Veiligere loginmethode Twitter werkt nu ook in Nederland

Twitter heeft een bijgewerkte versie van zijn two-step-authentication aangekondigd, die ook werkt in Nederland en België. Gebruikers kunnen vanaf nu vanuit de Twitter-app logins goedkeuren. Voorheen werkte de implementatie van Twitter via sms.

De verbeterde two-step-authentication werd dinsdag aangekondigd door Twitter. In mei werd de veiligere loginmethode, waarbij naast een wachtwoord nog een extra challenge nodig is om in te loggen, al ingevoerd, maar die methode werkte nog niet in Nederland en België. Die implementatie leunde namelijk op codes die werden verstuurd via sms-berichten, en Twitter ondersteunt vooralsnog geen Nederlandse of Belgische providers. De nieuwe implementatie, die naast de oude bestaat, maakt gebruik van de officiële Twitter-apps, en is daardoor ook in de Benelux te gebruiken.

De nieuwe loginmethode, die overigens niet verplicht is, verschilt van de two-step-authentication van onder meer Facebook, Google en Dropbox. Die sites maken gebruik van codes die door een applicatie worden gegenereerd, en die de gebruiker vervolgens moet intypen tijdens het inloggen. Twitter doet dat anders: elke loginpoging moet vanuit de mobiele Twitter-app worden goedgekeurd. Dat heeft als voordeel dat er geen code hoeft te worden overgetikt tijdens het inloggen, maar er is daardoor wel een internetverbinding op de telefoon vereist om loginpogingen goed te keuren. Wanneer er geen internetverbinding is, of wanneer een gebruiker zijn telefoon kwijt is, kunnen gebruikers een backup-code intikken om toch te kunnen inloggen. Voor applicaties met Twitter-ondersteuning die een gebruikersnaam en wachtwoord vereisen, kan een one time password worden aangemaakt.

De veiligere loginmethode kan ingeschakeld vanuit het instellingenpaneel van de officiële Twitter-apps, al lijken er op dit moment nog wat problemen te zijn: op een toestel van Tweakers kreeg de gebruiker wel een waarschuwing van een loginpoging, maar kon hij nog niet worden goedgekeurd.

Na het inschakelen genereert Twitter twee cryptografische RSA-sleutels van 2048-bits: een public en een private key, zo leggen ontwikkelaars van Twitter uit. De privésleutel blijft op het toestel van de gebruiker; de publieke sleutel wordt geüpload naar de Twitter-servers. Bij een loginpoging verstuurt de Twitter-server een challenge van 190 bit naar de mobiele applicatie, evenals wat meta-informatie over de login, zoals de locatie en de tijd. Keurt de gebruiker de loginpoging goed, dan wordt op basis van de privésleutel een tweede challenge gegenereerd, die terug wordt gestuurd naar de Twitter-server. Die kijkt of de challenge authentiek is; zo ja, dan wordt de loginpoging goedgekeurd.

Daarmee leunt de loginbeveiliging van Twitter op een andere methode dan de eerder genoemde two-factor-authenticatie van Facebook, Google en Dropbox. Die sites gebruiken een zogenoemde shared secret, die zowel op de telefoon als op de server is opgeslagen. Op basis van die shared secret en de actuele tijd wordt de code gegenereerd die tijdens het inloggen moet worden ingetypt. Twitter zegt daar niet voor te hebben gekozen, omdat als de server wordt gehackt, de sleutel die nodig is om in te loggen op straat ligt. In dit geval is dat niet zo: de private key staat immers enkel opgeslagen op de telefoon van de gebruiker. De backup-code wordt tijdens het inschakelen van two-step-authentication ook op de telefoon gegenereerd; op de Twitter-servers is daarvan enkel een hash aanwezig.

Als gebruikers zowel hun telefoon als de backup-codes verliezen, kunnen gebruikers nog steeds toegang krijgen tot hun account, maar dat zal niet eenvoudig worden. Een ontwikkelaar van Twitter zegt tegenover Wired dat daar strikte regels voor zullen gelden. Wired schrijft daarnaast dat Twitter van plan is om betere ondersteuning in te voeren voor accounts die door meer dan één persoon worden gebruikt. Op dit moment kunnen loginpogingen op slechts één telefoon worden goedgekeurd, wat lastig is als meerdere personen hetzelfde account gebruiken.

Door Joost Schellevis

Redacteur

Feedback • 07-08-2013 10:5817

07-08-2013 • 10:58

17 Linkedin

Lees meer

Facebook krijgt ondersteuning voor inloggen met U2F-beveiligingssticks Nieuws van 26 januari 2017
Onderzoekers: two factor-authenticatie PayPal was eenvoudig te omzeilen Nieuws van 25 juni 2014
Anonieme sociale-netwerksite Secret komt naar Nederland Nieuws van 21 mei 2014
Update Google Authenticator-app voor iOS wist accounts - update Nieuws van 4 september 2013
Two-step-authentication van Twitter werkt nog niet in Nederland Nieuws van 23 mei 2013
'Twitter introduceert binnenkort two-step-authentication' Nieuws van 24 april 2013
Microsoft voegt two-step-authentication toe aan diensten Nieuws van 17 april 2013
Twitter werkt aan two-step-authentication Nieuws van 5 februari 2013
Meer producten en artikelen
Websites en communities Netwerk en systeembeheer Twitter

Reacties (17)

-Moderatie-faq
17
16
10
2
0
4
Wijzig sortering
Emphast
7 augustus 2013 11:00
Had geen idee dat FB, Google en DB een two-step-authentication proces hadden. Activeren die handel :D
Carrein
@Emphast7 augustus 2013 11:38
Misschien nog een handige tip, zowat alle 2-step authentication methodes werken met de Google Authenticator app. Je hebt dus maar één app, met alle codes van al je accounts:

https://play.google.com/s...droid.apps.authenticator2
http://www.windowsphone.c...98-e011-986b-78e7d1fa76f8 (niet van Google, maar werkt even goed, heb hem op mijn Lumia 920)
https://itunes.apple.com/...nticator/id388497605?mt=8
Triogap
@Carrein8 augustus 2013 08:01
Voor Windows Phone heb je ook een app van Microsoft http://www.windowsphone.c...36-4950-91ba-ca22d653759b. Komt op hetzelfde neer en is ook compatibel met Google accounts en dergelijken.
JeffMetDubbelF
@Emphast7 augustus 2013 11:11
Het systeem met SMS is in mijn ogen nutteloos als je wil voorkomen dat ze toegang krijgen tot je accounts als je gsm worst gestolen. Als je een code op je gsm hebt wordt het bericht toch getoond op je scherm, ook al is de gsm zelf geblokkeerd/geëncrypteerd.

Dit systeem met private en public keys is in mijn ogen veel beter.
vanDee898
@JeffMetDubbelF7 augustus 2013 14:59
Als je GSM gestolen is (fysieke toegang) kunnen ze waarschijnlijk wel achter engere zaken achterhalen dan je Twitter account :)
PolarBear
@Emphast7 augustus 2013 11:10
Microsoft ook hoor: http://windows.microsoft....two-step-verification-faq
Anoniem: 356260
7 augustus 2013 11:17
Twitter doet dat anders: elke loginpoging moet vanuit de mobiele Twitter-app worden goedgekeurd. Dat heeft als voordeel dat er geen code hoeft te worden overgetikt tijdens het inloggen, maar er is daardoor wel een internetverbinding op de telefoon vereist om loginpogingen goed te keuren.
Waarom zou je in willen loggen zonder verbinding ? Of krijg je de tweets dan ook per SMS binnen ?
Yggdrasil
@Anoniem: 3562607 augustus 2013 11:50
Stel je bent in het verre buitenland (backpacken in Thailand of zo) en wilt in een internetcafé Twitter checken, om je dure dataverbinding op je gsm te sparen. Twitter's 2-factor implementatie vereist dan dat je telefoon toch óók een internetverbinding heeft om te kunnen authenticeren.

Google Authenticator (en andere apps die dezelfde standaard implementeren) hebben dat probleem niet. Als het shared secret eenmaal ingevoerd is in de Authenticator app heeft die alleen de correcte tijd nodig om een login token te berekenen. Dat kan dus offline.
Equator
@Yggdrasil7 augustus 2013 11:59
Twitter's 2-factor implementatie vereist dan dat je telefoon toch óók een internetverbinding heeft om te kunnen authenticeren.
Neen. Je hebt dan de mogelijkheid om met je back-up code in te loggen. Check: https://blog.twitter.com/...er-for-iphone-and-android
Oberon
@Equator7 augustus 2013 12:51
Als die backup code alsnog geintercepteerd wordt door een keylogger in dat Thaise internetcafé, dan wordt jouw account alsnog gehacked. Weg beveiliging.

De OTP gegenereerd in de Microsoft/Google authenticator is dus wel offline bechikbaar en slechts éénmalig te gebruiken wat veel veiliger is.

Moest Google gehacked worden (wat een zeer kleine kans is - maar uiteraard niet onbestaand), dan moeten ze alsnog jouw wachtwoord brute forcen.

[Reactie gewijzigd door Oberon op 7 augustus 2013 12:52]

XBL
@Oberon7 augustus 2013 13:21
Die backupcode is ook eenmalig te gebruiken en te genereren zonder internet verbinding, als ik het goed begrijp. Dus een keylogger heeft dan jouw wachtwoord, gebruikersnaam en een al gebruikte backupcode.

In het geval van TOTP (wat Google, Facebook (optioneel), etc gebruiken) weet dat internetcafé ook je wachtwoord en gebruikersnaam (en een al gebruikte TOTP code).
Voutloos
@Anoniem: 3562607 augustus 2013 11:46
Het goedkeuren gaat dus via je mobiel. Het inloggen zelf was je dan nog niet per se op je mobiel aan het doen. ;)
Equator
@Anoniem: 3562607 augustus 2013 11:47
Het gaat hier om het inloggen op een andere cliënt (webbased of niet) dan je mobiele cliënt. Wanneer je op twitter.com in wilt loggen, dan wordt er eerst naar je mobiele device een autorisatie verzoek gestuurd die jij op je smartphone moet accepteren. Pas daarna ben je ingelogd op twitter.com.

Het voordeel is dus dat - wanneer je twitter wachtwoord je is ontfutselt - jij nog altijd in controle bent wanneer ermee wordt ingelogd.
djc
7 augustus 2013 12:33
Ik was al de hele ochtend aan het proberen om dit aan te zetten (vanuit de Android Twitter app), lukte eerst steeds niet. Nu lijkt het wel te werken.
Helsie
@djc7 augustus 2013 15:35
Ik had het wel succesvol aangezet maar kon dus niet inloggen op een webclient zodra ik het wilde gebruiken. Direct weer uitgezet dus, waardeloze implementatie. Dit MOET gewoon altijd werken.
Zidane007nl
@Helsie7 augustus 2013 22:36
Zelfde hier. Telefoon geeft melding dat er een inlogverzoek is, maar als ik in Twitter kijk zijn er geen ...

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee