Reacties (82)
:strip_icc():strip_exif()/u/333229/Logo%2520RFixIT%2520Tweakers.jpg?f=community){kind=small}
Op deze website staat een hele lijst met welke bedrijven het wel en niet ondersteunen. Verder staat op deze website een aantal tips hoe je 2FA kan activeren op veel gebruikte websites.
Een lijstje met veel gebruikte diensten:
- Box
- Evernote
- Google Drive, Gmail, Docs, Youtube (eigen alle google diensten)
- iCloud
- Skype, Azure, OneDrive, Outlook, Hotmail (eigenlijk je gehele microsoft account)
-- Synology
- Amazon Web Services
- Github
- GoDaddy
- Yahoo
- Origin
- Steam (via e-mail)
- LastPass
- PayPal
- Apple
- Facebook
- Twitter
- Google+
- Linkedin
Ik zelf heb het ingeschakeld bij mijn dropbox & microsoft account en de ING gebruikt het natuurlijk standaard. Verder heb ik het eigenlijk niet aanstaan.
Edit:
Zag in mijn eigen lijst PayPal voorbij komen, dat had ik nog niet geactiveerd staan. Wat blijkt, dit werkt helaas nog niet in Nederland.
Een lijstje met veel gebruikte diensten:
- Box
- Evernote
- Google Drive, Gmail, Docs, Youtube (eigen alle google diensten)
- iCloud
- Skype, Azure, OneDrive, Outlook, Hotmail (eigenlijk je gehele microsoft account)
-- Synology
- Amazon Web Services
- Github
- GoDaddy
- Yahoo
- Origin
- Steam (via e-mail)
- LastPass
- PayPal
- Apple
- Google+
Ik zelf heb het ingeschakeld bij mijn dropbox & microsoft account en de ING gebruikt het natuurlijk standaard. Verder heb ik het eigenlijk niet aanstaan.
Edit:
Zag in mijn eigen lijst PayPal voorbij komen, dat had ik nog niet geactiveerd staan. Wat blijkt, dit werkt helaas nog niet in Nederland.
[Reactie gewijzigd door rens-br op 22 juli 2024 14:24]
Bij PayPal moet je er ook nog voor betalen.. eenmalig 30 dollar. (bron: https://www.paypal.com/us...ecurityKey-outside&bn_r=o ) Vind ik wel raar voor een groot bedrijf zoals PayPal. Dit is voor een speciale pas dan.
[Reactie gewijzigd door blottle op 22 juli 2024 14:24]
Je zin staat verkeerd om, voor de speciale authenticator betaal je 30 dollar.
er is ook een SMS dienst, waar je niks voor hoeft te betalen. Alleen is deze in ieder geval voor NL gebruikers niet beschikbaar.
er is ook een SMS dienst, waar je niks voor hoeft te betalen. Alleen is deze in ieder geval voor NL gebruikers niet beschikbaar.
:strip_exif()/u/354857/lah-n8p.gif?f=community){kind=small}
De belangrijke diensten waar ik gebruik van maak hebben two-factor.
Behalve pay-pal. Juist waar ik dit het liefst zou willen hebben.
Het is er in nederland helaas nog niet. Ik hoop dat ze binnenkort met een juiste implementatie van two-factor auth komen voor nederland.
Afgelopen zomer bleek paypal z'n two-factor nog redelijk gammel te zijn:
nieuws: Onderzoekers: two factor-authenticatie PayPal was eenvoudig te omzeilen
Behalve pay-pal. Juist waar ik dit het liefst zou willen hebben.
Het is er in nederland helaas nog niet. Ik hoop dat ze binnenkort met een juiste implementatie van two-factor auth komen voor nederland.
Afgelopen zomer bleek paypal z'n two-factor nog redelijk gammel te zijn:
nieuws: Onderzoekers: two factor-authenticatie PayPal was eenvoudig te omzeilen
/u/32247/jayce.JPG?f=community){kind=small}
Redelijk outdated artikel aangezien Google al even een app bied voor op je telefoon om zo 2F te bieden.
ING gebruikt het standaard? Ik kan inloggen bij ING zonder 2fa, alleen bij geld overmaken krijg ik mijn tancode via SMS binnen.
Probeer eens in te loggen vanaf een andere (ip-vreemde) computer. Bij mij wordt er dan een PAC-code gevraagd.ING gebruikt het standaard? Ik kan inloggen bij ING zonder 2fa, alleen bij geld overmaken krijg ik mijn tancode via SMS binnen.
/u/317612/icon.png?f=community){kind=icon}
Overal waar mogelijk heb ik 2-factor auth ingeschakeld. Jammer dat diensten die dit het meeste nodig hebben, 2-factor auth helemaal niet beschikbaar is. Paypal, bijvoorbeeld. De gedachte dat je met enkel je e-mailadres en wachtwoord geld kan overmaken naar andere rekeningen is op zijn minst eng te noemen.
/u/152942/crop687206d7bca78.png?f=community){kind=small}
En wat ik eng noem is overal maar een werkend telefoonnummer achter te moeten laten. 2-factor is er niet om het jou makkelijker te maken maar om webdiensten een goed excuus te geven nog meer gegevens af te troggelen. Met al die profiling van tegenwoordig geef ik helemaal nergens m'n telefoonnummer meer.
:strip_exif()/u/219702/crop5af8a47963858_cropped.gif?f=community){kind=small}
Je kan ook een app als Google Authenticator gebruiken.
/u/49730/babby%2520tux.png?f=community){kind=small}
Welke je op je telefoon moet installeren zodat ze alsnog je telefoonnummer hebben 
Heb ik ook, ik ben altijd voorzichtig geweest met mijn 06 en ik word dus ook nooit commercieel gebeld op dat ding (i.t.t.collega's). Daarbij ben ik vooral bang dat als ik eenmaal een ander nummer krijg, of mijn telefoon niet bij me heb (ik zit nogal vaak in het buitenland) ik niet bij mijn diensten kan.
Ik heb een aantal sterke wachtwoorden die ik wissel, gebeurd me zelden dat ik meer dan 2 pogingen nodig heb om wachtwoord te tikken en toch kun je met één van mijn wachtwoorden erg weinig.
Ik heb een aantal sterke wachtwoorden die ik wissel, gebeurd me zelden dat ik meer dan 2 pogingen nodig heb om wachtwoord te tikken en toch kun je met één van mijn wachtwoorden erg weinig.
/u/420081/droopy.png?f=community){kind=small}
Inderdaad. Mijn telefoonnummer heb ik eens op een openbaar forum gepost 12 jaar geleden. Wat denk je? Eén keer gebeld door de topicstarter (die er om vroeg) en daarna dagelijks(!) nul keer gebeld door malafide bedrijven en rare mensen. En dat al 12 jaarEn wat ik eng noem is overal maar een werkend telefoonnummer achter te moeten laten.
[Reactie gewijzigd door Droefsnoet op 22 juli 2024 14:24]
:strip_icc():strip_exif()/u/150861/crop5db2e8884bf34_cropped.jpeg?f=community){kind=small}
BIj PayPal zou er inderdaad 2-factor moeten mogelijk zijn, en in theorie is het ook mogelijk, maar... je moet hiervoor een "security key" hebben van PayPal zelf (hardware, geen app dus). Al maanden krijg ik "tijdelijk niet beschikbaar" wanneer ik dit probeer te bestellen/activeren. Ik heb 2 mails naar de klantendienst gestuurd en nog geen antwoord gekregen...
ik ben het hiermee meer dan eens. Echter ben ik bang dat Paypal deze optie voorlopig voor ons nog niet zal toevoegen, evenals de belachelijk slechte support en late antwoorden op mailtjes.
OT: Ik gebruik twee-trapsauthenticatie wel vaak waar het mogelijk is, bijvoorbeeld Steam, geeft toch wat extra zekerheid en je weet ook precies wanneer iemand op je account probeert in te loggen.
OT: Ik gebruik twee-trapsauthenticatie wel vaak waar het mogelijk is, bijvoorbeeld Steam, geeft toch wat extra zekerheid en je weet ook precies wanneer iemand op je account probeert in te loggen.
Terechte kritiek op Paypal, onlangs hebben ze zelfs de mogelijkheid ingevoerd om te betalen zonder ook maar één wachtwoord in te voeren (weliswaar onder bepaalde voorwaarden, al had dit imho opt-in moeten zijn). Onbegrijpelijk...
:strip_exif()/u/51106/android.skateboard.ani.60.gif?f=community){kind=small}
Als Paypal het zelfde had gedaan als ING en een verificatie-SMS systeem had opgezet was het al een heel stuk beter geweest. Als je dan de SMS ontvangt op niet het zelfde apparaat als waarmee je de betaal opdracht geeft is de boel al aardig veilig.
En nee, dit zou geen probleem moeten zijn voor een internationaal bedrijf want WhatsApp doet dit ook.
En nee, dit zou geen probleem moeten zijn voor een internationaal bedrijf want WhatsApp doet dit ook.
:strip_icc():strip_exif()/u/64029/crop5b4e6ed3481f4_cropped.jpeg?f=community){kind=small}
Ik zie net deze poll staan en gebruik zelf helemaal nergens voor. Gisteren nog een betaling gedaan met Paypal en nu ik het zie staan van plan om dit bij Paypal dus maar wel aan te zetten. Zie gelijk dat dit dus niet kan. Nou gebruik ik wel KeePass voor mijn wachtwoorden en gebruik een belachelijk moeilijk wachtwoord voor Paypal wat ik zelf echt niet weet. Maar dan nog is het vreemd dat dit bij zoiets als Paypal niet mogelijk is.
Van al mijn wachtwoorden, een stuk of 50, ken ik er maar 4 uit mijn hoofd. De rest gaat allemaal via KeePass wat op mijn telefoon staat en natuurlijk op mijn PC.
De grootste reden waarom ik geen gebruik maak van tweetrapsauthenticatie is helaas toch gemak en zelfs luiheid. Ik heb echt geen zin om op mijn eigen PC waar niemand anders gebruik van maakt iedere keer wat moelijker te moeten doen om ergens in te loggen. Eigenlijk wel slecht van mij als je nagaat wat iemand allemaal zou kunnen doen als die persoon mijn hoofd emailadres zou overnemen.
Van al mijn wachtwoorden, een stuk of 50, ken ik er maar 4 uit mijn hoofd. De rest gaat allemaal via KeePass wat op mijn telefoon staat en natuurlijk op mijn PC.
De grootste reden waarom ik geen gebruik maak van tweetrapsauthenticatie is helaas toch gemak en zelfs luiheid. Ik heb echt geen zin om op mijn eigen PC waar niemand anders gebruik van maakt iedere keer wat moelijker te moeten doen om ergens in te loggen. Eigenlijk wel slecht van mij als je nagaat wat iemand allemaal zou kunnen doen als die persoon mijn hoofd emailadres zou overnemen.
[Reactie gewijzigd door PilatuS op 22 juli 2024 14:24]
Je bent dus zwaar fuck ed als iemand bij je keepass kan
Maar dat geld voor alle password managers, al hebben deze dan weer vaak wel two-factor auth. Toch denk ik dat het veiliger is om een password manager te gebruiker, dan om het niet te doen. Nu hoef ik maar 1 sterk wachtwoord te onthouden en kan ik verder overal random generated wachtwoorden gebruiken. Anders moet ik meerder wachtwoorden onthouden, wat er meestal op neerkomt dat deze een stuk minder sterk zijn en minder vaak veranderen.
Je kan natuurlijk altijd de overweging maken 'wat kan iemand als hij dit wachtwoord achterhaald'
is de overweging dat iemand er niets schadelijks mee kan (Bijvoorbeeld het wachtwoord van een webshop account, natuurlijk nooit je creditcard koppelen) dan kan je een makkelijk en standaard wachtwoord aanmaken en recyclen op meerdere websites.
Is de overweging geld(paypal bijv) dan verzin je een nieuw wachtwoord op basis van spullen die binnen hand bereik liggen (snel voorbeeld er ligt een sennheiser headset naast me simpel Wachtwoord s3nNhe1s3R, deze headset is altijd naast me dus heb ik altijd een geheugen steuntje)
Ik vertrouw zelf een password manager niet, simpelweg omdat veel criminelen juist deze willen kraken en als dat gebeurt(als dit niet al het geval is) kunnen ze echt OVERAL bij.
is de overweging dat iemand er niets schadelijks mee kan (Bijvoorbeeld het wachtwoord van een webshop account, natuurlijk nooit je creditcard koppelen) dan kan je een makkelijk en standaard wachtwoord aanmaken en recyclen op meerdere websites.
Is de overweging geld(paypal bijv) dan verzin je een nieuw wachtwoord op basis van spullen die binnen hand bereik liggen (snel voorbeeld er ligt een sennheiser headset naast me simpel Wachtwoord s3nNhe1s3R, deze headset is altijd naast me dus heb ik altijd een geheugen steuntje)
Ik vertrouw zelf een password manager niet, simpelweg omdat veel criminelen juist deze willen kraken en als dat gebeurt(als dit niet al het geval is) kunnen ze echt OVERAL bij.
Als je veel hetzelfde ww gebruikt bij dezelfde "categorie" diensten - of zo lijkt het- een simpele voor simpele diensten, een moeilijke voor de belangrijkere, dan nog steeds ALS ze er eentje hebben zijn ze binnen bij die andere van dezelfde categorie. En je kunt je afvragen wat laat je daar achter? Misschien wel hints naar die andere diensten en of wachtwoorden.
En waarom overweeg je een simpelere te gebruiken bij de minder belangrijke diensten? Ik neem aan dat je de indruk hebt dat ze hun zaakjes misschien niet op orde hebben en dat wachtwoorden misschien zelfs wel eens plaintext ergens terecht kunnen komen, naast dat het je niet zoveel uitmaakt. Maar hoeveel diensten zijn dat ondertussen?
Een leuke test: voer de "ik ben mijn wachtwoord vergeten"-procedure uit en goh wat staat er in je email: het wachtwoord wat je eerder had ingevoerd maar zogenaamd was vergeten. Heb je een gameranger account, probeer maar....ja het kan nog steeds in deze tijd.
En zo is bij het kraken van de ene account ook de andere gekraakt, mocht je al die correspondentie al via een SSL laagje gedaan hebben....maar goed, er hoeft er maar 1 tussen te zitten die nog werkt met de verkeerde openssl versie en via de heartbleed bug ben je nog de sjaak.
Bovendien: we zijn mensen en geef toe: vaak verschillen die wachtwoord niet eens zoveel, verander het laatste karakter, tel een cijfertje op, een klein beetje brute force later: en binnen.
Een wachtwoordmanager genereert gelukkig kompleet onlogische en ongerelateerde wachtwoorden. Het voorbeeld wat je noemt is minder willekeurig en daarmee makkelijker gekraakt. De wachtwoordmanager is (ik kan niet spreken in het algemeen) waarschijnlijk ook nog paranoide als de onsuccesvolle inlogpogingen erg snel volgen of van verschillende locaties plaatsvinden. In ieder geval weet ik dat gmail zo is ook al zonder 2 layer auth.
En tenslotte hoe komt die crimineel aan mijn yubikey? Juist een 2nd layer auth in de vorm van iets fysieks wat aan mijn sleutelbos hangt, voor die ene kluis die alle wachtwoorden bevat die ik zelf niet eens kan onthouden en totaal random zijn....ik wens meneer de crimineel veel succes.
Begrijp me niet verkeerd, ik redeneerde precies zo. Ik had een makkelijk wachtwoord voor de diensten die niet belangrijk waren omdat ik dacht lui te zijn en bij een eventuele kraak daarvan het me toch niet veel uit zou maken, maar ik weet inmiddels beter.
Niet dat ik ben gekraakt maar het is makkelijker een password manager te gebruiken dan al die wachtwoorden te verzinnen en onthouden. Je argument gaat nog steeds op, maar in mijn geval met de yubikey valt die. Mensen die hun 2e laag via een sms of OTP app op de foon realiseren zijn in principe net zo veilig...maar goed wat wordt meestal gejat: juist de telefoon.
En waarom overweeg je een simpelere te gebruiken bij de minder belangrijke diensten? Ik neem aan dat je de indruk hebt dat ze hun zaakjes misschien niet op orde hebben en dat wachtwoorden misschien zelfs wel eens plaintext ergens terecht kunnen komen, naast dat het je niet zoveel uitmaakt. Maar hoeveel diensten zijn dat ondertussen?
Een leuke test: voer de "ik ben mijn wachtwoord vergeten"-procedure uit en goh wat staat er in je email: het wachtwoord wat je eerder had ingevoerd maar zogenaamd was vergeten. Heb je een gameranger account, probeer maar....ja het kan nog steeds in deze tijd.
En zo is bij het kraken van de ene account ook de andere gekraakt, mocht je al die correspondentie al via een SSL laagje gedaan hebben....maar goed, er hoeft er maar 1 tussen te zitten die nog werkt met de verkeerde openssl versie en via de heartbleed bug ben je nog de sjaak.
Bovendien: we zijn mensen en geef toe: vaak verschillen die wachtwoord niet eens zoveel, verander het laatste karakter, tel een cijfertje op, een klein beetje brute force later: en binnen.
Een wachtwoordmanager genereert gelukkig kompleet onlogische en ongerelateerde wachtwoorden. Het voorbeeld wat je noemt is minder willekeurig en daarmee makkelijker gekraakt. De wachtwoordmanager is (ik kan niet spreken in het algemeen) waarschijnlijk ook nog paranoide als de onsuccesvolle inlogpogingen erg snel volgen of van verschillende locaties plaatsvinden. In ieder geval weet ik dat gmail zo is ook al zonder 2 layer auth.
En tenslotte hoe komt die crimineel aan mijn yubikey? Juist een 2nd layer auth in de vorm van iets fysieks wat aan mijn sleutelbos hangt, voor die ene kluis die alle wachtwoorden bevat die ik zelf niet eens kan onthouden en totaal random zijn....ik wens meneer de crimineel veel succes.
Begrijp me niet verkeerd, ik redeneerde precies zo. Ik had een makkelijk wachtwoord voor de diensten die niet belangrijk waren omdat ik dacht lui te zijn en bij een eventuele kraak daarvan het me toch niet veel uit zou maken, maar ik weet inmiddels beter.
Niet dat ik ben gekraakt maar het is makkelijker een password manager te gebruiken dan al die wachtwoorden te verzinnen en onthouden. Je argument gaat nog steeds op, maar in mijn geval met de yubikey valt die. Mensen die hun 2e laag via een sms of OTP app op de foon realiseren zijn in principe net zo veilig...maar goed wat wordt meestal gejat: juist de telefoon.
Nou als meneer de crimineel kan achterhalen op welke sites ik allemaal ben geregistreerd geef ik hem een hand, want inmiddels weet ik het zelf al niet meer.Als je veel hetzelfde ww gebruikt bij dezelfde "categorie" diensten - of zo lijkt het- een simpele voor simpele diensten, een moeilijke voor de belangrijkere, dan nog steeds ALS ze er eentje hebben zijn ze binnen bij die andere van dezelfde categorie.
/u/22486/jasonbrooks2.png?f=community){kind=small}
Ik gebruik KeePass als password manager, maar deze is niet opgeslagen in de cloud maar in mijn Dropbox. Daarnaast zit er op mijn KeePass database ook een separaat secure wachtwoord. Vrijwel elke site heeft bij mij een uniek wachtwoord en als het kan is dat 24 random tekens.
Dropbox is bij mij met een goed wachtwoord beveiligd en ik heb daar two-factor authentication aan staan, net als bij GMail, DigiD, Facebook en LinkedIn. Telefoon is ook met een echt wachtwoord beveiligd en bovendien ge-encrypt.
Ik vraag me af wat in mijn situatie dan nog onveilig is. Ik ben ook niet zo van de LastPass, denk dat KeePass (er zijn clients voor vrijwel elk OS) een veilig alternatief is waarbij je alles in eigen hand houd.
Oja, dat PayPal geen two-factor authenticatie ondersteunt is inderdaad bijna achterlijk te noemen: daar zou het echt meerwaarde hebben. Op dit moment bieden ze het alleen in de US en Canada aan.
Dropbox is bij mij met een goed wachtwoord beveiligd en ik heb daar two-factor authentication aan staan, net als bij GMail, DigiD, Facebook en LinkedIn. Telefoon is ook met een echt wachtwoord beveiligd en bovendien ge-encrypt.
Ik vraag me af wat in mijn situatie dan nog onveilig is. Ik ben ook niet zo van de LastPass, denk dat KeePass (er zijn clients voor vrijwel elk OS) een veilig alternatief is waarbij je alles in eigen hand houd.
Oja, dat PayPal geen two-factor authenticatie ondersteunt is inderdaad bijna achterlijk te noemen: daar zou het echt meerwaarde hebben. Op dit moment bieden ze het alleen in de US en Canada aan.
Klopt. En daarom moet je dus ook zorgen dat dat niet kan.
Met de gangbare implementatie van two factor authentication heb je ook zwaar fucked als iemand bij je telefoon kan. Met als bijkomend nadeel dat ik daarbij aan alle bedrijven waar ik bij in wil loggen mijn telefoonnummer moet overhandigen, waar ik ook niet om sta te springen.
Dus heb ik drie dubbel-encrypted KeePass bestanden, met daarover verdeeld wachtwoorden in drie categoriën van belangrijkheid, elk met een eigen wachtwoord. Knappe jongen die daarin komt.
Met de gangbare implementatie van two factor authentication heb je ook zwaar fucked als iemand bij je telefoon kan. Met als bijkomend nadeel dat ik daarbij aan alle bedrijven waar ik bij in wil loggen mijn telefoonnummer moet overhandigen, waar ik ook niet om sta te springen.
Dus heb ik drie dubbel-encrypted KeePass bestanden, met daarover verdeeld wachtwoorden in drie categoriën van belangrijkheid, elk met een eigen wachtwoord. Knappe jongen die daarin komt.
/u/281713/swedish-flag.png?f=community){kind=small}
Ik gebruik alleen 2-way bij mijn gmail account, en eigenlijk toch niet. Want je kan PC toevertrouwen. Dus mijn eigen PC en die van mijn vriendin hebben slechts mijn password nodig. Als ik bij een vriend of op school wil inloggen, dan moet ik idd even mijn telefoon erbij pakken.
Ik geef graag mijn luiheid even op voor een beetje extra beveiliging op mijn email account, want zoals je zegt, als je daarop komt, kan je bijna overal op komen.
Ik geef graag mijn luiheid even op voor een beetje extra beveiliging op mijn email account, want zoals je zegt, als je daarop komt, kan je bijna overal op komen.
Paypal is van zichzelf al zo paranoid, dat als er een vreemd OS of IP nummer wordt herkend je direct bevroren wordt. Ik gebruik het op 2 desktops en dan gaat het goed. O wee als je vanaf een andere computer Paypalt!
Maar bij de outlooks en gmails heb ik er een pesthekel aan. Ik heb die accounts als flutaccount, bijvoorbeeld voor een tweakers inlog. En dan boeit het niet of iemand die hacket. Maar probeer maar eens van de tweetraps af te komen! Ik heb de meeste flutaccounts daarom noodgedwongen kruisverwijzend ingesteld: een is backup voor de ander. Zelfs binnen dezelfde dienst werkt dat: 2 hotmailadressen kunnen elkaars 2e trap zijn.
Maar bij de outlooks en gmails heb ik er een pesthekel aan. Ik heb die accounts als flutaccount, bijvoorbeeld voor een tweakers inlog. En dan boeit het niet of iemand die hacket. Maar probeer maar eens van de tweetraps af te komen! Ik heb de meeste flutaccounts daarom noodgedwongen kruisverwijzend ingesteld: een is backup voor de ander. Zelfs binnen dezelfde dienst werkt dat: 2 hotmailadressen kunnen elkaars 2e trap zijn.
Hoe heb je Paypal zo ver gekregen? Paypal werkt bij mij altijd en overal, via VPN's, in de trein, thuis en op vakantie. Zou juist bij Paypal graag zien dat zij wél two factor authentication zouden implementeren. Dat is heel wat belangrijker dan suffe social media diensten of game providers (Steam e.d.)
[Reactie gewijzigd door MadEgg op 22 juli 2024 14:24]
Ik mis een optie: Ik vertrouw bedrijven mijn telefoonnummer niet toe.
Ik zou Google mijn telefoonnummer nooit willen geven gezien hun honger naar meer data van elke gebruiker.
Dan maar geen tweetrapsauthenticatie voor mij.
Ik zou Google mijn telefoonnummer nooit willen geven gezien hun honger naar meer data van elke gebruiker.
Dan maar geen tweetrapsauthenticatie voor mij.
Jij hoeft google je telefoonnummer niet te geven. Dat hebben je familieleden of je vrienden of je collega's al gedaan. Als 1 van hen een Android smartphone gebruikt en jouw email en telefoonnummer heeft ingevoerd in het adresboek dan weet google het.
Haha, clever
/u/12038/crop5a51514a4dec1_cropped.png?f=community){kind=small}
Google weet geheid m'n telnr al, maar het principe wat je noemt voel ik ook: vrijwel alle tweetrapsauthenticaties op dit moment vereisen dat je meer persoonsgegevens doorspeelt aan de partij bij wie je wilt authenticeren. Zelfs al ga je ervan uit dat die partijen zelf te vertrouwens zijn, hoe breder je je gegevens rondstrooit, des te hoger de kans dat iemand een keer die gegevens buit maakt bij een grote exploit.
Wat dat betreft vind ik de oplossing van PayPal met aparte dongle nog niet eens zo gek.
Wat dat betreft vind ik de oplossing van PayPal met aparte dongle nog niet eens zo gek.
Ik vind het ook wat veel gedoe voor de meeste dingen. Ik gebruik het echter wel voor mijn DIGID.
DIGID is volgens mij wel een raar geval. Ik heb zelf ook dit aanstaan, maar als ik bijvoorbeeld voor de belastingdienst gebruik moet maken van DIGID autenticatie, dan krijg ik de keus of is wachtwoord wil gebruiken of 2-factor autenticatie. Heel vreemd, wellicht heb ik een instelling verkeerd staan?
Ja, dat was heel lang zo. Compleet zinloos als je bij het inloggen de keus nog hebt om wel of geen tweetraps te gebruiken... Maar tegenwoordig kun je in de instellingen van je DigiD aangeven dat er altijd een SMS-code wordt verstuurd, zoals het hoort dus.
Maar ik ben blij met de keuze, want ik heb geen sms-ontvang-apparaat.... Maar tegenwoordig kun je in de instellingen van je DigiD aangeven dat er altijd een SMS-code wordt verstuurd, zoals het hoort dus.
Dus zo zinloos is het niet altijd.
Het gaat om het moment waarop het gevraagd wordt: vlak voor het inloggen. Je wil echter instellen dat hij het of altijd, of nooit vraagt (of wat mij betreft alleen bij bepaalde diensten). Dat is echter niet een instelling die je moet mogen wijzigen voor dat je daadwerkelijk gaat inloggen. Dan wordt het nogal zinloos.
meestal erg irritant....ik ben nou niet van de "ik doe mijn jas uit, ook mijn telefoon even uit mijn binnenzak halen" of "ik ga naar boven, heb ik mijn telefoon nog in mijn broekzak?" dus het komt nog al eens voor dat mijn telefoon elders ligt...dan zit je daar.,.."eh...waar is mijn telefoon??" facebook staat het aan, maar vooral omdat die op mijn pc constant staat ingelogt en bij per ongeluk wissen van de sessie niet op nieuw gaat vragen naar een code.oja...en DigiD...
[Reactie gewijzigd door pizzafried op 22 juli 2024 14:24]
:strip_icc():strip_exif()/u/76569/garfield14.jpg?f=community){kind=small}
Two factor hoeft niet perse met je telefoon. Het kan ook een mailtje zijn en die kun je prima op je pc ontvangen natuurlijk.
:strip_icc():strip_exif()/u/147791/crop56e423ed8d794_cropped.jpeg?f=community){kind=small}
Voor belangrijke zaken als Digid en internet bankieren wel, maar voor een forum of email niet. Ook op mijn telefoon heb ik enkel de welbekende pincode. Telkens bij het unlocken van mijn scherm een vormpje tekenen vind ik veel te vervelend.
:strip_icc():strip_exif()/u/438947/crop575c94eea6d14.jpeg?f=community){kind=small}
Als die pincode niet een simpele 1111 is of iets dergelijks dan ben je wellicht beter af met die pincode, want anders neem je toch maar een te simpele vorm 
(trouwens is je email een heel sterk middel om wachtwoorden op te vragen van zowat alle andere accounts die je gemaakt hebt, just saying ^^)
(trouwens is je email een heel sterk middel om wachtwoorden op te vragen van zowat alle andere accounts die je gemaakt hebt, just saying ^^)
:strip_exif()/u/31303/HMC2.gif?f=community){kind=small}
Ik zou het voor mijn E-mail kunnen gebruiken. Zowel mijn Gmail als Hotmail. Op mijn phone gebruik ik de email apps echter weinig.
Op PC vaak, iedere dag. Daar heb ik gewoon auto logins.
Ik log op vreemde comps maar zelden op mijn email in.
Daar komt nog eens bij dat ik vaak mijn wachtwoord vergeet, en dan een nieuwe aanmaak.
Dat gaat automagisch in twee stappen tegenwoordig.
Je krijgt dan ook een sms met een code.
Ik vind het wel best zo.
Gewoon (geforceerd door vergeten, of niet) regelmatig je wachtwoord veranderen.
Niks met managers en zo, en voor mij dus ook geen behoefte aan twee-staps spul.
Op PC vaak, iedere dag. Daar heb ik gewoon auto logins.
Ik log op vreemde comps maar zelden op mijn email in.
Daar komt nog eens bij dat ik vaak mijn wachtwoord vergeet, en dan een nieuwe aanmaak.
Dat gaat automagisch in twee stappen tegenwoordig.
Je krijgt dan ook een sms met een code.
Ik vind het wel best zo.
Gewoon (geforceerd door vergeten, of niet) regelmatig je wachtwoord veranderen.
Niks met managers en zo, en voor mij dus ook geen behoefte aan twee-staps spul.
Niks met managers en zo, en voor mij dus ook geen behoefte aan twee-staps spul.
Wat denk je dat sms verificatie is?Daar komt nog eens bij dat ik vaak mijn wachtwoord vergeet, en dan een nieuwe aanmaak.
Dat gaat automagisch in twee stappen tegenwoordig.
Je krijgt dan ook een sms met een code.
:strip_icc():strip_exif()/u/129865/crop5cb775b8692d8.jpeg?f=community){kind=small}
Ik gebruik het niet, de diensten die dit aanbieden hebben dan namelijk mijn telefoonnummer nodig. Mijn huisadres en telefoonnummer zijn en blijven privé, die ga ik niet in de strijd gooien voor een "betere" beveiliging.
Als er een lek is ben ik niet alleen mijn data kwijt door die dienst, maar ook gegevens die ik nooit online wil hebben of met derden wil delen.
Als er een lek is ben ik niet alleen mijn data kwijt door die dienst, maar ook gegevens die ik nooit online wil hebben of met derden wil delen.
Je kan ook eenzelfde authenticator app bij de meeste sites gebruiken en dan hoef je die gegevens niet op te geven.
zoals bijv websites normaal gesproken gehacked worden heeft de hacker er niets mee te maken hoe lastig het wel of niet is om in te loggen
misschien leuk om bruteforcing tegen te gaan maar in de praktijk voegt het niet zo heel erg veel toe wat veiligheid van de hackbare software die loopt betreft
het geeft wel een schijn van veiligheid en maakt het mensen die wachtwoorden raden/gevonden hebben iets lastiger maar lol....
vind het meer een gevalletje schijnveiligheid in de meeste gevallen
misschien leuk om bruteforcing tegen te gaan maar in de praktijk voegt het niet zo heel erg veel toe wat veiligheid van de hackbare software die loopt betreft
het geeft wel een schijn van veiligheid en maakt het mensen die wachtwoorden raden/gevonden hebben iets lastiger maar lol....
vind het meer een gevalletje schijnveiligheid in de meeste gevallen
Ik vind het teveel gedoe. heel veel diensten maken gebruik van je (smart)telefoon, en laat ik juist die niet altijd bij de hand hebben. bovendien is mijn telefoon niet betrouwbaar; hij valt geregeld uit, is niet beveiligd en heeft een lachwekkend slechte accuduur. Vooralsnog blijf ik met sterke wachtwoorden werken.
:strip_icc():strip_exif()/u/364904/crop5d8e03a557fd5_cropped.jpeg?f=community){kind=small}
Bij Google kun je het zo instellen dat je per apparaat maar één keer per 30 dagen een keer een SMS-code hoeft in te vullen. Daardoor vind ik het niet echt veel gedoe. Ik weet trouwens niet of dit bij alle diensten zo is die two-factor authentication aanbieden, ik heb momenteel alleen two-factor aan staan voor mijn Google accounts.
Op dit item kan niet meer gereageerd worden.