Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 22 reacties

Twitter heeft momenteel intern een werkende versie van two-step-authentication draaien en zou deze feature binnenkort naar gebruikers willen uitrollen. Two-step-authentication moet het moeilijker maken voor kwaadwillenden om accounts te hacken.

TwitterVolgens Wired wordt de nieuwe feature momenteel intern getest bij het bedrijf en hoopt Twitter de veiligere manier van inloggen snel aan gebruikers te kunnen aanbieden. Twitter werkt in elk geval al sinds februari aan de feature. Toen verscheen er een vacature voor een ontwikkelaar die zich richt op het 'ontwerpen en ontwikkelen van beveiligingsmaatregelen aan de kant van de gebruiker, zoals multifactor authentication'.

Two-step-authentication laat gebruikers niet alleen een wachtwoord invoeren, maar ook een code die bijvoorbeeld naar de mobiele telefoon wordt gestuurd of via een app gegenereerd wordt. Dat moet de beveiliging van accounts verbeteren. Onder meer Google, Facebook, Microsoft en Dropbox bieden de verscherpte beveiliging al aan.

Een veiligere manier van inloggen lijkt geen overbodige luxe voor Twitter. Eerder dit jaar werd het sociale netwerk gehackt, waarbij misschien toegang is verkregen tot gegevens van 250.000 gebruikers, vooral oudgedienden die zich in 2006 of 2007 hadden geregistreerd.

Daarnaast worden ook geregeld accounts gehackt, waarna de hackers neptweets versturen. Dit gebeurde eerder deze week nog bij Associated Press. Een hacker had via een phishing-mail toegang verkregen tot het account, waarna een tweet werd verstuurd waarin stond dat er in het Witte Huis bommen waren ontploft en dat president Obama gewond zou zijn. Als gevolg van die tweet maakten verschillende effectenbeurzen een vrije val, al herstelden ze zich direct toen bekend werd dat de tweet nep was.

Moderatie-faq Wijzig weergave

Reacties (22)

@MrYummy
Zoals bij Whatsapp? die heeft toch geen authenticatie is alleen gebonden aan het telefoon nummer.

ik hoop dat ze gebruik maken van de Google Authenticator zodat er gewoon 1 app voor blijft, zoals Dropbox, Wordpress enzo ook doen. dat is veel makkelijker dan wat facebook doet via SMS en hun eigen app.
Ik denk eigenlijk dat Twitter juist wel een goed platform is als een universele identity provider. Ik denk dat het juist onwenselijk is als je dat maar bij een beperkt aantal partijen zoals Google laat. Twitter is daarnaast bekend en wordt met social media integration ook al als identity provider gebruikt.

Wat two-step authentication betreft: hoe interessant is het welke partij je een sms stuurt? Vanuit het oogpunt usability lijkt het me geen verschil maken of Google of Twitter dat nu doet. Het enige punt lijkt me het aantal partijen dat de beschikking heeft over je telefoonnummer.
het gaat er niet om wie een smsje stuurt maar dat je er maar 1 basis app moet komen en niet elke service een eigen app.
Of de Microsoft Authenticator app.

Maar in ieder geval een "universele basis app" en inderdaad niet voor eigen applicatie een eigen app. Daar zit ik eerlijk gezegd niet op te wachten.

En... een alternatief voor als je je telefoon niet bij je hebt. Hoewel misschien onvoorstelbaar en schrikbarend voor sommige jongeren maar het komt wel eens voor dat ik ergens niet in kan loggen omdat ik eerst mijn telefoon moet zoeken :Y)
Bij WhatsApp krijg je toch altijd per sms een autenticatie-code als je voor het eerst gebruik gaat maken van WhatsApp. Maar die wordt automatisch ingevuld, dus hoef je niet tussen SMS en WhatsApp te switchen om die code te achterhalen. ;)
FYI: facebook werkt ook met Google Authenticator. Je moet dan wel op "get key" drukken.
Wat mij betreft is die laatste alinea toch wel een duidelijk teken dat veel mensen social media veel te serieus nemen.

Zelf gebruik ik geen Twitter, maar ik mag toch hopen dat als Facebook zoiets in zijn hoofd krijgt dat het op zijn minst optioneel blijft. Ik vind FB wel leuk om af en toe wat te lezen wat andere mensen erop plempen en een klein beetje op de hoogte te blijven van mensen die ik niet vaak zie, maar mijn profiel heeft verder vrij weinig waarde voor mij. Mijn password is niet heel eenvoudig en bescherm ik goed, maar als hij gehackt wordt kan ik er absoluut niet wakker van liggen. Mocht ik daadwerkelijk moeilijk moeten gaan doen om in te loggen met authentication apps of iets in die richting dan is de lol er voor mij vrij snel af en zal ik mijn account toch maar eens gaan opzeggen. Het is al vervelend genoeg dat als ik een keer vanuit het buitenland inlog ik eerst mensen op foto's moet gaan identificeren voordat ik erin mag.

Hoe zit dat hier bij Twitter eigenlijk? Wordt het verplicht, die two-step-authentication? Kan het in het bron-artikel ook niet vinden.

[Reactie gewijzigd door MadEgg op 24 april 2013 10:12]

Facebook heeft het al en ik heb het aangezet. Het is namelijk gewoon niet prettig als iemand zich toegang verschaft tot je persoonlijke profiel en daar rottigheid mee uithaalt.

Verder denk ik dat het juist zeer wenselijk is dat dit bij Facebook kan omdat ze zich ook positioneren als social identity provider en daar ook de nodige standaarden voor ondersteunen. Je kunt in ASP.Net bijvoorbeeld kinderlijk eenvoudig een webapplicatie maken die Facebook (of Google of Microsoft) gebruikt voor gebruikersauthenticatie. En juist een partij als Facebook, waar je volgens hun filosofie je online leven zo'n beetje leidt, is een goede kandidaat voor dit soort werk, net als Twitter.
Ondersteuning hiervoor vind ik op zich prima. Zolang het niet opgedrongen wordt. Uit jouw reactie leidt ik af dat dat hier ook niet het geval dus, dus van mij geen bezwaar.

Van mijn part zouden ze zelf two-step-authentication verplicht mogen stellen als je het gebruikt om in te loggen op andere websites. Maar daar ga ik sowieso niet aan beginnen, ik hou mijn online identiteiten graag gescheiden, dus mijn Facebook account wordt uitsluitend of Facebook gebruikt. Dat beperkt het risico van het eventueel gehackt worden van een account aanzienlijk.

Verder is het niet prettig als iemand zich toegang verschaft tot je account, inderdaad. Daarom kies ik voor veilige en verschillende wachtwoorden. Om voor elke willekeurige site straks met een app of wat dan ook te moeten authenticeren zit ik niet op te wachten. Minder veilig dan two-step-authentication, absoluut. Alhoewel ik dat ook nog wel betwijfel in sommige gevallen als ik zie hoe mensen hun telefoons laten rondslingeren en voornaam+geboortejaar als wachtwoord gebruiken, dan denk ik dat ik met mijn langere en willekeurige wachtwoord toch een stuk veiliger zit.

Bovendien zit het grootste risico nog steeds tussen de stoel en het toetsenbord. Heel veel mensen laten zich overal ingelogd blijven, plakken hun wachtwoord met een post-it op hun monitor en gebruiken overal hetzelfde wachtwoord. Blijkbaar zijn er zelfs mensen die in de zeer doorzichtige phishing mailtjes trappen. Dan kun je nog de boel zo goed beveiligd hebben vanuit technisch oogpunt, maar als aanvaller kom je daar dan makkelijk omheen.
Het grote probleem is dat de overgrote meerderheid van de gebruikers Facebook/Google/Twitter gebruiken om in te loggen op 1 of meerdere servicen. Wat dus een groot risco mee brengt als alleen een facebook account gehackt word dat dan op veel meer diensten in gelogd kan worden.
Wat ernstig dat zo'n effectenbeurs een vrije val maakt vanwege een nepmailtje. Dat laat wel weer zien in wat voor maatschappij we leven. En dat we financieel gezien er nog steeds niet stabieler op zijn geworden, dat er maar weinig is geleerd.
Dit is inderdaad ook hetgeen mij het meeste op is gevallen omtrent het nieuws van die foutieve tweet. Het feit dat *iedere* nieuwssite als eerste vermeld "na het uitbrengen van de valse tweet maakten de beurzen een vrije val".
Niet: "waren mensen in paniek", "werd direct internationaal contact gezocht", "heeft het witte huis een verklaring gegeven", nee er wordt als eerste over de beurzen geluld.
En dan het simpele feit dat 1 tweet er direct voor kan zorgen dat een complete beurs instort.... Interessante maatschappij inderdaad :)
Als een bepaalde tweet van een gerenommeerd bedrijf komt neem je die voor waarheid aan, dus het gaat niet zozeer om de tweet an sich, maar meer het bericht dat de president van de VS gewond is geraakt bij een explosie, mijnsinziens wel logisch dat daardoor er paniek ontstaat.
En dat we financieel gezien er nog steeds niet stabieler op zijn geworden, dat er maar weinig is geleerd.
Het grootste deel van de beurs (met name High Frequency Trading) draait volledig op 'black boxes' die honderden of duizenden input parameters hebben waarmee wordt bepaald of een aandeel moet worden gekocht of verkocht. Ik kan me zo voorstellen dat bepaalde feeds (RSS, Twitter enz) een hoge prio/waardering hebben binnen deze systemen wat de daling zou kunnen verklaren. Al zouden er maar een paar van deze boxen zijn, dan nog heeft het een rimpel effect omdat de 'stupid boxes' ook meegaan in de trend omdat de beurswaarde zelf begint te bewegen.
Conclusie: mensen én machines zijn steeds minder in staat om informatie te verifiëren en leunen vrijwel volledig op (aangenomen) betrouwbaarheid van een entiteit of kanaal. Plus dat de hele geldmarkt niks meer met de realiteit van doen heeft, maar dat wisten we al :).
Aanrader: http://tegenlicht.vpro.nl...ance/money-and-speed.html

[Reactie gewijzigd door Rick2910 op 24 april 2013 11:43]

Is het een idee om je eigen land en provider(s) te white listen per account en als je naar het buitenland gaat een land voor een bepaalde tijd activeerd?

Dit doen we nu ook met de pin pas...

Uiteraard is land wel te achterhalen, maar het wordt al lastiger om te bruteforcen van een Chineese server. Door de provider er ook aan te koppelen, is er nog een hindernis bij gekomen. Deze info kan bij registratie al worden verzameld.

Zo kan ook een digitale vingerprint worden gemaakt van de devices die je gebruikt. Bijvoorbeeld je thuis PC en telefoon, paypal doet dit op een sublieme wijze.

Allemaal opties waar de gebruiker niet veel extra voor hoeft te doen.
Facebook heeft zoiets al. Toen ik in 2010 op vakantie naar Israel was inloggen aanmerkelijk bewerkelijker en moest ik bijvoorbeeld mijn beveiligingsvraag beantwoorden. Dit omdat Facebook doorhad dat ik ineens een heel andere IP-range had dan normaal.
Klinkt als een goed plan. Hopen dat ze voor mobiele platformen het zo kunnen maken als ze bij WhatsApp hebben, scheelt weer wat extra werk. :D
Het is een feature lees ik, dus ik mag aannemen dat het optioneel is, en dat je het niet hoeft te gebruiken als je het niet wil, net als bij de andere diensten die het inmiddels al aanbieden?
Ik begrijp het even niet meer. Two-step-authentication is bedoelt om het account veiliger te maken. Dat heeft te maken met mensen die een dom wachtwoord kiezen die makkelijk geraden kan worden. Dus voor die domme mensen moeten we twee codes gaan in voeren. Die tweede code komt binnen via SMS of App. en is dus veel belangrijker dan die eerste code (wachtwoord). Wat heeft dan die eerste wachtwoord nog als nut. Die zou je dan nog steeds als zeer simpel kunnen kiezen. Of juist nu bewust kiezen voor een wachtwoord die te simpel is, omdat je toch een tweede code moet in voeren.
De vraag is dan nog steeds hoe weet je nu of die persoon die de tweede code ontvangt de juiste is? Dit is ook het probleem waar de overheid mee zit, met DigiD. Nu gaat alles per post, wat fraudegevoelig is. Dat is ook de reden voor om de overheid kijkt naar een digitale DigiD pas, die face-to-face bij je gemeente zou moeten ophalen.
Ik snap best wel dat de veiligheid van twitter account gewaarborgd moet worden, maar of je daarbij je telefoonnummer moet geven begint mij steeds meer tegen te staan. Het telefoon nummer kan gebruikt worden om jouw twitter account te koppelen met andere account. Immers het vragen om je telefoonnummer vindt steeds meer plaats (goole, facebook,etc).
Het is ook extra veiligheid, je bent niet verplicht 2-stap verificatie aan te zetten, slimme mensen zoals jij kunnen dus gewoon zoals altijd 'normaal' inloggen ;)

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True