'Two-factor-authenticatie Twitter is eenvoudig te omzeilen'

De implementatie van two-factor-authenticatie door Twitter is eenvoudig te omzeilen, meldt een beveiligingsbedrijf. Een kwaadwillende hoeft van een doelwit enkel het telefoonnummer te weten en over de mogelijkheid te beschikken om sms-berichten te spoofen.

De onlangs aangekondigde two-factor-authenticatie van Twitter leunt geheel op sms en dat is ook de achilleshiel van het systeem, blijkt uit onderzoek van F-Secure. Een kwaadwillende moet daarvoor wel het telefoonnummer weten dat de gebruiker heeft ingesteld voor two-factor-authenticatie. Vanaf dat telefoonnummer moet een sms-bericht met het woord 'stop' naar Twitter worden gestuurd, waarna two-factor-authenticatie direct wordt uitgeschakeld.

Om het sms-bericht vanaf het telefoonnummer van de gebruiker te kunnen versturen, moet de kwaadwillende beschikken over de mogelijkheid om gespoofte sms-berichten te versturen. Dat is relatief simpel; er bestaat kant-en-klare software waarmee dat mogelijk is en er zijn websites die sms-spoofing als dienst aanbieden.

Overigens werkt two-factor-authenticatie nog niet voor Nederlandse en Belgische Twitter-gebruikers. Bij two-factor-authenticatie moet bij het inloggen naast het wachtwoord een tweede code worden ingevuld, die door een smartphone-app wordt gegenereerd of via sms wordt verzonden. Twitter ondersteunt als enige grote sociale-netwerksite niet de mogelijkheid om de codes door een app te laten genereren.

Door Joost Schellevis

Redacteur

Feedback • 27-05-2013 15:2333

27-05-2013 • 15:23

33 Linkedin

Lees meer

Update Google Authenticator-app voor iOS wist accounts - update Nieuws van 4 september 2013
Twitter belooft betere mogelijkheden om misbruik te melden Nieuws van 4 augustus 2013
Twitter voegt dm-synchronisatie toe aan apps en webclients Nieuws van 9 juli 2013
Twitter neemt locatiegebaseerde sociale dienst Spindle over Nieuws van 20 juni 2013
Twitter brengt videodienst Vine naar Android Nieuws van 3 juni 2013
LinkedIn introduceert two-factor-authenticatie Nieuws van 31 mei 2013
Two-step-authentication van Twitter werkt nog niet in Nederland Nieuws van 23 mei 2013
Google gaat two-factor-authenticatie verplichten Nieuws van 10 mei 2013
Wordpress.com introduceert two-factor-authenticatie Nieuws van 8 april 2013
Wachtwoord Apple ID te wijzigen met e-mailadres en geboortedatum Nieuws van 22 maart 2013
Betere beveiliging Apple ID werkt niet in Nederland Nieuws van 22 maart 2013
Meer producten en artikelen
Netwerk en systeembeheer Twitter

Reacties (33)

-Moderatie-faq
33
33
16
4
0
10
Wijzig sortering
Peetke
27 mei 2013 15:26
Je zou zeggen dat ze over de procedure hebben nagedacht. Dit is wel belachelijk simpel de neppen en daarmee geeft de hele Two-factor-authenticatie als geheel dus vrij zeer beperkt extra veiligheid.

Ze hadden imho beter de Google Authenticator kunnen pakken ipv weer een eigen systeem te verzinnen.
Bjornski
@Peetke27 mei 2013 15:29
Ik denk niet dat Twitter dit zelf bedacht heeft. Er zijn 1001 apps / bedrijven die authenticeren via een SMS bericht. Bovendien; dat het zo simpel werkt maakt het wel een stuk gebruiksvriendelijker dan Google Autnenticator, waar je volgens mij weer een aparte app voor nodig hebt.

Het probleem zit hem in het feit dat je een SMS kunt sturen naar twitter, waarmee je die authenticatie uit zet. Dat is in mijn ogen niet zo'n heel intelligent idee....
Al zouden ze het alleen maar omdraaien (klik op knopje om uit te schakelen, vul je gebruikersnaam in, ontvang een SMS met een code waarmee je de authenticatie uit kunt schakelen), eventueel met een extra bevestiging via email, dan zou het al veiliger zijn.

[Reactie gewijzigd door Bjornski op 27 mei 2013 15:31]

locke960
@Bjornski27 mei 2013 21:07
Het probleem zit hem in het feit dat je een SMS kunt sturen naar twitter, waarmee je die authenticatie uit zet. Dat is in mijn ogen niet zo'n heel intelligent idee....
Ik zou zeggen dat het probleem zit in het feit dat het nog steeds mogelijk is om bij SMS telefoonnummers te spoofen.
mvdejong
@locke96027 mei 2013 21:34
Dat spoofen verhinderen is niet triviaal, en ligt buiten Twitter.

Zolang dat spoofen mogelijk is, moet je dus je procedures zo inrichten dat je dit ondervangt. En zoals Bjornski al aangeeft is dat kinderachtig simpel te doen door het stoppen van de 2-factor authenticatie op een vergelijkbare manier op te zetten als de authenticatie zelf.
sc0va
@Bjornski28 mei 2013 00:52
Vind dit dan weer een brilliant ideee van Bjornski, ik zou zeggen stuur eens een mailtje naar de HQ van Twitters of werk het zelf uit en verkoop het! _/-\o_
Uchiha1911
@Peetke27 mei 2013 15:32
Ze hadden niet per se voor Google Authenticator hoeven gaan. Daarnaast was het geen probleem geweest als ze een systeem hadden gemaakt wat niet gemakkelijk te omzeilen is.

Het rare hieraan vind ik dat ze niet naar anderen hebben gekeken of zelfs maar even hebben nagedacht over de mogelijkheid van spoofing. Deze SMS-verificatie had prima kunnen werken i.c.m. een bevestigingsmail of iets dergelijks: een simpele manier om er voor te zorgen dat de two-factor authenticatie uit (en aan?) kan worden gezet zonder je rot te zoeken, maar toch de extra stap om er 'zeker' van te zijn dat jij het bent.

edit: Google leek ook niet alles op een rijtje te hebben een tijdje terug, al was het daar niet zo makkelijk te omzeilen.

[Reactie gewijzigd door Uchiha1911 op 27 mei 2013 15:39]

Dorank
@Uchiha191127 mei 2013 20:05
Ze hadden niet per se voor Google Authenticator hoeven gaan.
Google authenticator is gewoon een implementatie van https://tools.ietf.org/html/rfc4226 en https://tools.ietf.org/html/rfc6238

Als ze de nog oudere OTP manieren hadden geimplementeerd (http://www.ietf.org/rfc/rfc2289) zou ik met GA overal kunnen inloggen zonder daadwerkelijk mijn wachtwoord te typen, maar de keren dat ik zonder een trsuted device met ssh keys ben is tegenwoordig vrijwel 0. Als je rekening houdt met bruteforces (en een DOS voorlief neemt) dan durf ik TOTP wel te gebruiken als enig authenticatie mechanisme

Iets anders kiezen door zelf het wiel uit te vinden is vragen voor problemen. Als het nu nog niet tot je is door gedrongen dat het heel simpel is om callerids te faken, dan is je poging tot falen gedoemt. Het was al veel veiliger geweest indien je een code moest inkloppen die twitter je stuurt om te bewijzen dat je controle hebt over het daadwerkelijke nummer. Maar ja dat kost twitter geld.
Anoniem: 83
@Peetke27 mei 2013 16:43
Ze hadden imho beter de Google Authenticator kunnen pakken ipv weer een eigen systeem te verzinnen
Quote for truth. Ik gebruik hem ook, heb inmiddels als meerdere non-Google services erin staan. Even je private key via een QR scannen, en klaar, ideaal!
Anoniem: 457516
27 mei 2013 15:27
Dit vind ik wel een erg kwalijke zaak. Dat SMS te spoofen is weet vrijwel iedereen lijkt me.
Ik zou hier toch een extra stap aan toevoegen dat er bv een specifieke code gesmst moet worden, of dat er een extra stap via bijvoorbeeld mail vereist is.
Anoniem: 394438
@Anoniem: 45751627 mei 2013 15:31
Dit vind ik wel een erg kwalijke zaak. Dat SMS te spoofen is weet vrijwel iedereen lijkt me.
Ik zou hier toch een extra stap aan toevoegen dat er bv een specifieke code gesmst moet worden, of dat er een extra stap via bijvoorbeeld mail vereist is.
Dit kan zelfs via een willekeurige VOIP dienst, want je hoeft dus klaarblijkelijk alleen 'STOP' vanaf nummer 'X' te versturen, en het vervolgens niet verder geverifieerd word. Facebook en Google doen het bijvoorbeeld met een code naar de telefoon toe, en niet andersom.
WhatsappHack
@Anoniem: 39443828 mei 2013 01:01
Ik denk, en het is een trieste gedachte als het waar zou zijn, dat Twitter dat dus niet doet om flink geld te besparen... Immers kost een SMS versturen centjes; het ontvangen is vrijwel altijd gratis. (Behalve bij sommige rare USA carriers waar je moet dokken als je een sms uit het buitenland krijgt, herp derp)
Anoniem: 418414
@Anoniem: 45751627 mei 2013 15:40
Dit vind ik wel een erg kwalijke zaak. Dat SMS te spoofen is weet vrijwel iedereen lijkt me.
Ik denk dat je iets te optimistisch bent over de tech-kennis van de doorsnee BeNeLuxer.
Ik denk dat van heel mijn familie - van 15jarigen tot gepensioneerden - ik de enige ben die dat zou weten. En ook alleen maar omdat ik een jaar of 10 geleden op zoek was naar (gratis) SMS'en via computer/internet.
svennd
@Anoniem: 41841427 mei 2013 15:49
Klopt maar de doorsnee hacker/cracker zal dit wel weten. Maar de titel is wat misleidend, je hebt namelijk het paswoord & telefoon nummer nodig om in binnen te raken; Wat twee entiteiten zijn;
Uchiha1911
@svennd27 mei 2013 15:56
De titel is niet misleidend. De two-factor authenticatie is te omzeilen doordat deze gemakkelijk uit te schakelen is. Je verwart de two-factor authenticatie an sich met het aan- en uitzetten van de service.
Sisko
@Uchiha191127 mei 2013 17:08
Het is niet alleen makkelijk uit te zetten, maar vervolgens kan je een ander nummer toevoegen, en volgens:
Bij two-factor-authenticatie moet bij het inloggen naast het wachtwoord een tweede code worden ingevuld, die door een smartphone-app wordt gegenereerd of via sms wordt verzonden. Twitter ondersteunt als enige grote sociale-netwerksite niet de mogelijkheid om de codes door een app te laten genereren.
kan je dus naar dat nieuwe nummer een sms met de 2e factor code krijgen.
Anoniem: 457516
@Anoniem: 41841427 mei 2013 16:07
Ik ben inderdaad vrij optimistisch over de gemiddelde kennis, vooral als het schade tot gevolg kan hebben. Ik ben niet zo van het onderschatten ;-)

Verder heb je wel gelijk. Tegelijkertijd is de keerzijde dat de mensen die een twitter account over willen nemen ook meestal niet iemand uit je familie die totaal niets weten van ICT.
Vayra
@Anoniem: 41841427 mei 2013 17:56
Er hoeft er ook maar 1 te zijn. En van die duizenden eenlingen op de wereld is er vast ook wel eentje die een how-to op youtube weet te plempen.

Maar zelfs al gebeurt dat niet... oh wacht. Google, 3e hit.

http://lifehacker.com/5853056/how-to-spoof-caller-id
Atlantis1995
27 mei 2013 17:03
Ik vind het bezopen. Ik zit niet om dat soort authenticatie te wachten. Ik wil mijn telefoonnummer niet opgeven. Onder die voorwaarden heb ik mijn hele account niet geregistreerd onder gmail en twitter.
tes_shavon
@Atlantis199527 mei 2013 17:18
Je snapt het concept niet geloof ik ... de reden dat je je telefoonnummer geeft is omdat je daarmee een extra laag van beveiliging hebt. Niet alleen moet je je gebruikersnaam en wachtwoord ingeven, maar daarnaast moet je ook nog een bewijzen dat je bent wie je zegt dat je bent met behulp van een apparaat dat je waarschijnlijk altijd bij je hebt.

Een potentiele hacker moet dus je gebruikersnaam, je wachtwoord EN je telefoon hebben. Dat is een stuk complexer dan alleen je gebruikers en je wachtwoord.

Dat de implementatie van Twitter rammelt doordat je met spoofsms-jes dit weer direct kunt uitzetten is natuurlijk bizar.

Daarnaast is er natuurlijk wel de mogelijkheid dat Twitter jouw telefoonnummer gaat gebruiker voor allerhande marketingdoeleinden. Maar dan moet je helemaal NIET naar twitter gaan als je bang bent voor je privacy...
Atlantis1995
@tes_shavon27 mei 2013 17:20
Ik snap het concept prima. En je geeft in de laatste alinea het correcte antwoord.
Pure_evil
@tes_shavon27 mei 2013 18:25
Sluit me helemaal aan bij Atlantis.
Als ik mijn nummer opgeef is dat hooguit aan een webshop of dergelijke, nooit ofte nimmer aan socialrommeldingen.
Tijdens het registreren al een nummer vragen => heel jammer maar ga je NOOIT krijgen, dan gebruik ik je service maar niet
Tijdens mijn gebruik opeens dingen veranderen waardoor je wel mijn nummer moet hebben, heel jammer, dan stap ik wel over op iets wat niet zo privacy-gevoelige-informatie-gierig is.

Zelfde met alle rotzooi op android, elke app moet tegenwoordig wel weten wat jouw info is/wat je contacten zijn/locatie en dergelijke, toestelletje rooten en per app blokkeren die rotzooi als ik echt geen degelijk alternatief vind.

Feit is, wie het echt wil kan waarschijnlijk in korte tijd toch reeds alles over me te weten komen, net omdat er dan bij die sites die je dan wel vertrouwd OOK wel eens wat misgaat. Zo probeer ik al 3 jaar om mijn vast nummer uit het lokale boekje van de gemeente te halen, ze willen echt niet mee volgens mij.
StelioKontos
@Pure_evil27 mei 2013 22:41
De apps op je android sturen velen malen nuttigere informatie door dan je telefoonnummer, bovendien weten ze je telefoonnummer+e-mail+naam al van Android, dus waar maak je je nog zorgen om?

Een telefoonnummer is niks meer dan een nummer, je hebt er niks aan en ik kan morgen mn telefoonnummer verandere mocht ik dat willen. Een telefoonnummer wordt pas interessant als ze andere informatie kunnen verzamelen en via je telefoonnummer kunnen koppelen aan je naam, bijvoorbeeld via Android. Maar twitter two-step heeft niks met android apps te maken dus nogmaals het is slechts een nummer.

[Reactie gewijzigd door StelioKontos op 27 mei 2013 22:42]

WhatsappHack
27 mei 2013 18:24
Goh, dat ze niet geleerd hebben van mijn hack bij WhatsApp... Exact dezelfde methode om het te kraken... Sterker nog: nog slechter, bij WhatsApp moest je de code eerst nog uit je outbox extracten, hier is t een standaard woord...

Slecht, heeeeel slecht.
ndv
27 mei 2013 16:21
Het is dan misschien niet super intelligent en makkelijk te omzeilen... Maar we hebben het hier nu niet bepaald over je bankrekening ofzo. Het is toch helemaal niet interessant om iemand zijn twitter te hacken (tenzij je iemand niet mag ofzo). Maar het ergste wat kan gebeuren is dat iemand je account delete of iets lomps twittert, zogenaamd als jou.

Ik zal er niet direct van wakker liggen
martijnve
@ndv27 mei 2013 16:48
Dus als jij twee weken op vakantie bent en iemand deze twee weken allerlei vrienden en kennissen tegen je in het harnas jaagt en discriminerende opmerkingen post die potentiële werkgevers nog jaren in de google cache vinden lig jij daar niet wakker van?

Beetje kort door de bocht.

Of wat dacht je er van als er een account wordt gehijacked die namens een groot bedrijf of bekende persoonlijkheid kan posten?
ndv
@martijnve27 mei 2013 17:02
Ze moeten nog steeds mijn account hacken (en mijn mobiele nummer achterhalen).
Begrijp me goed. Ik vind het een goede zaak dat ze de boel wat extra willen beveiligen bij twitter en het is absoluut jammer dat relatief makkelijk te omzeilen is. Maar de gemiddelde twitteraccount (of bijvoorbeeld mijn twitteraccount) is helemaal niet interessant voor de gemiddelde hacker om te hacken.

Daarnaast, ook als ik op vakantie ben, zie ik het binnen één dag als iemand mijn twitter heeft gehackt.
CH4OS
@ndv27 mei 2013 17:46
Ze moeten nog steeds mijn account hacken (en mijn mobiele nummer achterhalen).
Ik ga er vanuit dat de SMS pas komt ná het ingeven van het wachtwoord. Schijnbaar weten ze dan jouw wachtwoord al.
Maar de gemiddelde twitteraccount (of bijvoorbeeld mijn twitteraccount) is helemaal niet interessant voor de gemiddelde hacker om te hacken.
Jouw account wellicht niet, lan kan men dan natuurlijk wel onzin gaan posten die je niet gepost hebt. Er zijn echter ook (voor de rest van de wereld) interessantere mensen op Twitter te vinden dan jij alleen. ;)
Daarnaast, ook als ik op vakantie ben, zie ik het binnen één dag als iemand mijn twitter heeft gehackt.
Tja, check je dan ook constant je Twitter? Als je daarvoor op vakantie gaat... ;)

offtopic:
Ik blijf me elke keer weer verbazen dat er altijd zoveel 'tweakers' hier zijn die zo simpel hierover (en beveiliging in het algemeen) denken en als Anonymous weer het een en ander uithaalt wel haantje de voorste willen zijn want het geweten (of het populaire meepraten) levert punten op... :N

[Reactie gewijzigd door CH4OS op 27 mei 2013 17:48]

Pure_evil
@ndv27 mei 2013 18:14
Ik spendeer veel tijd met gsm/pc maar als ik overmorgen vertrek voor een dagje of 5 op tripje garandeer ik je dat ik van HELEMAAL niets afweet als ik thuiskom.
Daarom ga ik ook op vakantie, om even alles te vergeten, geen contact met het thuisfront tenzij echt nodig en vooral even nul noppes van de rest van de wereld te weten.
P-e-t-j-e
27 mei 2013 16:45
De two-factor-authentication wordt niet echt omzeilt i.m.o. Hij wordt uitgeschakeld maar het is niet dat ze zomaar toegang krijgen tot je account, wat mij de indruk gaf gezien de titel....
CH4OS
@P-e-t-j-e27 mei 2013 17:31
De two-factor-authentication wordt niet echt omzeilt i.m.o.
Voor de gek houden is niet omzeilen wil je zeggen? Je denkt echt veel te makkelijk nu. ;) Wat er feitelijk gebeurd is dat je je dan kan voordoen als iemand die je niet daadwerkelijk bent. Soort identiteitsdiefstal dus. Maar als jou dat verder koud laat...
Hij wordt uitgeschakeld maar het is niet dat ze zomaar toegang krijgen tot je account, wat mij de indruk gaf gezien de titel....
Door het omzeilen kan je two-factor er uit halen, aannemend dat deze SMS als tweede stap komt, dan weet je dus het wachtwoord al. Vervolgens kan je dus gewoon instellen en de two-factor authentication eventueel op een ander nummer overzetten... Dat doe je dan pas uiteraard ná het uithalen van rottigheid.
Blizz
27 mei 2013 16:01
Wat maakt het ons uit? Je kan als Nederlander toch geen gebruik maken van de beveiliging.
tes_shavon
27 mei 2013 17:00
De oplossing is vrij simpel voor dit issue: Twitter stuurt een sms-je terug met de vraag of je het echt wilt.

Zelfs alleen een berichtje sturen dat het is uitgezet geeft de gebruiker dan al de indicatie dat er mee gerommeld wordt.
StelioKontos
@tes_shavon27 mei 2013 22:38
Het kan nog makkelijker en veiliger, in plaats van een code vanuit je mobiel versturen:
-inloggen op twitter, fysieke telefoon veriest, wachtwoord vereist
-ergens klikken op two-step uitzetten
-bevestiging via e-mail vragen, toegang tot gekoppelde e-mail vereist.

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee