'Twitter introduceert binnenkort two-step-authentication'

Twitter heeft momenteel intern een werkende versie van two-step-authentication draaien en zou deze feature binnenkort naar gebruikers willen uitrollen. Two-step-authentication moet het moeilijker maken voor kwaadwillenden om accounts te hacken.

Volgens Wired wordt de nieuwe feature momenteel intern getest bij het bedrijf en hoopt Twitter de veiligere manier van inloggen snel aan gebruikers te kunnen aanbieden. Twitter werkt in elk geval al sinds februari aan de feature. Toen verscheen er een vacature voor een ontwikkelaar die zich richt op het 'ontwerpen en ontwikkelen van beveiligingsmaatregelen aan de kant van de gebruiker, zoals multifactor authentication'.

Two-step-authentication laat gebruikers niet alleen een wachtwoord invoeren, maar ook een code die bijvoorbeeld naar de mobiele telefoon wordt gestuurd of via een app gegenereerd wordt. Dat moet de beveiliging van accounts verbeteren. Onder meer Google, Facebook, Microsoft en Dropbox bieden de verscherpte beveiliging al aan.

Een veiligere manier van inloggen lijkt geen overbodige luxe voor Twitter. Eerder dit jaar werd het sociale netwerk gehackt, waarbij misschien toegang is verkregen tot gegevens van 250.000 gebruikers, vooral oudgedienden die zich in 2006 of 2007 hadden geregistreerd.

Daarnaast worden ook geregeld accounts gehackt, waarna de hackers neptweets versturen. Dit gebeurde eerder deze week nog bij Associated Press. Een hacker had via een phishing-mail toegang verkregen tot het account, waarna een tweet werd verstuurd waarin stond dat er in het Witte Huis bommen waren ontploft en dat president Obama gewond zou zijn. Als gevolg van die tweet maakten verschillende effectenbeurzen een vrije val, al herstelden ze zich direct toen bekend werd dat de tweet nep was.

Door Wout Funnekotter

Hoofdredacteur

Feedback • 24-04-2013 09:0322

24-04-2013 • 09:03

22 Linkedin

Lees meer

Onderzoekers: two factor-authenticatie PayPal was eenvoudig te omzeilen Nieuws van 25 juni 2014
Microsoft geeft ter beveiliging inzage in activiteit accounts Nieuws van 10 december 2013
Veiligere loginmethode Twitter werkt nu ook in Nederland Nieuws van 7 augustus 2013
Twitter voegt dm-synchronisatie toe aan apps en webclients Nieuws van 9 juli 2013
Dropbox kampt met grootschalige storing - update Nieuws van 30 mei 2013
Kim Dotcom claimt patent op two-step-authentication Nieuws van 23 mei 2013
Two-step-authentication van Twitter werkt nog niet in Nederland Nieuws van 23 mei 2013
Gebruikers brengen nauwelijks tijd door op Google+ Nieuws van 10 mei 2013
Onderzoekers hacken bedrijven na simpelweg binnenlopen Nieuws van 3 mei 2013
Twitter opent deuren van eigen muziekdienst Nieuws van 18 april 2013
Microsoft voegt two-step-authentication toe aan diensten Nieuws van 17 april 2013
Ceo: Whatsapp telt meer actieve gebruikers dan Twitter Nieuws van 16 april 2013
Twitter werkt aan two-step-authentication Nieuws van 5 februari 2013
Twitter: aanvallers hadden mogelijk toegang tot kwart miljoen accountgegevens Nieuws van 2 februari 2013
'Twitter-applicaties hadden onbedoeld toegang tot privéberichten' Nieuws van 23 januari 2013
Meer producten en artikelen
Netwerk en systeembeheer Twitter

Reacties (22)

-Moderatie-faq
22
20
17
0
0
2
Wijzig sortering
aegis
24 april 2013 09:14
@MrYummy
Zoals bij Whatsapp? die heeft toch geen authenticatie is alleen gebonden aan het telefoon nummer.

ik hoop dat ze gebruik maken van de Google Authenticator zodat er gewoon 1 app voor blijft, zoals Dropbox, Wordpress enzo ook doen. dat is veel makkelijker dan wat facebook doet via SMS en hun eigen app.
Bananenplant
@aegis24 april 2013 09:45
Ik denk eigenlijk dat Twitter juist wel een goed platform is als een universele identity provider. Ik denk dat het juist onwenselijk is als je dat maar bij een beperkt aantal partijen zoals Google laat. Twitter is daarnaast bekend en wordt met social media integration ook al als identity provider gebruikt.

Wat two-step authentication betreft: hoe interessant is het welke partij je een sms stuurt? Vanuit het oogpunt usability lijkt het me geen verschil maken of Google of Twitter dat nu doet. Het enige punt lijkt me het aantal partijen dat de beschikking heeft over je telefoonnummer.
aegis
@Bananenplant24 april 2013 10:21
het gaat er niet om wie een smsje stuurt maar dat je er maar 1 basis app moet komen en niet elke service een eigen app.
Passeridae
@aegis24 april 2013 09:19
Of de Microsoft Authenticator app.

Maar in ieder geval een "universele basis app" en inderdaad niet voor eigen applicatie een eigen app. Daar zit ik eerlijk gezegd niet op te wachten.

En... een alternatief voor als je je telefoon niet bij je hebt. Hoewel misschien onvoorstelbaar en schrikbarend voor sommige jongeren maar het komt wel eens voor dat ik ergens niet in kan loggen omdat ik eerst mijn telefoon moet zoeken :Y)
MrYummy
@aegis24 april 2013 10:31
Bij WhatsApp krijg je toch altijd per sms een autenticatie-code als je voor het eerst gebruik gaat maken van WhatsApp. Maar die wordt automatisch ingevuld, dus hoef je niet tussen SMS en WhatsApp te switchen om die code te achterhalen. ;)
darkfader
@aegis25 april 2013 01:30
FYI: facebook werkt ook met Google Authenticator. Je moet dan wel op "get key" drukken.
MadEgg
24 april 2013 10:11
Wat mij betreft is die laatste alinea toch wel een duidelijk teken dat veel mensen social media veel te serieus nemen.

Zelf gebruik ik geen Twitter, maar ik mag toch hopen dat als Facebook zoiets in zijn hoofd krijgt dat het op zijn minst optioneel blijft. Ik vind FB wel leuk om af en toe wat te lezen wat andere mensen erop plempen en een klein beetje op de hoogte te blijven van mensen die ik niet vaak zie, maar mijn profiel heeft verder vrij weinig waarde voor mij. Mijn password is niet heel eenvoudig en bescherm ik goed, maar als hij gehackt wordt kan ik er absoluut niet wakker van liggen. Mocht ik daadwerkelijk moeilijk moeten gaan doen om in te loggen met authentication apps of iets in die richting dan is de lol er voor mij vrij snel af en zal ik mijn account toch maar eens gaan opzeggen. Het is al vervelend genoeg dat als ik een keer vanuit het buitenland inlog ik eerst mensen op foto's moet gaan identificeren voordat ik erin mag.

Hoe zit dat hier bij Twitter eigenlijk? Wordt het verplicht, die two-step-authentication? Kan het in het bron-artikel ook niet vinden.

[Reactie gewijzigd door MadEgg op 24 april 2013 10:12]

Bananenplant
@MadEgg24 april 2013 10:54
Facebook heeft het al en ik heb het aangezet. Het is namelijk gewoon niet prettig als iemand zich toegang verschaft tot je persoonlijke profiel en daar rottigheid mee uithaalt.

Verder denk ik dat het juist zeer wenselijk is dat dit bij Facebook kan omdat ze zich ook positioneren als social identity provider en daar ook de nodige standaarden voor ondersteunen. Je kunt in ASP.Net bijvoorbeeld kinderlijk eenvoudig een webapplicatie maken die Facebook (of Google of Microsoft) gebruikt voor gebruikersauthenticatie. En juist een partij als Facebook, waar je volgens hun filosofie je online leven zo'n beetje leidt, is een goede kandidaat voor dit soort werk, net als Twitter.
MadEgg
@Bananenplant24 april 2013 11:08
Ondersteuning hiervoor vind ik op zich prima. Zolang het niet opgedrongen wordt. Uit jouw reactie leidt ik af dat dat hier ook niet het geval dus, dus van mij geen bezwaar.

Van mijn part zouden ze zelf two-step-authentication verplicht mogen stellen als je het gebruikt om in te loggen op andere websites. Maar daar ga ik sowieso niet aan beginnen, ik hou mijn online identiteiten graag gescheiden, dus mijn Facebook account wordt uitsluitend of Facebook gebruikt. Dat beperkt het risico van het eventueel gehackt worden van een account aanzienlijk.

Verder is het niet prettig als iemand zich toegang verschaft tot je account, inderdaad. Daarom kies ik voor veilige en verschillende wachtwoorden. Om voor elke willekeurige site straks met een app of wat dan ook te moeten authenticeren zit ik niet op te wachten. Minder veilig dan two-step-authentication, absoluut. Alhoewel ik dat ook nog wel betwijfel in sommige gevallen als ik zie hoe mensen hun telefoons laten rondslingeren en voornaam+geboortejaar als wachtwoord gebruiken, dan denk ik dat ik met mijn langere en willekeurige wachtwoord toch een stuk veiliger zit.

Bovendien zit het grootste risico nog steeds tussen de stoel en het toetsenbord. Heel veel mensen laten zich overal ingelogd blijven, plakken hun wachtwoord met een post-it op hun monitor en gebruiken overal hetzelfde wachtwoord. Blijkbaar zijn er zelfs mensen die in de zeer doorzichtige phishing mailtjes trappen. Dan kun je nog de boel zo goed beveiligd hebben vanuit technisch oogpunt, maar als aanvaller kom je daar dan makkelijk omheen.
aegis
@MadEgg24 april 2013 10:27
Het grote probleem is dat de overgrote meerderheid van de gebruikers Facebook/Google/Twitter gebruiken om in te loggen op 1 of meerdere servicen. Wat dus een groot risco mee brengt als alleen een facebook account gehackt word dat dan op veel meer diensten in gelogd kan worden.
!null
24 april 2013 09:14
Wat ernstig dat zo'n effectenbeurs een vrije val maakt vanwege een nepmailtje. Dat laat wel weer zien in wat voor maatschappij we leven. En dat we financieel gezien er nog steeds niet stabieler op zijn geworden, dat er maar weinig is geleerd.
Ryceck
@!null24 april 2013 09:25
Dit is inderdaad ook hetgeen mij het meeste op is gevallen omtrent het nieuws van die foutieve tweet. Het feit dat *iedere* nieuwssite als eerste vermeld "na het uitbrengen van de valse tweet maakten de beurzen een vrije val".
Niet: "waren mensen in paniek", "werd direct internationaal contact gezocht", "heeft het witte huis een verklaring gegeven", nee er wordt als eerste over de beurzen geluld.
En dan het simpele feit dat 1 tweet er direct voor kan zorgen dat een complete beurs instort.... Interessante maatschappij inderdaad :)
MsG
@Ryceck24 april 2013 11:16
Als een bepaalde tweet van een gerenommeerd bedrijf komt neem je die voor waarheid aan, dus het gaat niet zozeer om de tweet an sich, maar meer het bericht dat de president van de VS gewond is geraakt bij een explosie, mijnsinziens wel logisch dat daardoor er paniek ontstaat.
TDeK
@Ryceck24 april 2013 11:40
En dat we financieel gezien er nog steeds niet stabieler op zijn geworden, dat er maar weinig is geleerd.
Het grootste deel van de beurs (met name High Frequency Trading) draait volledig op 'black boxes' die honderden of duizenden input parameters hebben waarmee wordt bepaald of een aandeel moet worden gekocht of verkocht. Ik kan me zo voorstellen dat bepaalde feeds (RSS, Twitter enz) een hoge prio/waardering hebben binnen deze systemen wat de daling zou kunnen verklaren. Al zouden er maar een paar van deze boxen zijn, dan nog heeft het een rimpel effect omdat de 'stupid boxes' ook meegaan in de trend omdat de beurswaarde zelf begint te bewegen.
Conclusie: mensen én machines zijn steeds minder in staat om informatie te verifiëren en leunen vrijwel volledig op (aangenomen) betrouwbaarheid van een entiteit of kanaal. Plus dat de hele geldmarkt niks meer met de realiteit van doen heeft, maar dat wisten we al :).
Aanrader: http://tegenlicht.vpro.nl...ance/money-and-speed.html

[Reactie gewijzigd door TDeK op 24 april 2013 11:43]

kritischelezer
24 april 2013 10:02
Is het een idee om je eigen land en provider(s) te white listen per account en als je naar het buitenland gaat een land voor een bepaalde tijd activeerd?

Dit doen we nu ook met de pin pas...

Uiteraard is land wel te achterhalen, maar het wordt al lastiger om te bruteforcen van een Chineese server. Door de provider er ook aan te koppelen, is er nog een hindernis bij gekomen. Deze info kan bij registratie al worden verzameld.

Zo kan ook een digitale vingerprint worden gemaakt van de devices die je gebruikt. Bijvoorbeeld je thuis PC en telefoon, paypal doet dit op een sublieme wijze.

Allemaal opties waar de gebruiker niet veel extra voor hoeft te doen.
Bananenplant
@kritischelezer24 april 2013 10:50
Facebook heeft zoiets al. Toen ik in 2010 op vakantie naar Israel was inloggen aanmerkelijk bewerkelijker en moest ik bijvoorbeeld mijn beveiligingsvraag beantwoorden. Dit omdat Facebook doorhad dat ik ineens een heel andere IP-range had dan normaal.
MrYummy
24 april 2013 09:07
Klinkt als een goed plan. Hopen dat ze voor mobiele platformen het zo kunnen maken als ze bij WhatsApp hebben, scheelt weer wat extra werk. :D
Anoniem: 423265
24 april 2013 09:36
Het is een feature lees ik, dus ik mag aannemen dat het optioneel is, en dat je het niet hoeft te gebruiken als je het niet wil, net als bij de andere diensten die het inmiddels al aanbieden?
tweakPiet
24 april 2013 13:34
Ik begrijp het even niet meer. Two-step-authentication is bedoelt om het account veiliger te maken. Dat heeft te maken met mensen die een dom wachtwoord kiezen die makkelijk geraden kan worden. Dus voor die domme mensen moeten we twee codes gaan in voeren. Die tweede code komt binnen via SMS of App. en is dus veel belangrijker dan die eerste code (wachtwoord). Wat heeft dan die eerste wachtwoord nog als nut. Die zou je dan nog steeds als zeer simpel kunnen kiezen. Of juist nu bewust kiezen voor een wachtwoord die te simpel is, omdat je toch een tweede code moet in voeren.
De vraag is dan nog steeds hoe weet je nu of die persoon die de tweede code ontvangt de juiste is? Dit is ook het probleem waar de overheid mee zit, met DigiD. Nu gaat alles per post, wat fraudegevoelig is. Dat is ook de reden voor om de overheid kijkt naar een digitale DigiD pas, die face-to-face bij je gemeente zou moeten ophalen.
Ik snap best wel dat de veiligheid van twitter account gewaarborgd moet worden, maar of je daarbij je telefoonnummer moet geven begint mij steeds meer tegen te staan. Het telefoon nummer kan gebruikt worden om jouw twitter account te koppelen met andere account. Immers het vragen om je telefoonnummer vindt steeds meer plaats (goole, facebook,etc).
Anoniem: 469544
@tweakPiet24 april 2013 13:43
Het is ook extra veiligheid, je bent niet verplicht 2-stap verificatie aan te zetten, slimme mensen zoals jij kunnen dus gewoon zoals altijd 'normaal' inloggen ;)

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee