2FA en login history?

Soort van history: https://tweakers.net/my.tnet/sessions/

2FA kost geld, over het algemeen; mogelijk dat @zeef hier iets over kan melden. Ik weet wel dat MFA/2FA meer problemen kan opleveren doordat "sommige mensen" niet snappen waarom een code niet aankomt en daarna weer gaan posten dat het aan T.net ligt. Teveel voorbeelden bekend waarin het aan het device bleek te liggen.

Er zou prima gebruik kunnen worden gemaakt van Google Authenticator. En natuurlijk 2FA als extra optionele veiligheidslaag.

Opt-in met TOTP en/of HOTP dan kun je zelf bijvoorbeeld de Google Authenticator gebruiken. Uitschakelen alleen mogelijk na 24u + bekend mailadres bijvoorbeeld.

Ik zie geen nadelen op de dev-tijd na.

Is hier mogelijk al wat meer informatie over? @zeef

Voornamelijk 2FA of een Authenticator.

[ Voor 26% gewijzigd door Luca op 24-08-2017 01:58 ]

Geen info, geen plannen op korte termijn.

2FA kost geld, over het algemeen; mogelijk dat @zeef hier iets over kan melden. Ik weet wel dat MFA/2FA meer problemen kan opleveren doordat "sommige mensen" niet snappen waarom een code niet aankomt en daarna weer gaan posten dat het aan T.net ligt. Teveel voorbeelden bekend waarin het aan het device bleek te liggen.

Hele late reactie, I know.. En ik weet niet hoe het destijds was maar op dit moment is het inzetten van 2FA via google geheel gratis

2FA is een onhandige extra stap, ik ben daarom niet voor. Het voelt vaak als een lapmiddel voor een site die beveiliging niet op orde heeft. Als een Google account of Apple ID zich niet effectief weet te wapenen tegen brute force attacks dan kan 2FA daar wel effectief tegen zijn. Maar vermindert wel het gebruiksgemak voor de gebruiker en is dus eigenlijk alleen een laatste redmiddel. Extrapoleer eens naar een toekomst waar 5FA de norm is. Passwoord, challenge response, vingerafdruk, iris scan en de kleur van je onderbroek. 2FA is net als captcha's eigenlijk de verkeerde oplossing voor het probleem.

@mashell, 2FA is niet (specifiek) bedoeld om te wapenen tegen brute force attacks. Het is een EXTRA beveiligingsmaatregel, en moet bescherming bieden wanneer iemand je wachtwoord achterhaald heeft (meelezen, papiertje gevonden, gegokt, brute-force, hacks, phishing etc.)

Een site kan prima tegen brute-force beveiligd zijn. Maar als bijvoorbeeld een andere site gehackt word en jij daar ook geregistreerd was met dezelfde gegevens, kan een aanvaller nu gewoon inloggen met jouw account. Met 2FA voorkom je dat, omdat je dan een 2e factor gebruikt bij inloggen (in veel gevallen een app op je telefoon of een code via sms/mail). Zolang die niet gehackt zijn, kan men er niet in, ook al hebben ze je gebruikersnaam en wachtwoord. Of ze je wachtwoord dan via brute-force achterhaald hebben of via een andere weg is voor 2FA niet relevant.

edit: En daarnaast is het normaal gesproken optioneel. Je kan het dus inschakelen voor extra accountbeveiliging, of als je het een irritante extra stap vind kun je het uitgeschakeld laten.

[ Voor 10% gewijzigd door vosManz op 25-01-2018 13:38 . Reden: toevoeging ]

mashell schreef op donderdag 25 januari 2018 @ 12:27:
Extrapoleer eens naar een toekomst waar 5FA de norm is. Passwoord, challenge response, vingerafdruk, iris scan en de kleur van je onderbroek. 2FA is net als captcha's eigenlijk de verkeerde oplossing voor het probleem.

Dat is natuurlijk geen zuivere 5FA. Irisscan en vingerafdruk zijn allebei iets dat je hebt evenals een challenge op een apparaat dat je hebt. Wachtwoord en kleur van je onderbroek iets dat je weet. Als je er vanuit gaat dat een irisscanner of vingerafdrukscanner 100% veilig is, dan voegt een combinatie niets toe.

On topic: ik denk wel dat Tweakers een mogelijkheid tot 2FA moet maken. Als het niet om de veiligheid is, dan wel om als voorbeeld te dienen.

[ Voor 10% gewijzigd door CaffeineCipher op 25-01-2018 13:40 ]

Gaan we deze discussie weer openen? Het antwoord van @zeef lijkt mij toch helder en duidelijk.

Zijn die plannen een jaar later inmiddels veranderd?