Evernote komt met tweestaps-authenticatie

Evernote heeft aangekondigd dat het tweestaps-authenticatie gaat invoeren. Dat kan door een code naar een mobiele telefoon te sturen als er verbinding wordt gemaakt vanaf een nieuw apparaat. Eerder was Evernote slachtoffer van een hack waarbij accountdata werd gestolen.

Met de nieuwe beveiligingsmogelijkheid, die optioneel is, wil Evernote gebruikersaccounts beter beschermen, zo laat het bedrijf achter de populaire notitiesoftware weten op zijn weblog. Gebruikers die ervoor kiezen om tweestaps-authenticatie aan te zetten, moeten een mobiel nummer opgeven dat gebruikt zal worden voor het ontvangen van verificatiecodes: wanneer de gebruiker met een nieuw apparaat wil inloggen op de dienst, wordt een code naar het opgegeven mobiele nummer gestuurd. Pas na het invoeren van deze verificatiecode is het mogelijk om in te loggen. Er is geen code nodig als vanaf een apparaat wordt ingelogd dat eerder is gebruikt.

De tweestaps-authenticatie komt vooralsnog alleen beschikbaar voor Premium-accounthouders en zakelijke gebruikers. Op termijn krijgen echter alle gebruikers toegang tot de nieuwe beveiligingsoptie, zo belooft Evernote. Daarnaast komt Evernote ook met een overzicht dat de gebruiker toont vanaf welke apparaten in de laatste dertig dagen is ingelogd. Ook wordt in de accountinstellingen zichtbaar gemaakt welke apps toegang hebben tot de Evernote-gegevens van de gebruiker.

De nieuwe beveiligingsopties volgen nadat begin maart bekend werd dat Evernote slachtoffer was geworden van een hack. Daarbij slaagden de hackers erin om accountgegevens te bemachtigen, waaronder gebruikersnamen, versleutelde wachtwoorden en e-mailadressen.

Evernote tweestaps-authenticatie

IT-banen

Reacties (27)

Balance 30 mei 2013 19:09

Er zou een standaard protocol moeten komen voor tweestaps-authenticatie. Nu wordt het veelal gebaseerd op SMS met een code, maar dat moet efficiënter kunnen. Elk bedrijf heeft nu zelf iets ontwikkeld en dat kost alleen maar meer geld, tijd en levert gedoe en problemen op, en het is ook niet handig en snel voor de consument.

Een open-source protocol, wat iedereen op beveiligingsproblemen kan checken (en ga niet vertellen dat open-source en beveiliging niet samengaat, dat gaat prima aangezien alleen de werking openbaar is en niet de keys zelf), wat efficiënt, snel en gemakkelijk een berichtje naar een tweede device stuurt wat vervolgens een knop weergeeft met de authenticatie vanaf het tweede device. Geen gedoe met codes meer, maar gewoon een simpel knopje "*Appnaam* vraagt uw authenticatie voor ...".

Als Google of Apple (zij hebben veel marktaandeel op het mobiele software platform) hier werk van maakt zie ik snel een 'echte' toekomst voor tweestaps-authentificatie. Nu is het namelijk nog te ingewikkeld voor de gewone consument. Ook SmartWatches of Google Glass achtige apparaten (Wearable Tech) zouden het een stuk makkelijker kunnen maken.

[Reactie gewijzigd door Balance op 22 juli 2024 15:12]

RomanW @Balance • 30 mei 2013 20:27

Dat bestaat al.

De meest gebruikte versie van tweestaps-authenticatie is het Time-based One-Time Password algoritme (http://tools.ietf.org/html/rfc6238). Waarschijnlijk gebruikt Evernote dat algoritme ook. Google, Microsoft, Facebook en Dropbox in ieder geval wel.

Google is recent ook lid geworden van de FIDO Alliance, een initiatief van o.a Lenovo, Paypal en en Yubico (van de YubiKeys). De kans dat daar een nog breder gedragen standaard uit komt, of de acceptatie van TOTP algemener wordt, lijkt mij groot. De toekomst zal het leren.

(Een doel van de FIDO Alliance is onder andere om het gedoe met codes te verminderen.)

[Reactie gewijzigd door RomanW op 22 juli 2024 15:12]

Zodiac @Balance • 30 mei 2013 19:29

Tja, Google heeft al de Google Authenticator (App), maar ik kan me voorstellen dat Apple en MS (nog) niet staan te springen om een concurrent te gaan ondersteunen.

RomanW @Zodiac • 30 mei 2013 20:44

Grappig genoeg doet Microsoft dat wel. Link.

mystic101 @Balance • 31 mei 2013 12:11

Er zou een standaard protocol moeten komen voor tweestaps-authenticatie. Nu wordt het veelal gebaseerd op SMS met een code, maar dat moet efficiënter kunnen. Elk bedrijf heeft nu zelf iets ontwikkeld en dat kost alleen maar meer geld, tijd ...

Een standaard protocol kost nog meer geld en wachten op de afronding van het standaard protocol duurt veel langer dan zelf alvast iets implementeren.

Wat je zou kunnen doen is om je implementatie meteen als open standaard aan te bieden die iedereen vrij mag gebruiken. Maar ook dat levert niet meteen een eenduidig resultaat daar concurrenten elkaar nogal wantrouwen.

Peatsmoke

@Balance • 30 mei 2013 19:45

Het idee is prima, maar ook wel erg kwetsbaar.

wouterch 30 mei 2013 19:06

Werd wel tijd nadat ook Twitter, Facebook, Google en recentelijk ook Microsoft ermee gekomen zijn.

mphilipp @wouterch • 30 mei 2013 20:17

Google heeft Authenticator al een hele poos en ik zou willen dat meer diensten daarvan gebruik gingen maken. Ik heb die app nu eenmaal op het apparaat staan. Maar ja, ze willen natuurlijk niet voor zoiets van Google afhankelijk zijn, dat snap ik ook wel.

Toch is het voor de gebruiker gemakkelijker als er één tsa toestand zou zijn.

yoricksmeets @mphilipp • 30 mei 2013 21:28

Ik heb zojuist Evernote geconfigureerd voor 2FA, en na de setup van de SMS verificatie is het mogelijk te switchen naar Google Authenticator.

(Lijkt niet in Chrome te werken, maar met IETab toch aan de praat gekregen)

RobIII @mphilipp • 30 mei 2013 23:32

Heeft niets met Google te maken; er zijn andere authenticator apps die allemaal 'tzelfde doen. Het principe is overal eender: je krijgt een "sleutel" door 't scannen van een QRCode (of door handmatige ingave etc.) en op basis daarvan wordt elke X tijd een nieuwe code gegenereerd. En dat hele gebeuren is gewoon gestandaardiseerd door die IETF. Je kunt dus desnoods zélf zo'n Authenticator app bouwen.

Peatsmoke

30 mei 2013 19:06

Dit zijn in het kader van beveiliging zinvolle toevoegingen, maar vooral bij praktische toepassingen minder bruikbaar.
In de praktijk betrap ik mij erop dat ik toch niet altijd mijn gsm binnen handbereik heb, en dat maakt inloggen bijvoorbeeld om onmogelijk als je de telefoon eens thuis of op de zaak laat liggen.

nXXt @Peatsmoke • 30 mei 2013 19:10

Men gaat er waarschijnlijk van uit dat dit steeds minder voor zal komen: men heeft tegenwoordig steeds vaker de mobiele telefoon binnen handbereik.

Verwijderd @nXXt • 30 mei 2013 19:40

Ik kom het ook tegen op Facebook en Gmail, maar je kunt het gelukkig overslaan, wat ik ook doe want heb geen mobiele telefoon en ga er geen één aanschaffen ook, kan mijn geld wel beter gebruiken. Dus zolang het nog gewoon kan door overslaan in te typen of aan te klikken is het goed, anders verdwijn ik van Gmail en Facebook, kan ook zonder die boel leven heb dat 61 jaar gedaan en naar tevredenheid

Dorank @Verwijderd • 31 mei 2013 09:18

Goede 2 factor auth. heeft geen gsm nodig. Aan SMS/telefoonische 2 factor kleven nogal wat haken en ogen (de meest voor de hand liggende dat je niet in de buurt van dat ene apparaat bent).

Wat wel nodig is is een ander device waarop het shared secrect staat en welke een redelijk goede klok heeft. Tenzijn je nog bankiert via de post of bij de bank langs gaat ben je reeds bekent met het concept. Geen idee wat facebook doet maar Gmail/Google gebruikt gewoon netjes de gestandaardiseerde TOTP RFC (6238) zodat je met een simpele applicatie op elk apparaat/device 2 factor authenticatie kan doen. Het is wel aan te raden om dat op een apart device te doen en niet de machine waarvan je inlogt.

flabber @Dorank • 31 mei 2013 10:14

Goede 2 factor auth. heeft geen gsm nodig. Aan SMS/telefoonische 2 factor kleven nogal wat haken en ogen (de meest voor de hand liggende dat je niet in de buurt van dat ene apparaat bent).

Wat wel nodig is is een ander device waarop het shared secrect staat ....

Dat is nu juist waarom men vaak kiest voor telefoon en SMS: als je toch een device kiest als benodigde tool in het authenticatieproces, kies dan een apparaat dat door de meeste mensen altijd bij zich gedragen wordt; in dit geval dus de telefoon.

Vervolgens moet je een keuze maken hoe je dat vervolgens gaat implementeren en dan wil je weer een basis hebben die door zoveel mogelijk apparaten wordt ondersteund. En wat ondersteunen alle telefoons (nog wel) : SMS.

Wellicht hebben meer mensen ter wereld een MP3 speler bij zich dan de mensen met een telefoon. Een huidige MP3 speler heeft voldoende hardware mogelijkheden om te dienen als een soort van authenticator.
Er is echter geen gemeenschappelijk iets dat al die spelers ondersteunen en als basis kan dienen voor authenticatie, dus: slecht idee.

Daarnaast hebben mensen vaak sneller door dat ze hun telefoon kwijt zijn dan bij zo'n apparaatje van de bank. Van mijn telefoon weet ik dit normaal toch wel binnen een uur of twee, zo'n apparaatje van de bank of andere 'authenticator' pas op het moment dat ik het echt nodig heb.
En omdat de telefoon bij de meeste mensen toch nog gewoon privenezit is waar een redelijke som geld voor betaald is, is men er zuiniger op dan een apparaatje dat iemand anders aan je heeft gegeven.

XBL @Dorank • 31 mei 2013 11:33

Beetje off topic, maar toch zeker wel leuk om te weten: je kan Facebook ook instellen met TOTP en daarmee dus de Google Authenticator app gebruiken (of een andere app die TOTP ondersteund).

http://mbmccormick.com/20...rd-party-totp-generators/

Verwijderd @Verwijderd • 30 mei 2013 19:51

Ik kom het ook tegen op Facebook en Gmail, maar je kunt het gelukkig overslaan, wat ik ook doe want heb geen mobiele telefoon en ga er geen één aanschaffen ook, kan mijn geld wel beter gebruiken.

En dat niet alleen, mijn telefoon nummer is privé, en dat wil ik graag zo houden ook.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 15:12]

Yggdrasil

@Verwijderd • 31 mei 2013 09:19

En dat niet alleen, mijn telefoon nummer is privé, en dat wil ik graag zo houden ook.

Je bent natuurlijk vrij om te doen wat je wilt, maar ik heb die houding nooit zo begrepen.

Allereerst is je telefoonnummer bedoeld is om te communiceren, of dat nu een telefoongesprek, sms, whatsapp of verificatiecode is, en daarvoor moet het bij anderen bekend zijn. Persoonlijk bel ik nauwelijks met mijn telefoon, en is het gebruik verschoven naar dit soort toepassingen.

Daarnaast geef je hiermee je nummer niet aan de eerste de beste spammer, maar aan een gerenommeerd bedrijf waar je ook al andere data toevertrouwd. Het is niet je BSN-nummer of de pincode van je bankpas, maar een nummer dat nauwelijks privé is en impliciet bedoeld is voor publiek gebruik. Ik heb in jaren geen problemen gehad door mijn telefoonnummer aan dit soort accounts te koppelen. Ze kunnen hierdoor niet opeens meeluisteren of zo.

mphilipp @Peatsmoke • 30 mei 2013 20:21

Zo heeft iedereen een goede smoes om de beveiliging niet op orde te hebben. Klinkt misschien vervelend, maar het is kiezen: wil je de kans lopen dat er van alles van je gejat wordt?

Ik heb recentelijk mijn hele digitale beveiliging opgewaardeerd: Google Authenticator gebruik ik al een jaar en nu heb ik ook een Yubikey en heb ik een 6-cijferige pincode op mijn mobiel. Ik weet wel dat als iemand 'm jat, en hij is deskundig genoeg, dat ie die hele code niet nodig heeft (totdat ik merk dat ie weg is en ik self-destruct activeer), maar toch. Het is weer een stap.

En inderdaad: het is af en toe köt. Vooral als ik een nieuwe rom installeer. Dan moet ik weer al mijn gmail accounts af om de tsa weer opnieuw te activeren. Maar ja, als je het niet doet, is het vroeg of laat huilen...

Dorank @mphilipp • 31 mei 2013 09:29

En inderdaad: het is af en toe köt. Vooral als ik een nieuwe rom installeer. Dan moet ik weer al mijn gmail accounts af om de tsa weer opnieuw te activeren. Maar ja, als je het niet doet, is het vroeg of laat huilen...

Als je nu eens bij de volgende heractivatie van 2fa eens de shared key opslaat (bij bv Google kiezen voor Blackberry/handmatig invoeren of gewoon de QR ontleden/opslaan) dan kan je die gewoon hergebruiken.

The Zep Man

Netwerk en systeembeheer

@Peatsmoke • 30 mei 2013 19:16

Dit zijn in het kader van beveiliging zinvolle toevoegingen, maar vooral bij praktische toepassingen minder bruikbaar.
In de praktijk betrap ik mij erop dat ik toch niet altijd mijn gsm binnen handbereik heb, en dat maakt inloggen bijvoorbeeld om onmogelijk als je de telefoon eens thuis of op de zaak laat liggen.

Uit het artikel:

Dat kan door een code naar een mobiele telefoon te sturen als er verbinding wordt gemaakt vanaf een nieuw apparaat.

Hoe vaak verbind je een nieuw apparaat met Evernote?

wica @The Zep Man • 30 mei 2013 20:52

Je hebt al een nieuw apparaat, als je de cookies die gezet worden door een google, fb, everynote weg gooit.
Of lezen ze tegenwoordig ook je serie nummer van je apparaat uit?

Is de telefoon, waar de sms op komt wel betrouwbaar?

Peatsmoke

@The Zep Man • 30 mei 2013 19:42

Dat ligt aan je werkplek, in mijn geval wisselt dat wel regelmatig.

StefanTs @Peatsmoke • 30 mei 2013 20:24

Het is ook optioneel, als het voor jou niet handig is gebruik je het niet.

BoAC 30 mei 2013 19:36

En dan mogen we straks meer betalen voor deze tool omdat K.C hier patent op heeft aangevraagd...
nieuws: Kim Dotcom claimt patent op two-step-authentication

RoestVrijStaal @BoAC • 30 mei 2013 21:12

Ik hoop dat zijn actie de gretigheid van andere bedrijven om dit systeem te gebruiken doet afnemen, omdat ik eenmaal niet bij alle tech bedrijven mijn telefoonnummer (welke dan ook) prijs wil geven.

[Reactie gewijzigd door RoestVrijStaal op 22 juli 2024 15:12]

RobIII @RoestVrijStaal • 30 mei 2013 23:46

Je hoeft (in de meeste gevallen, voor Evernote weet ik 't niet) helemaal geen telefoonnummer achter te laten. Gewoon zo'n TOTP app (Google Authenticator bijv., maar er zijn er meer!) gebruiken. Het hele gebeuren is, zoals vaker hier in de reacties vermeld, gestandaardiseerd dus ik verwacht dat 't met Evernote ook wel zo zal werken (op den duur?).

[Reactie gewijzigd door RobIII op 22 juli 2024 15:12]

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (27)

Sorteer op:

Weergave: