Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door Sander den Heijer

Product Owner

Veiligheid en voorkomen van accountmisbruik - Development-iteratie #173

21-01-2020 • 15:00

74 Linkedin

De release van iteratie #173 heeft plaatsgevonden. In deze iteratie hebben we een aantal zaken geïmplementeerd om de veiligheid van Tweakers-accounts te vergroten, en om misbruik van accounts en Vraag & Aanbod tegen te gaan.

Veiligheid van accounts

Onlangs hebben we gezien dat er helaas misbruik is gemaakt van Tweakers-accounts en Vraag & Aanbod. Met data (e-mailadressen en wachtwoorden) die elders online is uitgelekt, zijn pogingen gedaan om op Tweakers in te loggen en advertenties in V&A te plaatsen. Met de overgenomen accounts konden dan nepadvertenties worden aangemaakt waarmee mensen werden opgelicht. Om deze vorm van misbruik van accounts en V&A tegen te gaan, hebben we een aantal maatregelen getroffen.

Voor de duidelijkheid: het misbruik betrof data die elders op internet door hackers was buitgemaakt. Zorg er dus altijd voor dat je veilig omgaat met je wachtwoorden.

Advertentieplaatsing na e-mailbevestiging
Het plaatsen van een advertentie in V&A kan nu pas nadat je vanuit een e-mail hebt bevestigt dat je de advertentie wilt plaatsen. Daarmee 'bewijs' je als gebruiker dat je de daadwerkelijke eigenaar van dat e-mailadres bent. Dit maakt het moeilijker voor een eventuele kaper van een account om nep-advertenties te plaatsen.

Notificatie 'login onbekend ip'
Om advertenties te plaatsen, moet je bij Tweakers zijn ingelogd. Van ingelogde gebruikers leggen we vast vanaf welk ip-adres ze inloggen. Als we dan in het vervolg zien dat er vanaf een onbekend ip-adres wordt ingelogd op een Tweakers account, sturen we daar via e-mail een notificatie over. Mocht je die login als eigenaar van het account niet herkennen, dan kun je daarop actie ondernemen.

Gelijktijdig wijzigen e-mailadres en wachtwoord
Het is niet langer mogelijk om in je Tweakers-account gelijktijdig je e-mailadres en wachtwoord aan te passen. Je doet nu of het een of het ander vanaf je accountinstellingen. Via e-mail ontvang je dan een bevestiging en de bijbehorende activatiesleutels om je gewijzigde e-mailadres te activeren.

Matchen uitgelekte data
We hebben ook een overzicht van elders uitgelekte data naast de Tweakers-accountdata gelegd. Waar we een match vonden, hebben we het wachtwoord van het getroffen account gewijzigd en de gebruiker erover geïnformeerd. We gaan na of en hoe we dit in het vervolg structureel en geautomatiseerd kunnen laten verlopen.

Topics volgen

Twee iteraties geleden introduceerden we de mogelijkheid om forumtopics te volgen. Die mogelijkheid werd goed ontvangen en wordt inmiddels ook goed gebruikt. Om het gemakkelijker te maken om topics ook weer te ontvolgen, kun je nu gebruikmaken van het overzicht van gevolgde topics. Hierin zie je alle topics die je volgt, en kun je per topic kiezen om die te ontvolgen.

Posten van afbeeldingen

Met meer dan een derde van de stemmen won de featurerequest voor het verbeteren van het plaatsen van afbeeldingen de poll in de Communitypick XXL. Daar zijn we dus inmiddels mee begonnen. Uiteraard willen we ervoor zorgen dat duidelijk is wat de probleemgebieden zijn en wat jullie verwachtingen zijn. Via development-.plans en forumtopics in Mooie Features houden we jullie op de hoogte van deze ontwikkeling.

Reacties (74)

Wijzig sortering
Mooie mitigerende, detectieve, en reactieve maatregelen, maar wanneer komt 2FA voor diegenen die dat willen? Integratie met bv. Google/Microsoft Authenticator is niet zo moeilijk zolang je dat protocol ondersteund.

[Reactie gewijzigd door AceAceAce op 21 januari 2020 15:08]

We hebben ook deze sprint tijd gestopt in het nader onderzoeken van wat de implementatie van 2FA voor ons betekent. Daar gaan we nog mee door. Een toezegging dat en wanneer we het dan implementeren kan ik nu nog niet doen helaas.
Ik denk dat het prima te doen is om voor het plaatsen van advertenties 2FA op je account te vereisen. Als dat om de 1 of andere reden toch niet kan dan kun je altijd nog kiezen voor het markeren van non-2FA accounts als "minder veilig" of andersom door een 2FA logotje te plaatsen voor accounts die wel 2FA aan hebben staan.

Ik zou graag mijn Yubikey of SQRL oid gebruiken om aan te melden (niet elke keer natuurlijk, maar alleen bij aanmelden). Misschien zelfs wel voor het plaatsen van iedere advertentie als extra maatregel oid.
SQRL is blijkbaar een heel andere wijze van werken dan het concept username/password? Maar dan heb je alsnog maar weer 1 factor, toch?

Overigens is de Yubikey en dergelijke ondersteunen gelijk de reden dat 2FA behoorlijk complex is om uit te werken. Dat is in principe het meest future proof uit te werken met webauthn, maar die standaard is weliswaar formeel afgerond en vrij breed ondersteund in nieuwe browsers... maar eenvoudig om uit te werken is ie niet. Al is het alleen maar omdat het een pure javascript-api is, waardoor de registratie, login- en bevestigflow (zoals email wijzigen) daar ook geschikt voor gemaakt moeten worden.

Er zitten bovendien aspecten in die je (ook logischerwijze) zelf moet uitdenken en niet per se simpel zijn; bijvoorbeeld hoe je de geadviseerde mogelijkheid voor meerdere authenticators daadwerkelijk uitwerkt. Want in principe zou je alleen een extra apparaat mogen toevoegen nadat je je met 2FA hebt bevestigd, maar dat kan niet want je hebt dat apparaat nog niet toegevoegd...

Met Yubikeys zou dat op zich wel kunnen omdat die natuurlijk daadwerkelijk overdraagbaar zijn naar andere apparaten, maar als je bijvoorbeeld gebruik wilt maken van je vingerafdrukscanner of gezichtsherkenning niet; dat is apparaat gebonden.

Webauthn is behoorlijk streng geïmplementeerd, waardoor het alleen werkt met een beperkte reeks als veilig geziene apparaten/werkwijzes. De Yubikey hoort daar bij, maar TOTP (Google Authenticator, Authy) niet.

We willen gebruikers niet dwingen om een Yubikey oid te kopen, danwel om biometrische gegevens vast te leggen.
Bovendien zullen er ook systemen zijn waar je op wilt kunnen inloggen, maar waar je niet zomaar een usb-apparaat in kan, mag of wilt steken.

Kortom, we 'moeten' op zijn minst ook TOTP implementeren, maar dus buiten webauthn om. Omdat dat voorlopig de enige 2FA-werkwijze is die toepasbaar is op apparaten die niet onder jouw beheer vallen en ook niet dwingen om persoonlijke kenmerken aan een apparaat te koppelen of geld uit te geven aan een extra apparaat.

Maar die apparaten wel ondersteunen betekent dan dus 2 implementaties, waarbij met name de webauthn-implementatie nog behoorlijk complex is.

Al met al is het dus vast wel prima te doen; maar we willen dat wel met een zo laag mogelijke drempel doen, zelfs als het op-in blijft. Want veel gebruikers willen niet te veel moeite doen voor 'het is maar Tweakers, niet een bank ofzo' ;)

Overigens is die email bij advertenties natuurlijk al een vorm van 2FA, maar die zou natuurlijk achterwege gelaten kunnen worden als iemand al met "echte" 2FA is ingelogd.
Dat Tweakers weer meteen 10 verschillende methodes van 2FA willen ondersteunen is mooi, maar zou wat mij betreft stap 2 moeten zijn nadat je met stap 1 al een simpele 2FA toevoegt die redelijk eenvoudig toe te passen is zodat de beveiliging op korte termijn in ieder geval al omhoog gaat. Dan kan je daarna nog in detail gaan over andere manieren ondersteunen. Meteen een grote waslijst aan 2FA requirements maken, zorgt er alleen maar voor dat de release ervan enorm vertraagd wordt en het lijkt me dat de site al profiteert van een enkele 2FA methode.

Als ik het zo lees zou TOTP voorrang moeten krijgen, dan kun je webauthn altijd nog uitwerken op een rustig tempo waarbij ondertussen ook de ondersteuning onder de browsers van bezoekers toeneemt. Soms is het jammer, maar is het beter om hetzelfde werk nogmaals in andere setting te doen als dit op korte termijn veel profijt heeft. Mooie promo-campagne eraan en het aantal nieuwe abonnees wat dat oplevert financiert weer je verdere ontwikkeling. Bovendien kun je met een paar artikelen waarin je je ervaringen deelt, ook weer wat clicks vergaren

[Reactie gewijzigd door Martinspire op 22 januari 2020 00:32]

Als en zodra we beginnen zullen we dat sowieso stapsgewijs doen. TOTP zal - zoals het nu lijkt - hoedanook moeten, al is het maar om de mogelijkheid te bieden webauthn met 'nieuwe devices' te kunnen doen.

Maar het liefst maken we het natuurlijk wel toekomstbestendig, zodat we niet iedere paar jaar weer opnieuw deze discussie in een andere vorm voeren. 'Waarom kan ik niet met mijn yubikey of vingerafdruk authenticeren, dat is toch veel veiliger?!'
nadat je met stap 1 al een simpele 2FA toevoegt die redelijk eenvoudig toe te passen is zodat de beveiliging op korte termijn in ieder geval al omhoog gaat
En dat hebben we met deze release dus gedaan in de vorm van verplichte activering via e-mail voor nieuwe V&A advertenties ;)
Laten we wel wezen, dat is ook niet meer dan een drempel. Zo gauw je toegang hebt tot de e-mail kun je simpel de link uit de e-mail openen, waar het voor een 2FA token echt wel wat meer moeite is en tijdsafhankelijkheid heeft.
True, maar sec gezien is het wel 2-factor ;)
Ik was dan van yubikey totdat ik hem een tijdje in de kast had laten liggen. Hij doet het niet meer. Dus overal waar ik hem gebruikte had ik direct een probleem...

Van buiten af niets bijzonders te zien, maar heb hem niet meer aan de praat gekregen.

Dit geldt ook van de 2 reserve YubiKeys die ik nog ongebruikt in een andere kast op een andere etage had liggen.

Dus na jubeltijd en veel promotie vanuit mij voor Yubikey nu totaal afgehaakt.
Oei, dat is niet best nee... Maar dat is een van de complicaties inderdaad; hoe regel je 'account recovery' met 2FA? Dat kan bijvoorbeeld met 'single use recovery keys' die de gebruiker dan moet zien te bewaren, maar dat is natuurlijk alsnog weer een extra stukje complicatie en stiekem ook een beetje een verzwakking van het systeem.

Bovendien; geldt dat dan als een vorm van 2FA-authenticatie? En mag de gebruiker daarmee dan al zijn bekend gemaakte devices verwijderen?

Mijn conclusie is iig vooralsnog dat 2FA 'implementeren' op zich niet moeilijk hoeft te zijn (althans, zolang je webauthn een beetje negeert), maar alle edge cases goed uitwerken wel heel complex kan worden...
Voor mij zelf heb ik geleerd: minimaal twee verschillende typen 2FA toevoegen aan een account, als de ene niet werkt kun je de ander gebruiken om de niet werkende te verwijderen en een vervangende toe te voegen.
Je kan waarschijnlijk vrijwel alle edge cases afdoen met "mail naar support."
Sja... we moeten dit wat jou en anderen betreft doen omdat het veiliger is. Vervolgens een loophole introduceren waarbij je toch weer enkel het mailadres moet vertrouwen (omdat iemand mailt) is dan niet echt gewenst ;)

Het is natuurlijk een beetje een definitiekwestie wat nou echt 'edge cases' zijn en welke gewoon bij de functionaliteit zouden kunnen (en dan nog welke moeten) horen.
Er zullen vast wel edge cases overblijven ("ik ben beroofd en mijn telefoon met authenticator en mijn yubikey zijn gestolen en het mailadres waar ik mee was geregistreerd doet het ook niet meer"), maar de 'standaard' situaties ("mijn yubikey doet het niet meer", "mijn authenticator backup was corrupt") zou ik toch liever wel afhandelen via self-service mogelijkheden.
Onbegrijpelijk dat je niet kan of wil toezeggen dát het er gaat komen. 2FA zou een no-brainer moeten zijn, zelfs als je niet forceert dat het gebruikt wordt. Het is 2020, niet 2007.

[Reactie gewijzigd door NMe op 21 januari 2020 16:11]

Heb je al: je email (something you own) met bevestigingslink en je wachtwoord (something you know): 2FA.

Ik lees in het artikel duidelijk de intentie voor 2FA. De buren (hardware.info) hebben het ook. Dus echt een kwestie van tijd. Zorgvuldigheid is geboden, je wil niet onbedoeld Tweakers buitensluiten, gaten introduceren of over een paar maanden de boel weer op de schop gooien. Er zit geen enorme support desk bij Tweakers en als je niet kunt inloggen, hoe stel je dan een vraag op het forum?

[Reactie gewijzigd door djwice op 21 januari 2020 22:11]

Heb je al: je email (something you own) met bevestigingslink en je wachtwoord (something you know): 2FA.
Behalve dat de mensen die hun wachtwoord verliezen vaak hetzelfde wachtwoord gebruiken voor meerdere diensten, inclusief mail.
Ik lees in het artikel duidelijk de intentie voor 2FA. De buren (hardware.info) hebben het ook. Dus echt een kwestie van tijd.
Ik lees die intentie niet, en de wens is er toch echt al járen. Domweg een optionele (!) 2FA-feature toevoegen waarbij je als je dat wil een authenticator kan gebruiken had allang gebeurd kunnen zijn.
Zorgvuldigheid is geboden, je wil niet onbedoeld Tweakers buitensluiten,
Dat gebeurt ook al met mensen die hun wachtwoord vergeten zijn.
gaten introduceren
Hoe? Het zijn standaardoplossingen die zich in sommige gevallen al meer dan tien jaar lang bewezen hebben.
of over een paar maanden de boel weer op de schop gooien.
We hebben het al jaren over dit onderwerp.
Er zit geen enorme support desk bij Tweakers en als je niet kunt inloggen, hoe stel je dan een vraag op het forum?
Als iemand die toch wel enige jaren iets met die support gedaan heeft: er is gewoon een support-mailbox waar je vrij snel geholpen wordt. Over het algemeen door vrijwilligers ook nog, kost Tweakers geen cent. ;)
Behalve dat de mensen die hun wachtwoord verliezen vaak hetzelfde wachtwoord gebruiken voor meerdere diensten, inclusief mail.
Je neemt steeds weer aan dat die mensen de moeite nemen 2FA te activeren... waarom ga je daarvanuit?
Wellicht ben ik te negatief over ze, maar ik neem juist aan dat juist zij ook geen 2FA gaan activeren... ookal zijn zij degenen die het in principe het hardste nodig hebben.
Dat gebeurt ook al met mensen die hun wachtwoord vergeten zijn.
Maar voor veel van hen volstaat de wachtwoordresetfunctie. Bij 2FA is zoiets complexer omdat je 1 van de 2 F's kwijt kan zijn of zelfs beide. Bij wachtwoord vergeten zou een wachtwoordresetmail natuurlijk kunnen, maar moet je daarna alsnog wel ook om de 2e factor vragen. Bij het vergeten/kwijtraken van de 2e factor, wat doe je dan? Emailadres mogen we daarbij niet vertrouwen, dus 'toegang tot mail' is daar dan geen geschikte alternatieve 2e factor.
En ja, je kan die lui natuurlijk laten mailen naar de supportdesk maar dan vertrouw je toch weer het emailadres (wel met een wat hogere drempel en meer kans op 'red flagging') :P
Hoe? Het zijn standaardoplossingen die zich in sommige gevallen al meer dan tien jaar lang bewezen hebben.
Ik kan me voorstellen dat hij niet zozeer de TOTP-generatie e.a. bedoelt, maar meer op welke momenten de site daarom vraagt en hoe moeilijk of makkelijk het blijkt uit te zetten of te omzeilen :P
[...]

Als iemand die toch wel enige jaren iets met die support gedaan heeft: er is gewoon een support-mailbox waar je vrij snel geholpen wordt. Over het algemeen door vrijwilligers ook nog, kost Tweakers geen cent. ;)
Als het aantal verzoeken om support opeens sterk toeneemt door problemen met 2FA, dan zouden de vrijwilligers weleens af kunnen haken. Dat vrijwilligers geen geld kosten is geen reden om ze lichtvaardig in te zetten.
En ook als problemen met 2FA handmatig worden behandeld, moet je erover nadenken hoe je toegang tot een account kunt herstellen zonder de extra beveiliging ineffectief te maken.
Dat iets gebruikelijk is in de webwereld, betekent niet dat iets makkelijk is ;)

Verder kan ik me voorstellen dat je dan wellicht meer mee wilt nemen in een vernieuwing dan alleen 2FA toe passen op code die eigenlijk opgeschoond dient te worden.
Ik begrijp goed dat Tweakers goed wil nadenken over hoe je omgaat met MFA in V&A-scenario's (verplichten of visualiseren of iets dergelijks), maar uberhaupt MFA implementeren als optie voor gebruikers om hun eigen accounts mee te beveiligen is toch een zuivere no-brainer? Velen hier hebben hun account al 20 of meer jaar en willen dat account dan ook beveiligen. Tweakers loopt hierin nu sterk achter en dat is jammer voor een website die claimt technologie op de proef te stellen en voor een doelgroep die voorop loopt met technologie.
plan: Ga veilig met je wachtwoorden om en behoed je medetweakers voor misbruik
Waarom implementeren jullie niet gewoon 2fa (two-factor authentication), dan maak je het oplichters toch onmogelijk iets te doen?
Inloggen met 2fa, via bijvoorbeeld een authenticator-app of andere externe bevestiging, maakt het inderdaad moeilijker om een account over te nemen. Het maakt het echter niet onmogelijk en vereist dat ook iedereen het aanzet of dat wij het gaan forceren. We onderzoeken momenteel wat de beste technische oplossingen zijn die we kunnen implementeren om V&A-fraude tegen te gaan en overwegen daarbij ook een vorm van 2fa. Maar ook hier geldt het aloude devies: voorkomen is beter dan genezen.
Het is raar dat de opvatting is dat het OF iedereen 2FA, OF niemand is. 2FA kan ook als optioneel-per-account ingericht worden.
Maar met opt-in los je het probleem niet op dat accounts overgenomen kunnen worden. Er zullen dan nog steeds een flinke rits accounts in de database staan die relatief makkelijk overgenomen kunnen worden.
Wat anderen doen met hun account moeten ze lekker zelf weten, ik wil op mijn account 2FA kunnen aanzetten en daarmee een extra barrière opwerpen. En dat terwijl ik voor élke site een eigen, uniek, 25 random tekens wachtwoord gebruik (waar mogelijk... sommige sites staan nog steeds maar 12 tekens toe ofzo |:( ) en in mijn password-manager heb staan. Je wéét ooit niet hoe een koe een haas vangt* en die tweede factor is dan wel heel welkom.

* Bijvoorbeeld met een infected ad (ondanks dat ik geen ads zie wegens abo) het login formulier 'afluisteren' / 'onderscheppen' met een zeroday of weet ik veel. Het zou niet moeten kunnen maar er worden dagelijks bugs ontdekt (en gedicht).

[Reactie gewijzigd door RobIII op 21 januari 2020 16:05]

Wat anderen doen met hun account moeten ze lekker zelf weten
Yep, maar dat lost nog steeds niet het probleem op dat mensen opgelicht kunnen worden door overgenomen accounts met een goede reputatie. Volgens mij wil Tweakers daar graag een oplossing voor, en het is niet zeker (vandaar het lopend onderzoek uit het vorig bericht) of 2FA dan wel de geschikte oplossing is.
Natuurlijk is 2FA een geschikte oplossing. Misschien niet voor dat ene specifieke probleem (al vind ik van wel, maar dat terzijde) maar het is nog steeds een prima manier om nogal wat gegevens die privé zouden moeten blijven te beschermen.

In mijn DM's vind je mijn eigen adres en dat van anderen. Je vindt er meerdere heel persoonlijke verhalen, wederom van mij en van anderen. Toen ik nog crewrechten had kon ik bovendien bij gegevens van alle gebruikers. Toch kon ik géén 2FA instellen om al die gegevens beter te beschermen. Ik vind vooral dat laatste nogal kwalijk.
boeiend wat er met anderen hun account doen. Mij gaat het erom dat ik mijn account veiliger kan maken..
Het is juist wel boeiend wat anderen met hun account doen. Een overgenomen account met bijvoorbeeld een goede reputatie kan ingezet worden voor oplichting, waar zowel jij als ik zomaar in kunnen trappen.
Zo'n account met goede reputatie overnemen is nogal lastig als dat account met 2FA beschermd is. Veruit de meeste mensen die serieus gebruik maken van V&A zullen het met open armen ontvangen als 2FA wordt toegevoegd of zelfs verplicht wordt gesteld.
"kun je nu gebruikmaken van het overzicht van gevolgde topics"

Hoe kan het dat ik daar een paar topics zie waarbij ik bij mijn weten niet op volgen heb geklikt en die ik lang voor het invoeren van de volg-functie voor het laatst heb bezocht? :S
Wellicht een topic waar je wel bent geweest, dat in een centraler topic is gemerged?
Nope bij beide.
PuTTY-achtige app voor 1st gen iPad
geen melding meer bij overboden worden op veiling
Ik kan mij niet eens herinneren wanneer ik die voor het invoeren van het volgen voor het laatst heb gezien, in ieder geval langer geleden dan dat FF het heeft bijgehouden in de geschiedenis (oftewel lang voor het invoeren van volgen).

[Reactie gewijzigd door Raven op 21 januari 2020 19:00]

Zo te zien heb je die beide gemaakt rond het moment van plaatsten (dus resp maart 2017 en februari 2016). Er staat me bij dat de de 'post reminder'-variant van bookmarks hiernaartoe hebben gemigreerd. Had je dat ooit gebruikt?

@crisp weet jij nog een andere reden waarom er dergelijke oude entries in de volgen-lijst kunnen staan?
Voorheen hadden topicstarters van vraagtopics de mogelijkheid tot notificatie; die zijn gemigreerd naar het nieuwe volgsysteem.
Het initiatief om bij gebeurtenissen als plaatsen van v&a of gebruik van onbekend ip extra controle via email toe te passen heeft bij hergebruikte inloggegevens een groot nadeel. Als het de inloggegevens van het mailaccount zijn is er dus goede kans dat de crimineel die controles kan bevestigen. Waarom is dit voor tweakers acceptabel als oplossing bij hergebruikte logingegevens?
Voor die specifieke situatie wordt het inderdaad niet veel beter... Maar we gaan er vooralsnog wel vanuit dat dat deel beperkt is; of in ieder geval dat lang niet iedereen die wachtwoorden hergebruikte datzelfde wachtwoord ook voor het mailadres zelf gebruikt.

Sterker nog, 2FA toevoegen zou tegen dat scenario ook niet werken. Want de enige authenticatie die we kunnen gebruiken om die toevoeging te accepteren zijn weer precies datzelfde emailadres, wachtwoord en de toegang tot dat emailadres... Dus een 'accountlener' zou dat prima zelf kunnen toevoegen dan.
In het .plan staat juist dat het bedoeld is om het aanvallen met hergebruik van logingegevens tegen te gaan. Waarom zou het dan redelijk zijn om aan te nemen dat het email van mede tweakers die hun logingegevens hergebruiken veilig genoeg zou zijn? Dat het voor de meeste tweakers die geen gegevens hergebruiken voldoende is snap ik, maar het zou juist zijn om die tweakers te helpen die niet zo handig zijn met logingegevens.
Met data (e-mailadressen en wachtwoorden) die elders online is uitgelekt, zijn pogingen gedaan om op Tweakers in te loggen en advertenties in V&A te plaatsen. Met de overgenomen accounts konden dan nepadvertenties worden aangemaakt waarmee mensen werden opgelicht. Om deze vorm van misbruik van accounts en V&A tegen te gaan, hebben we een aantal maatregelen getroffen.
Daarnaast is de redenatie dat 2FA niet gaat werken niet juist omdat het niet perse via email of een account met hergebruikte gegevens hoeft. Tenzij al is besloten dat email ook niet te vertrouwen is tijdens het aanmaken van een account of 2FA via een tweede middel zoals een app of device niet gebruiksvriendelijk is. En mogelijk meer problemen in support kan veroorzaken dan dat er nu problemen met hergebruik van gegevens zijn.

[Reactie gewijzigd door kodak op 21 januari 2020 19:12]

Hergebruik van de combinatie van gebruikersnaam+wachtwoord zoals die op de vele lijsten staan ja. Daarbij is het niet automatisch zo dat datzelfde wachtwoord ook voor het emailadres zelf wordt gebruikt. En vooral niet dat dat nu nog steeds zo is... De kans dat een vergeten Tweakers-account dat nog wel heeft is veel groter.

Maar het is vast mogelijk dat ook die situatie voorkomt... maar in mijn beleving kunnen we daar niks tegen doen. Behalve zoals we nu af en toe doen, de uitgelekte wachtwoorden ook zelf uitproberen.
Daarnaast is de redenatie dat 2FA niet gaat werken niet juist omdat het niet perse via email of een account met hergebruikte gegevens hoeft. Tenzij al is besloten dat email ook niet te vertrouwen is tijdens het aanmaken van een account of 2FA via een tweede middel zoals een app of device niet gebruiksvriendelijk is en mogelijk meer problemen in support kan veroorzaken dan dat er nu problemen met hergebruik van gegevens zijn.
Als het eenmaal (bijvoorbeeld bij registratie) goed ingesteld was gaat het uiteraard helpen... Maar het gaat hier om reeds bestaande accounts waarbij geen 2FA ingesteld is.

Hoe stel je het daarbij voor het eerst in? Een bevestigingssleutel via email zal de meest veilige optie zijn die we dan nog kunnen bieden. Maar als ook toegang tot het emailadres zelf beschikbaar is, is er voor ons geen mogelijkheid meer om onderscheid te maken tussen een malafide en de echte gebruiker.

[Reactie gewijzigd door ACM op 21 januari 2020 19:16]

Het uitgangspunt lijkt me dat we accounts van mede-tweakers vertrouwen. Dat vertrouwen in het account neemt af bij opvallende afwijkingen die een risico vormen. Denk aan afwijkingen als meerdere accounts plotseling via een onbekend IP-adres inlogpogingen krijgen en ongebruikelijke activiteiten zoals aanmaken van v&a bij accounts die lang niet in gebruik zijn geweest en dat nooit gedaan hebben. Afhankelijk van die afwijkingen lijkt me dat er een keuze gemaakt kan worden om te bepalen of het email-account nog wel te vertrouwen is of dat er extra zekerheid gewenst is. Hoe die extra zekerheid er dan precies uit ziet? Bijvoorbeeld niet alleen een bevestiging verwachten van een link in een email maar dat die bevestiging ook via een bekend ip-adres gaat. Of door tijdens het nog betrouwbaar vinden van een account een extra zekerheid te delen die alleen de gebruiker bij latere twijfel kan invoeren, of een 2FA mogelijk te maken.
Het lijkt me geweldig als tweakers 2FA mogelijk maakt en dan bijvoorbeeld in bulk meteen met korting bijv yubico-keys of soortgelijk kan aanbieden om tweakers aan te moedigen. Al ben ik al blij dat we bij tweakers het voor iedereen veiliger proberen te maken. Accounts beveiligen is namelijk niet zo simpel en dan is een doordachte poging zoals in het dit .plan staat al een goede stap
Die onbekende IP notificaties lijken me erg irritant eigenlijk. Mijn IP verandert hier thuis continu. Kan je dat ook uitzetten?

Edit: Trouwens ook een +1 voor de verzoeken om 2FA. Met OATH-TOTP ("Google Authenticator") of Fido2/Webauthn, in het laatste geval wel graag met de mogelijkheid om meerdere tokens aan te melden ivm verlies :) Dit wordt vaak vergeten.

[Reactie gewijzigd door GekkePrutser op 21 januari 2020 16:20]

Zo lang je ingelogd blijft en niet steeds uitlogt en opnieuw inlogt krijg je daar uiteraard geen notificatie van.
Ah ik dacht dat het werkte zoals de oude functie die je sessiecookie aan je IP koppelde. Deze bestond al op Tweakers, maar was optioneel. Ik dacht volgens het artikel dat deze functie nu altijd aan staat.

Een nieuwe inlog is eigenlijk altijd wel vanaf een ander IP adres lijkt me. Maar in elk geval komt het dan niet vaak voor omdat de cookies van Tweakers gelukkig geen beperkte levensduur hebben.
Ik weet “nog” niet waar ik het moet melden, maar is het niet verstandig om bij het wijzigen van het e-mail adres sowieso een bevestiging naar zowel het nieuwe als het oude adres te sturen? Daarmee voorkom je dat een eigenaar wordt buitengesloten en hij niet op tijd kan reageren op account diefstal of een andere vorm van fraude.
Dat gebeurt ook; er wordt een notificatie verzonden naar het oude e-mailadres en een activatielink naar het nieuwe.
Top, dat klinkt goed. Bedankt voor je reactie.
Is er een reden om koste wat kost geen 2FA te willen?
Uit interesse, waar staat dat 2FA niet gewenst is vanuit Tweakers? 2FA zou een mooie toevoeging zijn, maar deze maatregelen hebben ook nut voor gebruikers die geen 2FA (kunnen) gebruiken.
Dat staat er niet expliciet, maar op internet - en zeker op sites met een technisch publiek - is het een standaardoplossing geworden afgelopen jaren. Daarnaast is er veel vraag naar 2FA in topics als deze, maar er wordt van alles geimplementeerd _behalve_ 2FA.

Dat gezegd hebbende, in de reacties die gistermiddag nog geplaatst zijn lijkt het er op dat dit toch nog onderzocht wordt. Er is dus nog hoop :)

[Reactie gewijzigd door Freeaqingme op 22 januari 2020 06:42]

Maar implementeer alstublieft gewoon ook 2FA. Zo moeilijk kan dat toch nooit zijn?
Als je beveiliging goed wil doen is het vaak geen kwestie van even niet zo moeilijk iets opzetten. Daarbij kost het ook geld en moeite om veilig te houden dus moet dat het wel waard zijn. Als tweakers het een goed idee lijkt zullen ze vast willen weten of gebruikers het echt gaan gebruiken en het geen gebruikers afschrikt die ze nu wel hebben.
Kun je die IP locatie notificatie ook uitzetten? Door gerbruik van VPN met wisselende servers zou ik anders dagelijks een e-mail krijgen. Defeats the purpose.
Of works exactly as designed?

Maar misschien future roadmap feature.
Zoals ik het lees gaat het om afwijkingen in gewoon gebruik van ip-adressen. Als je gewone gebruik is dat je bijna altijd een ander IP-adres hebt of dat die van een bepaald AS-blok zijn lijkt me dat je die meldingen alleen ontvangt dat plotseling afwijkt.
Is er iets bijzonders gebeurd met de CSS in deze release? Ik zie ineens een toename van 200kb aan ruwe CSS: https://www.projectwallac...imports/20200121182838567

Misschien een meetfout van project wallace, maar toch wel raar
Je kreeg eerder de cookiewall en nu niet meer?
Project Wallace gebruikt een headless Chrome om de site te scrapen. Ik denk dat die altijd een cookiemelding gehad heeft. Als ik kijk naar de ID selectors zie ik wel veel nieuwe secties zoals bestBuyGuides, calendarEvents en categoryBrowser bv.

https://www.projectwallac...38567#selectors.id.unique
Het is afhankelijk van het gebruikte netwerk (land) en hoe ze zich identificeren (user-agent) of er wel of geen cookiewall geserveerd wordt. Blijkbaar is daar iets in veranderd.
Matchen uitgelekte data
We hebben ook een overzicht van elders uitgelekte data naast de Tweakers-accountdata gelegd. Waar we een match vonden, hebben we het wachtwoord van het getroffen account gewijzigd en de gebruiker erover geïnformeerd. We gaan na of en hoe we dit in het vervolg structureel en geautomatiseerd kunnen laten verlopen.
Is het een idee de logins tegen haveibeenpwnd aan te houden?
Op zich wel en Symfony heeft er zelfs een Constraint voor gemaakt.. Maar ons grootste bezwaar tegen die API, is dat ie eigenlijk te beperkt is.
Ze bieden - vziw - geen API waarin je kan testen of een combinatie van email+wachtwoord voorkomt in de database. Je kan alleen testen of het wachtwoord wel eens gekraakt is. Op zich is het wel nuttig om te weten of een wachtwoord in een dictionary-attack gevonden zou kunnen worden, maar we vinden dat wel minder erg dan dat je domweg met 1x proberen op de website een account zou kunnen overnemen...

Op dit item kan niet meer gereageerd worden.


Apple iPhone 11 Microsoft Xbox Series X LG OLED C9 Google Pixel 4 CES 2020 Samsung Galaxy S20 4G Sony PlayStation 5 Nintendo Switch Lite

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True