Wordpress.com introduceert two-factor-authenticatie

WordPress.com heeft een extra authenticatiestap toegevoegd aan zijn blogplatform. Wie de functie inschakelt, moet naast zijn wachtwoord een door zijn smartphone gegenereerde code invoeren. Vooralsnog is de functie alleen beschikbaar voor bij WordPress gehoste blogs.

De implementatie van two-factor-authenticatie door WordPress.com maakt gebruik van de Google Authenticator-app voor iOS, Android, BlackBerry en Windows Phone, zo blijkt uit een blogpost. Die applicatie genereert elke halve minuut een nieuwe code, gebaseerd op een sleutel die verder alleen de server van WordPress.com kent. De code moet worden ingevoerd bij het inloggen, na het invoeren van het wachtwoord.

Daardoor zijn accounts beter beveiligd, belooft het blogplatform. De functie is optioneel, en wie niet over een smartphone beschikt kan codes laten toesturen via sms. De afgelopen tijd introduceerden veel internetbedrijven, waaronder Google, Facebook en Dropbox, ondersteuning voor de veiligere loginmethode.

Vooralsnog is de functionaliteit enkel beschikbaar voor weblogs die op WordPress.com worden gehost, en nog niet voor weblogs die de opensource-software van WordPress zelf hebben draaien. Een ontwikkelaar van Wordpress, Gary Pendergas, schrijft dat WordPress op dit moment bekijkt hoe de functionaliteit zou kunnen worden uitgerold naar die weblogs, maar dat daar op dit moment nog geen concreet plan voor is. Er is al wel een onofficiële plugin die two-factor-authenticatie toevoegt.

Door Joost Schellevis

Redacteur

Feedback • 08-04-2013 10:2529

08-04-2013 • 10:25

29 Linkedin

Lees meer

Facebook krijgt ondersteuning voor inloggen met U2F-beveiligingssticks Nieuws van 26 januari 2017
WordPress-installaties vatbaar voor hijacking via publieke wifi-netwerken Nieuws van 26 mei 2014
WordPress dicht ernstig beveiligingslek Nieuws van 9 april 2014
Update Google Authenticator-app voor iOS wist accounts - update Nieuws van 4 september 2013
Facebook test andere lay-out voor iPhone-app Nieuws van 24 juni 2013
LinkedIn introduceert two-factor-authenticatie Nieuws van 31 mei 2013
'Two-factor-authenticatie Twitter is eenvoudig te omzeilen' Nieuws van 27 mei 2013
Google gaat two-factor-authenticatie verplichten Nieuws van 10 mei 2013
Brute force-aanvallen op WordPress-sites verdrievoudigd Nieuws van 13 april 2013
Wordpress.com gaat betaling in Bitcoins toestaan Nieuws van 17 november 2012
WordPress 3.2 biedt 'Zen-modus' in editor Nieuws van 5 juli 2011
Hackers krijgen root-toegang tot WordPress-servers - update Nieuws van 14 april 2011
Microsoft stopt met Windows Live Spaces en verhuist naar Wordpress Nieuws van 28 september 2010
Meer producten en artikelen
Netwerk en systeembeheer

Reacties (29)

-Moderatie-faq
29
27
18
1
0
6
Wijzig sortering
GewoonWatSpulle
8 april 2013 10:31
...gebaseerd op een algoritme dat verder alleen de server van WordPress.com kent.
Lijkt me dat hier de Google authenticatie server voor gebruikt word. Wel interessant om te zien dat externe partijen hun authenticatie via de Google Authenticator laten lopen!

@Auredium de open-source versie heeft hele andere problemen namelijk updates die niet uitgevoerd worden en door updates thema's die niet goed opgezet zijn gereset worden etc.

[Reactie gewijzigd door GewoonWatSpulle op 8 april 2013 10:32]

CremersDH
@GewoonWatSpulle8 april 2013 10:48
Kleine correctie hier.

De google authenticator is een applicatie die werkt op basis van TOTP ( time-based one-time password). Dat is gewoon een algoritme dat werkt met de 100% open source applicatie die toevallig door google gemaakt is. Er wordt geen informatie met google uitgewisseld om deze paswoorden te maken of te vergelijken. Het zal zelfs zonder netwerk verbinding kunnen werken bij lokaal inloggen.

Dit voordat mensen bang zijn dat hun informatie bij google terecht komt ;)
T_E_O
@GewoonWatSpulle8 april 2013 10:48
Nee; het artikel verwoordt het ook onjuist. Het algoritme kent iedereen; de seed zal slechts bij WordPress en op het toestel van de gebruiker bekend zijn. Het algoritme staat gewoon in 1 of meer RFC's beschreven.

Echte afhankelijkheid van Google is er dus ook niet. Er zijn ook andere apps waarmee dit prima werkt. Door te zoeken in de app-store op "totp" kom je alternatieven tegen.
Orian
@GewoonWatSpulle8 april 2013 11:49
Al langer gebruiken andere partijen ook de authenticator van google. Zo kun je het ook voor dropbox gebruiken.
vhartong
8 april 2013 10:33
Haha.. en dan toch back-up codes genereren.. Voor als je je telefoon verliest :)

aanvullend: "Print out some backup codes to keep in a safe place — your wallet, a filing cabinet or your document safe in case your phone is lost or stolen. You can print backup codes right from your WordPress.com Security tab."

[Reactie gewijzigd door vhartong op 8 april 2013 10:34]

bvanaerde
@vhartong8 april 2013 11:05
Dat verplaatst het probleem dus naar de gebruiker zelf. Geen slechte zaak lijkt me. Een mens moet maar leren om verantwoord om te gaan met wachtwoorden :P

Je schrijft je pincode toch ook niet op je bankkaart...
vhartong
@bvanaerde8 april 2013 12:23
Ja, maar dat haalt toch het hele effect weg van je telefoon gebruiken? Of zie ik dit nu verkeerd?
ari
@vhartong8 april 2013 12:42
De hele truc van de dubbele beveiliging is dat je iets moet weten (je wachtwoord) en iets moet bezitten (de telefoon) om in te kunnen loggen. Een wachtwoord is relatief eenvoudig te onderscheppen. Maar alleen daarmee ben je nog niet binnen, dan moet je nog toegang hebben tot de bewuste telefoon. De combinatie van deze twee factoren is veel sterker dan de twee losse methoden.

De reserve-wachtwoorden (als je er voor kiest om die aan te maken) heb je ook fysiek bij je. Bijvoorbeeld in je portemonnee of in een schoenendoos met je belangrijke documenten. Hiervoor geldt exact hetzelfde als voor de smartphone: je moet het fysieke papiertje met daarop de codes in handen zien te krijgen voordat je kunt inloggen. Overigens moet je (bij Google tenminste) ook dan het wachtwoord invoeren - aan alleen de codes heb je dus niets.

[Reactie gewijzigd door ari op 8 april 2013 12:44]

vhartong
@ari8 april 2013 14:57
Mijn hele punt is juist dat je de huidige wachtwoorden ook physiek bij je kan hebben. En dat je dus ook een wachtwoord hebt indien je telefoon dus weg is, dan heb je dus niet meer dat ene nodig wat je moet bezitten.
Dus kun je alsnog met een wachtwoord dus inloggen. (zonder het 'bezit' erbij te hebben). Dat maakt de functie naar mijn idee overbodig.
TheNephilim
8 april 2013 10:44
Netjes! Zoiets zullen we vast nog wel terugzien in de Opensource versie van Wordpress. Dat gaat nog wel even duren denk ik, maar het is wel zeker zo veilig. Ook voor mensen die niet zo voorzichtig omgaan met hun wachtwoorden helpt deze extra stap.
TimeVortex
@TheNephilim8 april 2013 11:13
Ik verwacht eigenlijk dat we 't in Jetpack, een bundel officiële extensies die ook op WordPress.com gebruikt worden, terug zullen gaan zien.
Room42
@TheNephilim8 april 2013 16:07
Er is reeds een plugin voor beschikbaar: Wordpress > Google Authenticator.
PixelPhobiac
8 april 2013 11:10
Goede zet. Nu hoop ik wel dat ze de mogelijkheden uitbreiden. Ik zou graag mijn YubiKey willen gebruiken.
Midas.e
8 april 2013 11:18
Dit gebruik ik inmiddels al een jaar op mn eigen wordpress? je kan de module Google Authenticator installeren, zie hier de site van degene die deze gemaakt heeft: http://henrik.schack.dk/google-authenticator-for-wordpress
Martindo
8 april 2013 12:01
Dit kan al gebruikt worden via een Google Applicatie. Wel lijkt het me een mooie toevoeging als het standaard in Wordpress kan. Ik ben benieuwd hoe het gaat lopen.
Henrikop
8 april 2013 12:36
Goed om te lezen. 2 Factor zet ik praktisch voor alles aan waar het kan. Het is even wennen en soms doorbijten, maar uiteindelijk wordt het een gewoonte, net als je computer locken op kantoor als je naar het toilet gaat.

Ik ben verbijsterd dat Microsoft zich zo hardnekkig blijft verzetten tegen 2 factor authentication.

Leuk je infrastructuur bij Windows Azure, maar als een username wachtwoord voldoende is om binnen te komen....
biglia
8 april 2013 13:54
Ik ben voorstander, maar ik kan me alvast voorstellen dat een eenvoudige gebruiker dit als een tweede extra, overbodige stap ziet. Maar zolang het niet verplicht is, heeft men nog de keuze.
Auredium
8 april 2013 10:31
Op zich wel leuk als extra toevoeging natuurlijk. Dit is een reactie op de eerdere hacks waar wordpress mee kreeg te maken en two factor identificatie is niet alleen wenselijk maar ook ndoig om vertrouwen terug te winnen in mijn ogen. Dat gezegd hebbende is het dan wel weer zo dat je een smartphone moet hebben voor gebruik. Ik mag hopen dat two factor identificatie zonder ook gewoon nog een optie is voor het geheel.

Hoop dat de open source versie ook snel komt overigens. :)

@wwwhizz: Fijn om te horen. Niet overal waar wordtpress wordt gebruikt is smartphone een gemeengoed. Veel blogs vanuit wat minder gestelde landen bijvoorbeeld.

@Bones: o.a. nieuws: Hackers krijgen root-toegang tot WordPress-servers - update

[Reactie gewijzigd door Auredium op 8 april 2013 10:56]

bones
@Auredium8 april 2013 10:42
Welke eerdere hacks dan? Bron?
RedPixel
@Auredium8 april 2013 10:33
Je hoeft geen smartphone te hebben, je kunt ook codes krijgen per SMS.
Dutch-gabber
@Anoniem: 264478 april 2013 15:48
Je kan ook SMSjes ontvangen op een standaard huis-telefoon.
Niosus
@Anoniem: 264478 april 2013 17:29
Koop dan een prepaid toestel met simkaart voor 15 euro en leg het in een la? Je kan echt niet serieus verwachten dat er rekening gehouden wordt met mensen zonder GSM als zelfs in zwart afrika meer en meer mensen er één beginnen krijgen. In sommige landen zoals India wordt het zelfs als een belangrijk betaalmiddel gebruikt.

Ik vind het trouwens moeilijk te geloven dat je er echt geen hebt. Hoe bel je dan? Goede oude huistelefoon? Wat als je onderweg of gewoon niet thuis bent? Je kan Skype zeggen, maar dan heb je nog een toestel nodig?

Btw als je dan echt zo graag GSM wilt vermijden, er zijn genoeg online diensten waar je een nummer kan kopen. Zelfs met gewoon Skype zou dat moeten lukken voor een paar euro.
CH4OS
@Niosus9 april 2013 10:27
Koop dan een prepaid toestel met simkaart voor 15 euro en leg het in een la?
En dan moet je elk jaar minimaal 1x opwaarderen om je nummer te behouden. Als je heel weinig belt, kost je dat dus meer dan dat je uiteindelijk belt... ;)
aadje93
@Anoniem: 264479 april 2013 08:37
het is een optioneel middel, lees je het artikel wel?

WordPress.com heeft een extra authenticatiestap toegevoegd aan zijn blogplatform. Wie de functie inschakelt, moet naast zijn wachtwoord een door zijn smartphone gegenereerde code invoeren.

Verder als de titel lezen is tegenwoordig ook lastig geworden....
chocopasta
8 april 2013 20:28
Goede ontwikkeling lijkt me, het enige aandachtspunt voor de toekomst rondom dergelijke TOTP token oplossingen lijkt me het fijt dat je zowel inlogt op de site vanaf je smartphone of tablet en de token software op het zelfde apparaat draait. Malware zou beiden kunnen combineren en gebruiken waardoor authenticatie alsnog wordt omzeild.
1 2

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee