Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Veiligere loginmethode Twitter werkt nu ook in Nederland

Door , 17 reacties

Twitter heeft een bijgewerkte versie van zijn two-step-authentication aangekondigd, die ook werkt in Nederland en België. Gebruikers kunnen vanaf nu vanuit de Twitter-app logins goedkeuren. Voorheen werkte de implementatie van Twitter via sms.

De verbeterde two-step-authentication werd dinsdag aangekondigd door Twitter. In mei werd de veiligere loginmethode, waarbij naast een wachtwoord nog een extra challenge nodig is om in te loggen, al ingevoerd, maar die methode werkte nog niet in Nederland en België. Die implementatie leunde namelijk op codes die werden verstuurd via sms-berichten, en Twitter ondersteunt vooralsnog geen Nederlandse of Belgische providers. De nieuwe implementatie, die naast de oude bestaat, maakt gebruik van de officiële Twitter-apps, en is daardoor ook in de Benelux te gebruiken.

De nieuwe loginmethode, die overigens niet verplicht is, verschilt van de two-step-authentication van onder meer Facebook, Google en Dropbox. Die sites maken gebruik van codes die door een applicatie worden gegenereerd, en die de gebruiker vervolgens moet intypen tijdens het inloggen. Twitter doet dat anders: elke loginpoging moet vanuit de mobiele Twitter-app worden goedgekeurd. Dat heeft als voordeel dat er geen code hoeft te worden overgetikt tijdens het inloggen, maar er is daardoor wel een internetverbinding op de telefoon vereist om loginpogingen goed te keuren. Wanneer er geen internetverbinding is, of wanneer een gebruiker zijn telefoon kwijt is, kunnen gebruikers een backup-code intikken om toch te kunnen inloggen. Voor applicaties met Twitter-ondersteuning die een gebruikersnaam en wachtwoord vereisen, kan een one time password worden aangemaakt.

De veiligere loginmethode kan ingeschakeld vanuit het instellingenpaneel van de officiële Twitter-apps, al lijken er op dit moment nog wat problemen te zijn: op een toestel van Tweakers kreeg de gebruiker wel een waarschuwing van een loginpoging, maar kon hij nog niet worden goedgekeurd.

Na het inschakelen genereert Twitter twee cryptografische RSA-sleutels van 2048-bits: een public en een private key, zo leggen ontwikkelaars van Twitter uit. De privésleutel blijft op het toestel van de gebruiker; de publieke sleutel wordt geüpload naar de Twitter-servers. Bij een loginpoging verstuurt de Twitter-server een challenge van 190 bit naar de mobiele applicatie, evenals wat meta-informatie over de login, zoals de locatie en de tijd. Keurt de gebruiker de loginpoging goed, dan wordt op basis van de privésleutel een tweede challenge gegenereerd, die terug wordt gestuurd naar de Twitter-server. Die kijkt of de challenge authentiek is; zo ja, dan wordt de loginpoging goedgekeurd.

Daarmee leunt de loginbeveiliging van Twitter op een andere methode dan de eerder genoemde two-factor-authenticatie van Facebook, Google en Dropbox. Die sites gebruiken een zogenoemde shared secret, die zowel op de telefoon als op de server is opgeslagen. Op basis van die shared secret en de actuele tijd wordt de code gegenereerd die tijdens het inloggen moet worden ingetypt. Twitter zegt daar niet voor te hebben gekozen, omdat als de server wordt gehackt, de sleutel die nodig is om in te loggen op straat ligt. In dit geval is dat niet zo: de private key staat immers enkel opgeslagen op de telefoon van de gebruiker. De backup-code wordt tijdens het inschakelen van two-step-authentication ook op de telefoon gegenereerd; op de Twitter-servers is daarvan enkel een hash aanwezig.

Als gebruikers zowel hun telefoon als de backup-codes verliezen, kunnen gebruikers nog steeds toegang krijgen tot hun account, maar dat zal niet eenvoudig worden. Een ontwikkelaar van Twitter zegt tegenover Wired dat daar strikte regels voor zullen gelden. Wired schrijft daarnaast dat Twitter van plan is om betere ondersteuning in te voeren voor accounts die door meer dan één persoon worden gebruikt. Op dit moment kunnen loginpogingen op slechts één telefoon worden goedgekeurd, wat lastig is als meerdere personen hetzelfde account gebruiken.

Door Joost Schellevis

Redacteur

07-08-2013 • 10:58

17 Linkedin Google+

Reacties (17)

Wijzig sortering
Had geen idee dat FB, Google en DB een two-step-authentication proces hadden. Activeren die handel :D
Misschien nog een handige tip, zowat alle 2-step authentication methodes werken met de Google Authenticator app. Je hebt dus maar één app, met alle codes van al je accounts:

https://play.google.com/s...droid.apps.authenticator2
http://www.windowsphone.c...98-e011-986b-78e7d1fa76f8 (niet van Google, maar werkt even goed, heb hem op mijn Lumia 920)
https://itunes.apple.com/...nticator/id388497605?mt=8
Voor Windows Phone heb je ook een app van Microsoft http://www.windowsphone.c...36-4950-91ba-ca22d653759b. Komt op hetzelfde neer en is ook compatibel met Google accounts en dergelijken.
Het systeem met SMS is in mijn ogen nutteloos als je wil voorkomen dat ze toegang krijgen tot je accounts als je gsm worst gestolen. Als je een code op je gsm hebt wordt het bericht toch getoond op je scherm, ook al is de gsm zelf geblokkeerd/geëncrypteerd.

Dit systeem met private en public keys is in mijn ogen veel beter.
Als je GSM gestolen is (fysieke toegang) kunnen ze waarschijnlijk wel achter engere zaken achterhalen dan je Twitter account :)
Twitter doet dat anders: elke loginpoging moet vanuit de mobiele Twitter-app worden goedgekeurd. Dat heeft als voordeel dat er geen code hoeft te worden overgetikt tijdens het inloggen, maar er is daardoor wel een internetverbinding op de telefoon vereist om loginpogingen goed te keuren.
Waarom zou je in willen loggen zonder verbinding ? Of krijg je de tweets dan ook per SMS binnen ?
Stel je bent in het verre buitenland (backpacken in Thailand of zo) en wilt in een internetcafé Twitter checken, om je dure dataverbinding op je gsm te sparen. Twitter's 2-factor implementatie vereist dan dat je telefoon toch óók een internetverbinding heeft om te kunnen authenticeren.

Google Authenticator (en andere apps die dezelfde standaard implementeren) hebben dat probleem niet. Als het shared secret eenmaal ingevoerd is in de Authenticator app heeft die alleen de correcte tijd nodig om een login token te berekenen. Dat kan dus offline.
Twitter's 2-factor implementatie vereist dan dat je telefoon toch óók een internetverbinding heeft om te kunnen authenticeren.
Neen. Je hebt dan de mogelijkheid om met je back-up code in te loggen. Check: https://blog.twitter.com/...er-for-iphone-and-android
Als die backup code alsnog geintercepteerd wordt door een keylogger in dat Thaise internetcafé, dan wordt jouw account alsnog gehacked. Weg beveiliging.

De OTP gegenereerd in de Microsoft/Google authenticator is dus wel offline bechikbaar en slechts éénmalig te gebruiken wat veel veiliger is.

Moest Google gehacked worden (wat een zeer kleine kans is - maar uiteraard niet onbestaand), dan moeten ze alsnog jouw wachtwoord brute forcen.

[Reactie gewijzigd door Oberon op 7 augustus 2013 12:52]

Die backupcode is ook eenmalig te gebruiken en te genereren zonder internet verbinding, als ik het goed begrijp. Dus een keylogger heeft dan jouw wachtwoord, gebruikersnaam en een al gebruikte backupcode.

In het geval van TOTP (wat Google, Facebook (optioneel), etc gebruiken) weet dat internetcafé ook je wachtwoord en gebruikersnaam (en een al gebruikte TOTP code).
Het goedkeuren gaat dus via je mobiel. Het inloggen zelf was je dan nog niet per se op je mobiel aan het doen. ;)
Het gaat hier om het inloggen op een andere cliënt (webbased of niet) dan je mobiele cliënt. Wanneer je op twitter.com in wilt loggen, dan wordt er eerst naar je mobiele device een autorisatie verzoek gestuurd die jij op je smartphone moet accepteren. Pas daarna ben je ingelogd op twitter.com.

Het voordeel is dus dat - wanneer je twitter wachtwoord je is ontfutselt - jij nog altijd in controle bent wanneer ermee wordt ingelogd.
Ik was al de hele ochtend aan het proberen om dit aan te zetten (vanuit de Android Twitter app), lukte eerst steeds niet. Nu lijkt het wel te werken.
Ik had het wel succesvol aangezet maar kon dus niet inloggen op een webclient zodra ik het wilde gebruiken. Direct weer uitgezet dus, waardeloze implementatie. Dit MOET gewoon altijd werken.
Zelfde hier. Telefoon geeft melding dat er een inlogverzoek is, maar als ik in Twitter kijk zijn er geen ...

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*