Twitter werkt aan two-step-authentication

Twitter is waarschijnlijk van plan om two-step-authentication in te voeren. In een vacature vraagt het bedrijf om iemand die de beveiligingsmaatregel kan ontwerpen en ontwikkelen. Afgelopen zaterdag werd bekend dat hackers hebben ingebroken op de servers van Twitter.

In de vacature, die door The Guardian werd opgemerkt, vraagt Twitter specifiek om een ontwikkelaar die zich richt op het 'ontwerpen en ontwikkelen van beveiligingsmaatregelen aan de kant van de gebruiker, zoals multifactor authentication'. Ook detectie van frauduleuze loginpogingen behoort tot de taken van de aan te nemen ontwikkelaar.

Two-factor-authentication laat gebruikers niet alleen een wachtwoord invoeren, maar ook een code die bijvoorbeeld naar de mobiele telefoon van de gebruiker wordt gestuurd. Dat moet de beveiliging van accounts verbeteren. Onder meer Google, Facebook en Dropbox bieden de verscherpte beveiliging al aan, en ook in veel zakelijke omgevingen wordt de techniek gebruikt, bijvoorbeeld met een apart apparaatje dat bij het inloggen een unieke code genereert die moet worden ingevoerd.

Het nieuws volgt kort op een hack op de servers van Twitter, waarbij misschien toegang is verkregen tot gegevens van 250.000 gebruikers, vooral oudgedienden die zich in 2006 of 2007 hadden geregistreerd. De aanvallers wisten van die gebruikers onder meer e-mailadressen, tokens van sessies en versleutelde wachtwoorden buit te maken. Het is onduidelijk of Twitter pas na deze hack besloot om two-factor-authentication in te voeren.

Door Joost Schellevis

Redacteur

Feedback • 05-02-2013 13:3524

05-02-2013 • 13:35

24 Linkedin

Lees meer

Update Google Authenticator-app voor iOS wist accounts - update Nieuws van 4 september 2013
Veiligere loginmethode Twitter werkt nu ook in Nederland Nieuws van 7 augustus 2013
Twitter voegt dm-synchronisatie toe aan apps en webclients Nieuws van 9 juli 2013
Kim Dotcom claimt patent op two-step-authentication Nieuws van 23 mei 2013
Two-step-authentication van Twitter werkt nog niet in Nederland Nieuws van 23 mei 2013
'Twitter introduceert binnenkort two-step-authentication' Nieuws van 24 april 2013
Microsoft voegt two-step-authentication toe aan diensten Nieuws van 17 april 2013
'Microsoft-accounts krijgen tweestaps-authenticatie' Nieuws van 9 april 2013
Google breidt Webmaster-tools uit met 'eerste hulp na hacken' Nieuws van 13 maart 2013
Hackers verkrijgen toegang tot accountdata van Evernote-gebruikers Nieuws van 2 maart 2013
'Twitter koopt bedrijf voor sociale tv-analyse' Nieuws van 5 februari 2013
Twitter: aanvallers hadden mogelijk toegang tot kwart miljoen accountgegevens Nieuws van 2 februari 2013
'Twitter-applicaties hadden onbedoeld toegang tot privéberichten' Nieuws van 23 januari 2013
Truc verschaft Nederlander toegang tot 20.000 Twitter-accounts Nieuws van 13 december 2012
Apple-hacker gaat bij Twitter aan beveiliging werken Nieuws van 15 september 2012
Meer producten en artikelen
Netwerk en systeembeheer Twitter

Reacties (24)

-Moderatie-faq
24
24
20
2
0
1
Wijzig sortering
leuk_he
5 februari 2013 13:54
2 step? Meestal heet het echt 2 factor authorisation.

kies 2

-Something you know, (b.v.. password)
-Something you have (e.g Rsa token, of sms berichtje)
-Something you are (biometrie)
necessaryevil
@leuk_he5 februari 2013 14:00
Lijkt me niets voor Twitter omdat gebruikers vaak snel een kort berichtje posten. Als je dan steeds moet inloggen met een code van je gsm is dat best een omslachtige handeling.
Kecin
@necessaryevil5 februari 2013 14:03
Je koppelt deze zaken eenmalen of een token heeft een bepaalde levensduur. Zo kan je bijvoorbeeld bij Google een device (bijvoorbeeld je mobiel) koppelen met een eenmalig password. Wanneer dit eenmaal gekoppeld is en je telefoon word gestolen dan kun je deze pass "revoken" waardoor de account niet meer ingelogd is op het device.

Dus je typt niet bij elke tweet het token in, maar wanneer iemand je username en wachtwoord hebt ontvang jij op je device bijvoorbeeld nog een sms. Zo kan iemand die op dat moment niet op je scherm kan kijken inloggen op je account, doordat jij de eenmalige code van een aantal karakters op je scherm krijgt.

In dat geval heb je dus de volgende dingen nodig om te authenticatie te starten:
Gebruikersnaam
Wachtwoord
Token die 5 minuten geldig is, en zal worden verstuurd naar een device (mobiel bijv).
Tijmenn
5 februari 2013 13:38
Ik snap niet dat ze dit nog niet hebben. Facebook heeft het al een lange tijd (en het werkt ook goed).
Maistah
@Tijmenn5 februari 2013 13:57
Een two-step authentication houdt alleen in dat het de hacker moeilijker wordt gemaakt, niet onmogelijk.Hoe je het namelijk ook wendt of keert, er wordt een encryptie naar je mobiele telefoon gestuurd. DIt bericht verlaat een bepaald punt en de code komt weer op een bepaald punt binnen.
Rafe
@Maistah5 februari 2013 14:08
Hoe je het namelijk ook wendt of keert, er wordt een encryptie naar je mobiele telefoon gestuurd.
Niet met TOTP dat oa door Google, Amazon en Dropbox wordt gebruikt.
B3U5
@Rafe5 februari 2013 16:16
[...]

Niet met TOTP dat oa door Google, Amazon en Dropbox wordt gebruikt.
Maar TOTP maakt wel gebruik van een shared key/seed die dus op je telefoon staat...

Ik vermoed dat Maistah doelt op het risico van MITM, al dan niet via SMS authentication.
Passeridae
@Tijmenn5 februari 2013 13:46
Lekker solide argument. Dus omdat FB het al lange tijd gebruikt, had Twitter dit ook moeten doen?

Het is zeker waar dat het de veiligheid ten goede komt. Two factor vind je overigens op steeds meer plekken terug. Waar men dit eerst gewend was bij banken en andere betalingssites, worden nu alle accounts met hoge waarde (lees: Outlook.com, Gmail, social media, etc) beveiligd d.m.v. deze methode.

[Reactie gewijzigd door Passeridae op 5 februari 2013 13:47]

biglia
@Tijmenn5 februari 2013 15:11
Facebook is super qua beveiliging. Het detecteert vreemde toestellen, en vreemde locaties. Als je dan wil nog wil inloggen, heb je meer nodig dan enkel een paswoord.
MadEgg
@biglia6 februari 2013 10:57
Inderdaad, super irritant. Ben je op vakantie, wil je even snel iets posten, moet je eerst mensen op foto's gaan identificeren wat niet eens ergens op slaat omdat bij de helft van de foto's waarop iemand getagd is, dat met het idee gedaan is om aan te geven dat die persoon daarbij aanwezig was, en niet zo zeer dat die persoon daar op de foto staat.

Ik ben niet zo achterlijk om domme, onveilige wachtwoorden te gebruiken of die aan anderen kenbaar te maken, waarom mag ik dan niet gewoon dit soort maatregelen uitzetten die uitsluitend dienen om onwetende gebruikers met eenvoudige wachtwoorden te beschermen als ze weer eens op 'Ja, wachtwoord opslaan' of 'Blijf ingelogd' klikken op een vreemde computer, of gewoon hun wachtwoord invullen naar aanleiding van het eerste de beste phishing-mailtje?
nullr0ute
5 februari 2013 14:02
Eindelijk! Heerlijk is dat. Al is two step authentication niet de ideale oplossing, inloggen duurt zo weer langer. Gewoon een sterke passphrase gebruiken?
Kecin
@nullr0ute5 februari 2013 14:05
Een passphrase zou iedereen kunnen achterhalen door je bijvoorbeeld te kennen. Een token is eenmalig en daardoor veiliger omdat (als het goed is) jij de enige bent die je smsjes kan lezen.
To_Tall
@nullr0ute5 februari 2013 14:12
Afhankelijk van welke techniek er wordt gebruikt.

Als je een Certificaat op je machine laat zetten. en je hebt een wachtwoord heb je al een Two Step Auth. Want op geen andere computer kan je met je wachtwoord dan op je account komen als voorbeeld.

Het hoeft dus niet perse langer te duren om in te loggen. Het ophalen en installeren van een certificaat die gekoppeld is aan je account en wachtwoord kan al voldoende zijn om eeen systeem iets veiliger te maken. Certificaat kan dan ook gekoppeld worden aan een bepaalde machine waardoor cert op een andere machine dus onbruikbaar is :)

Anderemanier is om een externe database jou te authentiseren. Die stuurt jou door naar Twitter die jouw gegevens controleerd dus Password en je persoonlijke inlogpagina met SAML token.. Dan heb je ook maar single point of contact. en 1 wachtwoord.
Kecin
5 februari 2013 13:39
Werd ook tijd, het Google netwerk heeft het al jaren, Facebook heeft het al een poos, echter ontbrak Twitter nog.
Het nieuws volgt kort op een hack op de servers van Twitter, waarbij misschien toegang is verkregen tot gegevens van 250.000 gebruikers, vooral oudgedienden die zich in 2006 of 2007 hadden geregistreerd. De aanvallers wisten van die gebruikers onder meer e-mailadressen, tokens van sessies en versleutelde wachtwoorden buit te maken. Het is onduidelijk of Twitter pas na deze hack besloot om two-factor-authentication in te voeren.
Niet dat het trouwens zin heeft bij een hack van de database maar alsnog...
Sleepkever
@Kecin5 februari 2013 13:52
Natuurlijk wel. Vaak is zo'n hack van een database alleen een database dump die naar buiten wordt gebracht. Echter heb je met two factor authentication niets meer aan alleen de wachtwoorden. Dan moet je ook de codes of het mobieltje waarnaartoe gestuurd wordt in bezit hebben.

Tenzij ze natuurlijk two-factor authentication met een app gaan implementeren ala blizzard, dan zullen de keys per user wel weer in de database ergens staan...
Kecin
@Sleepkever5 februari 2013 14:01
Nou zolang ze de gebruikersgegevens (username, password, mobiel telefoonnummer, e.d.) niet encrypten dan kan je dus alsnog een grote personenlijst samenstellen. Deze informatie is ook openbaar, maar over het algemeen kan je het e-mailadres nergens zien.

Dus wanneer je two-step authentication toevoegd, en je hackt daarna alsnog de database dan heb je nog steeds een lijst met e-mailadressen, voornamen, achternamen, etc, zolang deze data niet is ge-encrypt.
biglia
5 februari 2013 14:03
Moet dit dan telkens wanneer je inlogt? Dat lijkt me nogal omslachtig. Ik neem mijn Twitter account ook niet echt serieus. Het is een kleine kans dat ik het verlies, en dan nog zou ik het geen ramp vinden.
Kecin
@biglia5 februari 2013 14:55
Google biedt tegenwoordig een "Trust this computer" aan, waardoor zoals bovengenoemd je PC een bepaalde sessie blijft bevatten totdat je echt keihard je cache gaat legen, waarna je weer opnieuw zou moeten authenticeren.
Dus als jij 30 dagen doet met je cache dan hoef je het dus maar eens in de 30 dagen te doen.
To_Tall
@Kecin5 februari 2013 19:36
Trust this computer can google is niets meer Dan een cookie die op he of wordt geplaatst. Google geeft hier een ttl aan mee soms kan de bezoeker kiezen zoals Bin t.net hoelang de sessie mag duren. Maar ook je cache legen heeft hier invloed op.

Beste wat je zou kunnen doen is met een cert werken die gekoppeld wordt aan jouw pc hoeft btw geen cert te zijn zoals we nu kennen maar zou ook een nieuw type beveiliging kunnen zijn die fysiek op je pc aanwezig is op cookie na natuurlijk. Belangrijkste is dat er iets is dAt wordt opgeslagen op je computer en alleen bekend is op de webservices. Door middel van een aparte authenticatie server.
Quacka
5 februari 2013 14:00
Straks heb je dus je mobieltje nodig, om in te kunnen loggen op twitter?
Waar is dat nu goed voor?

Ik vind het prima als extra beveiliginsoptie, zolang er maar keuzevrijheid blijft.
werchter
5 februari 2013 14:53
Ik denk dat men ervoor moet waken dat nieuwe beveilingsmaatregelen te veel ten koste zullen gaan van user experience.

Hetzelfde geldt overigens voor captcha's die steeds lastiger leesbaar worden (zie nieuwsbericht Ticketmaster).

Zolang er keuzevrijheid is, zoals bij Google, is er niet zo veel aan de hand. Persoonlijk hecht ik niet dusdanig veel belang aan mijn Twitter account om two-step authentication te willen. Maar dat de mogelijkheid geboden wordt voor diegene die dat wel willen (en snappen waarom het belangrijk kan zijn) lijkt me prima.

Overigens begrijp ik niet de direct link met de hack. Ik neem even voor het gemak aan dat er niet duizendende accounts zijn buitgemaakt door één user account te hacken (iets wat met two step authentication moeilijker wordt gemaakt), maar dat het de oorzaak bij een intern beveilingsprobleem ligt.

[Reactie gewijzigd door werchter op 5 februari 2013 14:56]

darkfader
5 februari 2013 15:17
Waarschijnlijk wilden ze dit al langer toevoegen, omdat je ook op andere sites met je twitter account kunt authenticeren (net als FB).
Dit bericht is meer een goedmakertje voor die hack, ook al heeft het niet direct met elkaar te maken.
Anoniem: 441072
5 februari 2013 13:43
Het is wel frustrerend dat crackers je business verzieken en het kost kapitalen. Maar ja, het hoort er eenmaal bij.
DJMaze
@Anoniem: 4410725 februari 2013 13:55
Het zorgt alleen voor een extra beveiliging tijdens het inloggen.
Als ze in de database kunnen (zoals laatst) heeft een two-step helemaal geen meerwaarde.

Je argument over crackers heeft daarom niet echt een meerwaarde.

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee