Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 40 reacties

LinkedIn heeft als laatste grote sociale-netwerksite ondersteuning voor two-factor-authenticatie toegevoegd. Als gebruikers vanaf een niet herkend apparaat inloggen, moeten ze naast hun wachtwoord een extra code invoeren.

Met het invoeren van two-factor-authenticatie volgt LinkedIn onder meer Facebook, Twitter en Google, die eerder al ondersteuning voor de veiligere loginmethode toevoegden. Wanneer gebruikers op de website inloggen met een niet herkend apparaat of browser, moeten ze naast hun wachtwoord een extra code invoeren die naar hun mobiele telefoon wordt verzonden. Ook de mobiele applicaties van LinkedIn zijn van de veiligere loginmethode voorzien.

Two-factor-authenticatie maakt de gevolgen van het uitlekken van wachtwoorden minder groot: de willekeurige codes blijven vaak maar korte tijd geldig. Vorig jaar werd LinkedIn gehackt, waardoor de wachtwoorden van miljoenen gebruikers van het zakelijke sociale netwerk op straat kwamen te liggen. Van een dergelijke hack zouden de gevolgen nu minder groot zijn, mits gebruikers de veiligere loginmethode inschakelen.

In tegenstelling tot de two-factor-authenticatie van Twitter werkt de implementatie van LinkedIn ook met Nederlandse providers. Tweakers heeft kunnen verifiëren dat in ieder geval Vodafone en KPN worden ondersteund. Eerder deze week bleek dat de two-factor-authenticatie van Twitter eenvoudig kan worden uitgeschakeld door een sms-bericht te spoofen, maar dat lijkt bij LinkedIn niet het geval te zijn.

LinkedIn two-step

Moderatie-faq Wijzig weergave

Reacties (40)

Er is reeds een goed alternatief voor SMS-authenticatie: Google Authenticator. Deze gebruik ik zelf voor Dropbox, Facebook en Google. Daarbij hoef je niet je 06-nummer bekend te maken. Het leuke is dat de Google Authenticator (Android) app ook werkt zonder GSM- of dataverbinding. Handig voor in het buitenland dus! :)
Inderdaad. Google Authenticator maakt enkel gebruikt van een ingescande/ingevoerde private key. Deze private key kan je bewaren op een offline systeem, waarop het one time password wordt gegenereerd door een berekening uit te voeren met de huidige tijd en de private key.

Aangezien deze berekening enkel offline hoeft plaats te vinden, weet je zeker dat het one time password niet door anderen onderschept kan worden. Het is in mijn ogen dan ook de meest veilige methode aangezien bij mail en sms dit risico wel aanwezig is.
Het grote nadeel van TOTP is dat er een shared secret is, beide kanten moet dezelfde "plaintekst" versie kennen om in de hash te gebruiken. Resultaten uit het verleden hebben ervoor gezorgt dat de inhoud van vertrouwelijke gebruikers gebonden gegevens gelekt zijn aan de kant van de linkedin. Als dat weer gebeurd biedt TOTP geen bescherming.

Uit rfc 6238 5.1 Security/General
The key store MUST be in a secure area, to avoid, as much as
possible, direct attack on the validation system and secrets
database. Particularly, access to the key material should be limited
to programs and processes required by the validation system only.
Dit geldt ook voor wachtwoorden en de hashes daarvan.
Waarom ouderwets via sms een code sturen en niet via een app op je smartphone? Beide zou natuurlijk helemaal goed zijn.
Helemaal gelijk. Ik ga toch deze post van een paar dagen geleden quoten:
Er zou een standaard protocol moeten komen voor tweestaps-authenticatie. Nu wordt het veelal gebaseerd op SMS met een code, maar dat moet efficiŽnter kunnen. Elk bedrijf heeft nu zelf iets ontwikkeld en dat kost alleen maar meer geld, tijd en levert gedoe en problemen op, en het is ook niet handig en snel voor de consument.

Een open-source protocol, wat iedereen op beveiligingsproblemen kan checken (en ga niet vertellen dat open-source en beveiliging niet samengaat, dat gaat prima aangezien alleen de werking openbaar is en niet de keys zelf), wat efficiŽnt, snel en gemakkelijk een berichtje naar een tweede device stuurt wat vervolgens een knop weergeeft met de authenticatie vanaf het tweede device. Geen gedoe met codes meer, maar gewoon een simpel knopje "*Appnaam* vraagt uw authenticatie voor ...".

Als Google of Apple (zij hebben veel marktaandeel op het mobiele software platform) hier werk van maakt zie ik snel een 'echte' toekomst voor tweestaps-authentificatie. Nu is het namelijk nog te ingewikkeld voor de gewone consument. Ook SmartWatches of Google Glass achtige apparaten (Wearable Tech) zouden het een stuk makkelijker kunnen maken.
Als je dan even 't linkje in context plaatst zullen de lezers ook zelf kunnen concluderen dat wat jij graag wil zien al lang en breed bestaat: http://tools.ietf.org/html/rfc6238 en dat er al verschillende implementaties van zijn (waaronder de Authenticator App van Google) en dat je desnoods je eigen implementatie kunt bouwen als je dat zou willen.
Waarom ouderwets via sms een code sturen en niet via een app op je smartphone? Beide zou natuurlijk helemaal goed zijn.
Omdat niet iedereen smartphones heeft. Je zoekt een communicatiemiddel dat relatief safe, extreem wijdverbreid en simpel is, dan kom je vanzelf op oude techniek uit. Ik zou zo gauw geen alternatief weten. Email is (nog) onveiliger. Briefpost misschien? 8-)
Het liefst gewoon allebei, net zoals Google.

Het voordeel van de Google Authenticator app is dat hij ook gewoon werkt als ik op reis ben en mijn Nederlandse SIM kaart heb verruild voor een buitenlandse. Mocht de app ooit eens falen, om wat voor reden dan ook, dan prop ik die SIM kaart er weer in en laat ik Google een SMS sturen.

Sowieso zijn er ook in Nederland nog altijd plekken met slechte ontvangst waar je prima kunt Internetten via ASDL, kabel, etc.
Omdat niet iedereen smartphones heeft. Je zoekt een communicatiemiddel dat relatief safe, extreem wijdverbreid en simpel is, dan kom je vanzelf op oude techniek uit. Ik zou zo gauw geen alternatief weten. Email is (nog) onveiliger. Briefpost misschien? 8-)
Gewoon telefoneren? Dat kan elke telefoon. riefpost veilger dan email? Het is veel eenvoudiger om post uit een brievenbus te hengelen dan het wachtwoord van een emailbox te achterhalen.

Maar veiligheid van het 2de pad is niet van het grootste belang, het moet wel een volledig gescheiden pad zijn, bestand tegen bruteforce en slechts zeer beperkt geldig zijn.
Daarom had ik er ook bijgezet: Beide zou natuurlijk helemaal goed zijn. Outlook.com doet dat ook. Kun je kiezen voor een email, een sms, of via de authenticator app op je telefoon.

Ik heb bij de 2weg authenticatie van dropbox 3 minuten moeten wachten op een sms voordat ik de optie om het via de app kon instellen. Als je gelijk wlt inloggen je moet een minuut op een sms wachten, dan wordt dat op een gegeven moment frustrerend.
Oke, ze encrypten hun wachtwoorden niet (hoewel ze SSL gebruiken, en dus de mogelijkheid hebben), maar bieden nu 2factor..
Sorry, maar dit klinkt meer als 'we doen mee met de hype' dan 'laten we onze gebruikers beschermen'

zie:
http://www.youtube.com/watch?v=d3RD7jJff6A

[Reactie gewijzigd door BasieP op 31 mei 2013 19:48]

Oke, ze encrypten hun wachtwoorden niet (hoewel ze SSL gebruiken, en dus de mogelijkheid hebben), maar bieden nu 2factor..
Sorry, maar dit klinkt meer als 'we doen mee met de hype' dan 'laten we onze gebruikers beschermen'
Ze encrypten hun wachtwoorden wel, maar tot voor kort saltten ze die niet.
Ze sturen plain tekst wachtwoorden over de lijn. Dus niet encrypted. Ik heb hier vorige week nog mijn eigen wachtwoord met wireshark over de lijn zien komen.
Zie ook deze demo:
http://channel9.msdn.com/.../NorthAmerica/2011/SIM314
op 1:03:00
Hij is uit 2011, maar ik heb de beste dame het een paar weekjes geleden nog zien doen.


ow en waarom krijgt iemand +2 voor 1 regel tekst terwijl hij gewoon niet de waarheid spreekt? Neemt iedereen gewoon aan dat ie de waarheid spreekt? niemand controlleert even?

[Reactie gewijzigd door BasieP op 31 mei 2013 21:03]

Gewoon even aanzetten in Settings -> Account -> Manage security settings
http://i.imgur.com/OwgTp0s.png
Net even geprobeerd en bij het inloggen wordt de verbinding omgeleid naar https://www.linkedin.com en in wireshark zie ik niet zo onmiddellijk mijn wachtwoord clear text voorbijkomen.

@RobIII (onder): Ik had zelfs die instelling niet aanstaan bij mij.

[Reactie gewijzigd door kluyze op 2 juni 2013 12:02]

De juiste term is overigens hashing en niet encryption. Encryption kan twee kanten op, hashing niet. Juist het laatste wil je met wachtwoorden.
De dame in het filmpje installeert eerst een root certificate van fiddler die vervolgens gebruikt wordt om het https verkeer te decrypten. Lijkt mij niks aan de hand of ik moet iets missen.
Ja, nogal wiedes dat Fiddler je https-verkeer kan decoderen als je het hebt gecodeerd met de publieke sleutel van Fiddler. De waarschuwingen van IE liegen er trouwens niet om. De vraag is dan ook eigenlijk vooral hoe stom kan een gebruiker zijn. En ja, helaas: In elke populatie gebruikers schijnen er altijd net genoeg te zijn die niet genoeg opletten.
De verzender telefoonnummer van het SMS bericht met verificatie code voor LinkedIn is gelijk aan die van Google. Allebei is het +44778147<enzovoort>. Waarom zou dat?
hetzelfde of bijna hetzelfde?
het zou natuurlijk kunnen omdat ze het uitbesteed hebben, of omdat ze buren zijn (zelfde regio)
Ik mag hopen dat ze het niet uitbesteed hebben. Dat zou betekenen dat niet alleen LinkedIn, maar ook die 3e partij jouw telefoonnummer weet.
Leuk en aardig, maar wat als je geen mobiel hebt (yep die zijn er ook nog genoeg)....
Iemand die zakelijk actief is en een LinkedIn profiel heeft op internet, maar tegelijkertijd geen mobiele telefoon bezit.... die kans lijkt me verwaarloosbaar klein eerlijk gezegd.
Grappig, ik ben pricipiel tegen het geven van mijn telefoon nummer (en adres gegevens) aan dit soort
bedrijven.
dus hoe willen ze dit dan gaan doen ?
neem aan dat ze graag klanten willen kwijt raken.
Je geeft wel je email adres, maar niet je telefoonnummer?
Ik heb geen idee hoe de rest van de wereld met email adressen omgaat, maar commercieele/untrusted partijen krijgen van mij een uniek emailadres (een alias). In veel gevallen bestaat dit adres alleen als ik zelf interactie wil plegen, zodat spam vrijwel altijd faalt.

Dat kan je natuurlijk ook doen met telefoonnummers, maar in dat is in de praktijk iets lastiger, die dingen kosten geld en niet alle telefoonnummers kunnen sms afhandelen.Het is zeer spijtig dat subadressering niet voor iedereen beschikbaar is.
Als LinkedIn straks wordt gehackt liggen niet alleen de gebruiksnamen en wachtwoorden 'op straat' maar ook de bijhorende mobiele telefoonnummers. Hoeveel veiliger is dat?
Alles leuk en aardig, maar wat nou als je niet elke site met two-factor authenticatie je mobiele nummer wilt geven.
Ik gebruik LinkedIn veel, maar heb absoluut niet de behoefte om mijn telefoonnummer daar af te geven (of bij welke social media site dan ook)
Ik ben benieuwd wat er gebeurd als je vanaf een ander device inlogt en geen telefoonnummer hebt opgegeven.....
LinkedIn en security? Sinds ze 'gehacked' werden heb ik een aantal verzoeken gehad om mijn wachtwoord te veranderen, maar heb het nog steeds staan precies zoals deze altijd was. Heb voor elke inlog een apart wachtwoord dus lig er niet wakker van, het is voor mij niet meer als Facebook, Plus of Twitter( wat ik alle drie niet gebruik) maar ze geven er dus niet veel om anders werd het ik wel gedwongen.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True