Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door Wout Funnekotter

Hoofdredacteur

Ga veilig met je wachtwoorden om en behoed je medetweakers voor misbruik

02-01-2020 • 15:33

270 Linkedin

Onlangs ontvingen we veel meldingen van gebruikers die waren opgelicht via Vraag & Aanbod. Nu komt oplichting op V&A helaas vaker voor, maar wat deze incidenten gemeen hadden, was dat de oplichter gebruik had gemaakt van een gekaapt Tweakers-account. Hierdoor leek het voor de koper alsof het ging om een vertrouwde tweaker, terwijl er een ander achter het account schuilging.

Dit gebeurt vermoedelijk doordat deze gebruikers op Tweakers eenzelfde combinatie van e-mailadres en wachtwoord gebruiken als op andere websites. Zo’n derde website wordt op een gegeven moment gehackt, de gegevens komen op straat te liggen en mensen met kwade bedoelingen kunnen die gegevens gaan proberen op andere websites, waaronder Tweakers.

Daarop hebben we, net zoals een aantal jaar terug, een recente verzameling uitgelekte inloggegevens die online rondzwerft, vergeleken met de e-mailadressen en wachtwoorden in onze eigen database. In die verzameling bevond zich een grote hoeveelheid e-mail-wachtwoordcombinaties die ook toegang gaven tot accounts op Tweakers. We hebben de desbetreffende wachtwoorden gereset en de gebruikers via een e-mail hiervan op de hoogte gesteld. Alle bestanden die voor deze analyse zijn gebruikt zijn daarna gewist.

We willen iedereen op het hart drukken dat hergebruik van wachtwoorden grote risico’s met zich meebrengt. Als iedereen online voor elke dienst een unieke combinatie van e-mail-gebruikersnaam en wachtwoord zou gebruiken, kan een heleboel ellende worden voorkomen. Er is tegenwoordig een uitgebreid aanbod van software die hierbij kan helpen. Daarnaast raden we aan de notificatiedienst van Have I Been Pwned of Scattered Secrets te gebruiken, zodat je bij een relevant datalek snel op de hoogte bent.

Hieronder zetten we nog enkele mogelijke vragen over dit onderwerp op een rij:

Hoe komen mensen aan deze gegevens. Is Tweakers gehackt?

Nee, we hebben geen enkele aanleiding om te geloven dat Tweakers gehackt is. Zoals we ook in het verleden al hebben gezien bij bijvoorbeeld de grote hack van LinkedIn, komen deze gegevens uit de hack van een andere site, waarbij een aantal e-mail-wachtwoordcombinaties ook wordt gebruikt voor accounts op Tweakers. Kwaadwillenden hebben deze accounts geverifieerd, waarna ze via bijvoorbeeld Tor-sites worden verkocht.

Hoe weten jullie eigenlijk dat de uitgelekte wachtwoorden overeenkomen met wachtwoorden van Tweakers-gebruikers? Kan Tweakers zomaar mijn wachtwoord inzien?

Tweakers slaat geen plaintext wachtwoorden van gebruikers op en wij kunnen deze dan ook nooit inzien. Wat we opslaan zijn hashes, afgeleiden van de wachtwoorden. Als je bij ons inlogt, genereren we een hash van het door jou ingevulde wachtwoord en dit vergelijken we vervolgens met de hash in onze database. Komen de hashes overeen? Dan klopt het wachtwoord en word je ingelogd.

Mijn Tweakers-account is niet belangrijk voor mij, waarom zou ik de moeite doen om een uniek wachtwoord te gebruiken?

Jouw Tweakers-account bevat wellicht geen gevoelige gegevens die je wilt beschermen, maar het staat wel symbool voor jouw identiteit op dit platform. Iemand die jouw identiteit overneemt, kan mensen oplichten of op een andere manier schade toebrengen, zoals bijvoorbeeld op Vraag & Aanbod gebeurt.

Unieke wachtwoorden klinken leuk en aardig, maar ik gebruik nu een aantal wachtwoorden die ik kan onthouden. Voor al mijn accounts een uniek wachtwoord onthouden is onmogelijk.

Goed punt. Gelukkig hoef je al die wachtwoorden niet zelf te onthouden. Sommige mensen bedenken ezelsbruggetjes om voor elke dienst een uniek wachtwoord te bedenken, maar wij zouden je aanraden een wachtwoordmanager te gebruiken die voor elke dienst die je gebruikt, een uniek wachtwoord kan genereren en onthouden. Het kost in het begin even moeite om de omschakeling te maken en alles in te richten, maar als je het eenmaal gewend bent, wil je niet meer terug.

Waarom implementeren jullie niet gewoon 2fa (two-factor authentication), dan maak je het oplichters toch onmogelijk iets te doen?

Inloggen met 2fa, via bijvoorbeeld een authenticator-app of andere externe bevestiging, maakt het inderdaad moeilijker om een account over te nemen. Het maakt het echter niet onmogelijk en vereist dat ook iedereen het aanzet of dat wij het gaan forceren. We onderzoeken momenteel wat de beste technische oplossingen zijn die we kunnen implementeren om V&A-fraude tegen te gaan en overwegen daarbij ook een vorm van 2fa. Maar ook hier geldt het aloude devies: voorkomen is beter dan genezen.

Ben je iemand die goede voornemens maakt, zet dan het gebruik van unieke wachtwoorden op je lijstje voor 2020. Voor jezelf en je medetweakers.

Reacties (270)

Wijzig sortering
Bied dan in ieder geval 2 FA aan. Ik verwacht dat de meeste tweakers dit wel inschakelen.
Of verplicht 2FA als je gebruik wilt maken van V&A? Zoals bijvoorbeel bij Steam. Als je gebruik wilt maken van de marketplace MOET je een 2FA ingesteld hebben.

In dit geval hoeft het niet persee via een app te gaan. Een SMS of email verification is meer dan voldoende.

[Reactie gewijzigd door Joao op 2 januari 2020 15:38]

2FA voor iedere sessie zou ik persoonlijk vervelend vinden voor een site als T.net (ik gebruik dit enkel voor e-mail, bank en mijn wachtwoord manager). Wel zou ik het goed vinden om dit in te stellen voor het plaatsen van een advertentie op V&A. Dus zodra je op "Plaats advertentie" klikt dat je dan moet verifiëren met wachtwoord + 2FA. Dit zal zeker helpen om de veiligheid te verbeteren, en zorgt er toch voor dat niet iedere gebruiker 2FA moet gebruiken indien ze dat niet willen.
Je kan het ook zo instellen dat je alleen voor elk nieuw apparaat waarop je inlogt 2FA moet gebruiken. Dat maakt het veel minder vervelend voor de gebruikers maar wordt je account toch een stuk veiliger.
Maar sessie cookie diefstal is ook een ding. Just met dit soort V&A fraude zou je toch wel 1x per dag een 2FA willen eisen bij het plaatsen van advertenties.

[Reactie gewijzigd door GekkePrutser op 2 januari 2020 20:01]

Ik weet niet of je vraag draait om wat een sessie cookie is of hoe je die steelt dus bij deze een uitgebreide uitleg :)

Uiteraard is het stomvervelend als je bij elk bezoek naar Tweakers zou moeten inloggen (of welke andere site dan ook). Dus, wat iedereen doet is het aanmaken van een cookie na de succesvolle inlog, met een random ID. Deze wordt door de website aangemaakt en op je computer geplaatst. Die wordt vervolgens door je browser bij elke pageview meegestuurd. In de database van Tweakers wordt dan bijgehouden welke gebruiker bij welke ID hoort. Dit ID is echt compleet random en veel te lang om te raden, dus op die manier is dit wel veilig. Je kan hier zien welke sessies je op dit moment open hebt staan op Tweakers en zelfs de cookies daarvan. En je kan ze ook beeindigen. Tweakers is trouwens een van de weinige sites die hier zoveel controle over geeft, waarvoor hulde!! _O_

Echter, dit cookie kan op verschillende manieren gestolen worden. Ten eerste kan je een MITM ("Man In the Middle") aanval uitvoeren. Hierbij kan je bijvoorbeeld in een publieke hotspot de DHCP server overrulen (door sneller te zijn), en daarmee een valse DNS aangeven waarmee je het verkeer via jezelf routeert. Je hebt hier speciale hardware voor, maar dit kan ook helemaal in software op bijvoorbeeld Linux. Je moet wel de verbinding degraderen zodat deze zonder SSL verloopt, en dat wordt wel steeds lastiger, mede door technieken als HSTS en waarschuwingen in de browser bij ouderwetse http verbindingen. Maar het blijft in veel gevallen nog wel mogelijk.

Ook kan je het cookie achterhalen door browser-exploits, cross-site-scripting technieken (wel lastig omdat browsers dit tegengaan), of malware op de computer.

Als je deze sessie cookie uiteindelijk hebt, kan je je hiermee gewoon voordoen als de gebruiker. Tweakers biedt (als een van de weinige sites!!) wel de mogelijkheid om je sessie te koppelen aan je IP maar dat is in heel veel gevallen niet fijn. Dynamische IP's, laptops en mobiele apparaten die regelmatig op andere netwerken zitten enz. Ook kan je de sessie cookie alleen accepteren bij de bij het inloggen gebruikte browser maar dat heeft 2 nadelen: Ten eerste kan je deze info ook gewoon onderscheppen en faken (het zijn gewoon leesbare headers), en ten tweede kan dit ook veranderen als je je browser update. Ga je hier te strikt mee om dan staat het hele forum meteen vol met klachten van "Waarom moet ik steeds opnieuw inloggen ??? :( ". Dus de meeste sites zijn hier redelijk soepel in.

Een andere manier is het regelmatig laten vervallen van een cookie waardoor je weer opnieuw in moet loggen. Ook niet fijn natuurlijk. Sommige sites doen dit helaas wel, maar Tweakers laat het aan de gebruiker.

Een mooie middenweg zou zijn om opnieuw in te moeten loggen (of 2FA vragen als de site het heeft) als je iets potentieel risicovols doet, zoals een bestelling plaatsen of in dit geval periodiek als je een V&A advertentie plaatst. Precies wat je bank ook doet als je een betaling doet bijvoorbeeld. Maar het blijft een compromis tussen veiligheid en gemak. Echt simpel is het niet.

2FA op zich doet helemaal niets tegen sessie cookie diefstal maar wel tegen gebruik van gelekte paswoorden. Dus in het geval van het probleem dat Tweakers nu ziet (hergebruikte paswoorden gelekt door een andere site) zal het wel helpen maar ik denk dat Wout dingen als sessiecookie diefstal bedoelde toen hij zei "Inloggen met 2fa, via bijvoorbeeld een authenticator-app of andere externe bevestiging, maakt het inderdaad moeilijker om een account over te nemen. Het maakt het echter niet onmogelijk". Het is absoluut geen totaaloplossing, tenzij je het zo vaak opvraagt dat het irritant gaat worden. Als je het 100% veilig wil hebben dan kan je voor elke pageview een 2FA doen maar dan heb je morgen 0 gebruikers over :') Hoe meer je hiervan afwijkt hoe meer gaten er vallen die misbruikt kunnen worden. Uiteindelijk hebben we dus wat nieuws nodig als echt dekkende oplossing.

Op de lange termijn denk ik dat browsers zich met crypto kunnen gaan identificeren net als de site dat doet met HTTPS. Maar dat heeft ook veel nadelen (met name op privacy/tracking gebied). Die techniek bestaat overigens al heel lang (TLS Client Authentication) maar moet momenteel voor elke site apart opgezet in en ingesteld worden en is bepaald niet gebruiksvriendelijk. Het wordt vooral voor high-security dingen gebruikt zoals toegang tot militaire websites (je kan de keys ook op een smartcard zetten). Voor algemeen gebruik is het zoals nu geimplementeerd niet geschikt. Maar ik denk dat daar op termijn wel een alternatief voor gaat komen dat bijvoorbeeld vanaf je TPM chip uit gaat waardoor het ook niet meer zomaar gekloond kan worden zoals een sessie cookie.8

[Reactie gewijzigd door GekkePrutser op 4 januari 2020 14:53]

Bedankt voor je uitgebreide antwoord GekkePrutser, ik weet wel hoe coockies etc werken. Ik bedoelde meer van wat is het voordeel van 2fa als je een advertentie wil plaatsen ten opzichten van je wachtwoord opnieuw vragen.
Ah dan had ik de vraag helemaal verkeerd begrepen. Heb ik dat allemaal voor niks geschreven 8)7

Maar in dat geval is het simpel: In het geval waarbij de paswoorden bekend zijn (zoals in de gevallen die Tweakers nu ziet) helpt het paswoord vragen totaal niet omdat de aanvaller het paswoord gewoon weet. 2FA zou in dit geval wel helpen.

Mijn punt was dat het beter is om dit 1x per dag te doen bij plaatsen van advertenties zodat ook bij sessiecookiediefstal geen misbruik gemaakt kan worden op deze manier.

[Reactie gewijzigd door GekkePrutser op 4 januari 2020 18:05]

Op de lange termijn denk ik dat browsers zich met crypto kunnen gaan identificeren net als de site dat doet met HTTPS.
De gebruiksvriendelijkere versie van wat je noemt bestaat al: WebAuthn. Kan zowel als tweede factor als multifactor login (zonder username/wachtwoord) worden ingezet.
Dat is niet helemaal een optie wat mij betreft, tenzij je hem echt voor elk bezoek gebruikt om in te loggen en dus geen sessie cookie gebruikt. Kan wel ja als je hem in de USB poort laat zitten, maar in dat geval moet je hem wel aanraken of PIN code invoeren afhankelijk van het type gebruik. Bovendien zou deze methode op de mobiel echt super onhandig zijn omdat je hem voor elk bezoek aan moet raken via NFC.

WebAuthn is inderdaad heel mooi als authenticatiemethode. Ik zie persoonlijk paswoorden heel graag helemaal verdwijnen en vervangen door dit soort technieken. Op mijn eigen spullen gebruik ik al jaren smartcards (OpenPGP, PIV en nu ook WebAuthn). Ik heb meerdere Yubikeys hiervoor.

Maar ik zie ook wel ruimte voor een techniek van identificatie van reeds ingelogde browsers. In plaats van sessiecookies iets met crypto waardoor je niet meer simpelweg de sessie cookie kan kopieren.

Omdat zowat elke computer en mobiel tegenwoordig al een secure Element heeft (PC's hebben TPM, Macs hebben T2 chip, mobieltjes hebben een secure element) zou dit heel mooi gebruikt kunnen worden hiervoor, want dit soort chips zijn zeer goed in crypto handshakes.

[Reactie gewijzigd door GekkePrutser op 5 januari 2020 13:26]

Dat hoeft geen probleem te zijn want WebAuthn schrijft geen formfactor voor. Devices die de compatibility tests voor Android 7.0 of Windows 10 (modellen na juli 2016) moeten een TEE/TPM aan boord hebben, en de 'platform authenticators' in deze besturingssystemen maken daar gebruik van. Apple loopt hier op achter omdat ze alleen externe authenticators ondersteunen op moment van schrijven.

Cookies zijn zeker ook voor verbetering vatbaar maar heeft minder impact dan bovenstaand. Credential stuffing gebeurt vaker (en is makkelijker uit te voeren) dan session hijacking.

[Reactie gewijzigd door Rafe op 5 januari 2020 16:09]

Dat is waar. Maar helaas moet er nog een hoop gebeuren. Nog bijna geen enkele website doet WebAuthn, en zelfs dan is het nog nauwelijks ondersteund in volledige passwordless mode maar bijna altijd alleen als MFA (denk aan Dropbox bijv). En de sites die het doen, ondersteunen meestal maar 1 key tegelijk terwijl je er vele aan zou moeten kunnen melden (1 voor elk apparaat dat je hebt, immers).

Ook moeten de sites er anders mee om gaan, in plaats van permanente session cookies aanmaken zouden ze bij elk bezoek om een inlog moeten vragen (die dan automatisch verloopt) en dan een non-persistent cookie aanmaken die niet wordt opgeslagen (en alleen voor dat bezoek geldt). Anders heb je nog steeds dezelfde zwakheden. Ik zie dat vooralsnog zo snel niet gebeuren, helaas.

[Reactie gewijzigd door GekkePrutser op 5 januari 2020 17:32]

Uitstekende oplossing. Eventueel kan je het nog losser maken door dit alleen toepassen voor niet nl ip adressen, en ip adressen anders dan de laatste inlogsessies

[Reactie gewijzigd door fortfort op 2 januari 2020 19:36]

Dan kunnen ze gebruik gaan maken van VPN oplossingen waarmee ze het omzeilen, toch?
Volgens mij wordt er juist bedoeld dat 2FA wordt gevraagd als je aanmeldt vanaf een IP waar je nog niet eerder aangemeld bent geweest. Via VPN zal je een nieuw IP-adres krijgen en dus wel een 2FA-check krijgen.
Maar als iemand een account heeft overgenomen zonder 2FA en toegang blijkbaar heeft tot ook het e-mailadres dan is het verplicht stellen van 2FA geen garantie. De aanvaller die toegang heeft tot het tweakers en emailaccount kan immers zelf dan 2FA aanzetten.
Je hoeft niet eens toegang te hebben tot het mailadres, zodra je het wachtwoord weet kun je dat mailadres veranderen naar iets wat jij beheerst.
Mag hopen dat je eerst verificatie moet geven op het oude adres, anders is dat een zwakte in de site zelf.
Nee, dat gebeurt zoals ReVision hieronder benoemd niet. En dat is bij de meeste sites bij design. Als je toegang tot je email verliest (opzeggen tele2 abbo ofso) dan wil je nog wel je email kunnen veranderen.

Daarnaast is het wachtwoord de authenticatie, niet de toegang tot de email. Dit zou dan juist weer een vorm zijn van 2FA.
Wat mij betreft zou je dat kunnen aanpakken op dezelfde manier als een 2FA herstel. Recovery keys meesturen die een gebruiker elders moet bewaren.

Dus bij wijzigen wachtwoord:
- Inloggen + 2FA invullen
- Confirmatie via email

Bij wijzigen email:
- Inloggen + 2FA invullen
- Invoeren recovery keys

Bij wijzigen/verwijderen 2FA:
- Inloggen met wachtwoord
- Invoeren recovery keys
- Confirmatie via email

Honestly, dit is niet zo lastig en er zijn al systemen die zo te werk gaan.
Leuk die recovery keys, maar hoeveel mensen bewaren die nu echt ergens op een veilige plaats? Zeker op een site als Tweakers zie ik vele mensen dat niet doen.
Ik zou juist op Tweakers vele mensen dat wel zien doen.

Denk dat de gemiddelde consument gewoon next-next klikt en die recovery codes helemaal negeert. Waardoor je weer terug bent bij het vorige probleem: Geen mogelijkheid tot reset als je je 2FA kwijt bent.
Dat gebeurt inderdaad niet, je krijgt enkel een melding op het oude email adres dat deze is gewijzigd.
Daarop zou je natuurlijk kunnen zeggen dat je op het oude mailadres moet verifiëren dat je daar vanaf wil. Geen toegang tot je mail = geen mail veranderen.
Ja lekker is dat. Is je e-mail adres verlopen of opgeheven, kan je het niet meer wijzigen.
Kan wel, kost je alleen wat moeite. Je kan dan met de klantenservice bellen of mailen en die kunnen je dan verder helpen. Maar die moeite is dan al snel een te hoge drempel voor hackers en oplichters.
En hoe gaat de klantenservice verifiëren dat JIJ het echt bent?
De oude en vertrouwde beveiligingsvragen en vragen naar bijvoorbeeld een adres als dat bekend is.
De oude en vertrouwde beveiligingsvragen en vragen naar bijvoorbeeld een adres als dat bekend is.
Ik hoop van harte dat er met antwoorden van beveiligingsvragen zet zo veilig wordt omgegaan als met wachtwoorden. Dus niet plaintext opgeslagen o.i.d.

En adresgegevens zijn zo op te zoeken en/of te herleiden.

[Reactie gewijzigd door RoestVrijStaal op 4 januari 2020 01:12]

Dannog, als het te herleiden is betekent het wel dat de drempel hoger wordt. Zie het zo, je hoeft niet de snelste te zijn, alleen sneller dan dan langzaamste. En als je die langzaamste helpt sneller te worden dan kom je dr vanzelf.
de reden dat je zelf je mail adres kunt wijzigen is juist zodat de "klantenservice" dit niet hoeft te doen. Ik verwacht namelijk niet dat hier protocollen en manschappen voor beschikbaar zijn.

En we hebben juist al gezien dat dit dus absoluut niet een te hoge drempel is voor hackers en oplichters. Zie het hele youtube telefoon verificatie debacle. Telco's sturen gewoon nieuwe simkaarten op.
Moment, ik ga even Microsoft opbellen omdat ik niet meer in mijn hotmailaccount kan :X
Je meldt het als grap maar je zou verwachten van een e-mailprovider dat ze ook een support leveren. Microsoft en Google zijn op dit vlak nauwelijks bereikbaar en veel mensen laten het er dan bij zitten. Dan leveren ze toch een bijzonder slecht product?
Dan leveren ze toch een bijzonder slecht product?
Geld terugvragen dan! O, wacht... ;)
[...]

Geld terugvragen dan! O, wacht... ;)
Ze staan in straatlengtes in de rij. :)
Ook handig als je geen toegang meer hebt tot een oud mail adres zoals bij veel mensen bij een provider wissel..
Als dat serieus zo werkt, dan is het ook eens tijd om dat aan te passen. Zo moeilijk is het niet om een mail naar het bekende e-mailadres te sturen voordat je een ander e-mailadres mag registreren.
Met alle gevilgen van dien. De functie om een mail adres te wijzigen is er vaak omdat het oude adres niet werkt of niet meer beschikbaar is. Dan kan je dat dus niet meer doen.
De enige situaties die ik me kan voorstellen zijn:
- van werkgever/provider gewisseld
- wachtwoord vergeten

Het wachtwoord staat als het goed is, in je wachtwoordmanager en kan tevens vaak hersteld worden. Ten tweede je bent er ook zelf bij. Op tijd een e-mailadres wisselen is niet zo moeilijk. Ten derde, vaak heb je ook een e-mailadres nodig om een wachtwoord te veranderen, het is dus gewoon zaak dat je je shit op orde houdt.

Als tussenoplossing: introduceer sowieso een cool-down en/of en melding. Veel diensten sturen al een mail als je je e-mailadres verandert.
Er is nog een situatie, het overlijden van iemand. Been there, done that een aantal jaren geleden en als een e-mail adres dan niet meer benaderbaar is omdat een en ander opgezegd is ga je je echt afvragen of je de eerste in dit land bent waarvan een naaste overleden is.
Maar als iemand een account heeft overgenomen zonder 2FA en toegang blijkbaar heeft tot ook het e-mailadres dan is het verplicht stellen van 2FA geen garantie. De aanvaller die toegang heeft tot het tweakers en emailaccount kan immers zelf dan 2FA aanzetten.
Je zou in het profiel, of bij de username in de V&A aan kunnen geven sinds wanneer de verkoper 2FA aan heeft staan. Als dat vlak vóór de verkoop is gebeurt, zou dat een indicatie kunnen zijn dat er iets niet in de haak is.

Bijvoorbeeld in de V&A een icoontje bij de username als iemand 2fa heeft aangezet, met een mouseover die aangeeft hoe lang 2fa aanstaat.

Mijn voorkeur zou btw uitgaan naar een TOTP oplossing.
Dat helpt niet, want een legitieme user die van v&a gebruik wil maken, wordt geconfronteerd met een verplichte 2fa, zal dat instellen en vervolgens de advertentie plaatsen
Mogelijk, maar de koper kan een eigen afweging maken met de informatie dat iemand vlak voor het plaatsen van de advertentie 2fa aan heeft gezet. Bijvoorbeeld afhalen ipv verzenden, een andere betaalmethode kiezen of alleen zaken doen als het om een klein bedrag gaat.

Overigens zal de kwestie die je aansnijdt zich vooral voordoen als 2fa verplicht wordt, en daar ben ik niet per se voorstander van.
Maar als iemand een account heeft overgenomen zonder 2FA en toegang blijkbaar heeft tot ook het e-mailadres dan is het verplicht stellen van 2FA geen garantie. De aanvaller die toegang heeft tot het tweakers en emailaccount kan immers zelf dan 2FA aanzetten.
Klopt, maar de accounts die geen gebruik maken van V&A zijn voor dit soort misbruikers ook niet zo interessant, want het lijkt er juist op dat ze accounts willen gebruiken die al een goede reputatie hebben, en dus V&A al in gebruik hebben.

Natuurlijk is het geen enkele garantie, maar verplicht 2FA als je V&A gebruikt zou ik niet eens zo heel gek vinden.
Je kunt ook een vertraging inbouwen, pas twee dagen nadat je 2FA aanzet of zoiets mag je V&A in. Dat vergroot in ieder geval de kans dat de rechtmatige eigenaar opmerkt dat zijn account gehackt is.

Ik ga er overigens vanuit dat de restrictie alleen zou gelden voor het plaatsen van advertenties en niet voor reageren. Anders zou je namelijk de afzetmarkt voor Tweakers die advertenties plaatsen wel flink inperken.

Edit: overigens zou ik zelf een account met redelijk wat karma en waar je van kan zien dat die actief is geweest op de site al een stuk meer vertrouwen dan een praktisch leeg account, ook al is er nog geen V&A feedback.

[Reactie gewijzigd door Finraziel op 2 januari 2020 17:05]

Voor Steam is dit niet per se nodig. Ik heb gedurende de afgelopen sale meerdere 'trading cards' op de Steam Marketplace aangeboden en hoefde niet met 2FA de verkoop alsnog te bevestigen (al kun je dat wel instellen inderdaad, maar het is dus niet verplicht). Wel maak ik gebruik van 2FA bij het inloggen, maar daarna hoeft het dus niet meer.

[Reactie gewijzigd door CH4OS op 2 januari 2020 15:41]

2FA bij inloggen is al voldoende ;-)
Het gaat om 2FA überhaupt hebben, je bent al geverifieerd tijdens het inloggen dus hoeft het daarna niet meer.
Liever wel met een app zoals Authenticator, heerlijk :)
Precies dit.
Al dat gepraat over sms en email als 2fa wat alleen maar meer gaten oplevert...
Er bestaat zoiets als authenticator, authy, etc. die zijn ervoor bedoeld.
Ik zie al voor me hoe ik na jaren geen 2fa heb gebruikt plotseling een oud ding wil aanbieden ofzo. Het telefoonnummer gebruik ik niet meer, geen idee welk email adres ik had opgegeven (ik gebruik voor sommige sites een nonsense adres) en zelfs dan nog het wachtwoord voor dat email adres opzoeken... Nou dan gaatie wel op marktplaats hoor. Of bij het afval.

En dat vind ik jammer want veel jonge einsteins hier kunnen sommig spul goed gebruiken.

[Reactie gewijzigd door Mushroomician op 2 januari 2020 16:45]

Dit vind ik zo'n goeie reactie, dat ik er een forumtopic voor heb geopend:
2FA voor gebruikers van V&A

[ed.] Dat topic is gesloten, omdat daar al een topic over liep :-)
2FA / FIDO U2F Support?
en daar heb ik mijn bijdrage ook gepost.

Ook een goede plek om de wens tot 2FA voor V&A aan te geven.

[Reactie gewijzigd door Keypunchie op 2 januari 2020 16:56]

Als de persoon hetzelfde wachtwoord gebruikt op meerdere sites dan is de kans ook groot hij/zij hetzelfde wachtwoord voor zijn email heeft. SMS vind ik persoonlijk irritant omdat het me al te vaak gebeurd dat het SMSje simpelweg niet aankomt.

2FA via een timebased app zoals Google of Microsoft authenticator heeft bij mij altijd de voorkeur. De app is dan totaal los gekoppelt van een extern systeem en om een code te bemachtigen heb je fysiek toegang tot de telefoon nodig.
Email gaat niet werken; als iemand toegang heeft tot je account, kan hij ook het mailadres wijzigen, maar een combinatie zou wel kunnen, dus:

Email wijzigen = 2fa via sms
Telefoonnr wijzigen = 2fa via mail

Dan kun je ze ze niet ongemerkt in 1x wijzigen.
Gebruik nooit SMS voor 2FA! Dat is onveilig!
Het is nog altijd VEEL veiliger dan geen 2fa.

Een hacker moet je simkaart kapen om er echt iets mee te kunnen, dus de drempel is wel vrij hoog, en je moet echt een specifiek doelwit zijn
en nog beter om (snelle) fraude te voorkomen: als je het device dat de 2FFA afhandelt wijzigt (nieuwe telefoon) dan krijg je een temporary suspend op al je marketplace actie; na een paar dagen kan je weer doorgaan alsof er niks gebeurt is. Je telefoon unlocked in een bar vergeten heeft dan nog steeds een vangnet.
Je telefoon unlocked in een bar vergeten heeft dan nog steeds een vangnet.
Nee want dan gebruiken ze je eigen telefoon.
Er is wel een aardig gat wat je eerst ook even moet oplossen:

Stel ik ben een Slechterikje. Ik zoek naar BraveTweakers die heeft 2FA aan hebben staan (of ik hack er een paar tot ik dr 1 vind die het niet heeft). Ik pas het telefoonnummer van dat account aan naar die van mijn prepaid nummer. Vervolgens stel ik keurig 2FA in, want dat moet. PotentieleKlanten zien nu 2FA aan staan en denken onterecht dat het veilig is.
Of een tussenstap: password less authentication

Gooi het wachtwoord weg en toon alleen het email veld. Als je email intikt dan krijg je een linkje in je mailbox waar je op moet klikken en voilla je bent ingelogd.

Geen gedoe met 2fa en over het algemeen is bv je (g)mail beter beveiligd dan je tweakers account. Natuurlijk het is niet perfect maar wel stukken beter en gebruiksvriendelijk dan wachtwoorden gebruiken
Of via een Authenticator app :)
Beetje laat, maar lees het artikel nu pas.

Dat kun jij handiger vinden, maar ik vind dat juist onhandig. Op het moment dat ik op mijn desktop zit kan ik makkelijk in mijn password manager zoeken naar mijn combinatie en op mobiel word het standaard gesuggereerd als mogelijkheid en heb ik er nog minder omkijken naar.

En dan hebben we het nog niet eens over het feit dat Google redelijk in de gaten krijgt wanneer je waar inlogt, iets wat ik liever ook niet heb.
En dan gelijk een logo-tje (slotje ofzo) achter iemand z'n tweaker-naam zodat het duidelijk is dat deze persoon 2FA gebruikt.

Dan weet je gelijk of je iemand kunt vertrouwen in de V&A.
Ik denk eerlijk gezegd dat dat vooral averechts werkt.

Zodra een oplichter weet dat dat blijkbaar een meerwaarde biedt, zal ie uiteraard bij z'n accounts dat ook gewoon gebruiken... Sterker nog, met een beetje pech hebben dan oplichters vaker dat slotje dan niet-oplichters ;)

Tenzij het natuurlijk voor iedereen verplicht zou worden, waarna het slotje weer nutteloos is geworden omdat iedereen bij V&A het dan zou hebben.
Maar dan zijn ze wel geverifieerd en beter te traceren.
Hoe zijn ze geverifieerd? Als men 2FA toepast met behulp van een authenticator app (wat tegenwoordig de voorkeur heeft) dan heb je 0 bijkomende verificatie.
Ja dat is zo. Ik doelde meer op 06-verificatie.
Dat geeft weer allerlei extra gedoe met privacy. Dat is typisch een persoonsgegeven dat we nu niet nodig hebben en ik liever niet op ga slaan.

En ach, de oplichters plaatsen vaak ook wel een 06-nummer in hun advertentie, dus die zijn blijkbaar best bereid dat nummer te publiceren ;)

Maar al met al zie ik sms-gebaseerd MFA sowieso niet gebeuren op Tweakers.
Fair enough. Maar je kunt beargumenteren dat een 06 nummer functioneel noodzakelijk is voor 2FA. En dan mag het wel.
Dit vind ik nog best een goede trouwens.
Dat een account 2FA heeft, betekent natuurlijk niet dat deze persoon te vertrouwen is.
Ik verwacht eerlijk gezegd van niet.
Als je een wachtwoordmanager hebt en daardoor een inlognaam & uniek gegenereerd wachtwoord, dan is de kans erg klein dat er wat mis gaat.
Als het mis gaat ( het uitlekken van accounts dmv een hack), is het " slechts" 1 site waar het misbruikt kan worden.

2FA is inderdaad veiliger, maar als ik elke dag een aantal malen dat moet gaan doen, dan doe ik het niet. Ik geloof eerder dat een goede wachtwoord discipline effectiever is :)
2FA is gewoon een onderdeel in de betere wachtwoordmanager op vandaag. Met andere woorden, nadat deze je inlogged, staat je 2FA code al netjes klaar om te plakken in het 2FA vakje.

Net zo makkelijk dus, met als enige verschil dat je nu ook beschermd bent op die ene site die gehacked is.
Daarom moet je dat ook niet gebruiken die auto optie. Snap echt niet dat dat bestaat.
Ik vind het eigenlijk geen goed idee wachtwoorden en de totp-shared secrets bij elkaar op te slaan, dan krijg je IMHO onnodig een enkel aanvalspunt.
Tegenwoordig heb je implementaties die alleen nog vereisen dat je op "allow" klikt. Dat vind ik al behoorlijk gebruikersvriendelijk. Als dat nog teveel gedoe is, stel je "trusted devices" in.
Maar volgens mij is er niet een standaard voor zo'n alle.

Met de Mircosoft authenticator kan ik bij microsoft inloggen met één tap. Met de laspass app bij lastpass. Bij Google weet wat anders.

Of ken je een app die bij meerdere partijen one-tap Access biedt?
Ik kan gewoon met behulp van authy one click authenticeren bij Gmail. Outlook inderdaad dan weer niet, nee.
Uit de cijfers van diensten die dit vrijgeven blijkt dat slechts een klein deel van gebruikers 2fa inschakelt. Op Tweakers is dat wellicht iets hoger, maar 2fa vrijblijvend aanbieden zet geen zoden aan de dijk. Zoals ook in het artikel staat, zijn we dit aan het bekijken, maar voorkomen is echt beter dan genezen.
Waarom geef je ze de keus? Gewoon verplichten
Omdat je je lezers niet kwijt wil. Moet je eens kijken wat er gebeurd als je mensen dwingt.
Ja en dan huilen als je een videokaart niet krijgt. Natuurlijk niet voor de hele site maar vraag en aanbod mag je dit echt wel verplichten. Anders ga je maar lekker op marktplaats opgelicht worden.
Ja voor enkel V&A geef ik je gelijk.
De meeste gebruikers weten dan ook van toeten nog blazen over internet security. Omdat niemand ze dat goed uitlegt. Ik durf te wedden dat sites die dat wel doen, of een beloning koppelen aan het activeren van 2FA, een veel betere score treffen. Zo kan Tweakers gebruikers die 2FA activeren belonen met een badge naast hun naam, of zelfs met een maandje "Supporter," bijvoorbeeld.
Ik zit er vanuit een tijd/effort perspectief echt niet op te wachten om op elke site 2fa te gebruiken. Dat ik dat voor zaken als digid, steam etc gebruik vind ik vanzelfsprekend, maar voor elke website...
Liever niet.

Ik acht het niet nodig dat T.net mijn telefoonnummer hoeft te weten.

En van de week kwam ik erachter dat ik een account van een niet onbelangrijke service definitief kwijt ben geraakt, omdat ik ooit overtuigd werd dat 2FA met zo'n authenticator app zo'n goed idee is. Niet dus als je phone reset en de authenticator app z'n backups niet slikt. Sowieso voelde het ongemakkelijk dat 2FA met app eigenlijk een tweede wachtwoord is waar je niet veel controle over hebt.

2FA, enkel met SMS en enkel als het strikt noodzakelijk is.
Dan ga je er van uit dat 2FA per SMS zou werken. De kans dat zoiets wordt toegepast is dan weeral klein lijkt mij. We zien meer en meer de omschakeling naar authenticator apps die van open protocollen gebruik maken.

En er kunnen met elke vorm van 2FA problemen ontstaan als de mensen achter de site niet meewerken. Recent moest ik op het werk mijn 2FA laten herstellen op een filesharing site omdat ik naar het buitenland ben verhuisd en ze via SMS werken. Nieuw mobiel nummer dus. Resultaat: ze vragen veel en gedetailleerde informatie over je gebruik van hun service zoals wanneer laatst ingelogd, wat de bestandsnaam is van het bestand dat je laatst hebt geupload dat ik echt dacht van: wie verzint zoiets in hemelsnaam. Gelukkig had mijn collega wel de mogelijkheid om 2FA bij mij gewoon uit te schakelen.
Dan ga je er van uit dat 2FA per SMS zou werken. De kans dat zoiets wordt toegepast is dan weeral klein lijkt mij. We zien meer en meer de omschakeling naar authenticator apps die van open protocollen gebruik maken.
Voor de online diensten waarvoor ik het gebruik, "werkt het gewoon". Soms willen SMSjes niet à la minute binnen komen, maar dat is dan jammer dan.

Ik vind het opmerkelijk dat je voor die "filesharing site" een privé mobiele telefoonnummer moet gebruiken in plaats van je telefoonnummer van de zaak. En ook dat die filesharing-dienst niet meewerkt als op zakelijk niveau het probleem wordt aangekaart. Voorzorgsmaatregelen tegen babbeltrucs en social engineering kan ik wel begrijpen. Maar als verzoeken van je baas tegen die "filesharing site" geen gehoor krijgen en blijkbaar hebben ze tot aan bestandsversionering toe toegang tot jullie bestanden, adviseer ik om rond te kijken naar een alternatief die de zaakjes beter op orde heeft.
2FA met SMS is veilig tot iemand je telefoonnummer weet en een beetje slap kan lullen tegen iemand bij een telefoonwinkel. Van alle 2FA is SMS nog wel de slechtste. Simjacking overkomt iedereen, alhoewel dieven meestal eerst achter de bank aan gaan en dan pas achter je Tweakers account.

Het probleem met het gebruik van TOTP is niet zozeer dat het slecht werkt maar dat de meestgebruikte apps (en dan vooral Google Authenticator) weinig of geen mogelijkheden tot backups geven. Dat is dan wel weer by design maar andere apps (zoals Authy) staan je toe om je accounts te herstellen als je je backupwachtwoord nog weet en een ander (backup-)apparaat hebt waar je ook op bent ingelogd (of je SIM-kaart hebt, maar SMS is dus niet veilig...)

2FA is geen wachtwoord, het is een tweede factor. Je wachtwoord is de eerste factor en de veiligheid van 2FA is dat er iets bovenop komt, en niet iets dat je weet (dat zou gewoon nog een wachtwoord zijn).

Een wachtwoord is iets dat je weet, je telefoon/RSA token/Yubikey/smart card is iets dat je hebt en een vingerafdruk of irisscan is iets dat je "bent", dat zijn de drie mogelijke factoren. Een vingerafdruk en een smart card zonder wachtwoord is dus technisch gezien ook 2FA, alhoewel je dat in de praktijk niet zoveel tegenkomt.

Het hele idee van 2FA met een apparaat is dat de sleutel die je nodig hebt zo lastig mogelijk na te maken is en dus alleen gebruikt kan worden als je die hebt. Dat is waarom het zo veilig is: wachtwoorden kunnen lekken maar 2FA-sleutels stelen vereist (als het goed is) fysieke toegang. Als je controle over de TOTP tokens zou hebben, zou je 2FA juist een groot deel van zijn waarde verliezen.
Er zijn 2FA providers die het telefoonnummer niet 'delen' met de service waarvoor 2FA gebruikt wordt (het 06nummer komt de API niet uit zeg maar).
Je 2e punt is je eigen fout. Al die authenticator apps hebben een restore code. Die ben je vergeten op te slaan. SMS is ook al aangetoond onveilig (google SMS insecure en je krijgt plenty resultaten).
Nee, die zat in de backup file.

Ik kreeg in ieder geval geen scherm in my face dat ik een bepaalde code op mijn muur moet schilderen voordat mijn telefoon gestolen wordt of kapot valt.

En een wachtwoord voor een wachtwoord voor een wachtwoord vind ik een rare kronkel.
Inderdaad. Ondanks dat ik een wachtwoordmanager heb en geen last heb van bovenstaande "hackmethode," zal ik altijd prefereren om ook 2FA op een account te hebben.

Het is gewoon een extra laag beveiliging, dus waarom zou je het niet aanbieden?
Hoe doe je dat als je een nieuwe mobiel koopt? Dan moet je al je accounts langs om 2FA opnieuw te configureren. Of wat als je je mobiel kwijt raakt?

Ik ben zelf niet zo heel happig op 2FA. Bij Tweakers zou ik dit ook zeker niet inschakelen. Een uniek wachtwoord van 64 karakters lijkt me voldoende op een website waar ik geen echte persoonsgegevens verwerk of betalingsgegevens opsla.
Er zijn zat 2FA aanbieders die de code in de cloud opslaan (met een master password). In mijn geval zit de 2FA gewoon in mijn 1Password met de rest van mijn wachtwoorden. Je kan ook voor een derde partij zoals Authy kiezen.
In de cloud opslaan is niet mijn definitie van veilig. Ik gebruik daarom ook KeePass als wachtwoordmanager.

Ik moet wel eens 2FA gebruiken en daar heb ik Google Authenticator voor. Maar die kan geen backups maken. Heel gebruiksvriendelijk allemaal. Want hoe stel je een nieuwe 2FA in als je niet meer in je account kan komen?
Ik kan mij niet voorstellen dat Keepass geen 2FA plugin heeft.
Dat is mij overkomen met google authenticator. Telefoon crashte tijdens android update en verloor alle data. Meeste accounts weten te recoveren met recovery codes of via support, 2 accounts niet meer te bereiken omdat support hard hanteerd geen recovery aan te bieden zonder 2FA codes. Gellukig waren deze niet belangrijk en lang niet meer gebruikt.

Ik gebruik voor elke account een ander wachtwoord en geen 2FA, daar ik tot nu toe meer accounts aan 2FA ben verloren dan aan mensen die mijn accounts hebben gestolen of gehackt 8)7
Dan moet je al je accounts langs om 2FA opnieuw te configureren. Of wat als je je mobiel kwijt raakt?
Klopt, maar als je bij het genereren van de totp-koppeling hebt opgelet, had je ten tijde daarvan het shared secret kunnen opslaan, zo heb ik dat tenminste gedaan. Dat zijn dan natuurlijk wel gegevens die je zorgvuldig en imho ook zeker niet-elektronisch bereikbaar moet opslaan. Maar op die manier is het voor mij vrij simpel om zo nodig de totp-koppelingen te kunnen herstellen.

Verder heb gebruik ik voor het dagelijks gebruik een yubikey als totp-generator, zo ben je ook niet aan een bepaalde computer of telefoon gebonden (maar wel aan die key natuurlijk).
Bij het instellen van 2FA krijg je normaliter en QR code te zien die je moet scannen.

Wat je kunt doen is een printscreen maken en deze bijvoorbeeld op een USB stick of harde schijf offline thuis opslaan. Wanneer je een nieuw toestel gaat gebruiken omdat je de jouwe kwijt bent, kun je simpelweg al deze QR codes opnieuw inscannen en klaar is Kees.

You're welcome :)
En hoe ga ik dat uitleggen aan mijn oma?
Niet.

Je doet het voor haar en laat zien hoe het werkt. In de meeste gevallen hoef je per apparaat ook maar één keer zo'n 2FA code in te voeren.

Daarna zorg jij ervoor dat je een back-up van de secrets maakt voor haar en tegen haar zegt dat ze je moet bellen als ze problemen heeft.
Koud kunstje, toch? Oma maakt gewoon een topic aan op het forum... :/ :Y)
Immers is er al een account, anders kan je ook niet in v&a terecht.

[Reactie gewijzigd door Lip op 5 januari 2020 02:19]

Met de MS Authenticator kan je alles in 1 keer overzetten naar nieuwe device via backup/restore.
En dan het liefste in een universele standaard: OAuth
OAuth is toch geen 2FA?
Klopt ja, Totp was waar ik op doelde
Misschien dacht je aan Authy, die TOTP heeft geïmplementeerd :)
Zou ik iig onmiddellijk doen
Klopt, dit zou ik aanzetten met een eventuele usb security key
Ligt eraan of dat met of zonder telefoonnummer is. 2FA met een telefoonnummer die ik moet achterlaten, is vragen om telefoon spam bij een lek.
De reden om het niet te doen in het artikel slaat inderdaad nergens op. Je kunt gewoon als gebruiker op veel sites aangeven dat je het wil gebruiken. Alleen al een mailtje krijgen bij een nieuwe login op een ander device is voldoende. Zo gek is dat tegenwoordig niet meer en naar mijn mening erg eenvoudig te implementeren.

[Reactie gewijzigd door sygys op 2 januari 2020 18:49]

Om heel eerlijk te zijn, ik zie geen meerwaarde van het inschakelen van 2FA op mijn Tweakers account. Ik zou het een overbodige stap vinden. Op deze site zou men mij, en ik denk velen, moeten verplichten want anders zullen we het niet doen. En volgens mij gaat dat ook weer bezoekers kosten. Want de volgende stap in beveiliging gaat zijn om sessies veel korter geldig te maken waardoor je net vaker verplicht gaat worden van in te loggen en jezelf te authenticeren.
Jij verwacht dat de meeste tweakers het wel in zulen schakelen, ik verwacht dat de meesten het niet in zullen schakelen.
En waarom dan niet? Omdat het een omslachtige manier is van inloggen, ook al is het veiliger.
Zeker op een site als Tweakers waar je verder geen persoonlijke gegevens achter hoeft te laten.
2FA voor ziekenhuizen en overheid is wat dat betreft nog logisch, blijft wel omslachtig maar dan heb je in elk geval nog het idee dat het de moeite waard is.

De gemiddelde Nederlander zal in elk geval simpel in willen loggen, als 2FA via DigiD niet nodig is maar via een SMS of mailtje dan zullen ze dat doen.
Net weer even een stap simpeler en sneller.

Ik merk het aan mezelf ook, ben pas sinds een half jaartje overgestapt op een passwordmanager.
Eerst Dashlane maar die was in de gratis versie erg beperkt, nu Lastpass, ook gratis, prima voor thuisgebruik.
Ik heb ook op een hoop sites hetzelfde wachtwoord gebruikt dat te onthouden was, een hoop van die sites hebben inmiddels een voor mij onbekend wachtwoord gekregen, dat houdt de manager verder bij.
Maar toch vind ik zelfs dat nog omslachtig en onhandig, ik zou liever het wachtwoord zelf kunnen onthouden maar met zoveel sites is dat niet mogelijk.
2FA is nog een stuk omslachtiger en ik denk ik niet dat veel mensen het in zouden stellen als de mogelijkheid er zou zijn.
Ik denk dat de meesten gewoon op de oude, makkelijkere, manier door zullen gaan.
2FA is zo enorm irritant. Mijn werkgever doet dit nu via de MS portaal ook. Je krijgt dus een SMS'je als je wilt inloggen. Erg leuk als je ergens bij een boerderij staat in the middle of nowhere om internet op te leveren. Sorry, ik moet even 10 km rijden om een SMS'je te ontvangen. Belachelijk. Daarnaast: wat als ik mijn GSM kwijt ben? Dan kan ik dus niet meer werken.

Hetzelfde geldt voor die ongein met authenticators op je mobiel of zoals Blizzard het deed met hun draagbare authenticator of die apparaatjes die je van je bank krijg zoals een digipass etc. Erg leuk als je hele dagen thuis zit en er beschikking over heb, maar onderweg is het niet zo handig.

Nee dan voor iedere site een ander wachtwoord gebruiken. Dat is ook geen oplossing. Ga dat maar eens onthouden: ik zit nu al bij [random site] waar ik een maand of 4 niet ben geweest tig wachtwoorden in te vullen in de hoop dat ik de juiste heb. Lekker veilig idee als iemand 'meeluistert', want dan heeft ie ook direct tig andere wachtwoorden van me.

Oke, neem dan een password manager zou je denken, maar ook daar heb je dan het probleem als je er om wat voor reden even geen beschikking over heb dat je niks kan doen... Dan heb je ook nog eens de DigiD implementatie.. amai zeg... app openen, letters intypen, foto maken, wachtwoord opgeven... hey.. ik heb wel wat beters te doen.

Dit zijn allemaal problemen waar iedereen tegenaan loopt en het is dan ook heel erg begrijpelijk dat mensen wachtwoorden gaan recyclen. Zeker als ze een enorm sterk wachtwoord hebben wat al moeilijk te onthouden is dan krijg je dus die situaties als [sterkwachtwoord]+1 voor site a en [sterkwachtwoord]+2 voor site b. Tja... dat is dan ook niet veilig en niet omdat mijn wachtwoord niet sterk genoeg was, maar omdat de beveiliging van een site niet voldoende was en deze mijn wachtwoord lekten zodat die in een dbase terecht kwam... tja.. en dan houdt het voor mij echt op.

Wat is dan wel een oplossing? Ten eerste drie verschillende lagen van beveiliging gebruiken.
Laag 1 is een forumreactie typen, je saldo checken, aanmelden bij bol.com en allemaal dingen die niet kritisch zijn.
Laag 2 is geld overboeken tussen je eigen rekeningen, iets bestellen bij bol.com, dat bericht lezen op mijn.overheid.nl, je loonstrookje inzien en allemaal dingen die privacygevoelig zijn, maar waar niet mee gefraudeerd kan worden.
Laag 3 is geld overboeken naar andere rekeningen, je adresgegevens aanpassen bij bol.com, je belastingaangifte versturen, iets te koop zetten op V&A en alle dingen waarvan het vitaal is dat het duidelijk is dat jij het bent.

Hoe gaan we dat dan beveiligen?
Laag 1: wachtwoord
Laag 2: IDIN
Laag 3: DigiD of een commerciele tegenhanger (hoe vermoeiend ook)

Ja, je leest het goed. Alle systemen om de boel veilig te houden voor vitale info zijn er al. Ze worden alleen niet geïmplementeerd. In plaats van een kleine miljoen verschillende methodes, sites en opslagmethodes met hash of zonder hash van wachtwoorden gewoon identificatie weer terug naar waar het hoort te zijn: de overheid. Door het toepassen van IDIN voor Laag2 heb je direct alle mogelijkheden die daarbij horen zoals 2FA en met Laag3 zelfs I2FA (irritante 2factor auth) inclusief alle toepassingen die er voor beschikbaar zijn. Weten we dat het allemaal goed beveiligd is (zo niet dan weten we waar we aan moeten kloppen) en zijn wachtwoorden (Laag1) niet meer interessant voor onze vrienden de hackers.
En dit is waarom mensen zo makkelijk gehackt worden. Goede beveiliging is te veel moeite.

Een beetje wachtwoordmanager heeft tegenwoordig zowel een app als een webinterface dus die kun je overal gebruiken. Okee, als je in the middle of nowhere zit en je je telefoon niet bij hebt en het apparaat waar je op inlogt ook geen internet heeft, dan ben je de sjaak. Ik kan me alleen lastig voorstellen hoe je in zo'n situatie terecht komt.

SMS 2FA is duur om te implementeren en onnodig onveilig. Als je 2FA doet, doe het dan met een TOTP-code. Dat is veiliger, valt desnoods te backuppen en zo heb je ook geen gezeik met SMS'jes die niet aankomen. Die achterlijke apps van Steam en Blizzard zijn overigens net zo erg, dat is niets anders dan data vergaren onder het mom van security.

Naast TOTP zijn er ook nog fysieke tokens waar je geen batterij voor nodig hebt (Yubikey etc.) die ook 100% veilig zijn en perfect draagbaar. Helaas is het implementeren daarvan soms lastig, dus die optie wordt minder vaak gebruikt dan ik zelf zou zien. Iedere telefoon en laptop heeft een vorm van een TPM aan boord dus wie weet zien we het in dagelijks gebruik met een paar jaar.

DigiD is misschien niet gebruiksvriendelijk, maar wel enorm veilig. Ja, dat kost je 20 seconden extra, maar het beschermt je tegen bijna alle vormen van hacking die je je kan indenken. Als je wat beters te doen hebt dan voorkomen dat criminelen in jou naam een bankrekening openen of duizenden euro's aan subsidies in jou naam aanvragen, moet je wel heel erg belangrijk zijn.

Bestellen bij bol.com is al een manier om te frauderen overigens: account hacken, bestellen op het adres van een katvanger en dure spullen op marktplaats verkopen voor winst. Ook met de gegevens op Mijn Overheid is al fraude te plegen aangezien je daar je BSN en alle gegevens om op de meeste plekken je identiteit te verifiëren met een druk op de knop te vinden zijn. Geld overboeken tussen je eigen rekeningen is ook een leuke tot je in een vechtscheiding zit en je partner ineens heel naar geld van je persoonlijke naar je gedeelde rekening gaat overschrijven. Zijn wel je eigen rekeningen, dus geen probleem toch?

Die hele tweede laag van je is erg vaag en dubieus. Natuurlijk zit er verschil tussen het belang van je tweakerswachtwoord en je DigiD maar zodra je dat grijze gebied gaat categoriseren gaat het al snel mis.

Overigens zie ik niet hoe IDIN en DigiD verschillen, ik moet bij mijn bank ook gewoon een code scannen en een pincode ingeven op mijn telefoon wil ik in kunnen loggen. Overigens gaat de Nederlandse overheid wel richting IDIN ipv DigiD in de komende jaren, dus die wens van je komt in ieder geval wel uit.

Ik weet niet wat je voor baan doet maar ik hoop niet dat mensen naar jou toe komen als het op cybersecurity aankomt.
Ik kan me alleen lastig voorstellen hoe je in zo'n situatie terecht komt.
Niet iedereen woont in de Randstad,
Bestellen bij bol.com is al een manier om te frauderen overigens: account hacken, bestellen op het adres van een katvanger en dure spullen op marktplaats verkopen voor winst.
Laag1: wachtwoord = bestellen
Laag2: IDIN=adres veranderen
Dus je kan laag 1 wel hacken, maar je kan dan alleen dingen bestellen op het al geregistreerde adres, wil je dit veranderen dan heb je beveiliging laag 2 nodig.
Die hele tweede laag van je is erg vaag en dubieus. Natuurlijk zit er verschil tussen het belang van je tweakerswachtwoord en je DigiD maar zodra je dat grijze gebied gaat categoriseren gaat het al snel mis.
Nee, het gaat zonder verschillende lagen wel een stuk beter? Als beveiliging zo lukraak is dat er geen categorisatie voor plaatsvindt en letterlijk jan en alleman zijn eigen soort beveiliging kan implementeren om welke site dan ook dan krijg je dus lekken en dat zorgt ervoor dat al het advies van pak hem beet 10 jaar terug waardeloos is geworden en we nu dus met authenticators, 2FA en al die crap aan het rommelen zijn onder het mom: symptoombestrijding. Pak toch eens het probleem aan.
Overigens zie ik niet hoe IDIN en DigiD verschillen, ik moet bij mijn bank ook gewoon een code scannen en een pincode ingeven op mijn telefoon wil ik in kunnen loggen.
IDIN gaat via de authenticatie van je bank, DigiD via de authenticatie van de overheid. Laag 2 is dus commercieel en laag 3 is via de overheid (tot er een commercieel antwoord op komt). Een enorme wereld van verschil. Immers laag 2 is niet app gebonden (Rabo/ABN/Volksband implementeren het allemaal via hun eigen authenticatiesysteem), laag3 is gebonden aan DigiD zelf en zit niet nog een partij tussen.
Ik weet niet wat je voor baan doet maar ik hoop niet dat mensen naar jou toe komen als het op cybersecurity aankomt
Grappig detail is dat dit dus wel degelijk een belangrijk onderdeel van mijn baan is en dat mijn mening geen enkele invloed heeft op het feit dat ik volgens instructie werk - en ik denk nog zelfs een stuk bewuster dan menig persoon dat hier doet.

Doet niet af aan het feit dat ik vind dat het beter moet kunnen en ik heel hard de zucht van de consument hoor dat het te lastig wordt. Heel jammer dat je nu al de tweede bent die mij de les probeert te lezen en mij hierover persoonlijk aanvalt terwijl ik NERGENS zeg dat mensen geen 2FA moeten gebruiken, geen password managers aan mensen aanraad of simpele wachtwoorden verzin. Ik zeg louter dat symptoombestrijding irritant en zonder eide is. Uiteindelijk raakt ook 2FA achterhaalt en voordat je het weet zit je met 3FA of 4FA omdat uiteindelijk ALLES te kraken is. Identiteitsbescherming hoort niet de taak van een webdesigner, een serverhoster of een dbaseprogrammeur te zijn. Het probleem is daarmee dat er duizenden of zelfs miljoenen van zijn. Een oplossing zoals iDeal zou ideaal zijn... of wacht.. nee die is er al en dat is IDiN, maar nee.. laten we voor elke site het wiel nog even opnieuw uitvinden. Weet je wat je van mij krijgt: een hele diepe zucht!
Niet iedereen woont in de Randstad,
Ik ook niet. Gelukkig heeft mijn telefoon een batterij, hebben treinen tegenwoordig stopcontacten en heeft iedere auto een 12V plug waar een Action-autooplader in kan dus kun je tegenwoordig overal 2FA en password managers gebruiken.
Laag1: wachtwoord = bestellen
Laag2: IDIN=adres veranderen
Dus je kan laag 1 wel hacken, maar je kan dan alleen dingen bestellen op het al geregistreerde adres, wil je dit veranderen dan heb je beveiliging laag 2 nodig.
Dit zou mooi zijn, maar de praktijk leert dat web developers amper in staat zijn om normale authorisatie goed te doen, laat staan verschillende beveiligingszones binnen een applicatie. Overigens is dit al redelijk normaal bij sites als Google, waar je wel op je Youtube account kan inloggen maar als je GMail aanklikt moet je vaak opnieuw je wachtwoord invullen.
Het nadeel is dat voor de meeste gebruikers hetzelfde probleem blijft, aangezien je ook overal in Nederland je pakketjes kan laten bezorgen bij zo'n PostNL-punt of zo'n stationskluisje. Ik zou het zelf in ieder geval bijzonder vervelend vinden als mij die optie ontnomen wordt.
Nee, het gaat zonder verschillende lagen wel een stuk beter? Als beveiliging zo lukraak is dat er geen categorisatie voor plaatsvindt en letterlijk jan en alleman zijn eigen soort beveiliging kan implementeren om welke site dan ook dan krijg je dus lekken en dat zorgt ervoor dat al het advies van pak hem beet 10 jaar terug waardeloos is geworden en we nu dus met authenticators, 2FA en al die crap aan het rommelen zijn onder het mom: symptoombestrijding.
OAuth is anders behoorlijk gemeengoed geworden. Ik kan me weinig sites herinneren waar geen knop "Log in met Facebook" of "Log in met Google" stond. De mogelijkheid om veilige authenticatie uit te besteden bestaat al jaren en het blijkt dat het in de praktijk amper gebruikt wordt. Daarnaast wordt je meteen afhankelijk van een extra partij als je wilt inloggen, dus als de Rabobank een storing heeft kun jij ineens geen nieuw adres doorgeven.
Pak toch eens het probleem aan.
Het vroegere probleem (onveilige wachtwoorden) wordt al hard aangepakt met wachtwoordeisen (minstens 8 tekens, liefste letters en cijfers alhoewel veel bedrijven daar mij ook wat te draconisch over doen). Ook inloggen over HTTPS is nu de norm in plaats van de uitzondering en de hoeveelheid shady toolbars in de browser is de afgelopen tien jaar bijna naar 0 gedaald.
Het nieuwe probleem (wachtwoorden hergebruiken) wordt aangepakt door dingen als password managers en 2FA te adverteren en te verspreiden; waarom allemaal verschillende, moeilijke wachtwoorden onthouden als 1 goed wachtwoord en een appje op je telefoon ook gewoon voldoet?

Websites worden altijd gehackt en zullen altijd gehackt worden. Iedere competente ontwikkelaar gebruikt al minstens vijf jaar andersmans libraries voor het opslaan van wachtwoorden. MD5 is al vervangen voor SHA in de meeste oude applicaties en veiligere alternatieven als Blowfish staan tegenwoordig standaard ingesteld bij frameworks. Zelfs de meest incompetente PHP-beunhazen kunnen nu met password_hash veilig een wachtwoord opslaan.

Een alternatief voor wachtwoorden, WebAuthn, wil trouwens nog niet van de grond komen omdat het moeilijk te implementeren is voor websites. Het gaat ervan uit dat je apparaat redelijk beveiligd is, slaat een sleutel op op je apparaat en laat je daarmee inloggen zonder wachtwoord. Vanwege de complexiteit van het systeem heb ik helaas weinig vertrouwen in deze oplossing.
IDIN gaat via de authenticatie van je bank, DigiD via de authenticatie van de overheid. Laag 2 is dus commercieel en laag 3 is via de overheid (tot er een commercieel antwoord op komt). Een enorme wereld van verschil. Immers laag 2 is niet app gebonden (Rabo/ABN/Volksband implementeren het allemaal via hun eigen authenticatiesysteem), laag3 is gebonden aan DigiD zelf en zit niet nog een partij tussen.
Zoals ik zei, DigiD gaat eruit en iDIN komt er waarschijnlijk voor in de plaats. Banken gaan in de toekomst dus als de plaats van DigiD innemen zoals in andere landen ook al het geval is.
Ik zeg louter dat symptoombestrijding irritant en zonder eide is. Uiteindelijk raakt ook 2FA achterhaalt en voordat je het weet zit je met 3FA of 4FA omdat uiteindelijk ALLES te kraken is.
Multifactorauthenticatie is juist niet te kraken, mits normaal geïmplementeerd. Je opties om 2FA te hacken zijn diefstal (van een tweede factor die je in bezit hebt) of biometrische gegevens afnemen (bij een tweede factor die je 'bent'; denk aan de politie of een crimineel die je dwingt je vinger ergens op te drukken). Als je tweede factor zomaar gekraakt wordt, heb je nooit echt een tweede factor gebruikt.
Identiteitsbescherming hoort niet de taak van een webdesigner, een serverhoster of een dbaseprogrammeur te zijn. Het probleem is daarmee dat er duizenden of zelfs miljoenen van zijn. Een oplossing zoals iDeal zou ideaal zijn... of wacht.. nee die is er al en dat is IDiN, maar nee.. laten we voor elke site het wiel nog even opnieuw uitvinden. Weet je wat je van mij krijgt: een hele diepe zucht!
Log in met Google. Log in met Apple. Log in met Twitter. Log in met Facebook. En straks: log in met je bank. Dit wordt al aangeboden door alle grote authenticatiebedrijven en de meeste websites en apps. Alle diensten waarmee je moet inloggen moeten wel nog steeds een veilige login hebben en data ontvangen van de websites waar je op inlogt.

Het inloggen met je bank is overigens niks nieuws, het wordt in Zweden al sinds 2002 ontwikkeld. Estland heeft een smart card met een RSA-sleutel waarmee kan worden ingelogd. Nederland loopt enorm achter op de rest van Europa wat dit betreft.
Heel jammer dat je nu al de tweede bent die mij de les probeert te lezen en mij hierover persoonlijk aanvalt terwijl ik NERGENS zeg dat mensen geen 2FA moeten gebruiken, geen password managers aan mensen aanraad of simpele wachtwoorden verzin.
Excuses, ik had dit niet moeten doen. Ik uitte de frustraties die ik heb tegen de vele mensen die allemaal moeilijk tegen mij hebben lopen te doen dat hun wachtwoord niet gewoon 123 mag zijn tegen jou en dat was fout.
Nu niet om moeilijk te doen, maar ik hoop echt dat jij nooit in een security team gaat werken. Wanneer je iets als bestellen bij bol.com of je loonstrook kunnen inzien aanmerkt als niet fraudegevoelig dan heb je al een verkeerde indruk. Alles wat je als private informatie bestempeld kan al pogingen tot fraude opleveren.

Een goede 2FA oplossing kan je verschillende mogelijkheden aanbieden. Werkt je SMS niet omdat je geen bereik hebt, dan gebruik je de authenticator app. Heb je geen GSM bij je, dan zijn er nog oplossingen die alsnog tokens kunnen genereren. In een bedrijfsoplossing zijn er altijd mogelijkheden die men moet voorzien voor die uitzonderlijke gevallen.

En wanneer heb je in hemelsnaam geen beschikking over je wachtwoordmanager? Die dingen slaan alles lokaal op en werken ook gewoon lokaal. Dan moet je al een vervan PC meekrijgen waarmee je op geen enkel moment online kunt gaan. En dan zal je ook al geen kopie van die database op je mobiele telefoon hebben. Dan ben je weer met zo een uitzondering bezig die in het dagelijkse leven zelden voorkomt.

Mensen zoals jij die geen enkele oplossing willen gebruiken zijn net de nachtmerrie van mensen die een bedrijfsomgeving moeten beveiligen. Alles wat zij aandragen gewoon afschieten omdat jij maar met uitzonderlijke situaties komt aanzetten waarin het niet zou werken en daarom maar weigeren om het te gebruiken. Security is altijd een balans zoeken tussen veiligheid en gebruiksgemak. Maar zeggen dat jij gebruiksgemak boven alles verkiest dan kun je evengoed geen wachtwoorden meer gaan gebruiken.
Nog een keertje lezen beste Blokker. Al die dingen die jij aanhaalt in je eerste alinea gooi ik onder laag 2 met verificatie via IDIN. Dus die opmerking raakt kant noch wal.

In alinea 2 heb je het over geen SMS kunnen ontvangen ergo geen bereik. Wat dacht je van een lege GSM? Een verloren GSM? Nee dat gaat hem niet worden. Daarbij ga je er ook nog even vanuit dat er andere bedrijfsoplossingen zijn in dat geval. Welnu dat is een utopie en veelal dus niet het geval.

Wanneer is geen beschikking heb over een password manager? Als ik op een andere PC zit? Op een ander besturingssysteem? Andere locatie? Vervang werkcomputer? Nee allemaal te omslachtig.

In je laatste alinea ga je echt te ver en speel je onterecht op de man. Ik heb mijn zaakjes wel op orde hoor, maar vind het allemaal erg frustrerend. Ik werk dagelijks met consumenten die aangewezen worden op wachtwoorden en door de bomen het bos niet meer zien waardoor ik ze kosten moet aanrekenen om het op te lossen. Je hebt het over een balans tussen gebruiksgemak en veiligheid en je bent gewoon blind als je niet beseft dat deze balans al tijden zoek is. Wanneer is overigens voor jou een uitzondering een uitzondering? Als ik er dagelijks mee te maken krijg noem ik dat geen uitzondering, daarbij draag ik een oplossing aan die gewoon zou kunnen werken. Ik zeg nergens dat ik gebruiksgemak boven veiligheid verkies, maar security through obscurity is gewoon niet het juiste pad. Dit terwijl de tools er allemaal al zijn, maar niet ingezet worden. Nee we vertrouwen allemaal op honderden verschillende methodes met ieder zijn eigen kwetsbaarheden. In mijn optiek is dat juist alles behalve veilig.
Misschien een handige tip voor iedereen die veilig wil zijn, maar niet 50 wachtwoorden wil gaan onthouden.
Neem voor je nieuwe wachtwoord 2 makkelijk te onthouden woorden zoals bijvoorbeeld blikje cola.
Nu gaan we van dat blikje cola een veilig wachtwoord maken dat voor ELKE webiste uniek is.
  • zet tussen de 2 woorden de naam van de website: blikje tweakers cola
  • voeg tussen de 3 woorden 1 en het zelfde vreemde teken toe in plaats van de spaties: blikje@tweakers@cola
  • Maak van elk woord de eerste letter een hoofdletter: Blikje@Tweakers@Cola
  • Vervang 1 of meerdere medeklinkers door cijfers: Bl1kje@Tweakers@C0la
Je veilige wachtwoord is Bl1kje@Tweakers@C0la voor tweakers.net
Voor Linkedin zou je wachtwoord dan Bl1kje@Linkedin@C0la zijn.
Nu hoe je alleen deze vrij eenvoudige sleutel (Bl1kje@Website@C0la) te onthouden om op elke website een uniek wachtwoord te hebben.
Hoewel het idee goed is, is dit natuurlijk nog steeds minder veilig dan verschillende, willekeurig gegenereerde wachtwoorden voor iedere site. Stel dat iemand één wachtwoord weet te kraken, dan is het vrij makkelijk daar het patroon in te herkennen en dat vervolgens te gaan proberen bij andere sites. Ja, het is moeilijk te kraken door brute-force methoden. Maar als het eenmaal is gekraakt, ben je alsnog waarschijnlijk de klos. Kortom, ik sta achter de tip van de wachtwoordmanager. Dan hoef je (ook) maar één wachtzin te onthouden (liever een zin dan een woord).
Nadeel is dat Tweakers.net het woord 'Tweakers' in het wachtwoord niet toestaat. Het woord 'Tweaker' weer wel... Voor mij is dat ze ongeveer de enige uitzondering binnen al mijn accounts, en dus ook het enige wachtwoord wat ik vergeet.

Voor de duidelijkheid: iets met blikje en cola hoef je bij mij niet te proberen 😊

[Reactie gewijzigd door GurbieV op 2 januari 2020 18:12]

Ik gebruik tegenwoordig de (compleet gratis, geen ads en zo) plugin en app van Antum. Wachtwoord per website wordt gecalculeerd aan de hand van cryptografie (BIP38). Erg handig en zeer secure.

https://www.openantumid.com/features.html#
Voor de duidelijkheid: iets met blikje en cola hoef je bij mij niet te proberen 😊
Met "pepsi" en "flesje" ? }>
Je kan prima het woord 'Tweakers' in je wachtwoord gebruiken, maar omdat dat je wachtwoord 'voorspelbaarder' maakt moet je iets meer moeite doen om er een sterk wachtwoord van te maken.
Met belangrijke kanttekening dat je slechts een dienst hoeft te hebben die wachtwoorden in cleartext opslaat om deze beveiliging ongedaan te maken. In dat geval zul je op alle mogelijke websites hetzelfde patroon hoeven te proberen om een hoog slagingspercentage te hebben.
En dat is dus niet veilig. Wil je het veilig? Doe zoals in het artikel staat aangegeven en gebruik een wachtwoordmanager. Die zijn er voldoende te vinden op het internet. Zowel gratis als betaalde diensten. Willekeurige, veilige wachtwoorden die je niet moet onthouden. Wie kan daar iets op tegen hebben?
Is het niet gevaarlijk om alle e-mail adressen met wachtwoorden van Tweakers te vergelijken met gelekte wachtwoorden? Dan staat zo'n bestand toch onencrypted open.
Nee, die bestanden staan al op het internet open en bloot.

Wat ik gedaan heb is proberen in te loggen met de mailadressen + wachtwoorden uit zo'n bestand. Dat is hetzelfde als jij gaat inloggen, je geeft je username of emailadres en je wachtwoord en die vergelijken we dan met wat er in onze database staat. We slaan de wachtwoorden 'gehashed' op en vergelijken dus ook niet 1-op-1, maar hashen eerst het wachtwoord dat jij invult en vergelijken dat met de hash in de database. Komen die overeen dan mag je inloggen.

Een hash van een wachtwoord is een (hele moeilijke) rekensom waarbij het resultaat lastig terug te leiden is naar het origineel. Een wachtwoord als 'abcd' zou je bijvoorbeeld kunnen hashen naar 1+2+3+4=10, en dan slaan we alleen '10' op in de database. Als je inlogt dan doen we dezelfde rekensom weer op het wachtwoord dat jij opgeeft, en als daar dan weer 10 uitkomt dan klopt je wachtwoord.

Uiteraard zie je meteen het probleem met dit hele simpele voorbeeld, een wachtwoord als 'bbbbb' komt ook uit op 10, daarom gebruiken we een 'hash functie' waarbij de kans dat twee wachtwoorden dezelfde hash geven heel erg klein is.
Dank Zomborro, Kees en Yggdrasil voor de interessante toelichting.

Is het theoretisch mogelijk dat 2 verschillende mailadressen/wachtwoorden tot dezelfde hash kunnen leiden en dat je daarmee in het verkeerde account inlogt?
Ja, in theorie is dat mogelijk. In de praktijk zal het hele universum eerder vergaan voordat je op 1% van het aantal pogingen zit dat je nodig hebt om een collision te brute-forcen.
Nee toch? Want je geeft bij een inlogpoging je username in. Bij dat account matchen ze het gehashte wachtwoord. Als de wachtwoord-hash bij een ander account hetzelfde is, heeft dat geen invloed.
Err ja, uiteraard je hebt gelijk. De mailadressen moeten wel overeenkomen die worden niet gehashed.
Nee, ze kunnen natuurlijk hetzelfde doen als deze hackers ook, dus het 'replayen' van inlogpogingen met allerlei gelekte inloggegegevens tegen de Tweakers authenticatie-API. Als de inlog slaagt dan zijn de gelekte gegevens correct en is de account kwetsbaar. Daarvoor hoeven ze niet de echte wachtwoorden van Tweakers.net te weten.
Dat is niet helemaal hoe het werk in de praktijk, als ze voor alle gelekte gegevens een inlog poging gaan doen dan is dit erg inefficient. Zoals in het originele artikel ook staat worden wachtwoorden met hashes opgeslagen. Om snel te checken of een gelekt wachtwoord voorkomt kan je dat wachtwoord hashen en vervolgens tegen je database aanleggen. Als er een hit uitkomt (of meerdere), dan kan je actie ondernemen op de accounts die je terug krijgt en dus ergens anders uitgelekt zijn geweest :)
@Yggdrasil heeft het meer bij het rechte eind dan jij :)

Effectief doen we het relevante deel van de normale login; opzoeken welke wachtwoordhash er in de database staat bij een emailadres en dat dan gebruiken om te valideren of het bijpassende kale wachtwoord daarbij hoort.

Of anders gezegd, we roepen direct php's password_verify (met Argon2i algoritme) aan met een in de database opgezochte hash.

En ja, dat duurt inderdaad best lang, het systeem dat dit uitvoerde is bijna een dag bezig geweest :)

Er kunnen niet meerdere hits komen, omdat voor iedere gebruiker er een unieke salt wordt gebruikt. Het komt wel voor dat er meerdere wachtwoorden per emailadres in de gelekte gegevens staan.

[Reactie gewijzigd door ACM op 2 januari 2020 16:58]

Maar... als je een los script gebruikt met onder andere de password_verify functie van PHP, dan ben je geen normale logins aan het simuleren maar ben je gewoon rechtstreeks hashen aan het vergelijken zoals ik eerder aangaf. Toch? Of zie ik iets helemaal over het hoofd?
Dan wordt het een definitiekwestie... De hele webrequest doen, enkel om erachter te komen of het wachtwoord valide is, is gigantisch overkill. Maar het is wel een voldoende correct en eenvoudig antwoord op een vraag als "maar hoe kan je zonder zelf ook de kale wachtwoorden op te slaan controleren of het gevonden wachtwoord valide is?"

Het belangrijkste wat de login in dit geval doet is de wachtwoordverificatie.

Het is echter niet zo dat je domweg met het kale wachtwoord en emailadres in de database kan zoeken of die voorkomen. We kunnen ook niet het wachtwoord 'alvast' hashen en dan hopen dat het gevonden werd.

De Argon2i-hash moet per los emailadres opgezocht worden en daarna via de reguliere verificatie-methode gecontroleerd (ivm de salt die is opgeslagen).

Maar uiteindelijk wordt bij de login ook de hash gegenereerd en daarna vergeleken... dus ja, ultimo worden wachtwoorden tot hashes omgezet en daarna vergelijken ;)

Ik vind zelf 'een login simuleren' een duidelijkere uitleg voor de 'hoe dan'-vraag :P
Helemaal duidelijk, ik begrijp inderdaad goed dat het voor uitleggen ook makkelijker is. Zelf ben ik ook programmeur, vandaar dat ik (zoals jij ook al aangaf) mijn vraagtekens had bij het (volledig) simuleren van een login :)

Wel erg interessant om te lezen hoe jullie de hashes opslaan en welke technieken erbij gebruikt worden. Ik wil je dan ook bedanken voor de uitgebreide en duidelijke antwoorden die je hier geeft, top! _/-\o_
Maar dat werkt toch alleen als je wachtwoordendatabase hashes heeft zonder salt en zonder workfactor? Bij een echte wachtwoordhash gaat dat niet zomaar.
Nee, aangezien alleen de hashes worden vergeleken. Vergelijkbaar met https://haveibeenpwned.com/ / https://haveibeenpwned.com/Passwords
Het gebruik van een password manager is kinderspel en kost maar +- 30 euro per jaar. Ben zelf al jaren gebruiker van 1Password en het bevalt met top. Nooit meer kloten met wachtwoorden etc. etc. Zelfs mijn ouders (60+) zijn ervan overtuigd en gebruiken het ook zonder problemen.

Anno 2020 moeten dergelijke zaken toch wel eens gaan doordringen bij de mensen. Kleine moeite om een password manager goed en gestructureerd op te zetten.
Keepass is zelfs helemaal gratis. Wat fijner/handiger is, is iets voor dit topic: [Password Managers] Discussie- en reviewtopic. Ik heb mijn keyfile in Dropbox staan, en kan er daardoor op elke computer bij. Op iOS gebruik ik daarvoor Keepass Touch.
Waarom gebruik je op iOS geen iCloud Keychain; heb je verder geen apparaten van Apple?
Dat iCloud Keychain werkt ook magistraal.
Omdat ik ook een PC heb waar ik gebruik maak van dezelfde keyfile.

[Reactie gewijzigd door Milmoor op 3 januari 2020 08:41]

Dropbox is in principe een versiebeheersysteem dat aan je e-mailadres gekoppeld staat, waar oude versies van je wachtwoordbestand in worden opgeslagen. Mocht Dropbox (nog) een keer goed gehackt worden, of alleen jouw account d.m.v. een hergebruikt password, dan kan gepoogd worden om je password manager's master password te kraken in een (oude) versie van jouw wachtwoordbestand. Daar zal vast wat leuks uit te halen zijn, ook al ververs je een groot deel van je passwords (hopelijk) regelmatig.

Wachtwoordbestanden in combinatie met versiebeheersystemen zou ik persoonlijk sterk afraden.
Goed punt. Dat zou opgevangen kunnen/moeten worden door regelmatig de wachtwoorden te veranderen, maar dat doe ik niet vaak genoeg.
Alleen heeft dropbox niet zo'n goede reputatie om bestanden veilig te houden. Ik hoop dat die keyfiles zelf ook geencrypt zijn?
Natuurlijk. Ik ga ervan uit dat mijn keyfile in principe op straat ligt. Er zit een fatsoenlijk wachtwoord op.
Klopt inderdaad echter heb ik in het begin een vergelijking gemaakt tussen een aantal password managers en de verschillen tussen 1Password en Keepass waren voor mij doorslaggevend:
- 1Password heeft een veel intuïtiever UI
- De app van 1Password (Android/Apple + de nieuwe Password X Chrome extensions vind ik vele male beter.
- Ik was en ben nog steeds een fan van hun secret-key methode t.o.v. een 2FA ( welke tegenwoordig ook nog eens toegepast voor het inloggen op nieuwe apparaten).
Het nadeel van KeePass is dat de mobiele apps erg kreupel aanvoelen. Op Android moest ik eigenlijk altijd wel inloggen op OneDrive. Laat ik dat wachtwoord nou net in KeePass hebben staan...
30 euro per jaar vind ik veel te duur. Er zijn namelijk nog veel meer abonnementen voor van alles en nog wat. Bitwarden kan ik aanbevelen en is ook nog eens open source. Het heeft ook een abonnement van slechts 12€ per jaar, maar is ook volledig gratis te gebruiken. De gratis versie is een perfect werkende password manager zonder limiet en voldoet voor veel mensen.
Werkt dit ook goed op smartphones dan? En hoe zit het met synchroniseren tussen verschillende devices?

Overigens 38 euro p/j voor Lastpass valt hartstikke mee. Ik heb veilige notities, wachtwoorden, alles. Ik zal nooit gezeik krijgen, omdat ik de code van de poort op m'n werk rond laat slingeren. Die staat netjes in lastpass. M'n wachtwoord voor bankieren staat erin nooit meer wachtwoord vergeten, omdat je altijd de app gebruikt, maar geen gezeik als je eens gehackt zou worden. Als ik een nieuw account aanmaak, krijg ik automatisch de mogelijkheid dit account toe te voegen aan de kluis en belangrijke.

Een gebruikersvriendelijke wachtwoordmanager is me wel wat geld waard. Je zal maar gehackt worden op bol.com. Dan wou je dat je 40 euro had uitgegeven om al dat gezeik te voorkomen.
Bitwarden werkt perfect op alle platformen :)

Als je het toch niet helemaal vertrouwt, heb je ook de mogelijkheid om Bitwarden zelf te hosten.
Ga ik dat toch maar eens testen. Helaas heb ik net een jaarabonnement voor Lastpass afgesloten.

Is er ook een free trial?
Bitwarden zelf is gewoon gratis hoor, alleen betaal je $12 per jaar voor Premium. Ik kom zelf ook van LastPass en Bitwarden werkt 10 keer beter :)
Synchronisatie werkt naar behoren. Smartphones hebben een app met goede en logische instellingen. Voorde computer kun je heel eenvoudig een firefox of chrome extensie toevoegen. En er zijn ook desktop applicaties, voor alle gebruikelijke OS, waaronder Linux.
Wat ik echt geweldig vind aan Bitwarden Premium is dat 2FA ook ingebouwd is. Zo hoef je geen Google Authenticator / Authy meer te gebruiken en kopieert Bitwarden vanzelf je token wanneer je inlogt bij een website waar je 2FA hebt ingesteld. Enige wat je dan moet doen is plakken :D
Ja dat werkt inderdaad perfect. Dat alleen al is de premium meer dan waard!
Dat klinkt geniaal! Sowieso. Ik snap niet waarom mensen er geen geld voor over hebben. Gratis kan niet bij een commercieel bedrijf. Open source (wat vaak door een Community gemaakt wordt) zal wel gratis kunnen zijn, maar om de dev'ers te bedanken is een paar euro per maand wel op z'n plaats.

[Reactie gewijzigd door hoi1234 op 2 januari 2020 16:42]

Zo vindt ik zelf ook Spotify premium te duur gezien dit het geld niet waard is voor mij. Het is maar net waar je het aan wilt uitgeven. Zoals gezegd ben ik al jaren tevreden met het betaalde alternief t.o.v. de gratis alternatieven die beschikbaar zijn. Gezien dit voor mijn een security puntje is bespaar ik er liever niet op.
Zelfs de kosten vallen mee, een dienst als lastpass is gewoon gratis
Ik weet niet hoor, maar een passwordmanager hoeft niet eens geld te kosten. Keepass is gratis en kan de wachtwoorddatabase middels alle bekende gratis cloudplatformen delen met al je apparaten. Kost in het begin iets meer set-up tijd, maar kan vervolgens jaren gratis gebruikt worden. Ook veel andere wachtwoordmanagers zijn gewoon gratis te gebruiken. In het gelinkte artikel uit 2016 wat nog uiterst relevant is, staat gewoon een lijstje opgesomd.
Waarom betalen als er gratis wachtwoordmanagers bestaan? Gebruik ondertussen al geruime tijd de gratis variant van lastpass die ondertussen ook gewoon mobiele apparaten ondersteund (vroeger was dit betalend).
Ik gebruik al een tijdje een password manager (bitwarden). En heb voor ieder website een random moeilijk lang wachtwoord. Ik weet zelf mijn eigen wachtwoord niet. Wel lastig als ik ergens deze handmatig moet invullen. Maar so be it.
Het 'probleem' is dat veel mensen dit wel doen, maar vaak alleen voor nieuwe/huidige websites. Daardoor blijven hun ongebruikte bol.com/whekamp/marktplaats account nog onveilig.
Klopt, ik heb er even een dagje voor gezeten en alle websites veranderd. Zo snel al zo'n 400+ websites. We hebben overal tegenwoordig een account voor nodig. En ik weet zeker dat ik nog wel paar eeuwenoude websites ben vergeten.

Het is even werk, maar heb sowieso nu 2 factor aanstaan op mijn gmail. Dus mensen kunnen geen password reset doen als ze het wachtwoord van mijn gmail hebben. Mocht er alsnog een account ergens op het web gekraakt zijn blijft de schade beperkt.

Ik adviseer ook iedereen om zich te aan te melden op de notify op https://haveibeenpwned.com/
Dan krijg je een mailtje wanneer je account/wachtwoorden gekraakt zijn ergens op het web/database. Dan kun je ook meteen actie ondernemen.
Precies, ik heb op dit artikel dan ook mijn Tweakers toegevoegd aan de PW manager.
Maar heb je dan geen plug-in net als bij lastpass die automatisch formulieren aanvult?
Ja hebt de bitwarden plugin en ook de mobile vault. Maar als ik bijvoorbeeld in de bieb iets wil printen ga ik natuurlijk niet even bitwarden instaleren. Dan neem ik het handmatig overtypen van het wachtwoord vanuit dr mobile vault maar voor lief.
Je kan natuurlijk ook gewoon de webvault van bitwarden gebruiken. Ook daar zit 2fa op dus zou veilig moeten zijn.
Ik snap niet dat de discussie rondom 2FA nog actueel is. 2FA had allang aangezet moeten zijn vind ik.
Dat een Tech site als Tweakers nog (steeds) moet kijken of ze het aan gaan zetten of niet vind ik een slechte zaak.
Doet mij een beetje denken aan een post die ze een paar jaar geleden publiceerden waar ze zeiden dat ze HTTPS niet de default wilden maken voor Tweakers omdat ze zich zorgen maakten over de performance impact... Beveiliging is iedereen zijn verantwoordelijkheid, maar als platform draag je wel een grote verantwoordelijkheid naar je gebruikers en aan je gebruikers vertellen wat ze moeten doen terwijl het platform zelf nog jaren achter staat op het gebied van hedendaags toch wel vrij normale/verwachtte security features vind ik toch een beetje hypocriet.
Ik snap het wel. Het kost een hoop tijd om goed te implementeren en dan is de bijkomende vraag: hoeveel mensen gaan het aanzetten? Als 10% van je gebruikersbasis het aanzet, is het dan een succes of niet?
2FA heeft ook nadelen. Het kost geld en/of de privacy van de gebruikers. Voor mij is tweakers geen handels platform maar een nieuws/discussie platform. Ik wil niet meer dan een naam wachtwoord en ik denk dat vele andere gebruikers 2FA ook teveel moeite vinden voor een dergelijk site.
Ook tweakers zal zijn bedenkingen hebben. Het is bijvoorbeeld een extra hindernis om een account aan te maken.
Het kost geld of de privacy van de gebruikers
Dat het de privacy van de gebruikers kost mag je uitleggen als je wil. :)
2FA via SMS vereist bijvoorbeeld een mobiel telefoonnummer. De privacy risico's daarvan zijn onlangs door Facebook, Twitter en Twitter weer bewezen.

2FA via een hardware key kost geld en privacy, die key moet naar een adres opgestuurd worden.

Ik ken geen 2FA methode die niet op de een of andere manier een privacy en/of financiële impact heeft. Is ook niet zo erg, maar de beveiliging moet wel passen bij het probleem. Het is duidelijk dat het voor de handelaren hier een ander probleem is dan voor de mensen die tweakers alleen als een forum zien.
Google Authenticator, Microsoft Authenticator. Zijn gratis. Ik zie nog steeds niet waar iemand zijn privacy geschonden wordt.
Welke privacy kost het, via een authenticator is het gewoon een token, meer niet.
Mjah sorry, ik persoonlijk zit er niet op te wachten om bij elke site die ik bezoek een 2fa te moeten gebruiken. Als ik gewoon zit te doorklikken achter mijn pc, Tweakers, hardwareinfo, instagram, Twitter en nog stuk of 4 sites, leuk tijdverdrijf als ik op elke pagina 2fa moet gebruiken.
Het is eigenlijk bizar dat een website als Tweakers nog steeds geen 2FA aan biedt. De slogan is letterlijk "Wij stellen technologie op de proef", maar iets wat tegenwoordig als bijna standaard wordt verwacht/gezien is niet eens aanwezig. En dat terwijl het al jaren beschikbaar is. Hoe kan het dat zoiets nog steeds niet aanwezig is? Zo'n discussie hoeft geen jaren te duren lijkt mij. ;)
Zo lang mogelijk met oudere technologie werken is toch ook "op de proef stellen"? :P
Was inderdaad waar ik ook nog aan dacht; misschien bedoelen ze het wel andersom :+
Helaas is het vaak een commerciele discussie i.p.v. een technische, want technisch is het natuurlijk vrij eenvoudig in te regelen. Er zijn voldoende 2FA aanbieders en/of API's beschikbaar.
Ik zie het bij veel bedrijven. Marketing/Sales ziet het als een drempel die tot een lagere conversie ratio leidt en zodoende wordt het niet aangezet.

[Reactie gewijzigd door FreqAmsterdam op 2 januari 2020 16:55]

Het is een beetje vreemd dat men accounts hacked en dan uitgerekend bij tweakers advertenties gaat plaatsen.
Niet echt. Gewoon iemand die een lijst ergens gekocht heeft en vervolgens wat werkende Tweakers accounts met goede beoordelingen er uit heeft gevist.
Dit gebeurd ook op ebay, marktplaats etc. Elke site met een marktonderdeel heeft daar last van.
Hier schrik ik toch wel van... Ik kijk inderdaad naar de reputatie van een account bij inkoop/verkoop, nooit over nagedacht dat een account hier misbruikt kan worden.

Ik zou vanuit de website veilige wachtwoorden laten genereren die gebruikers simpelweg moeten gebruiken, eventueel te resetten, maar wederom door de website gegenereerd. En uiteraard 2FA inschakelen met overige technische checks, eigenlijk bizar dat een website als tweakers dit niet al gedaan heeft, aan kennis geen gebrek lijkt me?

Voorlopig maar bij oude vertrouwde mensen kopen, maar hier moet natuurlijk iets aan gedaan worden.

:o
Ik heb precies het zelfde, ik had hier ook nog nooit over na gedacht, en ik ben er op de pijnlijke manier achter gekomen dat het dus gebeurt....
Dat is echt wel balen, een oplichter gaat waarschijnlijk ook niet voor een paar tientjes... Hiermee daalt de betrouwbaarheid/waarde van het review systeem voor mij echt enorm. :(
80 euro voor een 2600X een paar dagen geleden |:(
Google Authenticator code toepassen?
Ik zie dat steeds meer opkomen bij verschillende programma's, websites en diensten. Werkt prima, en is ook niet al te vervelend.
Dat is two factor authentication en dat heeft niets met Google te maken. Die bieden toevallig een app aan waarin je die codes kwijt kunt. Microsoft doet dat ook met de Microsoft authenticator. Maar er zijn er meer. En ja je kunt je Google codes met de MS authenticator genereren en andersom.
Niet helemaal, Microsoft gebruikt codes met 8 tekens die niet werken met Google Authenticator.
Je kunt met MS ook gewoon de 6 cijferige variant gebruiken.
1 2 3 ... 6

Op dit item kan niet meer gereageerd worden.


Apple iPhone 12 Microsoft Xbox Series X LG CX Google Pixel 5 Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True