
161
77
0
0
56
Wijzig sortering
wildhagen
18 februari 2023 09:56
Ik weet niet hoor, maar om nou mensen te laten betalen voor een beetje veiligheid van je account vind ik toch wel vrij dubieus. Dit zou imho standaard beschikbare functionaliteit moeten zijn, met alle risico's tegenwoordig van het kapen van accounts enzo.

En ja, andere 2FA methoden werken nog wel, maar niet iedereen kan daar mee overweg, of heeft een smartphone voor het installeren van apps etc. Die worden nu dus wel gedupeerd.

Dat je sommige dingen achter een abonnement/pay-wall zet, daar kan ik commercieel best inkomen, maar als zelfs voor basale beveiliging nu al betaald moet worden...

[Reactie gewijzigd door wildhagen op 18 februari 2023 09:59]

Stukfruit
@wildhagen18 februari 2023 10:00
... maar om nou mensen te laten betalen voor een beetje veiligheid van je account vind ik toch wel vrij dubieus
Ze laten je alleen betalen voor minder veiligheid van je account.

Met 2FA via een authenticatie app of key hoef je niet te betalen.
wildhagen
@Stukfruit18 februari 2023 10:23
[...]

Ze laten je alleen betalen voor minder veiligheid van je account.

Met 2FA via een authenticatie app of key hoef je niet te betalen.
Alleen kan niet iedereen een authenticatie app installeren. Hetzij omdat ze geen smartphone hebben, hetzij een smartphone die niet aan de eisen voldoet voor zo'n app (bijvoorbeeld te oude OS-versie, unsupported OS etc). Key is helemaal leuk, maar er is maar een fractie van de mensen (0.5 procent) die dat gebruikt, dat is verwaarloosbaar.

Voor die mensen zijn er dus maar twee realistische keuzes: geen 2FA-authenticatie of betalen voor SMS, de meest onveilige versie van 2FA.

Aangezien 74 procent van de mensen dus 2FA met SMS gebruikt, en lang niet iedereen zal willen betalen, gaat onder de streep de veiligheid er dus juist op achteruit ipv vooruit.
pbruins84
@wildhagen18 februari 2023 11:18
Je hebt geen smartphone nodig voor TOTP. Je kan het ook gewoon op bijvoorbeeld een desktop computer draaien.
R4gnax
@pbruins8418 februari 2023 11:50
Je hebt geen smartphone nodig voor TOTP. Je kan het ook gewoon op bijvoorbeeld een desktop computer draaien.
Een TOTP app draaien op hetzelfde apparaat als waar je op in logt betekent dat je dan dus geen multi-factor authenticatie meer hebt.

[Reactie gewijzigd door R4gnax op 18 februari 2023 11:50]

Vihaio
@R4gnax18 februari 2023 12:20
Waarom niet? Het is dan toch nog steeds iets dat je hebt (je computer met TOTP app) en iets dat je weet (je wachtwoord)?

Edit:
En als je inlogt op de smartphone waarop je je sms’je ontvangt gebruik je ook maar 1 apparaat voor je authenticatie.

[Reactie gewijzigd door Vihaio op 18 februari 2023 12:25]

YoMarK
@Vihaio18 februari 2023 13:45
De definitie van 'iets dat je hebt', is NIET dat je 'een programmaatje' hebt op je computer. 'iets dat je hebt' in de vorm van een 2e factor, is b.v. je vingerafdruk of andere biometrie, of beter nog een hardware token.
Hopelijk snap je zelf ook wel dat het hebben van een webbrowser met de mogelijkheid tot opslaan inlognaam /wachtwoord en op het zelfde device een TOTP app niet echt een security good practice is.
Als ICT afdeling van een bedrijf(waarbij je ook werkt met gegevens van klanten) zou je dat gewoon onmogelijk moeten maken.
Blizz
@YoMarK18 februari 2023 14:07
Dat is de oude definitie. De gangbare definitie van de grote techbedrijven en de veiligheidssector aanhoudt, we zijn hard op weg naar passwordless en dat vervangt zowel je wachtwoord als je MFA. Je verifieert de login op 1 apparaat ongeacht of daar biometrie op zit of niet en je bent klaar.
R4gnax
@Blizz18 februari 2023 14:22
Je verifieert de login op 1 apparaat ongeacht of daar biometrie op zit of niet en je bent klaar.
Dat 'ene apparaat' is niet echt één apparaat. Het key materiaal ligt opgeslagen en wordt verwerkt in een dichtgetimmerde secure enclave of TPM, die niet zomaar te compromiteren valt. Die zit in zo'n geval ingebouwd in, cq. hard gekoppeld aan de hardware v/h fysieke apparaat waarop je a/h inloggen bent, maar er zitten nog aardig wat scheidingen tussen.

Er kan echter nog steeds gewoon een losse insteek USB hardware token voor gebruikt worden.

Het is in die zin nog steeds 2FA, alleen gaat men er per definitie van uit dat het inlogapparaat gecompromiteerd is ('don't trust the client') waardoor de eerste factor; de user-name en wachtwoord als standaard-gecompromiteerd en waardeloos beschouwd zijnde, achterwege gelaten kan worden en de identificatie leunt op de certificate key exchange van de FIDO authenticator.

De FIDO authenticator zelf kan daarna een 3e factor implementeren - wat bij passwordless effectief een 2e factor wordt - in de vorm van bijv. een specifiek vereistte vingerafdruk op de authenticator zelf, als bevestiging om de authenticator te laten reageren op een key challenge.

[Reactie gewijzigd door R4gnax op 18 februari 2023 14:30]

YoMarK
@Blizz18 februari 2023 19:46
Passwordless, daar gaan en moeten we zeker naartoe, maar dat apparaat is niet hetzelfde device(iig niet als puur softwarematige oplossing zoals b.v. TOTP op het apparaat waarop je inlogt. ) Een losse token (webauthm / FIDO2) bij voorkeur.
Vihaio
@YoMarK18 februari 2023 20:13
Dat is iets dat je bent. Een 2fa programma is iets dat je hebt. Net zoals bijvoorbeeld een fysieke sleutel of je pinpas iets is dat je hebt.
ErikvanStraten
@Vihaio18 februari 2023 21:47
Dat is iets dat je bent. Een 2fa programma is iets dat je hebt. Net zoals bijvoorbeeld een fysieke sleutel of je pinpas iets is dat je hebt.
Het gaat niet om het programma, maar om de geheimen die -als het goed is- uitsluitend via een TOTP App benaderd kunnen worden.

Indien er back-ups van die secrets worden gemaakt kun je die back-up terugzetten op een ander device met een kopie van de app.

Sowieso onbegrepen van de authenticatiefactoren "iets wat je weet/bent/hebt" is dat het geheimen moeten zijn die een ander niet kan raden, eenvoudig kan kopiëren, simuleren, nabootsen, stelen, brute forcen etcetera.

Daarnaast zijn ze sowieso minder geheim dan je zou willen, want je moet die geheimen delen met de persoon, de server of het apparaat dat jouw identiteit controleert. Je zult die controlerende partij er dus op moeten vertrouwen dat deze die geheimen strikt geheim houdt.

Terzijde, een uitzondering hierop zijn asymmetrische sleutels: als iemand een public key van jou heeft, kun je aan die persoon bewijzen (met een digitale handtekening) dat jij de bijpassende private key in bezit hebt, zonder die private key ooit prijs te geven.

De reden dat Passkeys of FIDO2 hardware keys (beide gebruiken het WebAuthn protocol) veiliger zijn dan wachtwoorden, is echter nauwelijks dat er van asymmetrische sleutels gebruik gemaakt wordt, maar vooral dat een passkey (of een record op een FIDO2 hardware key) gekoppeld is aan de domeinnaam van de website waar je op inlogt. Dat maakt phishing met een neppe "lijkt-op" website enorm veel lastiger voor criminelen.

Zie ook deze post voor enkele risico's van gangbare vormen van MFA - waar ik nog Browser-in-the-Browser attacks aan kan toevoegen (een HTML popup die op een browser inlogvenster lijkt met een nep hangslotje en nep adresbalk met daarin een nep domeinnaam - met het risico dat je jouw inloggegevens weggeeft aan een cybercrimineel die daar onmiddellijk mee inlogt op de echte website).
RoestVrijStaal
@YoMarK18 februari 2023 21:03
Het nadeel van je vingerafdruk of andere biometrie is dat het onvervangbaar is. Als iemand anders het heeft (nagemaakt), ben je in de aap gelogeerd.

Hoe vaak is wel niet een database met vingerafdrukken of andere biometrie gelekt of gestolen?
YoMarK
@RoestVrijStaal18 februari 2023 21:20
Daarom wordt het ook gebruikt als onderdeel van MFA.
testmanager
@RoestVrijStaal18 februari 2023 22:19
Wel, of niet?
Cambion
@RoestVrijStaal19 februari 2023 16:54
Theoretisch klopt dat, maar zelfs dan is het in de praktijk vaak nog niet zo makkelijk. Je hebt dan een lichaamstemperatuur 3D object nodig voor die vingerafdrukscan, gezien een beetje degelijke vingerafdrukscan net anders niet eens zal reageren.

Hetzelfde met bijv. gezichtsherkenning. Je komt Windows Hello bijv. niet in met een foto van de persoon, je moet dan al echt een accuraat 3D hoofd hebben.

In de praktijk komt het proberen binnendringen zelden op dit niveau, en zijn andere manieren van indringen uberhoubt makkelijker.
Cambion
@YoMarK19 februari 2023 10:41
'iets dat je hebt' in de vorm van een 2e factor, is b.v. je vingerafdruk of andere biometrie
Euhm, dat is niet de "iets dat je hebt". Dat is de "iets dat je bent".

Het rijtje is "something you know (weet), something you have (hebt), something you are (bent)".

"Weten" is bijv. een wachtwoord. "Bent" is biometrie. "Hebt" is een fysiek secundair iets. Bijv. een key usb-stick, smart card, een druppel of sleutel om een deur te openen, of secundair apparaat.

Bij een MFA-app is je telefoon met app sowieso secundair mits je via een ander apparaat inlogt (bijv. een computer) en dus wel degelijk "iets wat je hebt".

Wanneer je inlogd van hetzelfde apparaat als waar je app op staat, is het iets lastiger. Aan zich telt het nogsteeds als "iets dat je hebt", gezien je toch eerst mijn apparaat moet zien te krijgen voor de code. Het gaat immers nog steeds om 1 specifiek mobiel device. Hacks van buitenaf blijven dus lastiger wanneer ik mijn MFA op hetzelfde apparaat heb als waarop ik inlog. Je kan jezelf nog steeds niet zomaar brute-force'en mijn account in, of met een met phising verkregen wachtwoord. Aan de andere kant, als je mijn apparaat met bijv. malware in bent gekomen heb je wel kans dat je beide kan achterhalen. Het risico wordt dus wel groter. Maar dat haalt niet weg dat er extra beveiliging is die gelinkt is aan 1 specifiek object dat je moet hebben/in moet kunnen. Gezien dot verhoogde risico wil je dus scheiding van je verificatiefactoren.

Dus, geld het als MFA? Ja. Is het een ideale implementatie van? Zeer zeker niet.

[Reactie gewijzigd door Cambion op 19 februari 2023 10:44]

sudo
@YoMarK20 februari 2023 12:01
Het is niet gewoon een programma dat je op je computer hebt, de key die de Authenticator applicatie gebruikt is waar de extra authenticatie factor op gebaseerd is.
In een moderne smartphone kunnen die keys veilig opgeslagen worden in de secure storage van de phone.
Een Authenticator app op je telefoon is dus wel degelijk een goede vorm van 2FA.

Biometrische identificatie gegevens zijn trouwens makkelijk te spoofen en komen met allerlei praktische problemen.
YoMarK
@sudo22 februari 2023 16:10
Als je de post leest van diegene waar ik op reageerde, dan ging het daar over browser (inlognaam / wachtwoord ) en een TOTP applicatie op hetzelfde device. TPM-achtige chips, dat doet er allemaal niet toe want je gebruikt het tegelijkertijd op hetzelfde 'geunlockte' device(pc/laptop/telefoon).
Dat is géén goede security.
Biometrische identificatie(device gebonden unlock) is verder an sich niets mis mee. Alle technieken hebben hun nukken, een wachtwoord of pincode is te sniffen en/of af te kijken, enz, enz.. Vandaar idealiter dus een combinatie van manieren, liefst ook nog gebruiksvriendelijk.
sudo
@YoMarK22 februari 2023 17:10
Dat je Authenticator op hetzelfde device staat als hetgeen waarmee je inlogt heeft heel weinig invloed op de veiligheid van die oplossing. Als je meent dat dit wel een probleem is dan moet je met echte argumenten komen.
En je kan inderdaad stellen dat er geen enkele beveiliging bestaat zonder problemen, maar een goede Authenticator app op een moderne smartphone is een van de veiligste en meest praktische systemen die er momenteel zijn.
YoMarK
@sudo22 februari 2023 17:34
Ik heb het niet over 'een authenticator app', maar over TOTP.
Los daarvan, het is niet zo moeilijk om te bedenken waarom inloggen én 2e factor op hezelfde device bad pratice is: bij controle over één device hebben ze meteen alles in handen. Inlognaam, wachtwoord en 2e factor.
En wat is bij jou 'een moderne' veilige smartphone? Wanneer vind je hem niet meer veilig? Paar maanden geen updates gehad? Een jaar? Zitten genoeg haken en ogen aan.
Er wordt daarnaast enorm veel gefished op dit moment, ook de reden dat bijvoorbeeld Microsoft de manier van inloggen via de MS Authenticator (standaard) gaat verbeteren (middels extra validatie code).
Al met al is iets als FIDO2 /webauthm met een externe token gewoon superieur
R4gnax
@Vihaio18 februari 2023 12:24
Waarom niet? Het is dan toch nog steeds iets dat je hebt (je computer met TOTP app) en iets dat je weet (je wachtwoord)?
Omdat als je computer met malware gecompromiteerd is, zowel je wachtwoord uitgelezen kan worden als het keymateriaal van je TOTP app, waardoor deze gekloond kan worden.

Er is geen scheiding tussen beide factoren meer aanwezig. Je hebt dan geen multi-factor authenticatie meer; maar multi-step authenticatie. En dat is alleen maar nodeloze complexiteit.
Metten
@R4gnax18 februari 2023 14:16
Dat zal vast allemaal zo zijn, maar de meest voorkomende manieren van het achterhalen van wachtwoorden zijn toch echt phishing en het gebruik van identieke wachtwoorden. Dit beschermt daar gewoon tegen.

Overigens lijkt me dat maar weinig twittergebruikers geen smartphone hebben om een TOTP app mee te draaien
R4gnax
@Metten18 februari 2023 14:20
Dat zal vast allemaal zo zijn, maar de meest voorkomende manieren van het achterhalen van wachtwoorden zijn toch echt phishing en het gebruik van identieke wachtwoorden. Dit beschermt daar gewoon tegen.
Geen enkele vorm van manueel in te voeren TOTP beschermt tegen phishing, want een phishing site kan gewoon ook om een TOTP code vragen. Als de site overtuigend genoeg is dat mensen in gaan loggen, gaan ze ook wel een code invullen. En op dat moment heeft de phisher toegang; evt. ook om een andere 2FA optie a/d account toe te voegen als ze later nog eens terug willen komen.

Phishing blokkeer je alleen met 2FA beveiligingen zoals FIDO die gebruik maken van volledig geautomatiseerde key exchange en botweg op protocol-niveau het onmogelijk hebben gemaakt voor domain B om challenges bestemd voor een 2FA registratie behorende bij domain A te beantwoord te krijgen.

[Reactie gewijzigd door R4gnax op 18 februari 2023 17:09]

supersnathan94
@R4gnax18 februari 2023 14:25
Sorry? Tuurlijk wel?

Of log jij niet in op tweakers op je mobiel?


Met toegang tot een device ben je sowieso al screwed, want dan zijn ze al meerdere lagen security door. Als dit een probleem is dan klopt er al iets niet aan je setup.

Ik log ook op mobiel kn met DigID. Dat is prima veilig hoor.
R4gnax
@supersnathan9418 februari 2023 14:34
Dat is 'prima veilig' (eigenlijk ook niet; noem het liever: 'veilig genoeg') wanneer je gebruik maakt van een OS waar alles sandboxed is; en security keys afgehandeld worden via een secure enclave. Waar een malware-infectie niet direct de hele user-mode omgeving diep compromiteert en het spul zo op kan lepelen.

E.e.a. werkt op een Windows PC die lokaal op die PC een authenticator applicatie in user-mode draait, allemaal net wat anders.
En dat is juist het scenario wat er besproken werd: mensen die bijv. geen smart phone hebben en van SMS 2FA gebruik maakten voor Twitter, en dan maar een TOTP applicatie op hun desktop zouden kunnen draaien.

[Reactie gewijzigd door R4gnax op 18 februari 2023 15:43]

dasiro
@R4gnax18 februari 2023 15:33
komt op hetzelfde neer als je twitter-app op je telefoon laten authenticaten via SMS, maar daarom valt er nog geen 2e factor weg. Er worden namelijk meerdere dingen gecontroleerd, dat het op hetzelfde toestel gebeurd is niet per definitie onveiliger, want je telefoon zal ook nog security hebben, dus heb je al 3 factoren.
R4gnax
@dasiro18 februari 2023 15:42
komt op hetzelfde neer als je twitter-app op je telefoon laten authenticaten via SMS
Nee, dat komt het niet.
Zie R4gnax in 'Twitter maakt van tweestapsverificatie via sms een betaalde Blue-functie'
dasiro
@R4gnax18 februari 2023 15:51
het maakt helemaal niet uit of je een sandboxed omgeving hebt. Beiden gelden alsnog als extra factor naast je twitter username/password. Die 2e factor valt daar niet door weg. Dat beide factors vanop eenzelfde toestel bereikbaar zijn wil niet zeggen dat ze geen nut hebben, het enige gevaar is dat het toestel dan een single point of failure kan worden, maar daarom breek je 2FA nog niet en in die zin komt het op hetzelfde neer dat je toegang tot beiden nodig hebt om te authenticaten.
R4gnax
@dasiro18 februari 2023 17:07
Die 2e factor valt daar niet door weg.
Voor de definitie multi-factor wordt aangenomen dat het discrete gescheiden factoren zijn.
Dat is in zo'n geval niet meer degelijk te garanderen.
Je hebt dan met iets te maken wat gedegradeerd is naar wat ook wel multi-step authentication genoemd wordt, ipv multi-factor authentication.

[Reactie gewijzigd door R4gnax op 18 februari 2023 17:08]

dasiro
@R4gnax18 februari 2023 19:25
da's een eigen interpretatie van de definitie. Grote spelers als Microsoft, Google en RSA bieden hun app als dusdanig aan op meerdere platformen, dus ik zou daar niet al te veel waarde aan hechten en gewoon aannemen dat het een valide MFA is
RoestVrijStaal
@R4gnax18 februari 2023 21:00
Met een smartphone dat gebruik maakt van hetzelfde netwerk van een gecompromiteerde router hoeft dat natuurlijk ook niet zo te zijn.
slijkie
@wildhagen18 februari 2023 11:37
2FA via SMS is achterhaalt en relatief makkelijk te omzijlen voor kwaadwillenden.

Beter dan géén 2FA? Absoluut, maar dat het via de apps of een security key nog gaat is prima, veiliger zelfs.

Tevens de kosten voor SMS verkeer (helemaal op de hoeveelheden van Twitter) drukt toch de kosten.

Edit 18:30;

In een Tweet van Elon, ~60M dollar per jaar dus. Forse kostenpost. Correctie, voor VALSE 2FA smsjes.

Dit kan kloppen, ik heb al zeker 30-40 maal in afgelopen jaren smsjes met een Twitter 2FA code gekregen. Toen overgestapt op app-2fa omdat dit irritant was.

Dus het zijn vooral bots die login pogingen doen, dan lopen de kosten natuurlijk mega hoog op.

[Reactie gewijzigd door slijkie op 18 februari 2023 18:35]

R4gnax
@slijkie18 februari 2023 11:53
2FA via SMS is achterhaalt en relatief makkelijk te omzijlen voor kwaadwillenden.
2FA via SMS is misschien achterhaald, in de zin dat het niet meer de new and shiny is, maar dat het inherent super-onveilig is, is onzin.
Het is alleen relatief makkelijk te omzeilen door kwaadwillenden wanneer die kennis hebben van het geassocieerde telefoonnummer en via social engineering aan een SIM kunnen komen om SMSjes mee over te nemen; of via gerichte lokale aanvallen op het mobiele netwerk van de provider of op de last-leg verbinding tussen de mast en het toestel, de in-flight SMS berichten uit kunnen lezen.

Neem een burner SIM-kaart in een dual-SIM toestel met een nummer wat je alleen voor 2FA gebruikt en niet aan de grote klok hangt en op social media bazuint, en het wordt ineens een stuk - een flink stuk - veiliger.

Steek een SIM in een dumb-phone waarmee je niet de godsganse dag aan internet verbonden bent en malware op je drempel gedumpt kunt krijgen, en 2FA via SMS is waarschijnlijk veiliger dan een authenticator app.

[Reactie gewijzigd door R4gnax op 18 februari 2023 11:58]

batjes
@R4gnax18 februari 2023 12:54
Grote reden waarom ik rondloop met dual sim. Goedkoop prepaid kaartje dat ik aan de bomen hang en een echt privé nummer dat alleen een paar vrienden en familie kennen. En welke ik dus gebruik als backup voor b.v. MS365 2FA.

Wel geinig dat men SMS als onveilig beschouwt, terwijl die "Goedkeuring" van AzureAD de norm is en zo'n beetje de meest onveilige 2FA methode is die je kan vinden.
kodak
@wildhagen18 februari 2023 12:30
Je kan niet zomaar stellen dat als van 100% gebruikers er nog geen 3% 2fa gebruikt en daarvan 74% nog steeds sms gebruikt, daar dan nog tussen een echt duidelijk relevante groep zit die geen gebruik kan maken van 2fa apps en dus slechter uit zijn. Je kan namelijk dan net zo goed stellen dat die 74% een te groot risico vormen omdat ze wel kunnen overstappen maar niet willen. Want je voorbeeld toont op geen enkele manier aan dat een te groot deel niet kan overstappen of zonder overstappen slechter af zijn.
djiwie
@wildhagen18 februari 2023 12:46
Wie heeft er nou geen smartphone maar zit wel op Twitter? Er zullen vast voorbeelden te vinden zijn, maar ik denk dat die groep verwaarloosbaar klein is. Authenticator apps (TOTP) bestaan al een decennium voor elke gangbare versie van mobiele OS'es en er zijn ook desktop varianten. Verkeerde argument om je punt te maken IMHO.

Eens dat de veiligheid waarschijnlijkheid achteruit gaat, promoot liever de veiligere optie via app of key en laat sms als backup aanstaan voor iedereen die nog niet wil/kan switchen. (En laat het niet bestaan als optie wanneer je overtuigd bent dat sms onveilig is, ook niet voor betalende users.) Maar ik vind het nogal een dooddoener om te stellen dat dit een slecht plan is omdat mensen geen smartphone hebben. Voor een app als Twitter een nogal vergezocht argument.
R4gnax
@djiwie18 februari 2023 17:11
Wie heeft er nou geen smartphone maar zit wel op Twitter? Er zullen vast voorbeelden te vinden zijn, maar ik denk dat die groep verwaarloosbaar klein is.
Dat is inderdaad de vraag die je je hier moet stellen.
En is ook het antwoord op die vraag dat ik zelf zou verwachten.
nzall
@wildhagen18 februari 2023 15:27
Qua oude OS versie valt dat echt wel mee hoor. Ik heb dit daarnet nog nagekeken, en Google Authenticator draait op versie 4.4 of nieuwer, wat dus neerkomt op 99,7% van alle Android gebruikers. Wat betreft iOS gaat het over minstens iOS 13 of 95,6% van de iOS gebruikers. En als je Authy gebruikt, komt het zelfs neer op iedereen die iOS 11 of nieuwer gebruikt, wat 98,5% van de gebruikers is. En zelfs als je dan zegt: "wat over die 0,3% van Android gebruikers of 1,5% van Twitter gebruikers die oudere toestellen gebruiken?", dan zeg ik dat deze versies VEEL ouder zijn dan de versies die de iOS app zelf ondersteunt. Dus dan heb je het over mensen die een web gui gebruiken, en daar zijn ook wel versievereisten aan verbonden...
Remzi1993
@wildhagen18 februari 2023 16:39
Je bent niet verplicht om tweestaps authenticatie aan te zetten. Dus dit argument is dus ook niet sterk.
Spatienazi
@Remzi199320 februari 2023 00:19
Hier dacht ik ook aan. Wat gaat een gemiddelde Twitter-gebruiker doen als ze de keuze hebben?
A. Betalen voor SMS-2FA
B. Authenticatie-apps leren gebruiken
C. 2FA uitzetten

Doe zelf maar een gok, maar ik schat de gemiddelde Twitter-gebruiker niet zó hoog in.
Remzi1993
@Spatienazi20 februari 2023 06:46
Velen zullen inderdaad voor B kiezen, echter de jongeren zullen we authenticatie apps gebruiken.
ItsNotRudy
@wildhagen19 februari 2023 13:21
Hetzij omdat ze geen smartphone hebben, hetzij een smartphone die niet aan de eisen voldoet voor zo'n app (bijvoorbeeld te oude OS-versie, unsupported OS etc). Key is helemaal leuk, maar er is maar een fractie van de mensen (0.5 procent) die dat gebruikt, dat is verwaarloosbaar.
Kan me haast niet voorstellen dat er een grote overlap is met Twitter-gebruikers en mensen die geen smartphone hebben of een smartphone die zowel Authy als MS Authenticator als Google Authenticar niet kunnen draaien. Als je telefoon zo oud is, is ie waarschijnlijk ook superkwetsbaar via de ingebouwde brower en andere apps. Ik denk dat smartphone-loze mensen (die over het algemeen niet gevolgd willen worden of mee willen doen aan alle sms/social apps) juist geen Twitter hebben en dat het aantal dumbphone-gebruikers die ook Twitteren < 0.01% van de hele userbase is. Negeerbaar dus. Dan kopen ze maar zo'n hardware key.

[Reactie gewijzigd door ItsNotRudy op 19 februari 2023 13:23]

blorf
@wildhagen18 februari 2023 12:58
Er ontstaat een scheidingslijn tussen commerciele exploitanten die proberen te scoren met controverse en populisme, en cult-achtige groeperingen die geen economisch motief hebben. Volgens mij is deze strategie vooral nog gemotiveerd door het bot-probleem dat Twitter had. Het idee: "hoezo zou ik jou geloven, met je gratis account en geen identiteit?"
Shaidar
@wildhagen19 februari 2023 17:31
Uit je bericht kan ik niet opmaken of je het wel begrepen hebt ... drie-kwart van 2,6% van de gebruikers van Twitter hé!
P. vd Loo
@wildhagen20 februari 2023 06:37
Iedereen heeft een smartphone en zeker die Twitter gebruiken. Ook hele oude besturingssysteem worden ondersteund door 2fa apps.

Verder kosten functies geld. Ook beveiliging. Zo kost een virusscanner ook geld. Niets vreemds onder de zon dus.
RobbieB
@Stukfruit18 februari 2023 10:19
Ja SMS kan eventueel ge-hijackt worden, maar alleen in een targeted attack. Het is nog altijd veiliger dan geen 2FA gebruiken.

Sterker, met MFA-fatigue attacks zou ik zelfs durven stellen dat 2FA via SMS veiliger is dan MS Authenticator zonder number matching geactiveerd. Gelukkig gaat MS dat verplichten vanaf 27 februari.
ErikvanStraten
@RobbieB18 februari 2023 13:03
OTP, TOTP en MS Authenicator met number matching zijn geen MFA als je jouw user-ID, wachtwoord en "2FA"-code invoert op een fake website.

Bovendien loop je bij veel TOTP-apps het risico op account-lockout of dat jouw MFA-secrets onveilig op cloudservers worden opgeslagen en/of dat je betaalt met jouw privacy.
RobbieB
@ErikvanStraten18 februari 2023 13:24
Deze zijn wél MFA, want het is iets dat je weet (je wachtwoord) en iets dat je hebt (je OTP/TOTP/Authenticator op je telefoon). Sterker, die wat je hebt is ook steeds vaker beveiligt met iets dat je bent zoals je vingerafdruk of gezichtsscan.

De voorbeelden die je geeft zijn aanvallen die er precies op gericht zijn om het deel dat je hebt te bemachtigen en die werken alleen als hetgeen dat je weet al gecompromiteerd is.

Dat wil dus niet zeggen dat het geen MFA is, maar dat ook MFA niet waterdicht is en de tweede factor ook bemachtigd kan worden bij geavanceerdere aanvallen.
ErikvanStraten
@RobbieB18 februari 2023 13:59
Deze zijn wél MFA, want het is iets dat je weet (je wachtwoord) en iets dat je hebt (je OTP/TOTP/Authenticator op je telefoon). Sterker, die wat je hebt is ook steeds vaker beveiligt met iets dat je bent zoals je vingerafdruk of gezichtsscan.
De eeuwige fout die bij authenticatiefactoren gemaakt wordt, is dat er (gemakshalve of "om het kort te houden") niet bij vermeld wordt dat ze geheim gehouden moeten worden (behoudens delen met de noodzakelijkerwijs te vertrouwen verifiërende partijen), niet geraden moeten kunnen worden, niet gekopieerd, gedupliceerd of gestolen moeten kunnen worden etcetera.

Het wordt 0FA zodra je alle benodigde inloggegevens met een AitM (Attacker in the Middle) deelt.
jrutgers
@Stukfruit18 februari 2023 10:31
Dit is toch gewoon een argument om 2FA helemaal niet meer via SMS te laten gaan.

Ze zeggen zelf dat dit de zwakste optie is.Over het algemeen zijn de gebruikers/bedrijven die betalen voor Blue al een groter doelwit en vaak makkelijker om te social engineeren.

elk geval voor dat jan en alleman zo'n vinkje konden kopen.

Als twitter een eigen nog veiliger alternatief zou bieden voor hun high profile klanten, zou ik nog kunnen begrijpen dat ze er geld voor vragen. Al zou het ze ook dan sieren om het voor iedereen beschikbaar te hebben.
Lapjespoes
@Stukfruit18 februari 2023 11:06
Deze stelling werkt alleen als de getroffen gebruikers daadwerkelijke overstappen op veiligere 2FA-methoden. Maar of ze dat echt gaan doen, met de indruk van "ja dag, ik ga niet betalen voor veiligheid dat voorheen gratis was, oplichters" in het achterhoofd... ik denk het niet.
Stukfruit
@Lapjespoes18 februari 2023 12:27
Klopt, na het nogmaals lezen van het (bron)artikel was ik er ook niet helemaal zeker van of 2FA ook nog verplicht gaat worden of niet.

Het blijft Elon Musk, dus we zullen er maar even een magic 8 ball bij pakken ;)
bommel
@Stukfruit18 februari 2023 11:26
Nog niet, sms is het meest populair dus daarom beginnen ze met die methode
Kerfuffle
@wildhagen18 februari 2023 10:12
Sms voor 2fa zou ontmoedigd moeten worden. Twitter suggereert dat het dit doet door het een betaalde optie te maken. De motivatie zou dan niet geld zijn, maar veiligheid.

Maar het blijft dubieus natuurlijk. Als je veiligheid wilt afdwingen, neem je geen stap die mensen er potentieel toe beweegt helemaal geen 2fa meer te gebruiken. De alternatieve 2fa manieren bieden ze al tijden en worden desondanks amper gebruikt. Ik betwijfel of deze zet mensen gaat overtuigen.

Overigens meldt Twitter ook, dat het uitzetten van sms, wat ze automatisch gaan doen, er niet toe leidt dat je telefoonnummer van je account wordt gehaald, maar het bericht lijkt te suggereren dat je dat daarna wel handmatig kan doen. Ik stel me zo voor dat het fijn is dat Twitter nog een gegegen minder van je heeft, maar dit zet volgens mij de deur verder open voor nep accounts, waar Twitter toch al grotendeels uit bestaat?
GeroldM
@Kerfuffle18 februari 2023 22:27
SMS en MMS zijn in Europa (en Zuid-Amerika) nooit heel erg populair geweest/geworden. Ook als je denkt dat di niet het geval is, het steekt bijzonder karig af tegenover de populariteit van SMS/MMS in de Verenigde Staten. Iedereen en zijn moeder gebruikt het daar. Ook nu in 2023 is het erg populair.

En dat is de enige markt die Twitter (en alle andere Tech bedrijven) respecteren. De rest van de wereld is bonus, niets meer. Wanneer dat tot je doordringt, is 2FA via SMS nog een heel belangrijke manier van beveiliging. Het is nog steeds net zo dom als je suggesteert, maar doet er tevens niets aan af dat het voor een heel grote groep de enige relevante manier is.
Webgnome
@wildhagen18 februari 2023 11:18
Dit zou imho standaard beschikbare functionaliteit moeten zijn, met alle risico's tegenwoordig van het kapen van accounts enzo.
Dat is er toch ook? Maar dan alleen via authenticator apps of een losse key.
stftweaker
@wildhagen18 februari 2023 11:28
Je krijgt alternatieve die gratis zijn, als jij dan toch perse via sms wil. Wat natuurlijk ook geld kost. Dan moet je er maar voor betalen. Het is niet dat je met de rug tegen de muur staat en gedwongen wordt om te betalen. (betere) alternatieven zijn gratis dus gebruik die dan ook.
CrazyBernie
@wildhagen18 februari 2023 13:41
Vind het vrij logisch , sms. Verificatie kost gewoon veel geld voor wat het oplevert.
En is daarnaast de onveiligste m2fa methode .
Tozz
@wildhagen18 februari 2023 16:28
Het sturen van SMSjes is niet gratis, ook voor Twitter niet. Bovendien wordt SMS als 2FA gezien als onveilig.
Remzi1993
@wildhagen18 februari 2023 16:38
Het is juist het tegenovergestelde, mensen moeten betalen om een veel onveiliger tweestaps authenticatie te kunnen gebruiken.
Manderlay1
@wildhagen18 februari 2023 10:10
Tja om je huis te beveiligen betalen we toch ook. 3 punt sloten, alarmsystemen enzo voort
Barsonax
@wildhagen18 februari 2023 17:53
Sms 2fa is niet veilig.

Sms kan je onderscheppen en ook is ook gevoelig voor een sim card swap.

Je betaalt dus om slechtere beveiliging te kunnen gebruiken. Nog steeds raar natuurlijk maar ook gewoon dom als je dit als gebruiker perse wilt.
Frame164
@wildhagen18 februari 2023 19:36
Sms afleveren kost geld. Waarom zou je dat niet door mogen berekenen? Misschien dat jullie op het werk dingen weggeven maar dat is dan eerder de uitzondering.
the_stickie
18 februari 2023 10:17
Ik snap het niet helemaal.... 2FA met sms is inderdaad een stuk minder veilig dan via een dedicated app met OTP. Dat ze dat willen uitschakelen is dus helemaal begrijpelijk.
Maar waarom dan net betalende accounts, die waarschijnlijk toe behoren aan meer prominente personen of bedrijven juist wél toestaan deze methode te gebruiken 8)7
Is dit dan een commerciële move om gebruikers naar abbo's te lokken ipv naar veilige authenticatie? Ik ben benieuwd hoe het geformuleerd zal zijn op de website en in de app...

[Reactie gewijzigd door the_stickie op 18 februari 2023 10:18]

kodak
@the_stickie18 februari 2023 11:05
Die groep betalende klanten heeft waarschijnlijk wat opvallende kenmerken. Bijvoorbeeld bedrijfsbeleid of persoonlijke voorkeur dat ze niet even voor twitter apps gaan accepteren maar bij dit soort dwang dan liever stoppen met betalen of zelfs vertrekken als twitter gebruiker of adverteerder.
Of bijvoorbeeld belangrijk genoeg zijn dat ze afspraken met hun telecomleverancier hebben over omzetten van hun telefoonnummers naar een andere sim. Of dat ze de mogelijke schade van een gekaapt twitteraccount accepteren vergeleken met de voordelen van de aandacht die dat mogelijk heeft.
Daarbij, die betalende accounts hoeven het niet eens te gebruiken. Misschien is dat juist de groep die al grotendeels bewust voor 2fa via een app heeft gekozen en twitter ze niet hoeft te dwingen.

[Reactie gewijzigd door kodak op 18 februari 2023 11:07]

djiwie
@kodak18 februari 2023 12:56
Ik geloof er niets van dat er uitgebreid marktonderzoek is gedaan onder de betalende gebruikers. Volgens mij heeft Elon de rekening gezien voor de sms'jes die elke maand verstuurd worden (dat zal best een flinke rekening zijn overigens, sms 2fa is vrij prijzig) en daarna bedacht om dit af te schaffen. Overigens een hele rare "premium" feature :x
kodak
@djiwie18 februari 2023 14:51
Dit soort zomaar niet geloven en negatief doen voegt niets toe aan de discussie en lijkt oom alleen maar tot doel te hebben om negatief te doen. Kom dan op zijn minst met een onderbouwing waarom het redelijk is om zowel te betwijfelen dat twitter onderzoek hebben gedaan naar beveiligingsrisico en hun onderbouwing niet zou deugen.
djiwie
@kodak18 februari 2023 16:59
Ik denk dat in dit geval een onderbouwing volstaat met wijzen naar alle beleidswijzigingen van de afgelopen maanden, waarbij het beleid van links naar rechts zwalkte en Twitter continue moest terugkomen op veranderingen omdat de users en masse protesteerden. Of het nu ging om het beleid rondom verificatie/blauwe vinkjes (deels teruggedraaid), toegang tot de Twitter API (wederom uitgesteld), moderatiebeleid, iedere keer bleek dat de beslissingen genomen zijn zonder onderzoek of test vooraf. Daarbij opgeteld heb ik nog nergens gelezen (ook niet van betalende gebruikers) dat hun mening hierover gevraagd is. Dat wil niet perse zeggen dat dat niet gebeurd is maar ik vind het erg onwaarschijnlijk.
litebyte
@djiwie18 februari 2023 13:30
Dat denk ik ook, hij is al maanden bezig om op allerlei manieren de kosten te verlagen. Geen gratis spirituele groene thee sessies meer of quinoa burgers voor het personeel, en aan de gebruikerszijde zal dit een van de (nog vele te volgen) maatregelen zijn.
doctormetal
@the_stickie18 februari 2023 11:35
Het is eigenlijk vrij simpel, want dit heeft niets met veiligheid, maar met kosten te maken. 2FA via SMS is niet alleen één van de meest onveilige, maar ook één van de duurste.

Maar dan had ik eerder verwacht dat Twitter helemaal zou stoppen met SMS ipv het een betaalde feature te maken.
moonlander
18 februari 2023 09:54
Betalen om je account te beveiligen, en dan is het ook nog eens een zwakke beveiliging 8)7
Ze weten dus echt niet meer hoe ze nog geld kunnen verdienen.
We Are Borg
@moonlander18 februari 2023 09:57
Er staat duidelijk dat je nog wel andere 2fa methodes kunt gebruiken. Kortom de zwakke sms optie kost geld, de rest blijft gratis
wildhagen
@We Are Borg18 februari 2023 10:00
Alleen heeft lang niet iedereen een smartphone, en die kunnen dus geen app installeren. Of men wil dat niet, om welke reden dan ook.

Dat het de zwakte vorm van 2FA is mag dan wel kloppen, maar het is nog altijd beter dan géén 2FA. Nu komt dus 74 procent van de mensen voor de keuze te gaan om dan maar géén beveiliging te nemen, of gedwongen te worden om te betalen. Vind ik niet chique.
MrMonkE
@wildhagen18 februari 2023 10:26
kan toch gewoon OTP op een PC draaien?!
Lapjespoes
@MrMonkE18 februari 2023 11:03
De gemiddelde gebruiker weet niet eens wat dat is en gaat niet de moeite nemen om een dergelijk probleem op te lossen als het alternatief is om de functie überhaupt niet te gebruiken.
MrMonkE
@Lapjespoes18 februari 2023 11:07
Ja, heb je inderdaad wel een punt mee.
RuddyMysterious
@Lapjespoes18 februari 2023 15:57
Diezelfde gemiddelde gebruiker zal echter wél beschikken over een smartphone, dus gaat het hier niet over de gemiddelde gebruiker.
R0BK3
@wildhagen18 februari 2023 10:29
Klopt, digitale inclusie. Niet iedereen heeft een smartphone, niet iedereen wil apps. Twitter werkt ook gewoon op een computer. Dus als je al een oma of opa hebt die op Twitter zit, maken ze het die nu extra moeilijk, of op zijn minst extra kwetsbaar, tenzij ze betalen, of extra tijd energie willen/kunnen investeren om uit te zoeken wat 2FA apps zijn.

[Reactie gewijzigd door R0BK3 op 18 februari 2023 10:30]

Muncher
@R0BK318 februari 2023 10:59
Ik blijf dit aparte reacties vinden. Ik kan net zo makkelijk zeggen: de meeste mensen hebben een smartphone, de meeste hebben apps, niet iedereen heeft een computer.

Zonder data kunnen we dit soort sweeping statements niet maken. Anekdotische voorbeelden van opa’s en oma’s helpen daar niet echt bij.

Dat opa en oma (in dit voorbeeld) hun gedrag moeten aanpassen is vervelend en dat wordt alleen maar versterkt in een digitale omgeving waarin dingen (naar verhouding) redelijk snel kunnen veranderen. Een passende oplossing heb ik zo 1-2-3 niet helaas.

Je zou eventueel kunnen betogen dat een MFA app vergelijkbaar is met je bankier-app. Een dergelijke app is nodig om te kunnen bankieren op je telefoon. Dat brengt bepaalde eisen met zich mee (denk aan: een pincode op de app, nieuwe versie installeren als die er is, etc). Is het installeren van een MFA app echt zo’n gedoe? Ik vraag het mij af.

Mijn beurt om met een anekdote te komen: mijn opa en oma (beiden bijna 80) gebruiken een MFA app. Was het moeilijk in het begin? Een beetje. Het was vooral even wennen. Ze zijn nu wel blij dat bepaalde zaken “extra veilig” zijn (zo ervaren zij dat in ieder geval).
Frame164
@Muncher18 februari 2023 19:41
Toch denk ik dat gemiddeld ouderen meer profijt hebben dan ongemak van nieuwe dingen. Vroeger moesten anderen hun boodschappen doen als ze slechter ter been waren. Nu kan een heel groot deel van de ouderen hun boodschappen online bestellen. En dat doen ze ook.
CaptainKansloos
@R0BK318 februari 2023 12:29
Als je geen smartphone, apps wil of uitsluitend PC gebruiker bent, dan val je denk ik niet onder de doelgroep van Twitter. Immers; de meerwaarde van het platform ligt hem volgens mij in het 'instant op de hoogte zijn, wanneer het gebeurd'. Niet in: wat is er gister / vorige week allemaal gebeurd. Als je het niet 'altijd, overal op de voet kunt volgen' - want die keuze heb je dan kennelijk al gemaakt - wat maakt het dan nog uit?

Dus, ja er valt publiek af, vast wel. Maar is dat in deze context ècht zo'n ramp? Het is 'maar' Twitter; een commerciele 'iedereen kan wat roepen' dienst. (Persoonlijke bias, want overtuigd non-twitteraar)

[Reactie gewijzigd door CaptainKansloos op 18 februari 2023 12:32]

MartenBE
@wildhagen18 februari 2023 10:32
Passwordmanagers zoals keepassxc, bitwarden, ... ondersteunen TOTP. Je kan dit instellen op dezelfde manier als de authenticator apps op de smartphone, maar werkt overal waarop je password manager werkt; dus ook op desktop. Wordt zelfs auto-aangevuld! Beter en veiliger dan SMS
Miesepies
@MartenBE18 februari 2023 12:45
Website, gebruikersnaam, wachtwoord en TOTP op 1 plek bewaren doet de beveiliging van 2FA een beetje teniet, denk je ook niet? Het idee is juist dat er een scheiding zit tussen wat je weet (koppie koppie / passwordmanager), wat je bent (biometrie) en wat je hebt (telefoon).
MartenBE
@Miesepies18 februari 2023 22:59
Dit artikel gaat dan toch over het afschaffen van SMS 2FA? De reactie waarop ik reageer is dat de persoon in kwestie geen smartphone heeft en dus ook geen auth app kan draaien. TOTP met passwordmanager is dan toch pakken beter dan geen of het allom geweten onveilig SMS? Daarnaast is het niet omdat je jouw password hebben, dat ze ook noodzakelijk toegang hebben tot jouw passwordmanager (bv. bij phishing is dit vaak zo).
Als je een smartphone, yubikey of ander apparaat hebt dan gebruik je inderdaad beter dat ipv TOTP in de passwordmanager voor true 2FA, maar daar draait deze reactiethread niet om.
ShadLink
@wildhagen18 februari 2023 10:05
Je kan ook een security key gebruiken. Bv. een YubiKey.
Travelan
@wildhagen18 februari 2023 10:05
Uhm, als je Twitter kan gebruiken, kan je ook een password manager (desnoods webbased) gebruiken voor je OTP codes.
aadje93
@Travelan18 februari 2023 18:54
en met een password manager is de gemiddelde gebruiker nog steeds een makkelijk te brute forcen wachtwoord aan het gebruiken.

Een mooie tip die iemand mij ooit is gaf, bedenk een email adres en vervangen de letters door logische hoofdletters. Automatisch heb je al de punt ( . ) en @ in je wachtwoord dan, + je zit zo aan de 20 tekens. Makkelijk te onthouden, doch knap pittig om te bruteforcen als je dit maar nergens anders invoert behalve je password manager master wachtwoord.
Muncher
@wildhagen18 februari 2023 10:06
Hoeveel is “lang niet iedereen”? Zijn daar cijfers van? Het lijkt mij dat de smartphone adoptie toch wel redelijk richting de 90% gaat (in Westerse landen).

Edit: 95% adoptie in NL in 2021 versus 75% in 2013. Nagenoeg iedereen heeft hier een smartphone. Nederland is wel koploper in Europa wat dat betreft en Twitter heeft uiteraard meer gebruikers dan alleen Nederland.

Zonder te weten hoeveel mensen die nu alleen SMS 2FA, geen smartphone hebben (en dus alleen een “duur” alternatief in de vorm van yubikeys oid) kan je niet met droge ogen zeggen dat “lang niet iedereen” een smartphone heeft.

https://www.consultancy.n...-samsung-groter-dan-apple

[Reactie gewijzigd door Muncher op 18 februari 2023 10:34]

aadje93
@Muncher18 februari 2023 18:55
email based 2FA kan dan dus ook, als je geen smartphone hebt zit je op de PC te twitteren, en kan je dus de mail ook makkelijk openen. Of via de webmail.
tweakerbee
@aadje9318 februari 2023 23:51
Omdat je je wachtwoord kan resetten via email zou je deze niet als 2e factor moeten tellen. Een gehackte email is dan directe toegang.
[Roland]
@wildhagen18 februari 2023 10:18
Ik denk dat het aandeel twitter gebruikers dat geen mobiele telefoon heeft (en dus twitter alleen gebruikt op een computer) zodanig klein is dat dit geen issue is.

Wat wel nog een issue zou kunnen zijn is mensen met een oude telefoon waar 2fa apps niet op draaien.

Verder eens hoor. 2fa per sms gratis behoort te zijn

[Reactie gewijzigd door [Roland] op 18 februari 2023 10:19]

aadje93
@[Roland]18 februari 2023 18:56
want SMS sturen kost een bedrijf gelukkig niets in tegenstelling tot een particulier 8)7
Frame164
@[Roland]18 februari 2023 19:43
Wholesale sms kost tussen de 5 en 20 cent per bericht, afhankelijk van de SLA. Lever jij dat in op je salaris als jullie op het werk zulke kosten zouden hebben?
Coolstart
@wildhagen18 februari 2023 10:39
Als je geen smartphone hebt zit je meestal toch niet op Twitter?

Zover ik het begrijp blijft alles gewoon gratis, enkel als je 2FA wil gebruiken via sms moet je betalen. Daar is toch niets vies aan?
kodak
@wildhagen18 februari 2023 10:49
Nog geen 3% gebruikt 2fa bij twitter. Hoe groot verwacht jij dat dan de groep tussen die 97% is die EN geen smartphone/tablet/computer met 2fa-app kan of wil hebben EN actief gebruiker van een twitter-account is EN 2fa aan wil hebben is?
lighting_
@wildhagen18 februari 2023 14:32
Onmogelijk om iedereen tevreden te houden. Soms moet je gewoon afstappen van oude techniek.
Anders zaten we nog met draai platen en 4:3 beeldverhouding uitzendingen. Omdat een klein groepje er nog gebruik van maakt.

[Reactie gewijzigd door lighting_ op 18 februari 2023 14:33]

aadje93
@lighting_18 februari 2023 18:58
maar een 4:3 uitzending kan ook op een 16:9 monitor en vice versa. Dat is bij de SMS 2FA achter een paywall zetten dus een heel ander verhaal en appels met mandarijnen vergelijken (die peren vergelijking moet onderhand wel resultaat hebben lijkt mij :+ )
lighting_
@aadje9318 februari 2023 19:18
De reden is al gegeven. Achter een paywall zetten zorgt ervoor dat er niet massaal bots inloggen waardoor Twitter 60 mln per jaar voor sms betaalt.
Estel
@wildhagen18 februari 2023 11:46
Hoewel je in zekere zin een punt hebt, denk ik dat het percentage Twitter gebruikers zonder smartphone heel erg dicht bij 0 ligt.
Kyuuni
@wildhagen18 februari 2023 11:57
Zoals onze grote vriend Wyatt Cheng van Blizzard al zei in 2018; 'Do you guys not have phones'?
gevoelig
@wildhagen18 februari 2023 12:19
Ik gebruik bijvoorbeeld niet de officiële Twitter app. Maar sinds kort ook nauwelijks Twitter, omdat mijn alternatieve app sinds de gratis api sluiting niet meer werkt.

Kan me bij dit besluit overigens wel iets voorstellen. Sms kost geldt, een authenticatie app niet.
jpfx
@wildhagen18 februari 2023 21:54
Hm... Twitter wordt toch het meest (OOK) als app op een smartphone gebruikt. En in 99% zal een SMS ook op die smartphone binnen komen.
System
@We Are Borg18 februari 2023 12:33
Zwak? Waarom denk je?
djiwie
@System18 februari 2023 12:40
SMS is relatief makkelijk te misbruiken.
wiseger
@djiwie18 februari 2023 13:03
Zo makkelijk is dat niet. Zodra je nummer overgenomen wordt door derden, zal je telefoon ermee stoppen. Dan neem je contact op met de klantenservice en komt de nummerovername al snel aan het licht.
Verder geldt in 2FA dat je ook de andere factor nodig hebt, alleen SMS is niet genoeg. Dus ook die zal de aanvaller in handen moeten krijgen.
Al met al best lastig dus en daarmee echt stukken beter dan username/password combinaties.
djiwie
@wiseger18 februari 2023 16:55
Tuurlijk is het lastiger dan alleen username+password, ik heb ook niet beweerd dat dat niet zo is. Maar vergeleken met TOTP of hardware key is SMS zwak. Je merkt misschien wel snel dat je je verbinding kwijt bent, maar in die tijd kan een aanvaller al tokens opgevraagd hebben. Met een hardware key moet de aanvaller daadwerkelijk fysiek toegang tot je key hebben.
System
@wiseger18 februari 2023 15:51
idd, zodra je zoiets merkt bel je cardstop en is het terug veilig.
Frame164
@djiwie18 februari 2023 19:47
Maar bij gebruik als onderdeel van 2fa werpt het wel een extra drempel op waardoor het voor de meeste accounts niet meer interessant is om het te onderscheppen. Je moet daar best wel voor doen. Het is net als met fietsendiefstal: een slot voorkomt geen diefstal, maar als er een paar fietsen staan wordt de fiets met het slechtse slot gestolen. En username/password is dan het slechtste slot als je account wilt hacken.
djiwie
@Frame16418 februari 2023 22:06
Dat ben ik met je eens, ik doelde op SMS vs. andere 2FA opties zoals TOTP of een hardware key. SMS+wachtwoord is inderdaad veel veiliger dan een wachtwoord alleen.
Loller1
@We Are Borg19 februari 2023 00:07
En screw iedereen die geen toegang heeft tot 2FA apps?
SpoekGTi
@moonlander18 februari 2023 10:02
2,4 procent van 450 miljoen gebruikers is ongeveer 11 miljoen users waar van 3/4 dus sms gebruikt. Dus als je 8,75 miljoen potentiële klanten die dus 8 dollar aftikken omdat Twitter meldt dat ze de 2fa moeten uitzetten

Ik denk dat musk zeer goed weet waar hij geld aan gaat verdienen
Maurits van Baerle
@SpoekGTi18 februari 2023 10:21
Je moet wel meerekenen dat er een fors deel zal zijn van die 11 miljoen die liever dan overstappen naar een andere vorm van beveiliging, of helemaal geen 2FA meer, dan dat ze ineens die acht dollar moeten betalen.

Ik vraag me vooral af of er niet ook een fikse variabele kostenpost onder zit. Het in stand houden van een SMS infrastructuur en de kosten van het verzenden van een SMS zal niet gratis zijn op de schaal van Twitter.
dycell
@Maurits van Baerle18 februari 2023 12:06
Dit, sms als tweede factor is erg duur en tevens de zwakste methode mogelijk (op e-mail na, maar dat zie je bijna nooit).

Het zal niemand boeien gezien de veiligere methoden nog gratis zijn. Het wordt gedaan alsof dit slecht nieuws is maar het is enkel positief.

Ps, we gaan de uitfasering van sms ook zien op andere platformen.
System
@dycell18 februari 2023 12:35
Tegenwoordig is 2fa sms vaak de veiligste oplossing gezien dit niet meer ongecodeerd verzonden wordt.
djiwie
@System18 februari 2023 12:42
SMS is niet onveilig omdat het unencrypted wordt verzonden maar vooral omdat het bij veel providers met een beetje social engineering mogelijk is om een nieuwe simkaart te activeren en daarop sms'jes te ontvangen. Dat is makkelijker te misbruiken dan een authenticator app waarbij je daadwerkelijk iemands device moet hebben, bij sms hoef je "slechts" toegang tot iemands mobiele abonnement te hebben.
System
@djiwie18 februari 2023 15:52
ja, maar dat gebeurt nooit ongemerkt, en zodra het gebeurt kan je cardstop bellen.
djiwie
@System18 februari 2023 16:56
En dan ben je al te laat? Want dan heeft de aanvaller al tokens opgevraagd?
(En dan hebben we het in NL nog relatief goed geregeld, is in andere landen minder goed op orde.)
System
@djiwie18 februari 2023 19:01
Te laat? Nee hoor. Bovendien kan een sim klonen enkel via social engineering.
dycell
@System20 februari 2023 13:30
Naast de terechte opmerking van @djiwie (die op een of andere manier niet Irrelevant is :?) is nummer spoofing / Caller ID spoofing ook heel eenvoudig.

Dat probleem heb je simpelweg niet met TOTP of FIDO2.
Als je mij niet wilt geloven dan is hier Microsoft's mening:
https://learn.microsoft.c...uthentication-methods.png
SpoekGTi
@Maurits van Baerle18 februari 2023 11:13
En @PjotrX

Precies dus het schrikbeeld van ow God er gaat wat uit of het nou wel of niet veilig genoeg is terzijde. Mensen die gaan betalen helpen mee de kosten te verlichten van het in stand te houden Sms platform en de mens die over stappen of het uitzetten of beide gaan betalen en naar een andere methoden gaan

Kortom win win, en negatieve publiciteit is ook publiciteit. Het regent huilies op de socials dat het uit moet of dat ze moeten betalen
selena81
@SpoekGTi18 februari 2023 10:16
De meesten zullen 2FA gewoon uitzetten ('ik had ooit gehoord dat het veiliger is, maar als ik moet gaan betálen...')
PjotrX
@SpoekGTi18 februari 2023 11:06
Volgens mij is het meer dat je kosten bespaard omdat je nu niet naar 8 miljoen mensen een sms-bericht moet sturen.
Webgnome
@SpoekGTi18 februari 2023 11:18
En natuurlijk de andere kant. Wat denk je dat al die smssjes kosten? Als je dat kunt verminderen door het alleen door een select groepje te laten gebruiken?
jpsch
@SpoekGTi18 februari 2023 14:33
11 Dollar

https://www.theverge.com/...subscription-verification
n3othebest
@SpoekGTi19 februari 2023 11:07
Of mensen zeggen hun account op omdat ze dit soort gezeik zat zijn.
En bedrijf dat even mijn 2fa uit gaat schakelen tenzij ik betaal en dan het lef heeft om te zeggen dat het om de veiligheid gaat.
Als het ze om veiligheid ging zouden ze een andere vorm verplicht moeten stellen en niet zomaar deze uitschakelen.
RedRayMann
@moonlander18 februari 2023 09:57
Dat was mijn eerste gedachte. Maar omdenkend...

Sms 2 trap verificatie is niet het meest veilig. Eigenlijk moeten alle bedrijven er vanaf en via een 3rd party app dit ondersteunen. Niet voor elke site of bedrijf weer een nieuwe app.

Dus omdenkend is dit wel weer een goede ontwikkeling om de veiligheid te verhogen.

Of ze het op een correcte manier doen, tjah, het had ook anders gebracht kunnen worden :-)
moonlander
@RedRayMann18 februari 2023 10:11
Maar de veiligheid wordt juist niet hoger aangezien er veel gebruikers zijn die er niet voor willen betalen en dus zonder 2fa/sms hun account hebben. De optie is natuurlijk een authenticatie app installeren, maar grote kans dat niet iedereen dat doet
Fire69
@moonlander18 februari 2023 10:26
Een oplossing zou zijn om 2FA verplicht te maken, maar dan enkel SMS beschikbaar te stellen voor Blue.
!mark
@Fire6918 februari 2023 10:44
Juist het binnendringen van Blue accounts is een veel groter risico voor het platform dan een account wat vooral gemaakt is om mee te lezen en wellicht eens 1 of 2 dingen per maand te posten.

Denk dat je best kunt stellen dat Blue accounts vaak de wat populairdere zijn zoals influceners en bekendere personen, die zijn juist een veel groter doelwit voor hackers dan jij of ik. Alle rede dus om juist voor dat soort account 2FA te verplichten met iets veiligers dan SMS als voorwaarde voor het blauwe vinkjes
Frame164
@RedRayMann18 februari 2023 19:50
Veiligheidsmaatregelen moeten altijd in verhouding staan tot het te beveiligen object. En als het goed genoeg is is het goed. En wat goed genoeg is hangt weer af van de situatie. Jij zult je huis ook niet hebben beveiligd zoals een data center van een bank of zo. Jouw internetmodem staat ook niet in een fysiek gescheiden dmz.
SuperDre
@moonlander18 februari 2023 11:27
Nouja, je hoeft niet te betalen. Logisch dat 2fa via sms geld gaat kosten, het kost twitter immers ook geld, in tegenstelling tot de andere 2fa methodes.
KoffieAnanas
@SuperDre18 februari 2023 12:06
Juist dit. Het is in mijn ogen puur bedoeld om de kosten te drukken. Sms verificatie kost simpelweg veel geld, en wordt ook steeds duurder. Als tegen de 10 miljoen gebruikers sms gebruikt voor 2fa, dan kost Twitter dat jaarlijks waarschijnlijk een paar miljoen euro. Door er geld voor te vragen, zullen veel gebruikers afstappen van 2fa, en daarnaast zullen we enige extra inkomsten erbij krijgen om de overgebleven kosten te kunnen dekken.

Musk is (niet) achterlijk.
litebyte
@SuperDre18 februari 2023 12:41
Dit soort discusses over 'kleinigheden' horen op het medium - Twitter zelf plaats te vinden. Dat alles wat Twitter aangaat tegenwoordig zogenaamd trending is en vooral buiten Twitter wordt besproken is toch wel frappant.
SuperDre
@litebyte18 februari 2023 18:48
Dus elke artikel hier op tweakers hoort eigenlijk op andere kanalen thuis?
litebyte
@SuperDre18 februari 2023 22:29
Nee
moonlander
@litebyte18 februari 2023 13:00
Ik gebruik geen twitter
masterbas
18 februari 2023 11:25
Uit het bericht dat je van Twitter krijgt. Staat dat je het zelf moet uit schakelen niet dat dat automatisch zal gaan. Tevens doen ze het laten klinken dat je dan moet gaan betalen anders ben je je account kwijt.
Wacht wel af en anders is het na jaren dag Twitter als ik er niet meer bij kom, want kan hem niet uitschakelen (krijg een fout melding) en ander beveiligings opties krijg ik niet te zien.
Jammer maar wordt er niet beter van de laatste maanden.
smiba
@masterbas18 februari 2023 11:43
Staat dat je het zelf moet uit schakelen niet dat dat automatisch zal gaan. Tevens doen ze het laten klinken dat je dan moet gaan betalen anders ben je je account kwijt.
Nee hoor, hun blog post is vrij duidelijk: https://blog.twitter.com/...tion-using-sms-on-twitter

Na de deadline word 2fa gewoon voor jou uitgeschakeld, en dat is het.

[Reactie gewijzigd door smiba op 18 februari 2023 11:43]

masterbas
@smiba19 februari 2023 07:54
Klopt maar als je die niet leest of weet dat het er is en je krijgt alleen het bericht dan denk je toch moet dit even doen anders kan ik er niet meer bij. Blog geeft een andere lezing dan het bericht dat je ontvangt.
Zenomyscus
18 februari 2023 10:22
Als ik eerlijk ben vind ik dit niet eens zo heel raar. Iedere SMS kost gewoon geld en dat moet Twitter betalen. Er zijn zat andere MFA opties die praktisch gratis en veiliger zijn voor zowel Twitter als de gebruiker. Als je dan per se een dure optie wilt ten opzichte van de andere opties, dan mag je daar best voor betalen. Het geld moet ergens vandaan komen en gezien Twitter geen winst maakt kan ik me voorstellen dat ze geen zin hebben om te betalen voor dure SMSjes naar gebruikers als ze willen inloggen. Dan kosten je gebruikers vooral geld ipv dat ze wat opleveren. Ik heb het niet zo op social media platformen en hun keuzes, maar dit is er dan eentje die ik kan begrijpen.
jpsch
18 februari 2023 14:27
Android is niet meer goedkoper. Denk dat de SMS discussie dit moet verbergen.

https://www.theverge.com/...subscription-verification
HairyWeasel
18 februari 2023 15:34
Desondanks is dit verreweg de populairste 2fa-methode.
Nadat ik een keer een factory reset op mijn telefoon had gedaan omdat hij niet lekker meer werkte kan ik je ook vertellen waarom. Wat een ellende om weer toegang te krijgen op alles waar ik 2FA via een authenticatie-app voor gebruikte.

[Reactie gewijzigd door HairyWeasel op 18 februari 2023 15:34]

ChillerBG
18 februari 2023 11:43
Wat ook speelt is dat dubious acteurs voor 60 miljoen USD per jaar misbruik maken van SMS authenticatie.

Het werkt erg simpel, ze zetten een virtueel mobiel provider op. Starten bots om honderden duizenden accounts te maken en dan gaan ze elke uur SMS afschieten voor authenticatie. Deze SMS kosten worden dan op Twitter verhaald.

Door SMS authenticatie achter paywall / abonnement te zetten houden ze deze praktijk gesloten.
tweegroenethee
@ChillerBG18 februari 2023 12:20
Dit is inderdaad vrij duidelijk door Twitter en Elon Musk uitgelegd. In het artikel staat "Verdere uitleg wordt niet gegeven."

Dit is wel belangrijke informatie die mist in het artikel
Vordreller
@tweegroenethee18 februari 2023 12:23
Kan je dat even linken?
ChillerBG
@Vordreller18 februari 2023 12:32
O.a. https://lancktele.com/blo...-a2p-sms-traffic-twitter/

Maar er is idd meer te vinden hierover op het internet.
Vordreller
@ChillerBG18 februari 2023 21:28
Merci
tweegroenethee
@Vordreller18 februari 2023 13:51
https://twitter.com/Titte...HZfzoPumQWMtjpL8LFhA&s=19
webside007
18 februari 2023 12:52
1 woord: schandalig ;(
Moeten betalen voor veiligheid van je account?!
Bor
@webside00718 februari 2023 13:39
Nee, niet helemaal. Reguliere gebruikers kunnen wel nog authenticatieapps of securitykeys instellen als 2fa-methode. SMS wordt al tijden niet meer aangeraden voor 2 factor authenticatie. Redenen hiervoor zijn o.a. de kwetsbaarheid voor sim swapping, sim duplication en SS7 attacks.
Zezura
@Bor18 februari 2023 15:28
Dan blijft het schandalig dat je mensen probeert over te halen met wat een standaard feature in beveiliging wordt beschouwd bij meeste websites en apps om ze voor Twitter blue te overtuigen.

[Reactie gewijzigd door Zezura op 18 februari 2023 15:28]

eric.1
18 februari 2023 11:01
omdat de 2fa-methode vaak 'misbruikt wordt door kwaadwillenden'.
Dit zijn wel hele specifieke aanvallen, lijkt me erg sterk dit.
Bor
@eric.118 februari 2023 16:10
Een simswap is niet heel erg specifiek maar gebeurt helaas vrij vaak. Je kan op deze manier wanneer alleen SMS verificatie wordt gebruikt iemand digitale identiteit overnemen. Diverse security bedrijven waarschuwen al jaren voor de gevaren van SMS wanneer dit voor authenticatie wordt gebruikt.
1 2

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee