Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

Door Saskia Schoonebeek

Communitymanager

Tweefactorauthenticatie vanaf vandaag beschikbaar op Tweakers

28-04-2021 • 11:00

344 Linkedin

Voor de tweakers die trouw onze developmentiteraties volgen, komt de aankondiging van vandaag niet zomaar uit de lucht vallen. We zijn het afgelopen kwartaal namelijk druk bezig geweest met het ontwikkelen van nieuwe functionaliteit die we vandaag met veel liefde releasen: tweefactorauthenticatie oftewel two-factorauthentication.

Het instellen van 2fa is niet verplicht, maar we raden het iedereen ten zeerste aan. Daarmee verklein je namelijk de kans dat iemand toegang krijgt tot jouw privégegevens, mee kan lezen in je dm’s of, in het ergste geval, medetweakers kan oplichten via Vraag & Aanbod. Als je 2fa vóór maandag 3 mei aanstaande instelt, maak je ook nog eens kans op een exemplaar van de Mackie Carbon-microfoon of een goed gevulde Tweakers-goodiebag.

Het ondersteunen van tweefactorauthenticatie is een langgekoesterde wens van veel tweakers. Binnen forumcategorie Mooie Features staat het topic al sinds 2019 hoog genoteerd tussen de meest gewaardeerde featurerequests. Het is immers een solide manier om je account te beveiligen. Het hebben van een gebruikersnaam+wachtwoord-combinatie is niet langer genoeg om toegang tot een account met tweefactorauthenticatie te verkrijgen. Deze release maakt het mogelijk om een time-based one-time password (totp) in te stellen.

De nieuwe optie voor Tweefactorauthenticatie die vanaf vandaag te vinden is op de instellingenpagina

Hoe stel ik tweefactorauthenticatie in op mijn Tweakers-account?
Stap 1: Ga naar https://tweakers.net/instellingen/tweefactorauthenticatie/
Stap 2: Kies een authenticator-app. Voorbeelden zijn: Authy, OneLogin Protect of Google Authenticator
Stap 3: Volg de stappen op Tweakers en in de authenticator-app
Stap 4: Zorg dat je je herstelcodes goed bewaart! Deze heb je nodig om je account in te komen als je geen toegang meer hebt tot de authenticator-app

Hoe werkt tweefactorauthenticatie eigenlijk?
Om te bewijzen dat je een gebruiker bent, kun je inloggen met je gebruikersnaam en wachtwoord. Deze vorm van beveiliging is ‘iets wat je weet’. Het wachtwoord is, als het goed is, iets wat alleen jij weet. Een andere manier om te bewijzen dat jij bent wie je zegt dat je bent, is met behulp van iets wat in jouw bezit is, bijvoorbeeld de sleutel van een deur. Alleen de juiste sleutel opent het slot. Als derde mogelijkheid kun je bewijzen wie je bent door wát je bent, denk hierbij aan een vingerafdruk. Als je meerdere manieren combineert, spreek je van multifactorauthenticatie; je hebt tenminste twee factoren nodig om te bewijzen wie je bent. Een veelgebruikte multifactor op websites is het combineren van iets dat je weet, je wachtwoord, met iets dat je bezit. Om digitaal te bewijzen dat je iets bezit, zonder dat anderen de mogelijkheid hebben dit te gebruiken, volstaat het niet om je sleutel door te geven. Een ander kan namelijk gemakkelijk een kopie maken van deze sleutel waardoor deze niet meer exclusief van jou is. Je kunt een zogenaamd zero-knowledge proof gebruiken om aan te tonen dat je in het bezit bent van een sleutel zonder deze zelf af te geven. Totp is zo’n manier om op een veilige manier aan te geven dat je iets weet, zonder de sleutel af te geven.

Op het moment dat je totp instelt, genereert Tweakers een nieuwe sleutel die je opslaat in je authenticator-app. Elke 30 seconden genereert de app aan de hand van die sleutel een zogenaamde token in de vorm van een zescijferige code. Deze token is afgeleid van de secret, een identieke sleutel genereert dus dezelfde tokens, maar een klein verschil in secret genereert hele andere tokens. Op het moment dat je wilt inloggen vraagt Tweakers naast je wachtwoord ook om je token. Omdat Tweakers dezelfde sleutel aan jouw account heeft gekoppeld kan Tweakers ook zo’n token genereren. Als de token die jij genereert overeenkomt met de token die Tweakers genereert, is het zeer waarschijnlijk dat je in het bezit bent van de juiste secret en krijg je toegang tot het account. Een extra veiligheid zit hem in het feit dat de token zich elke 30 seconden ververst. Mocht een eventuele keylogger het wachtwoord en de totp-token hebben afgelezen, is het alsnog niet mogelijk om hiermee in te loggen op een later tijdstip. Door deze twee eigenschappen is het probleem van credential-stuffing niet meer zo groot.

De in te voeren token bestaat uit zes cijfers

Meerdere variaties multifactorauthenticatie
Naast totp zijn er andere manieren om multifactorauthenticatie toe te passen. Zo is er hotp, hmac one-time password, waarbij hmac staat voor hash message authentication code, waar totp op is gebaseerd. Maar het is ook mogelijk mfa te doen via e-mail, sms of met hardwaretokens. Hotp is echter niet heel gebruiksvriendelijk, sms is inherent onveilig en e-mail geeft het probleem dat het ineffectief is wanneer een aanvaller via die methode het wachtwoord van je account heeft gereset. Hardwaretokens vereisen een extra apparaat en zijn daarmee voor minder gebruikers interessant dan totp, dat op elke smartphone werkt.

We gaan de komende tijd onderzoek doen of we hardwaretokens kunnen gaan ondersteunen op Tweakers omdat deze een extra eigenschap hebben die effectief is tegen phishing. Bovendien zijn hardwaretokens vaak handiger in gebruik omdat het volstaat om op één knop te drukken in plaats van een code over te typen. Of, en op welke termijn hardwaretokens ondersteund gaan worden, maken we in een later stadium meer over bekend.

Voor nu: vermijd dat anderen die gekke foto’s in je fotoalbum kunnen bekijken, n00b-vragen in je dm’s kunnen inzien of erachter komen dat je cablemanagement stiekem suboptimaal is. Pak die extra beveiliging en ga naar je profielinstellingen om 2fa in te stellen.

Reacties (344)

Wijzig sortering
Stap 2: Kies een authenticator-app. Voorbeelden zijn: Authy, OneLogin Protect of Google Authenticator
https://getaegis.app/ (https://github.com/beemdevelopment/Aegis) is ook een goed opensource Nederlands alternatief of https://freeotp.github.io/, https://github.com/0xbb/otp-authenticator, https://github.com/andOTP/andOTP (pgp encrypted).

Zelf gebruik ik Aegis en wel om deze redenen die ze aanbieden en een Nederlands alternatief steunen is altijd mooi:
  • Free and open source
  • Secure
  • The vault is encrypted (AES-256-GCM), and can be unlocked with:
  • Password (scrypt)
  • Biometrics (Android Keystore)
  • Screen capture prevention
  • Tap to reveal
  • Compatible with Google Authenticator
  • Supports industry standard algorithms: HOTP and TOTP
  • Lots of ways to add new entries
  • Scan a QR code or an image of one
  • Enter details manually
  • Import from other authenticator apps: Authenticator Plus, Authy, andOTP, FreeOTP, FreeOTP+, Google Authenticator, Microsoft Authenticator, Plain text, Steam, TOTP Authenticator and WinAuth (root access is required for some of these)
  • Organization
  • Alphabetic/custom sorting
  • Custom or automatically generated icons
  • Group entries together
  • Advanced entry editing
  • Search by name/issuer
  • Material design with multiple themes: Light, Dark, AMOLED
  • Export (plaintext or encrypted)
  • Automatic backups of the vault to a location of your choosing

[Reactie gewijzigd door dutchnltweaker op 28 april 2021 11:13]

Nadelen van deze apps zijn dat ze niet cross-platform zijn.

Wat voor password managers geldt, is uiteraard net zo van toepassing op authenticator apps: je wilt ze altijd en overal direct kunnen gebruiken.

Persoonlijk werk ik zelf dagelijks op Windows, MacOS, iOS en Android: dan is Authy perfect. Alle 2FA codes naadloos gesynchroniseerd tussen alle platformen.

2FA apps zonder backup mogelijkheid zijn sowieso weinig van deze tijd. Ieders telefoon kan kapot gaan of gestolen worden.

Dus een app die alleen maar op Android werkt is wel heel erg gelimiteerd.

[Reactie gewijzigd door Malarky op 28 april 2021 11:14]

2FA apps zonder backup mogelijkheid zijn sowieso weinig van deze tijd. Ieders telefoon kan kapot gaan of gestolen worden.

En dit probleem heb ik dus op dit moment. Mijn mobiel ging kapot. Google Authenticator geinstalleerd op de nieuwe mobiel. Om er achter te komen dat je met de 'nieuwe' Authenticator niet kan inloggen op je dingen. Blijkbaar zijn er keys oid opgeslagen op mijn oude mobiel. Lekker handig. Not. En daar kom je uiteraard alleen maar achter op het moment dat het te laat is. Dat is echt een super design-flaw.

Edit:
Enig advies welke Authenticator wel te gebruiken? 't is een Android telefoon.

[Reactie gewijzigd door lordsnow op 28 april 2021 15:50]

Ik gebruik, juist om die reden die je noemt, al jaren geen Google Authenticator meer maar Authy.
Ik gebruik de MS Authenticator. Die kan optioneel backuppen naar je OneDrive en je kan, als je een persoonlijk account gebruikt, ook syncen tussen devices.
Enpass werkt op alle platformen. En kan eigenlijk zo’n beetje alles.
Apart, het vreemde is, dat Google wel zo'n export functie heeft toegevoegd bijna een jaar geleden.
nieuws: Google Authenticator krijgt exportfunctie om codes naar ander apparaa...
Apart, het vreemde is, dat Google wel zo'n export functie heeft toegevoegd bijna een jaar geleden.
nieuws: Google Authenticator krijgt exportfunctie om codes naar ander apparaa...
Daar heb je veel aan als je dat andere apparaat pas aanschaft nadat je vorige is gesneuveld.
Authy is op Android wel alleen via de Play Store te krijgen, dus als je Google niet vertrouwt is dat geen optie. Aegis is open source en te downloaden via F-Droid.
Je kan toch gewoon het APKtje downloaden?
Zomaar APKtjes downloaden en installeren lijkt me niet echt een veilige optie.
Je hebt een punt natuurlijk. Maar er is misschien wel ergens de juiste hash te vinden. Anders Gewoon even uitpakken met WinRAR en door een malware scanner halen...
Gebruik Authy al jaren en probleemloos op iOs.
Haha ja dat geloof ik wel, maar ik bedoelde dat Authy geen optie is voor wie zich graag verre houdt van alle enge bedrijven als Apple, Google, Microsoft, Facebook, etc. ;)
Daarom gebruik ik bitwarden hiervoor. Ik heb in het verleden al eens mijn telefoon kwijt geraakt of thuis vergeten terwijl ik op kantoor zat.

Toevoeging: mijn bitwarden heeft weer 2FA middels Yubi keys.

[Reactie gewijzigd door marcovit op 28 april 2021 11:33]

Ik gebruik ook Bitwarden. Super handig. Dan hoef ik namelijk op mijn desktop ook geen code over te typen. Zodra ik ben ingelogd staat die onder de plakken knop. Dus heel veel sneller dan een hardware key. Wel minder veilig omdat als ze in je Bitwarden kunnen komen. Maar daar heb ik dan weer 2FA op via de microsoft Authenticator die ik toch gebruik voor mijn microsoft account omdat die daar weer heel handig voor is.
https://bitwarden.com/hel...keys/#use-generated-codes
Blijkt dat het ook op mobiel kan. Straks maar eens proberen.
De hardware key gebruik ik eigenlijk nooit, ik gebruik de bitwarden app op mijn mac laptop en deze ondersteunt inloggen met vingerafdruk.
Enige wat ik wel zou aanraden is om verschllende apps te gebruiken voor wachtwoorden en TOTP. Als men anders toegang weet te krijgen tot de app die alles bevat ben je nog geen stap verder met je beveiliging.
Gebruik je dan voor zowel 2FA en pw-manager een wachtwoord uit het hoofd?
2FA apps zonder backup mogelijkheid zijn sowieso weinig van deze tijd. Ieders telefoon kan kapot gaan of gestolen worden.
Is bij veel mogelijk, maar je bedoelt cloud zeker?
Veel reacties gaan volgens mij over 'backups' ipv 'migratie/cross-platform'.
Ik scan al mijn TOTP-codes met AndOTP en plak ze tegelijk in KeePass 2.
Heb nog geen manier gevonden om van AndOTP makkelijk te migreren naar een andere authenticator zoals Aegis, maar ik heb er ook nog geen reden voor.

edit; ik zie dat Aegis precies een importfunctie voor andOTP heeft :+

[Reactie gewijzigd door dwizzy op 28 april 2021 11:46]

Ik gebruik zelf sinds een tijdje Bitwarden, deze heeft een geintregreerde authenticator waardoor je met een klik op de knop niet alleen je username / password prefilled, maar ook direct de OTP code. Werkt op mijn mobiel en PC, hoewel ik zoveel mogelijk probeer mijn yubikey te gebruiken waar mogelijk werkt dit ook best prettig.
Dat doet wel een beetje het idee van TTOP teniet. Althans het "keylogger" probleem is opgelost maar als iemand het pwd van je Bitwarden hacked heeft hij zowel je password als de TTOP key. Ik zou het toch liever gescheiden houden.
Ik gebruik 1Password als password manager en authenticator app met een Cloud Sync over al mijn apparaten. De Cloud Sync loopt via Dropbox, via een niet te herleiden e-mail adres.

Meerdere werklaptops, privé PC, en mijn iOS apparaten. Ik heb geen Android dus ik weet niet hoe goed dat werkt maar als ik naar de reviews, etc. kijk lijkt dat net zo goed te werken.

Via iOS unlock ik 1Password via Face ID, via werklaptop via Windows Hello en op mijn PC via een complex wachtwoord. Zit nog aan een hardware unlock te denken, maar daar ben ik nog niet over uit.

EDIT: Mocht het nog veiliger en dus beter kunnen laat het me weten ik sta open voor suggesties!

[Reactie gewijzigd door NoTimeRemains op 1 mei 2021 11:50]

Gebruik zelf MYKI, als je de 2FA dan koppelt aan je wachtwoord vult deze zelf meteen de 2FA in.
Is dat nog wel 2 factor dan?
Technisch gezien wel: Je hebt iets dat je weet (wachtwoord) en iets wat je hebt (toegang tot de wachtwoord-manager). Alleen zit de crux hem er in dat je maar 1 ding nodig hebt voor beide factoren: Toegang tot de wachtwoord-manager. Anders gezegd, je stopt 2 factoren achter 1 factor.
Het idee is om het een ander moeilijk te maken om namens jou in te loggen ergens toch? Als de 2e factor automagisch op hetzelfde apparaat gebeurd dan heeft iemand die op welke manier dan ook (diefstal/remote/afleiding) toegang tot mijn telefoon of computer weet te verschaffen enkel één wachtwoord nodig om ergens in te loggen. Dat er vervolgens een achtergrondservice een tweede wachtwoord invoerd is niet zo boeiend dan.
Het idee van 2FA is dat je niet 1 methode ("wat je weet", "wat je bent" en "wat je hebt") gebruikt om in te loggen, maar 2. Vanuit Tweakers bieden we dit nu aan. Hoe iemand dit daarna zelf regelt, staat hier los van. Ik zou zelf niet mijn TOTP token vanuit mijn wachtwoordmanager genereren, maar doe dat op een apparaat dat fysiek losgekoppeld is van het apparaat waarop ik inlog. Dat lijkt mij de veiligste manier. Maar dat maakt mijn aanpak niet minder 2FA dan de aanpak van @Centauriprime. Wellicht minder veilig vanuit een bepaald oogpunt, maar niet minder 2FA.
"Ja maar, wat als iemand mijn telefoon (met 2FA app) steelt? Wat voor nut heeft 2FA dan nog?" Nou, dan houd je nog steeds iedereen buiten die mijn telefoon niet heeft :)

Zonder 2FA kan iedereen over de hele wereld inloggen met mijn username + password. Dat zijn 7+ miljard potentiële hackers. Mét 2FA echter, is er maar één potentiële hacker, en dat is degene die mijn telefoon heeft gestolen (of gehackt).
Import from other authenticator apps: Authenticator Plus, Authy, andOTP, FreeOTP, FreeOTP+, Google Authenticator, Microsoft Authenticator, Plain text, Steam, TOTP Authenticator and WinAuth (root access is required for some of these)
Als dit mogelijk is, dan is het voor een hacker toch in principe mogelijk om de TOTP te importeren naar een eigen omgeving en is het toch niet meer veilig? Zijn al die apps dan lek?
[...]


Als dit mogelijk is, dan is het voor een hacker toch in principe mogelijk om de TOTP te importeren naar een eigen omgeving en is het toch niet meer veilig? Zijn al die apps dan lek?
Plaintekst wel ja, maar als je een gewone backup exporteert versleutel je de backup.
Er zijn gelukkig genoeg TOTP apps, keuze genoeg :)
Heb je ook opties op iOS waarmee ik de db kan exporteren? Ik kan helaas niets vinden… :'(
Weet je of een van de door jou genoemde apps ook ondersteuning heeft voor android wear zodat je de code op je watch kan zien ?
Of de Microsoft Authenticator app. Die kan ook een backup maken gekoppeld aan je MS account. Mocht je je telefoon kwijtraken dan kun je makkelijk je 2fa recoveren.
Helaas geprobeerd en backup terugzetten werkte niet. Baalde ik flink van. Google authenticator werkte gewoon top met iOS backup mee.
Bedoel je met iOS backup de iCloud reservekopie of offline backup naar een mac? Daar zit namelijk een groot verschil in: iCloud Drive en Reservekopie zijn niet e2e versleuteld. De reservekopie via de Finder over usb of wifi is wel veilig.
Authenticator zit in de icloud backup meen ik. Die van microsoft zou op onedrive moeten staan meen ik (gekoppeld aan mn account). Programma zei dat backup was gemaakt en bij opstart op nieuwe telefoon kon ik ook kiezen voor terugzetten. Kreeg daarna rare foutmelding (generieke in de trend van “niet gelukt”) en daarmee was dat het.

Gelukkig kan ik het herstellen maar toch balen.

Alles wat ik aanraak icm Microsoft lijkt altijd net niet te werken haha.
Werkt perfect, enige waar je voor moet oppassen is dat je een restore enkel kunt doen wanneer je de app voor de eerste keer opstart na installatie. Dan wordt je er expliciet om gevraagd. Skip je die stap en probeer je het daarna vanuit de app zelf, lukt het niet. Dan moet je de app verwijderen en opnieuz installeren.
Mocht je je telefoon kwijtraken dan kun je makkelijk je 2fa recoveren.
Ik neem aan dat het recoveren minstens zoveel factors nodig heeft, welke twee (of meer) factors gebruikt Microsoft hier voor?
Primair is de back-up van je Authenticator-gegevens beschermd met je Microsoft-account. Dat overigens met diezelfde Authenticator-app beschermd kan worden. Idealiter zorg je dus sowieso al voor een 2e apparaat die als 2FA-systeem kan dienen. Bijvoorbeeld een iPad naast je iPhone, of een Windows-systeem dat gekoppeld is als authenticatorfactor (Windows Hello).

Daarnaast kun je gebruikmaken van extra factoren als sms en e-mailvalidatie, wanneer je geen extra app hebt ingesteld.

Zie ook:
Back up and recover account credentials using the Microsoft Authenticator app
https://docs.microsoft.co...-auth-app-backup-recovery
Recover accounts requiring more verification
If you use push notifications with your personal or work or school accounts, you'll get an on-screen alert that says you must provide additional verification before you can recover your information. Because push notifications require using a credential that's tied to your specific device and never sent over the network, you must prove your identity before the credential is created on your device.

For personal Microsoft accounts, you can prove your identity by entering your password along with an alternate email or phone number. For work or school accounts, you must scan a QR code given to you by your account provider.

[Reactie gewijzigd door Eagle Creek op 28 april 2021 11:31]

En in de iCloud, daarom gebruik ik Microsoft ook; goede backup mogelijkheden.
Ga ook niet meer wisselen, dat heb ik te vaak gedaan nu, en iedere keer meer werk dan vooraf voorzien.
Wat een ongelovelijk slechte implementatie van het invoerveld hebben jullie gekozen zeg! Ik heb discalculie dus het is voor mij lastig om het getal in mijn hoofd vast te houden. En zonder dat dat mij na een paar pogingen lukt kan ik nu niet meer inloggen op een mobiel apparaat omdat het invoerveld zo slecht werkt.

Het lukt niet om de code die op mijn klembord wordt gezet in het veld te plakken, dus de handigheid dat mijn password manager hem op het klembord zet ontbreekt. Vervolgens moet ik dus handmatig naar de app en navigeren naar tweakers om de code te krijgen, moet ik terugschakelen naar de pagina en het nummer invoeren. Heb ik het nummer niet goed onthouden gaat het hier enorm mis. Want ik kan terugschakelen naar de password manager om te kijken maar nu is mijn invoerveld terug naar het begin en kan ik door hetzelfde probleem niet selecteren waar ik gebleven was. Ik moet dus nu de hele pagina herladen en weer opnieuw naar de password manager om de code te lezen en hopelijk nu wel in zijn geheel goed te onthouden.

Ik ben dit nog nooit tegen gekomen op geen enkele website dus dit moet echt beter. Anders staat de 2fa binnenkort weer uit.
Het gaat inderdaad op een aantal mobiele devices niet goed, dat is niet by design, en niet bewust, dus @DaFeliX is hard bezig om te onderzoeken wat er precies mis gaat en hoe we dat kunnen oplossen. Zie ook [2FA] plakken 2fa code IOS 14.5.
We hebben zojuist een fix gereleased. Als het goed is kun je nu wel de code vanaf je klemboard in het veld plakken. Laat het mij gerust weten als je nog problemen hebt met het invoerveld, of problemen het gebruik van de rest van 2fa.
Zowel de plak bug als de selecteer bug is opgelost, bedankt voor de snelle fix.
Persoonlijk vind ik het een beetje overdreven om op een blog site 2FA te hebben. Maar goed.
Eens. Ik moet er niet aan denken dat ik voor alles 2FA zou hebben. Vind het voor de echt belangrijke sites/services (Paypal, DigiD etc) nu al irritant genoeg elke keer de extra handelingen te moeten doen.
Dan gebruik je het toch niet! Ik vind het zelf wel belangrijk, er staat immers enige informatie in je profiel wat je wellicht niet bereid bent om te delen met de rest van de wereld. In mijn geval is dat alleen een emailadres maar je kan potentieel veel meer personlijke informatie invullen.
Waarom zou je die informatie überhaupt invullen? Daarnaast is de informatie die je erin zet informatie die je sowieso deelt met Tweakers en public. Bekijk je profiel maar in een private venster.
Waarom zou je die informatie überhaupt invullen?
Email is verplicht. De rest is optioneel.
Daarnaast is de informatie die je erin zet informatie die je sowieso deelt met Tweakers en public.
Nee hoor, voor de gegevens zijn er losse settings of ze wel of niet zichtbaar zijn. Tevens is er een optie om het profiel prive te houden.
Bekijk je profiel maar in een private venster.
Dat geeft totaal geen overzicht van wat een gelukte poging tot login aan een derde toont. Hopelijk heeft tweakers een zinnig beleid rond bruteforces en komt het niet zo ver, maar 2FA geeft de gebruiker ook enige opties als deze via een minder vertrouwde omgeving "moet" inloggen, zelfs met een keylogger is inloggen niet meer mogelijk na een bepaalde tijd (ik vermoed 1 minuut) door het gebruik van TOTP.
Het is toch voor je eigen veiligheid. Het afgelopen decennia is gebleken dat ook internet een waar terrein is voor hackers en levendige handel in datasets. Wees blij dat ze het niet verplicht stellen. Bij de andere grote partijen wordt het soms onder bepaalde voorwaarden (waar je eenvoudig kan voldoen) zelfs verplicht gesteld.
Ik zeg ook niet dat het onbelangrijk is. Ik zeg dat ik het al irritant genoeg vind voor de services/sites waarvan ik het belangrijk vindt om 2FA te gebruiken en om die reden het gebruik beperk tot echt belangrijke zaken.
Dat ligt ook aan de implementatie. Volgens mij is dit alleen eentje die eenmalig een bevestiging vraagt en niet iedere minuut een code vereist. Feitelijk net zo als de gmail versie.
V&A maakt het een stuk belangrijker. Goed aangeschreven account kraken, en valse advertenties gaan plaatsen...
Ik zou het een goed idee vinden dat iets als 2FA verplicht wordt gesteld, voordat gebruikers iets op V&A mogen aanbieden.
Nou, ik vind dat geen goed idee. Ik wil geen 2FA gebruiken voor een nieuws website / forum.
het is ook alleen voor als je ook de V&A wil gebruiken, je weet wel, waar mensen met echt geld bezig zijn.

Ik heb helaas hier ook al een keer leergeld mogen betalen voor zo'n grapje, maar daar doe je weinig aan helaas.
het is ook alleen voor als je ook de V&A wil gebruiken, je weet wel, waar mensen met echt geld bezig zijn.

Ik heb helaas hier ook al een keer leergeld mogen betalen voor zo'n grapje, maar daar doe je weinig aan helaas.
Had 2FA dat grapje kunnen voorkomen?
Nee dit grapje niet, maar andere grapjes wel. Zijn al mensen geweest hier die aangifte hebben moeten doen omdat hun account gebruikt werd voor oplichting. Dat had hiermee wel voorkomen kunnen worden.
iedereen kan V&A gebruiken. Dus omdat mijn favoriete IT nieuwsite ook aan handelen doet zou iedereen MFA moeten gebruiken. Wil ik ook niet en vind verplichten ook geen goed idee. Ga lekker naar Marktplaats als je wat verkopen wil 8-)
Nee. Dat staat er niet. Ze kunnen best die verplichting pas aan gaan als je daadwerkelijk een ad wil plaatsen.

Edit: overigens is het punt van de V&a hier juist dat je weet met wie je zaken doet. Sommige mensen hier zijn al duizenden keren beoordeeld. Dus een groot bedrag overmaken doe ik dan zonder er over te twijfelen. Is betrouwbaarder dan een gemiddelde webshop en juist de reden waarom “we” niet op MP zitten. 2FA is daarin heel belangrijk om te kunnen waarborgen dat die goede beoordelingen ook daadwerkelijk voor de persoon aan de andere kant van de DM zit en niet een hacker/scammer die je zo ff een paar honderd euro lichter maakt.

[Reactie gewijzigd door supersnathan94 op 28 april 2021 13:57]

Effectief is het al 2fa doordat je nu per email moet bevestigen voor je advertentie live gaat. Het is wel de bedoeling om die stap over te slaan als je met 2fa bent ingelogd.
Probleem is dat je een password reset kunt doen als je toegang hebt tot het emailadres.
Daarmee is het klikken in een mailtje direct nutteloos.
Als je toegang tot het mailadres hebt wel ja... maar datzelfde probleem geldt natuurlijk ook voor een 2fa device/token.
Nee want die twee zijn gescheiden. Iemand die nu mijn mail overneemt kan bij heel veel dingen, maar niet meer bij mijn tweakers account. Reset het password maar, geen probleem, maar iets doen met mijn account zit er niet meer bij.

Daarom is het dus zo belangrijk dat dit soort dingen bestaan en gebruikt worden. Mijn mail adres zit in ieder datalek vast wel ergens, hell het staat publiek op het internet, wachtwoorden zijn te kraken, of via dommigheden aan mijn kant uit een ander lek te vissen, maar met 2FA moet je fysiek mijn authenticator hebben om wat te kunnen doen.

Dat is juist het hele punt van zo’n ding.
Is mij een jaar of 5 geleden overkomen en ik heb zelfs aangifte moeten doen dat ik was gehacked omdat mensen mijn handle homernt handen aangeklaagd. De persoon is wel gepakt. Ik had brief gekregen wanneer de zitting zou zijn. Als ik geïnteresseerd was had ik kunnen gaan maar heb ik niet gedaan.

[Reactie gewijzigd door homernt op 28 april 2021 12:30]

Ik ben het daar wel mee eens. Een voldoende sterk, random password is voor mij wel voldoende hier. Ik reageer ook nog wel op veel andere nieuwssites, als ik dan overal 2FA moet gaan gebruiken dan blijf ik bezig.
als ik dan overal 2FA moet gaan gebruiken dan blijf ik bezig.
Dat argument is een veel gehoorde misvatting over 2FA. Net zoals dat je niet bij ieder bezoek van een site als Tweakers opnieuw hoeft in te loggen, hoef je ook niet keer op keer je TOTP code opnieuw in te voeren. Eenmaal ingelogd blijf je ingelogd voor een lange tijd, afhankelijk van de maximale sessieduur die door de betreffende site is ingesteld. En ik vermoed dat bij herhaaldelijk bezoek vanaf hetzelfde IP adres met een nog geldige sessie, deze steeds vernieuwd wordt, maar ik ben geen webdeveloper dus geen idee hoe dat werkt. Wel weet ik dat ik op al mijn apparaten steeds maar 1 keer op Tweakers heb ingelogd en daarna nooit meer opnieuw mijn wachtwoord heb hoeven gebruiken.
Dat klopt ook zeker wel maar ik heb meerdere devices. Twee laptops, een telefoon, een PC. Je moet daar toch overal inloggen. En ook dat is niet zo heel veel moeite maar het probleem wat ik vooral heb is dat ik afhankelijk ben van mijn authenticator app op m'n telefoon. Als ik m'n telefoon een keer verlies of die gaat stuk kan ik op alle 2FA enabled sites m'n account gaan proberen te recoveren wat soms zelfs niet eens mogelijk is en dat is me toch al een aantal keer overkomen.

En dan heb je wel die recovercodes maar uuhhh waar had ik die ook weer opgeschreven en in welk mapje op welke computer heb ik die gezet :P

[Reactie gewijzigd door mkools24 op 28 april 2021 11:40]

Die recoverycodes zet je in je password manager. Daar moet je toch zijn om in te loggen, dus de ideale plek voor recoverycodes :)
Dat moet je precies niet doen. Als het wachtwoord van je password manager uitlekt dan kan ook de 2fa token worden gereset.
Maar met alleen het wachtwoord van mijn passwordmanager kun je nog niets.
Voordat je daar inkomt heb je ook nog mijn telefoon nodig voor de 2FA code die daarop zit, mijn vingerafdruk en toegang nodig tot mijn mail.
En als je daar al bij kan, dan heb je ook de 2FA van m'n tweakers account, dus hoef je die ook niet meer op te zoeken in m'n password manager.
Dat moet je precies niet doen. Als het wachtwoord van je password manager uitlekt dan kan ook de 2fa token worden gereset.
Hoe zou mijn wachtwoord van de psswordmanager uitlekken ?

Hier is dat een offline programma, met een losse databasefile
Het wachtwoord is nergens opgeslagen, dat is de enige die ik moet onthouden ( terugzoeken in het mooie rode boekje in mijn kast, als onthouden even tegenzit )
Maar dagelijks een 'moeilijk wachtwoord' invullen, ga je vanzelf onthouden
Brute forcing zou kunnen. Maar wat ik bedoelde is dat je niet alles in één mandje moet leggen en dan blind vertrouwen op het authenticatie systeem van dat ene hulpmiddel. Het is allemaal software en dus kwetsbaar. Twee-factor auth is alleen effectief als je alle vereisten los houd van je wachtwoorden. Anders is er alsnog maar één factor nodig voor de logins: het hoofdwachtwoord van je password manager. Dan kan je net zo goed geen 2fa instellen.
terugzoeken in het mooie rode boekje in mijn kast, als onthouden even tegenzit
Ik hoop dat dit een voorbeeld is en niet de werkelijkheid. Zou niet handig zijn om hints in het openbaar te verkondigen.
Het is inderdaad geen klein rood boekje, maar zo'n blauwe multomap van da Action.
Maar dan nog, het zijn geen Fort Knox of nucleaire code's natuurlijk.
Ik ben niet zo heel spannend om zover te gaan, om een inbraak te plegen voor al mijn code's.
Als die grens al bereikt wordt, dan gaan ze niet zoeken, maar gebruiken iets inventievere middelen om in mijn password-database te komen.
maar gebruiken iets inventievere middelen om in mijn password-database te komen.
Nou dat dus. Copy en bruteforcen op een krachtige vps of botnet. Er worden dagelijks gigantisch veel geautomatiseerde inbraakpogingen gedaan in de hoop dat ze iemand vinden met achterlopende updates of bijvoorbeeld een matig ingestelde NAS. Of je als persoon interessant bent doet er al lang niet meer toe; iedereen is een target voor o.a. identiteitsdiefstal.

Maar dan nog, waarom zou je inzetten op 2fa en bewaar je de recovery secrets op dezelfde plek als hetgeen dat ze moeten beschermen?
Mocht iemand onverhoopt jouw password manager binnenkomen, bijvoorbeeld als je je laptop/telefoon met password manager unlocked onbewaakt laat, of wanneer je computer op afstand wordt overgenomen en je nog ingelogd bent op je password manager, dan kunnen ze toch mooi overal bij met die recovery codes.

Waarom gebruik je dan uberhaupt een aparte 2FA app? Ipv dat je gewoon al je 2FA codes in je password manager laat genereren. Men kan er toch bij als ze je password manager hebben, dus dan kun je het jezelf net zo goed makkelijker maken en 1 hele dienst (de 2FA app) elimineren.
Allemaal aannames, en What-If ....
Als je zo redeneert, kan je helemaal niets meer ondernemen.

Terrasje pakken, wat als er een bus naar binnen komt zetten
Vakantie, wat als er een virus uitbreekt ( been there, done that, afwachten of dit jaar wel lukt )

Sommige dingen MOET je afvangen ( onbewaakt achterlaten, meeste geven je 20 seconden de tijd, en sluiten dan vanzelf af )
Je computer wordt overgenomen, sorry, maar dat is voor mij het equivalent als die bus die het terras opstormde
Het is gewoon een security analyse. Je hoeft geen ford knox als computer te hebben inderdaad. Als jij de boel liever onveilig(er) houdt is dat ook geen probleem. We hebben allemaal verschillende threat models.

Een computer die wordt overgenomen is overigens niet ondenkbaar. Als jij aan het werk bent, en je befaamde 20 seconden wegloopt, kan iemand je laptop meenemen. Hoppa, computer overgenomen :+

[Reactie gewijzigd door saren op 30 april 2021 08:45]

Dus omdat je 4x ooit een keer die 2fa moet toepassen is het je al te veel moeite? Waarom is die moeite voor jou dan belangrijker dan de gegevens en toegang die je kan beschermen?
Het is puur een afweging. Ik hecht aan sommige accounts meer waarde dan aan andere. Ik heb hier gewoon een heel sterk wachtwoord en dat is voor mij voldoende en ik zit hier al bijna 20 jaar.

Bovendien is 2FA ook niet zaligmakend. Als Tweakers een keer gehacked wordt liggen al je gegevens alsnog op straat.
Er is best wel een verschil tussen het op straat liggen van gegevens, of kwaadwillenden die toegang hebben tot een actief account.

Het eerste is zeker vervelend en gebeurt helaas te vaak gezien recente berichten hier op Tweakers. Grappig genoeg kan een site als Tweakers zichzelf hier tegen wapenen door intern ook 2FA in te zetten, in ieder geval voor admin en developer accounts die toegang hebben tot servers, databases en andere backend zaken.

Het tweede is echter nog een graadje erger, omdat er dan ook nog sprake is van een identiteit die is overgenomen wat mogelijk kan leiden tot allerlei vormen van fraude. Specifieke voorbeelden daarvan die van toepassing zijn op Tweakers zijn al elders in deze discussie gegeven.

Maar goed, uiteindelijk is het natuurlijk jouw keuze om 2FA niet te gebruiken voor bepaalde accounts die jij niet belangrijk genoeg acht. Dat is prima, maar dan moet je wel als gevolg accepteren dat je op weinig sympathie en ondersteuning kunt rekenen als je account gehackt wordt. Persoonlijk heb ik 2FA actief voor al mijn accounts waar het op mogelijk is en in de praktijk heb ik er op geen enkele manier ongemak van.
Sorry, maar hoe kan je dit een blog-site noemen? Wat dacht je van belangrijke conversaties in de DM-box, of het handelen in V&A? Tweakers is meer dan jij denkt..
Sorry, maar hoe kan je dit een blog-site noemen? Wat dacht je van belangrijke conversaties in de DM-box, of het handelen in V&A? Tweakers is meer dan jij denkt..
Het is net op welke manier je Tweakers gebruikt natuurlijk. ;)

Maar ik ben het met je eens. Als je Tweakers een beetje serieus gebruikt is het al een heel stuk meer dan een simpele nieuws en blogsite.
Ben ik niet met je eens.

Sowieso is tweakers een site omtrent tech, en geven ze vaak genoeg aan hoe je wachtwoorden beter in kan zetten en 2FA kan gebruiken. Waarom niet eerst naar zichzelf dan kijken.

Daarbij wordt er ook gebruik gemaakt van vraag en aanbod.
soms zelf persoonlijke dingen verteld op het forum.

Ik vind dit alleen maar een positieve ontwikkeling.
het enige wat "blog" is aan tweakers, zijn de aloude tweakblogs. Gelukkig geld 2FA ook voor de rest van de site, zoals het forum, het vraag & aanbod, het berichten sturen of het reageren op de frontpage etc. Al deze dingen kunnen wel degelijk problemen opleveren als daarvan een goed aangeschreven account gehackt wordt.
Daarom is het goed dat het niet verplicht is, maar hier kan je ook producten aanbieden... tweakers is dus iets meer dan een blog ;-)
Je hoeft het ook niet te gebruiken ;)

Maar ik zou het persoonlijk heel prettig vinden als ik op alle websites voor 2FA zou kunnen kiezen...
Vooral bij webshops zou ik dat dan zeker aan zetten.
Het gaat erom dat men niet zomaar kan inloggen op jouw account. En vervolgens dingen kan doen onder jouw naam. Ook in het geval wanneer de Tweakers database lekt, kan men niet zomaar bij mijn account, doordat altijd dat TOTP token benodigd is bij het inloggen. Het is dan dus minder kwalijk als het wachtwoord lekt en jij dan wel ziedend bent omdat jouw gegevens gelekt zijn. ;)

Daarnaast zou ik Tweakers niet echt willen vergelijken met een blogsite; een blog is immers iets totaal anders dan nieuws, imo, maar goed, agree to disagree zal ik dan maar zeggen.
Ik wilde hetzelfde zeggen, why the hell zou ik voor tweakers dit doen.

Voor mail of cloud storage ja tuurlijk. Maar voor een nieuwssite?
Ik vind 2FA so-wie-so dramatisch, blog of niet, maar dat vind ik 1FA vaak ook al. Ik heb daar meestal echt geen behoefte aan en neem graag 'het' risico. Zolang je de keuze hebt om niet voor 2FA te kiezen, kan ik daar nog mee leven, maar als je nu bijvoorbeeld een Apple account aanmaakt, kan dat niet meer zonder 2FA. Ik kon me dat eigenlijk niet voorstellen, maar na 3 kwartier aan de lijn met Apple, moest er een senior aan te pas komen om - in overigens zeer verhullende termen - aan te geven dat dat inderdaad zo is. Dat je zelf niet meer kan kiezen voor 1FA, dat gaat me echt te ver.

[Reactie gewijzigd door knokki op 28 april 2021 15:34]

Jammer dat ze allemaal een app vereisen, liever had ik per e-mail/sms gezien ;(
Waarom vind je dat fijner?
E-mail moet je wachten tot je ontvangen hebt en vaak kost het meer handelingen en tijd daneen app.
Een SMS zitten kosten aan dus ik geloof wel dat ze dat niet doen.
Mijn e-mail staat bijna altijd open, en heb ik sneller bij de hand dan de mobiel. Vaak is het even een linkje aanklikken, of wat getallen kopiëren en klaar. Terwijl bij een app, moet ik eerst mijn telefoon zoeken, en daarna nog eens de app. Het is dus teveel gedoe, en duurt te lang.
Je kan altijd een authenticator applicatie voor je desktop installeren, dan heb je geen smartphone nodig. Zie ook https://www.alphr.com/google-authenticator-desktop/
Houd er dan wel rekening mee dat je, wanneer je Tweakers ook op de PC bezoekt, je niet de extra bescherming van een ander device hebt en dat dit onveiliger is.
Die beveiliging heb je nog steeds. De meeste hackers komen niet binnen via jou pc. Veel sites waar ik 2fa gebruik hebben een cookie geplaatst op mijn desktop dat die pc veilig is en loggen mij al vanzelf in (zoals Tweakers al jaren doet).
Zo gauw er via een andere pc, browser, etc wordt ingelogd dan ik normaal gebruik (en dat is in 99% van alle gevallen dat iemand probeert binnen te komen met gestolen credentials), dan wordt de 2FA pas actief.

Als ik ineens een 2FA vraag krijg van amazon als ik op mijn eigen pc zit en de browser gebruik die ik normaal ook gebruik, ben ik juist extra op mijn hoede omdat er dan echt iets niet klopt.
Die cookie geeft niet aan dat de PC veilig is maar dat je daar eerder vandaan hebt aangelogged. Een groot verschil. Het punt met 2FA / MFA is mede juist dat je een ander device wilt hebben. 2x dezelfde factor biedt weinig tot geen extra beveiliging. Bij een cookie en een token gaat het beide om de factor "bezit" welke je in jouw geval beperkt tot een enkel device. Zodra dat device compromised is kan je beide bezit factoren in dit geval als onbetrouwbaar / compromised beschouwen. Splits je dit over meerdere devices dan wordt het een ander verhaal.

[Reactie gewijzigd door Bor op 28 april 2021 13:53]

Maar ik heb m'n telefoon altijd bij de hand en e-mail juist weer niet. Beide opties hebben voor- en nadelen dus een keuze was het beste geweest.
De meeste mensen hebben ook email op hun telefoon, en om nu app A of B te openen maakt ook weinig uit.
Ik vind dat handiger omdat ik dan geen gezeik heb als mijn telefoon kapot is/uit staat
Dan gebruik je Bitwarden/Bitwarden_RS. Werkt op je smartphone, als applicatie op je PC en in de browser.

[Reactie gewijzigd door The Zep Man op 28 april 2021 11:17]

Nooit veilig is geweest zelfs.
Een 20 dollar antenne van aliexpress is genoeg om een datasniffer te hebben op je laptop. Los van simswapping natuurlijk.
En voor mij weer hogere aanschaf kosten. Nokia 105 is eenmaal goedkoper dan een smartphone.
Als je Authy gebruikt kun je ook een desktop app installeren. Dan kun je met de knop kopieer en plak hem direct in de 2fa plakken. Ideaal.
SMS is juist onveiliger omdat dat de sniffen is... als jij SMSjes verzend en ik ben in de buurt met de juiste hardware... dan kan ik zo die SMSjes zien.. die jij verzend EN ontvangt,
Dat is inderdaad een issue als je een high value target bent. Voor gewone stervelingen lijkt me het wel nogal mee te vallen.
Gelukkig wel.. of jij moet stiekem toch nog toegang hebben tot iets waardevols..
het is eigenlijk simpel;
ben je niet rijk, heb je geen hoge functie bij een internationaal bedrijf/organisatie, heb je geen belangrijke politieke functie.. dan is de kans dat jij wordt getarget best klein.
Maar denk zelf dat ook mensen hier zitten die best hoge functie hebben bij een bedrijf.
zoals aangegeven in het artikel vinden wij e-mail en SMS niet veilig genoeg. Je kunt trouwens de authenticator op een desktop gebruiken (wat ik je overigens niet aanraad), die het dan automatisch invult. Nog makkelijker dan e-mail ;)
SMS is zo lek als een mandje. Het is nooit bedoeld als veilig medium, dus wat wil je dan ook. Buiten het feit dat SMS gewoon niet geschikt is voor dit doeleinde, wijst de praktijk ook uit dat het helaas niet heel moeilijk is om een nieuwe simkaart aan te vragen als kwaadwillende.

Met alle uitgelekte databases van de afgelopen tijd en de wetenschap dat er nog talloze mensen zijn, die minstens dubbele wachtwoorden gebruiken, is e-mail ook niet heel veilig.
Het punt is dat de code NIET gegenereerd wordt door Tweakers zelf. Een SMS of e-mail zijn te onderscheppen, waardoor iemand anders de code ook inzichtelijk kan krijgen en vervolgens met jouw tokencode kan inloggen, dat moet je echt niet willen.
Ik zelf had ook graag liever via e-mail gezien. Ben niet bepaald fan van een telefoon die kan crashen, dus ook mijn toegang tot ... (random platform).
SMS notificatie stam uit 1823, E-mails begint ook al erg passé te worden. Oudbollige technieken. Daarnaast kost het ook extra om dat in leven te houden.
Dan moet je weten waar iemand woont/werkt/verblijft en dan kan je net zo goed iemand met een knuppel te lijf gaan om inloggegevens afhandig te maken.

Afhankelijk van je functie, maakt de onveilige factor van SMS eigenlijk niet zo heel veel uit.
1823? SMS is bedacht in 1984 en de eerste SMS is verstuurd in 1992. overdrijven is ook een vak.
Er zit wel een security flaw in de implementatie. @crisp Is dat wat voor jou? Of anders kaan @Moonsugar wellicht de juiste personen aanhaken?

TwoFactor-codes zouden nooit 2x gebruikt mogen worden. Immers, iemand die de two factor login onderschept kan anders (gedurende een beperkte periode) alsnog inloggen met dezelfde combinatie van gebruikersnaam, wachtwoord en 2FA-code. Het is niet voor niets een OTP (One Time Password).
Je mag bij mij aankloppen :)

De implementatie is conform de documentatie gedaan; aangevuld met richtlijnen van OWASP en (uiteraard) mijn eigen ervaring met 2FA. Het opslaan en voorkomen dat dezelfde TOTP token gebruikt kan worden is daar geen onderdeel van, maar zou het systeem evt kunnen versterken.

Het 'probleem' is dat gebruikers wel de mogelijkheid moeten hebben om meerdere acties te kunnen doen met TOTP, zoals bijvoorbeeld inloggen en daarna je wachtwoord resetten. Als je dit binnen 30 seconden doet (wat mij prima lukt), zou het raar zijn dat de dan geldende token (die hetzelfde is als 15 seconden geleden) de eerste keer wel werkt, maar de tweede keer niet.

Wat je schetst dat elke token maar een keer gebruikt mag worden ben ik in de praktijk ook nog nooit tegengekomen. Wel was er een tester die hetzelfde heeft aangegeven, waarna ik verder onderzoek heb gedaan maar nergens dit terugzie als onderdeel van TOTP.

TOTP is hiermee niet voldoende voor een replay-attack, wel voor bijv. gelekte credentials of credential-stuffing. Daarvoor kun je beter kijken naar hardwarekeys, want die beschermen daar wel goed tegen *en* werken tegen phising.

[EDIT] Nu ik de RFC nog eens doorlees, staat daar wel expliciet iets over gemeld dat een token ge-invalideerd moet worden... Shit, daar ga ik vrees ik nog even iets mee moeten doen

[Reactie gewijzigd door DaFeliX op 28 april 2021 15:22]

Op zich is het woord op zichzelf al redelijk duidelijk natuurlijk: Time-based One-time Password

De RFC guideline is er ook vrij duidelijk over: https://tools.ietf.org/html/rfc6238#page-6
Note that a prover may send the same OTP inside a given time-step
window multiple times to a verifier. The verifier MUST NOT accept
the second attempt of the OTP after the successful validation has
been issued for the first OTP, which ensures one-time only use of an
OTP.
Je hebt gelijkt hoor; het probleem is dat ik dacht dat ik wel wist hoe 't werkte en daarmee de RFC met een half oog heb gelezen :\
Ter aanvulling op @DaFeliX - wanneer een aanvaller in een positie is om een dergelijke replay-attack uit te voeren kan deze waarschijnlijk net zo goed gewoon de sessie-id overnemen. Dus ook hergebruik van time-based tokens voorkomen maakt het niet meteen heel erg veel veiliger.
Ik denk dat mijn voorbeeld van misbruik onderuithalen met een andere manier van misbruik die "net zo goed" zou kunnen niet helemaal de juiste motivatie is. Er is niet voor niets goed nagedacht over zo'n implementatie en de eisen die eraan worden gesteld.

Om hem dan maar te counteren: een keylogger heeft waarschijnlijk wel gebruikersnaam, wachtwoord en TOTP-code, maar geen toegang tot de sessie.
True; ik zeg dan ook niet dat het geen reden is om het niet te doen ;)
Het nadeel van 2FA is dat je soms f*$#t bent als je je toestel verliest. Een vriendin was haar telefoon kwijt op een festival. Via Find My Device (Google) zouden we hem kunnen vinden, ware het niet dat we niet konden inloggen door 2fa.

Gelukkig werd haar toestel afgegeven bij de receptie, maar dat zijn nadelen en 2fa is soms heel onhandig.

Zal het hier even instellen. ;)
Daar heb je dus alternatieve inlogmethodes voor. Google biedt sowieso meerdere mogelijkheden aan en genereert ook altijd herstelcodes.
@CaDje @DaFeliX @hoi1234
Alternatieve inlogmethodes gaan slecht met 2fa. Ook het gebruik van herstelcodes ging niet omdat ze deze keurig had opgeslagen in haar Wachtwoord manager. Op het festival had ze alleen haar telefoon mee en niet haar andere devices. Op mijn telefoon en iPad hebben we geprobeerd in te loggen in haar Google account, wat dus niet ging.

Ze had tevoren haar herstelcodes kunnen delen met mij en andere vrienden, maar dan heeft 2fa ook weinig zin.
Het best is als ze dan gewoon backups maakt van haar 2FA codes. Een app als Aegis op Android staat je toe om encrypted backups te maken van je 2FA codes. Mocht je dus je telefoon kwijtraken, dan kun je op een nieuwe telefoon gewoon de backupfile terugzetten en je codes heropenen. Je zit natuurlijk tussen de tijd dat je telefoon kwijt is, en de tijd dat je je nieuwe telefoon hebt natuurlijk wel zonder toegang, maargoed. Je bent niet permanent ****ed.

Zie: dutchnltweaker in 'plan: Tweefactorauthenticatie vanaf vandaag beschikbaar op...

[Reactie gewijzigd door saren op 28 april 2021 14:29]

De backup codes heeft ze wel (neem ik aan), maar ze had haar laptop niet mee. Op een festival had ze het minimale meegenomen.

Gelukkig zijn er nog mensen met een goed hart, dus haar telefoon kreeg ze netjes terug.
@CaDje @DaFeliX @hoi1234
Alternatieve inlogmethodes gaan slecht met 2fa. Ook het gebruik van herstelcodes ging niet omdat ze deze keurig had opgeslagen in haar Wachtwoord manager. Op het festival had ze alleen haar telefoon mee en niet haar andere devices. Op mijn telefoon en iPad hebben we geprobeerd in te loggen in haar Google account, wat dus niet ging.

Ze had tevoren haar herstelcodes kunnen delen met mij en andere vrienden, maar dan heeft 2fa ook weinig zin.
En dan dus alles op 1 apparaat; dom, en dus eigen schuld.
Ikzelf heb op mijn NAS een map staan, met alle reservecodes die ik heb gekregen bij verscheidene diensten. En zo ook die van Tweakers daar geplaatst. En je kan ze ook gewoon uitprinten, zijn maar wat woorden, kost amper inkt, en is in 2 tellen geprint. Dan even wegstoppen in een la, en nooit meer naar omkijken tot je het nodig hebt. (Dat laatste zijn die backup codes ook voor bedoelt)
Nee, ze heeft niet alles op één apparaat, maar wel op het festival. 2fa blokkeert het gebruik van een apparaat van een ander, bijvoorbeeld mijn telefoon. Dat is erg veilig, maar ook erg onhandig als je plotseling snel je telefoon wilt terugvinden.

Je moet je voorstellen dat ze tijdens een workshop op een groot festival haar telefoon had laten liggen. We konden deze niet meer terugvinden toen we snel terugliepen. Ze wist ook niet meer zeker waar ze hem kwijt is geraakt. Dan is Find my Device optie van Google heel erg handig. Je moet er alleen niet te lang mee wachten. Dan werkt 2fa je echt tegen. Je hebt nu eenmaal een ander device nodig die je al eens gemachtigd hebt of je herstelcodes ergens kunnen inzien.
Ik had 1 keer een probleem;
Ik herstelde mijn toestel en hoppa esim eruit geknikkerd, wilde hem activeren.. lukte niet.. moest dus 1 dag wachten voordat ik nieuwe esim bij de shop kon regelen... dan is het rot dat je geen SMSjes kan ontvangen voor diensten die via SMSjes werken.
Ik gebruik zelf Authy, deze kan een versleutelde backup maken van all je 2FA sleutels. Als je telefoon kwijt raakt, of deze gaat opeens kapot, dan kun je na downloaden van de app via je wachtwoord alles weer terug laden. De Microsoft authenticator kan dit volgens mij ook.
wij bieden herstel-codes aan, daarmee kun je zelf je TOTP resetten als je 'm kwijt bent geraakt. Die herstel-codes moet je dan uiteraard wel even goed bewaren ;)
Is het ook mogelijk om push notificatie te krijgen ipv 6cijferige code in te voeren?
Er zijn verschillende aanbieders van zo'n push-notificatie, welke bedoel je specifiek?

We hebben hier wel naar gekeken, maar in de test-groep was er 1 tester die de microsoft-authenticator gebruikte waar dit zou werken. Dat leek ons niet direct rendabel. Maar wees vrij om een topic aan te maken in Mooie Features :)
Ik gebruik ook de MS authenticator maar krijg geen popup om de 2FA te bevestigen. Wel bij diverse andere diensten.

Snap dat een copy/paste van de code een extra stap is, maar het is wel wat storend.
Op werk hebben we ook een 2FA (andere app), de ene keer moet je een code invullen, de andere keer komt er een popup naar boven. Doe mij maar gewoon die popup, 2FA en niet al te lastig.
we hebben dit nog niet ondersteund, dus het klopt dat je geen notificatie kreeg.

Ik ben het met je eens dat hoe makkelijker je 2FA maakt, hoe meer mensen 't zullen gaan gebruiken. Het kost echter wel tijd om dit soort dingen te maken, dus het zal een afweging van kosten/baten moeten zijn.
Ik gebruik Bitwarden. Voor mijn wachtwoorden en zo veel mogelijk voor 2FA. Dan hoef je alleen te plakken. Scheelt echt veel tijd. Vooral bij de sites waar je elke keer 2fa moet gebruiken.
Zie dat met Authy ook. Bij sommige sites / apps krijg ik een notificatie van 'ga naar de app voor je 2FA code' en bij sommige moet ik zelf gaan. Mijn 2FA app zit inmiddels gigantisch vol, dus een push notificatie zou het leven een stuk makkelijker maken.
Same here, al kon ik in Chrome browser op Android niet plakken. Moest de code overtikken...
Dit zal vermoedelijk ook alleen maar werken als je mensen gaat toestaan om in te loggen met hun Microsoft account op je dienst. Dan kan MS berichten pushen naar je authenticator app als die gekoppeld is aan je MS account. Maar dan zit je dus weer met extra eisen die vele mensen niet willen nemen. Je ziet nu al vele mensen in de comments die het nut niet inzien van 2FA op deze site.
Ik gebruik zelf de Microsoft Authenticator app omdat ik dit vanuit mijn werkgever geadviseerd wordt, waarschijnlijk omdat alles in Azure/Office365 draait. En daar gebruiken wij dus push notificaties wat superfijn werkt.
Dat mechanisme is nou juist minder veilig omdat die berichten eenvoudiger te onderscheppen zijn.
Pushnotifications gebruiken voor verificatie (in plaats van overtikken van een code) zou erg makkelijk zijn, maar helaas is daar (voor zo ver ik weet) geen open standaard voor. Daarom zou je dan voor alle authenticators die dit aanbieden een losse implementatie moeten schrijven.
Die 2fa apps zijn behoorlijk omslachtig. Heb het laatst net geprobeerd maar direct maar weer verwijderd. Snap niet dat het niet automatisch ingevuld kan worden die 6 cijfers maar dat je dat moet knippen en plakken.
Dat zou het voor een hacker wel makkelijk maken, hé? ;)
Als je Bitwarden gebruikt en betaald ervoor kun je Bitwarden TOTP gebruiken. Dan vult Bitwarden de 2FA code voor je in.
Die heb ik, zal er eens na kijken, bedankt.
Althans, ik heb de gatis versie. Maar wat ik eruit begrijp is dat Bitwarden dit voor je kan doen in een betaalde versie.
https://bitwarden.com/help/article/authenticator-keys/
Hier lees ik dat je de code via een contextmenu kan plakken of je kan na een succesvolle auto-fill de code met ctrl-V direct plakken. Beide is mogelijk lees ik.
Laat eens weten of dit fijn werkt aub, want dan overweeg ik om te gaan betalen voor een family abbo.

[Reactie gewijzigd door Centurion183 op 29 april 2021 09:52]

Persoonlijk gebruik ik Enpass als wachtwoordmanager. Die synchroniseert via m'n cloudoplossing tussen m'n apparaten. Als ik nu op Tweakers inlog, vult hij automatisch m'n gebruikersnaam, wachtwoord en OTP in op zowel m'n telefoon, tablet als desktop.

(ook andere wachtwoormanagers kunnen dit overigens. Ik zie hier mensen praten over Bitwarden, maar ook het gratis KeePass met de juiste addons)

Als je inderdaad Google Authenticator of Authy ofzo gebruikt, dan kan ik me voorstellen dat het een beetje omslachtig voelt.
Dat ligt echt aan de authenticator app die je gebruikt. Ik gebruik Enpass en daarmee gaat het meer dan prima. :)
Ik heb liever dat er gewoon minder wordt opgeslagen, voor wanneer er ook hier een datalek is. Ik zie niet zo goed wat het probleem is met V&A, aangezien dat gewoon door tweakers opgelost kan worden, en er geen directe transacties gedaan worden. Erg onnodig allemaal.
Een V&A gebruiker met een goede review score kan erg aantrekkelijk zijn voor een oplichter. Tweakers kan bij oplichting wel "optreden", maar de schade is dan vaak al geleden.
Als dat een groot probleem is dan is het vreemd dat 2fa optioneel is voor VA en gebruikers ook niet kunnen controleren of een aanbieder en reviewer 2fa hebben. Er is niet zomaar minder van een probleem door een middel optioneel in te voeren. Dus waaruit blijkt nu dat 2fa hier een oplossing is?
Momenteel moet een nieuwe V&A advertentie geactiveerd worden via een link op het mailadres dat gekoppeld is aan het Tweakers account, een soort van 2FA voor het plaatsen van advertenties dus.
Helaas is dat niet zo voor het reageren op advertenties.

Ik ga er vanuit dat Tweakers dat op termijn wel gaat regelen, een goede toevoeging zou dan inderdaad zijn als je kunt zien dat de verkoper en/of koper 2FA aan heeft staan.
Dat is mooi maar wat hebben die maatregel, of wat misschien nog komt, met de huidige meerwaarde van deze 2fa te maken?
Als tweakers dit doet als meerwaarde dan mag verwacht worden dat die ook ergens uit zal blijken. Ik lees het tweakers niet aantonen en ook niet voorgenomen hebben om dat te meten. Dus wat heeft een tweaker hier dan werkelijk aan, afgezien misschien het krijgen van hoop en een goed gevoel?
Op dit moment:
Dat als jouw accountgegevens uitlekken daarmee niet tegelijk ook alle gegevens die in je DM's staan uitlekken, en je voorkomt de mogelijkheid dat jouw account dan wordt gebruikt om andere gebruikers op te lichten.

Verder zouden er nog best wat dingen toegevoegd kunnen worden om het uit te breiden en te verbeteren, ik ben in ieder geval blij met deze eerste stap.
Dat vrijwillig kans verkleinen was er al: zorgvuldig met je accounttoegang om gaan. Deze 2fa lijkt daar niets aan toe te voegen, behalve dat je een keuze extra hebt hoe je dat doet. Een extra vrijwillige keus is niet zomaar meer veiligheid.
Dit is inderdaad iets wat we op den duur nog willen gaan uitbreiden voor V&A. In de eerste instantie gaan we niets verplichten, maar we zullen bijvoorbeeld wel gebruikers van V&A er wat explicieter op gaan wijzen.
Je krijgt toch ook allemaal email meldingen als je berichten stuurt? En je krijgt ook een melding met een IP adres als je ergens anders inlogt (of iig, dat zou wel zo netjes zijn).
Ik weet niet hoe jou 2FA er uit ziet, maar ik wordt er eerlijk gezegd niet goed van, tientallen codes. Gebruik dan op zijn minst net als office de push functionaliteit.
Waarom zou je liever klagen over aantallen codes dan de kans dat iemand je account gebruikt? Lijken de gegevens op tweakers je daar niet belangrijk genoeg voor, of denk je dat het met je gebruik van eigen wachtwoorden wel mee zal vallen dat jij of iemand anders er problemen mee krijgt. Want hoe redelijk is dat als het wel mis gaat? Is het dan nog steeds erger dat je zelf met 2fa wat meer moeite hebt gedaan of gaat het je vooral om gemak en later niet klagen als het mis gaat?
Omdat het allemaal handmatig is, en frustrerend. Gelukkig zijn de cookies bij tweakers heel lang geldig. Maar dit is precies de reden waarom mensen wachtwoorden op postits plakken.

Zonder gemak zal het alleen maar onveiliger worden. Je blijft gewoon maar ingelogd, uitloggen betekent weer op een vervelende manier inloggen. Als iemand mijn ww weet te achterhalen, kon hij ook bij mn cookies. m.a.w. dan heb je nog niets aan je 2fa.
Ik wil een hacker wel eens een wachtwoord op een post-it zien stelen :+

Wachtwoorden zijn achterhaald en zullen de komende jaren stilaan verdwijnen ten voordele van veiligere oplossingen. Maar totdat die oplossingen breed inzetbaar worden is 2FA via dit soort oplossingen nog altijd beter dan gewoon een simpel wachtwoord.
Via PM deel ik regelmatig mijn privé gegevens omdat anders mensen niet weten waar pakketjes naartoe gestuurd mogen worden. Net als rekening informatie.

Nu je het zegt zou het best wel een goede nieuwe feature kunnen zijn om aan dat soort berichten (met terugwerkende kracht) een self-destruct te kunnen hangen. Dat die berichten automatisch na 1 maand verwijderd worden. Blijven ook je privé gegevens niet in de PM rondhangen.
Inderdaad, maar dat mis ik eigenlijk al jaren. Een erg welkome aanvulling. Misschien geen self-destruct by default, maar dat je zelf berichten naar de prullenbak kunt verwijzen en dat deze na 1 maand echt verwijderd worden. Sommige berichten zou ik namelijk wel willen bewaren, bijv. prive discussies met handige info erin.

Hetzelfde geldt overigens voor oude ads. Veel daarvan zou dat wanneer de advertentie verkocht of vervallen is, automatisch na xxx dagen verwijderd kunnen worden.

[Reactie gewijzigd door Aardwolf op 29 april 2021 04:33]

Geactiveerd .
Probeer in te loggen daarna om te testen en lukt gewoon zonder 2fa code !!

Implementatie nog niet helemaal afgerond of zo ?
Beste is denk ik om uit te loggen na het instellen, en dan kiezen voor alle sessies uitloggen.
Dan opnieuw inloggen, zou je niet meer zonder 2FA moeten kunnen inloggen.
(althans hier werkt het)
Overal uitloggen en dan : 2fa gelukt :)
Als je 2FA instelt, worden al je andere sessies al uitgelogd; dat hoef je zelf dus niet te doen
Blijkbaar heb je 't dan nog niet goed ingesteld? Hier werkt 't nl prima, heb je daadwerkelijk de vervolgstap doorlopen met het invoeren van een code en je wachtwoord?
1 2 3 ... 9


Om te kunnen reageren moet je ingelogd zijn


Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Microsoft Xbox Series X LG CX Google Pixel 5a 5G Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True