Waarom nog steeds geen Two-Factor authenticatie?

Goeie vraag. Ik ben in ieder geval voor.

Eerder gevraagd en - as per eind augustus - niet in de planning
https://gathering.tweaker...umId%5B%5D=39&keyword=2fa

Overigens: zeker voor de V&A sectie lijkt me dit een nuttige toevoeging. Ik vaar blind op de reputatie van aanbieders.

Hoe vaak is het nu voor gekomen dat een 'bekende' V&A account is misbruikt voor verkoop? Twee keer dat ik mij kan herinneren, daarbuiten was het gewoon nieuwe accounts, niets nieuw daar.

Secondair, je moet die mensen dan ook 'verplichten' dit te gaan gebruiken, zullen er best wat tussen zitten die helemaal niet zitten te wachten op extra laag veiligheid, actief kijken bij je sessies is veelal al genoeg.

SinergyX schreef op maandag 13 november 2017 @ 11:43:
Secondair, je moet die mensen dan ook 'verplichten' dit te gaan gebruiken

Waarom zou dat 'moeten'? Het kan gewoon optioneel aangeboden worden.

Voornamelijk geld, 2FA kost aardig wat en een developer ervoor inhuren om het in te bouwen is ook niet gratis.

TeraMod schreef op maandag 13 november 2017 @ 11:45:
[...]

Waarom zou dat 'moeten'? Het kan gewoon optioneel aangeboden worden.

Waar is anders de meerwaarde 'zodat 'hackertjes' geen toegang tot accounts krijgen van verkopers met een goede reputatie', als die verkopers dit toch niet gaan gebruiken?

To be honest, heeft tweakers dit echt nodig? Voor mij niet maar ik denk dat een hoger persoon dit misschien wel wil hebben. Ik zelf heb niet meer gegevens dan openbaar te lezen is en ik denk niet dat er veel interesse is naar het hacken van tweakers accounts (individueel). Ik denk dat 2 factor activation via sms, app te veel is voor een nieuwssite. misschien een e-mail 2 factor verification zou makkelijk en goedkoop zijn voor tweakers

Slavy schreef op maandag 13 november 2017 @ 11:47:
Voornamelijk geld, 2FA kost aardig wat en een developer ervoor inhuren om het in te bouwen is ook niet gratis.

TFA op basis van OATH-TOTP/OATH-HOTP is gewoon gratis te implementeren hoor.

Ik vraag me dan ook af waar de grens moet gaan liggen.

Elke 5 minuten een nieuw MFA-request ondanks dat je niet van IP bent veranderd? Elk uur? Eens per dag? Per jaar? MFA kan je oook (!!!) combineren met veilige devices; gaan we dan ook verplichten dat je Tweakers niet meer mag bezoeken als je iOS 4 maanden achterloopt? Of als je Android geen CVE-1957 aan boord heeft? Of als er nog mensen zijn (lees de topics er maar op na) via nog op XP, Vista, Ubuntu 14.04 etc draaien?

En MFA vereist dat je "iets" koppelt zoals je smartphone of je mail-adres etc. Wie vertelt me dat jij niet stiekem de smartphone van een klasgenootje misbruikt om 1x een advertentie te plaatsen om te scammen maar in de advertentie je andere mail-adres zoals Karizma @ gmx . net gaat gebruiken?

En hoe ga je het forum nog bereiken als MFA niet werkt en daar wil je een post over starten? Tweakers, TweakBlogs etc. heeft geen helpdesk @ tweakers . net ofzo noch zal dat worden ingericht.

Puur vanuit beheerstechnisch oogpunt vind ik MFA voor Tweakers absoluut ongeschikt op dit moment. Mogelijk dat een zeer kleine piloetgroep (met experts, techneuten, hardcore users) iets kan betekenen voor een toekomstige roadmap maar "klakkeloos" even MFA aanslingeren en maar zien waar het schip strandt... Nope.

SinergyX schreef op maandag 13 november 2017 @ 11:48:
[...]

Waar is anders de meerwaarde 'zodat 'hackertjes' geen toegang tot accounts krijgen van verkopers met een goede reputatie', als die verkopers dit toch niet gaan gebruiken?

De meerwaarde is voor de personen die de moeite hebben genomen 2FA te activeren.

Het antwoord is in oktober nog gegeven in Twee Factor Authenticator .

ACM schreef op vrijdag 6 oktober 2017 @ 20:47:
[...]

Het lijkt me heel sterk dat we (op korte termijn) 2FA verplicht maken, zelfs als we het zouden introduceren... Maar zelfs dan, hoe verhoogt dat de betrouwbaarheid van ingelogde mensen? Heb je het dan specifiek over angst voor gekaapte accounts?

Om nou iedere maand dezelfde vraag te stellen

TeraMod schreef op maandag 13 november 2017 @ 11:56:
[...]

De meerwaarde is voor de personen die de moeite hebben genomen 2FA te activeren.

Het is juist minderwaarde; als het niet verplicht is, werkt de helft wel op MFA, de andere helft niet. Zet het dan niet aan; alsof je je voordeur wel van een extra grendel voorziet maar de achterdeur middels een touwtje kan opentrekken; uiteindelijk komt de inbreker toch wel binnen.

Ik reageer hier als user (met devkennis) en niet als crewlid, want ik ga hier niet over.

Karizma schreef op donderdag 9 november 2017 @ 16:37:
Het is tevens vrij eenvoudig om te implementeren.

Implementeren? Sure. Daar komt alleen nog een lading werk aan vooraf.

1. Uitzoeken wat de privacy-implicaties zijn van het gebruiken van externe diensten voor het afhandelen van 2FA.
2. Onderzoeken welke standaarddiensten er zijn en wat de verschillen tussen die diensten zijn.
3. Een van de diensten uitzoeken indien die aan de eisen voldoet.
4. De dienst implementeren.
5. Profiel uitbreiden met een extra optie waarme je wel of niet gebruik kan maken van 2FA.
6. 2FA verplicht stellen voor users met bepaalde rechten (lees: crew).

Er is nogal wat meer te doen dan alleen maar klakkeloos een dienst implementeren.


En waar hebben we het uiteindelijk over? Een account op Tweakers waar vrijwel al je informatie al publiek staat. De enige accounts die meer data vrijgeven dan je nu al van een ander kan zien zijn de accounts met meer rechten dan jij en dan met name crewleden. Zolang de crew veilige wachtwoorden gebruikt is er niet veel aan de hand.

Blijft je "hackertjes"-argument over. Ik denk dat het aantal hackers dat überhaupt probeert om accounts met een goeie reputatie over te nemen nihil is. Er is een veel eenvoudigere methode die oplichters al een hele tijd gebruiken om aan een account met een goeie reputatie te komen. En nee, ik ga niet in details treden op dat vlak.

[ Voor 27% gewijzigd door NMe op 13-11-2017 12:06 ]

Karizma schreef op donderdag 9 november 2017 @ 16:37:
Zoals de titel luidt, waarom nog steeds niet?

Vooral voor een website als Tweakers, lijkt me dat we wel een beetje met de tijd mee moeten gaan.
Het is tevens vrij eenvoudig om te implementeren.

Ook handig voor bijvoorbeeld V&A, zodat 'hackertjes' geen toegang tot accounts krijgen van verkopers met een goede reputatie.

Thanks

Ik mis in je verhaal wat dit voor probleem op gaat lossen? Ik kan nu allemaal redenen bedenken om het niet te implementeren maar dat is imo de omgekeerde wereld. Jij wilt een feature om de authenticatie te verbeteren. Maar wat gaat dit jou en tweakers opleveren?

Alles wat geïmplementeerd kost tijd en belangrijker nog moet ook onderhouden worden. Dus iets implementeren omdat het kan is geen reden.

MAX3400 schreef op maandag 13 november 2017 @ 12:01:
[...]

Het is juist minderwaarde; als het niet verplicht is, werkt de helft wel op MFA, de andere helft niet. Zet het dan niet aan; alsof je je voordeur wel van een extra grendel voorziet maar de achterdeur middels een touwtje kan opentrekken; uiteindelijk komt de inbreker toch wel binnen.

Dus bijvoorbeeld Google of PayPal is minder veilig, omdat 2FA niet verplicht is

Ik denk dat je vergelijking ook mank gaat: er is geen achterdeur en de voordeur is altijd op slot, echter in sommige gevallen nog beveiligd met een extra grendel.

TeraMod schreef op maandag 13 november 2017 @ 12:06:
[...]

Dus bijvoorbeeld Google of PayPal is minder veilig, omdat 2FA niet verplicht is

Ik denk dat je vergelijking ook mank gaat: er is geen achterdeur en de voordeur is altijd op slot, echter in sommige gevallen nog beveiligd met een extra grendel.

Bij PayPal wil je je eigen geld beschermen en is dat de incentive om het in te stellen. Hierbij kan het hooguit gaan dat iemand je account misbruikt met een V&A maar dat is belangrijker voor de koper dan voor de gehackte verkoper.

Als je als koper er dus niet vanuit kan gaan dat de koper 2FA gebruikt dan heb je er niets aan.

Bedenk ook dat 2FA een enorme support-vloed met zich meebrengt. De ervaring leert dat altijd iedereen zijn 2FA kwijtraakt en uiteindelijk (helemaal voor een site als tweakers, het is tenslotte geen bankrekening) komt er een recovery systeem die mensen automatisch gaat helpen. En dus is de 2FA ineens nutteloos.
Het heeft alleen nut als de support niks doet met je recovery, of deze serieus behandelt.
Tweede opties is bij een website als tweakers denk ik alleen mogelijk als je als gebruiker een abbonement afsluit.

Multifactor autentication(MFA) is gewoon een best practice, en ik zou opteren om deze als feature te implementeren ,

Risico's
Het is een preventieve maatregel om zo misbruik van gebruikers te voorkomen.
de hele vraag een aanbod sectie is gebaseerd om "vertrouwen" als iemand veel en hoge ratings heeft word deze over algemeen als vertrouwd herkend. Hier kunnen aanvallers misbruik van maken.

daarbij zie ik Moderators/Publishers wel als "high Profile" accounts, als deze accounts misbruikt worden kan hiermee de reputatie van Tweakers natuurlijk schade aan gedaan worden.

Oplossing
Daarbij is het niet zo dat jullie de eerste zijn met het probleem om deze feature te implementeren en er is ruim voldoende documentatie en/of hulp kanalen om dit efficient en effectief te implementeren.

Mijn voorkeur zou zijn een time based autentication omdat deze simpel weg, buiten een hardware device een van de sterkste methode is, Zolang het maar geen SMS base authentication deze word nu gezien als slecht.

Meer Info
https://pages.nist.gov/800-63-3/sp800-63b.html

Baazie schreef op vrijdag 17 november 2017 @ 10:04:
Multifactor autentication(MFA) is gewoon een best practice, en ik zou opteren om deze als feature te implementeren

Voor fora

Yucon schreef op vrijdag 17 november 2017 @ 10:09:
[...]

Voor fora

Voor elke applicatie/website waarbij je moet authenticeren!
Ook is je account niet alleen voor het forum.

Baazie schreef op vrijdag 17 november 2017 @ 10:20:
[...]

Voor elke applicatie/website waarbij je moet authenticeren!

Meh, het is voor de gebruiker gewoon de moeite vaak niet waard. Ik moet elke keer als ik mijn authenticator moet pakken voor diensten waar het wél de moeite waard is al een keer diep zuchten omdat het gewoon irritant is. Als gebruiker zie ik echt het nut er niet van in voor een forum als dit.

Sure, je hebt gelijk dat ik als admin een wat hoger risico heb maar daarom heb ik ook een superveilig wachtwoord dat ik zonder Keepass niet eens kan onthouden. In de hele historie van Tweakers is er ook slechts één keer een crewlid "gehackt" en dat is omdat hij zijn sessie-ID, dat destijds nog af en toe in URL's belandde, per ongelijk op het forum gepost had.

Wat mij (nogmaals, als gebruiker!) betreft komt het allemaal neer op risico. Afgezien van crewaccounts staat er niks op jouw account/profiel dat niet sowieso al zichtbaar is voor anderen. V&A-oplichters hebben bovendien efficiëntere methodes om aan "betrouwbare" accounts te komen. Er is dus vrijwel géén reden om überhaupt te proberen iemand te hacken.

Als 2FA ooit geïmplementeerd wordt op Tweakers hoop ik in elk geval persoonlijk dat het optioneel is en dat het mijn vertrouwde IP-adressen onthoudt, want ik heb weinig zin om bij elke login opnieuw dubbel te authenticeren. Als crewlid zou ik het uiteraard wel aanzetten als het er komt.