Waarom is er geen 2FA / FIDO U2F support op tweakers?
Het is tegenwoordig aardig de standaard om dit aan te bieden ivm veiligheid.
Het is tegenwoordig aardig de standaard om dit aan te bieden ivm veiligheid.
[ Voor 5% gewijzigd door Coffee2Code op 21-02-2019 17:39 ]
Sorry, maar als dit je argument is, dan kun je je probleem waarschijnlijk beter oplossen door een password manager zoals KeePass waarmee je voor elke website een ander wachtwoord hebt, heb je niet altijd een 2e device nodig om in te loggen maar kun je wel overal toegang hebben tot je wachtwoorden.Coffee2Code schreef op donderdag 21 februari 2019 @ 17:36:
[...]
Wat de achterliggende gedachte is? Er zijn al genoeg data breaches anno 2019 waarbij wachtwoorden op straat liggen, 2FA voorkomt dat aanvallers deze wachtwoorden gewoon kunnen gebruiken om in te loggen.
Je hebt immers je telefoon nodig met een app zoals Google Authenticator of Authy om een extra code in te voeren die gegenereerd word naast je wachtwoord.
[...]
Dat is nog steeds single factor authentication.Gropah schreef op vrijdag 22 februari 2019 @ 20:18:
[...]
Sorry, maar als dit je argument is, dan kun je je probleem waarschijnlijk beter oplossen door een password manager zoals KeePass waarmee je voor elke website een ander wachtwoord hebt, heb je niet altijd een 2e device nodig om in te loggen maar kun je wel overal toegang hebben tot je wachtwoorden.
Volgens mij begrijpen we elkaar niet helemaal, dus hierbij een iets uitgebreidere reactie.Coffee2Code schreef op zaterdag 23 februari 2019 @ 01:00:
[...]
Dat is nog steeds single factor authentication.![]()
Leesvoer: Wikipedia: Time-based One-time Password algorithm
Hieruit valt op te maken dat je wachtwoorden hergebruikt. Als dat niet zo is, dan hoor ik het graag. Als je wachtwoorden hergebruikt kan 2FA inderdaad voorkomen dat aanvallers op je account kunnen inloggen, omdat je nog 1 factor overhoud wanneer je wachtwoord bekend is/raakt. En het is inderdaad zo dat er nog steeds veel datalekken zijn, van verschillende partijen (zowel met als zonder 2FA ondersteuning).Er zijn al genoeg data breaches anno 2019 waarbij wachtwoorden op straat liggen, 2FA voorkomt dat aanvallers deze wachtwoorden gewoon kunnen gebruiken om in te loggen.
Dit is natuurlijk niet helemaal compleet. Het is ook mogelijk dat wachtwoorden uitlekken en op het specifieke account waar het voor uitgelekt was wordt gebruikt.Gropah schreef op zaterdag 23 februari 2019 @ 16:43:
Hieruit valt op te maken dat je wachtwoorden hergebruikt. Als dat niet zo is, dan hoor ik het graag. Als je wachtwoorden hergebruikt kan 2FA inderdaad voorkomen dat aanvallers op je account kunnen inloggen, omdat je nog 1 factor overhoud wanneer je wachtwoord bekend is/raakt. En het is inderdaad zo dat er nog steeds veel datalekken zijn, van verschillende partijen (zowel met als zonder 2FA ondersteuning).
En TOTP is browser onafhankelijk ^^"ACM schreef op zondag 24 februari 2019 @ 11:29:
[...]
Dit is natuurlijk niet helemaal compleet. Het is ook mogelijk dat wachtwoorden uitlekken en op het specifieke account waar het voor uitgelekt was wordt gebruikt.
Het punt van MFA is daarbij dat het zelfs dan niet zo boeit dat het wachtwoord uitlekte. Het is dan uiteraard alsnog handig het wachtwoord aan te passen zodra dit bekend wordt, want effectief is het dan gereduceerd tot 1FA voor degene die het wachtwoord weet.
Er is overigens pas geleden een web standaard geintroduceerd voor authenticatie, dat heeft wel meer mijn voorkeur dan "een" standaard te implementeren, want webauthn is een stuk breder met ondersteuning.
Maar helaas is ook die niet bepaald triviaal om te implementeren (en Safari ondersteunt het nog niet)
Maar weer niet techniekagnostischCoffee2Code schreef op zondag 24 februari 2019 @ 12:32:
En TOTP is browser onafhankelijk ^^"
[ Voor 37% gewijzigd door DaveFlash op 24-10-2019 18:29 ]
"Technological advancements don't feel fun anymore because of the motivations behind so many of them." Bron
En dan zijn we ondertussen nagenoeg een jaar verder, en had al dit gedoe volledig voorkomen kunnen worden.Room42 schreef op zondag 29 december 2019 @ 19:25:
Misschien goed om deze toch weer eens onder de aandacht te brengen, gezien onderstaande topics:
Account Gehackt...
Account gehackt
"Gehackt" blijft natuurlijk een ruim begrip maar het klinkt toch als 2FA hier een extra laag had kunnen zijn.
Misschien, misschien ook niet. Of wil je 2FA verplicht stellen of anderszins afdwingen? De mogelijkheid zelf zegt niets over de adoptiegraad van de userbase en al helemaal niet in relatie tot de getroffen accounts. Als je enigszins aware bent gebruik je geen dubbele wachtwoorden en een wachtwoordmanager en uitsluitend gegenereerde wachtwoorden. De getroffen gebruikers lijken die bewustheid in ieder geval niet te hebben.Coffee2Code schreef op zondag 29 december 2019 @ 20:05:
[...]
En dan zijn we ondertussen nagenoeg een jaar verder, en had al dit gedoe volledig voorkomen kunnen worden.
Good taste is for people who can’t afford sapphires
Ik vind het wat kortzichtig om daarvan nu de verantwoordelijkheid bij Tweakers neer te leggen. Het belang van het niet hergebruiken van wachtwoorden op verschillende sites zou onder Tweakers-gebruikers toch wel algemeen bekend moeten zijn.Coffee2Code schreef op zondag 29 december 2019 @ 20:05:
[...]
En dan zijn we ondertussen nagenoeg een jaar verder, en had al dit gedoe volledig voorkomen kunnen worden.
Intentionally left blank
Pfff... Volgens mij onderschat jij hoe 'breed' het publiek is dat jullie (Tweakers) hebben aangetrokken met de campagnes en reclames en zo. Van basiskennis op 'tweakers-niveau' mag je niet meer uitgaan, wat beveiligingsbewustzijn betreft.crisp schreef op zondag 29 december 2019 @ 22:06:
[...]
Ik vind het wat kortzichtig om daarvan nu de verantwoordelijkheid bij Tweakers neer te leggen. Het belang van het niet hergebruiken van wachtwoorden op verschillende sites zou onder Tweakers-gebruikers toch wel algemeen bekend moeten zijn.
[ Voor 3% gewijzigd door Room42 op 30-12-2019 01:17 ]
"Technological advancements don't feel fun anymore because of the motivations behind so many of them." Bron
2FA verscherpt de veiligheid, en je kan het deels afdwingen (als je V&A wil gebruiken is 2FA verplicht, ook als je een populaire reviewer of Blogger bent, etc) of gewoon volledig, aangezien veruit de meeste mensen wachtwoorden hergebruiken.crisp schreef op zondag 29 december 2019 @ 22:06:
[...]
Ik vind het wat kortzichtig om daarvan nu de verantwoordelijkheid bij Tweakers neer te leggen. Het belang van het niet hergebruiken van wachtwoorden op verschillende sites zou onder Tweakers-gebruikers toch wel algemeen bekend moeten zijn.
Desalniettemin staat 2FA sinds de hacks van verschillende accounts de laatste tijd wel hoger op de radar, maar daarbij moet wel opgemerkt worden dat het belang hiervan toch voor een groot deel beperkt is tot V&A en dat ook andere zaken inmiddels prioriteit beginnen te vereisen (fotoalbum, betere mobiele support etc.). Ik kan dus geen beloften doen of, hoe en op wat voor termijn we hier specifiek mee bezig zullen gaan.
Dat er maatregelen getroffen moeten worden om verdere slachtoffers van dergelijke hacks te voorkomen is echter evident.
Als je dan je 2FA code via de email ontvangt, waar alsnog hetzelfde wachtwoord aan hangt heeft het allemaal niet zo veel zin. Of wil je apps, telefoonnummers of hardware verplicht gaan stellen?Coffee2Code schreef op maandag 30 december 2019 @ 01:39:
[...]
2FA verscherpt de veiligheid, en je kan het deels afdwingen (als je V&A wil gebruiken is 2FA verplicht, ook als je een populaire reviewer of Blogger bent, etc) of gewoon volledig, aangezien veruit de meeste mensen wachtwoorden hergebruiken.
Het zal je verbazen maar niet elke verbetering heeft hetzelfde doel.Wat voegt "betere" mobile support toe, of een fotoalbum, aan de veiligheid van eindgebruikers die van Tweakers verwachten het veilig te kunnen gebruiken?
Goed idee om de ervaring van één enkele gebruiker als maatstaf voor backlogprioritisering te nemen ....Tweakers is gewoon goed bruikbaar op mobiel, en een fotoalbum heb ik nog nooit gebruikt of nodig gehad op Tweakers, en als ik wel een album wil maken, gebruik ik Imgur wel.
Even je security/developerbril af zetten en pogen de wereld met een iets breder perspectief te aanschouwen zal helpen.Klinkt toch alsof 2FA bovenaan de lijst hoort te staan van prioriteiten.
Good taste is for people who can’t afford sapphires
Ik denk dat er ook een groot deel van de gebruikers wel weet/wist dat het niet hoorde, maar simpelweg te lui was om dan weer een los wachtwoord te kiezen (en/of een wachtwoordmanager te installeren). Veel gebruikers zien hun Tweakers-account ook niet als iets dat zó belangrijk dat ze daar veel moeite voor willen doen mbt beveiliging... En ja, dan kan je inderdaad die oplichtingvoorbeelden krijgenRoom42 schreef op maandag 30 december 2019 @ 01:13:
Pfff... Volgens mij onderschat jij hoe 'breed' het publiek is dat jullie (Tweakers) hebben aangetrokken met de campagnes en reclames en zo. Van basiskennis op 'tweakers-niveau' mag je niet meer uitgaan, wat beveiligingsbewustzijn betreft.
[ Voor 5% gewijzigd door ACM op 30-12-2019 08:33 ]
Je lijkt hier het te willen laten lijken alsof je voor elke actie een token in zou moeten vullen.ACM schreef op maandag 30 december 2019 @ 08:31:toon volledige bericht
[...]
Ik denk dat er ook een groot deel van de gebruikers wel weet/wist dat het niet hoorde, maar simpelweg te lui was om dan weer een los wachtwoord te kiezen (en/of een wachtwoordmanager te installeren). Veel gebruikers zien hun Tweakers-account ook niet als iets dat zó belangrijk dat ze daar veel moeite voor willen doen mbt beveiliging... En ja, dan kan je inderdaad die oplichtingvoorbeelden krijgen
Maar tegelijkertijd geef je zelf effectief ook aan dat een groot deel van de doelgroep niet op 2FA zal zitten te wachten, zeker niet als het extra moeite kost (en dat kost het eigenlijk per definitie). Sowieso is met terugwerkende kracht invoeren al niet mogelijk. Dus al die oude accounts blijven dan toegankelijk, tenzij we effectief iedereen uitloggen en dwingen 2FA in te stellen...
En dan komt er direct (wmb terechte) weerstand tegen de extra moeite die er nodig is zoiets 'onbelangrijks' als een Tweakers-account te kunnen aanmaken/gebruiken. Want waarom zou je 2FA nodig hebben om even een pricealert in te stellen?
Er zullen voorlopig nog wel meerdere groepen gebruikers zijn:
- MFA is wmb verplicht, als het er niet is, is de kans groot dat ik de dienst niet gebruik
- MFA is de norm, ik stel dat overal in als het beschikbaar is
- MFA is belangrijk, maar doe ik alleen bij écht belangrijke zaken
- MFA is wel veel gedoe, ik heb al unieke wachtwoorden overal, dus ik gebruik het alleen als het verplicht is gemaakt
- MFA is veel gedoe, irritant zeg, dat ik dat soms moet gebruiken
- Huh? MFA??
Als het doel is om oplichting in V&A via gehackte accounts te voorkomen, dan lijkt MFA me in ieder geval niet de meest praktische aanpak. Want tenzij MFA verplicht wordt, zal er altijd een deel van de accounts vatbaar voor zijn.
Neehoor, ik doelde op registratie en/of inloggen. MFA verhoogt de drempel daarvoor danwel de moeite die het kost.Coffee2Code schreef op dinsdag 31 december 2019 @ 21:34:
Je lijkt hier het te willen laten lijken alsof je voor elke actie een token in zou moeten vullen.
Dit hoeft alleen bij inloggen, en er zijn genoeg apps om 2FA mee te bewerkstelligen (zoals Authy), en aangezien nagenoeg iedereen wel een smartphone heeft, kunnen ze gemakkelijk 2FA gebruiken.
Voor degenen die dat tijdens het inloggen hadden gedaan wel ja... Maar voor iedereen die voor het eerst een advertentie wil plaatsen moet dan dat account opwaarderen.Verder, het deels verplichten zou geen probleem moeten zijn, wil je iets plaatsen op V&A dan moet je account 2FA gebruiken, token is al ingevuld tijdens het inloggen dus iemand die 2FA gebruikt kan dan ook zonder moeite een advertentie posten.
Wat sommigen dagelijks doen, en als ik mijn browser per ongeluk afsluit meerdere keren per dagCoffee2Code schreef op dinsdag 31 december 2019 @ 21:34:
[...]
Dit hoeft alleen bij inloggen, en er zijn genoeg apps om 2FA mee te bewerkstelligen (zoals Authy), en aangezien nagenoeg iedereen wel een smartphone heeft, kunnen ze gemakkelijk 2FA gebruiken.
[...]
Einstein: Mijn vrouw begrijpt me niet
Ik zie daar eigenlijk alleen maar voordelen in als ik eerlijk ben. Er wordt al jaren geklaagd over het dalende niveau op Tweakers vergeleken met jaren geleden. Als dit al een te grote stap voor je blijkt te zijn, terwijl je MFA overal al minimaal wekelijks gebruikt (denk aan bankzaken, DigiD, enz) dan voelt het toch wel als een prima (zeer beperkte) filter.ACM schreef op woensdag 1 januari 2020 @ 11:37:
[...]
Neehoor, ik doelde op registratie en/of inloggen. MFA verhoogt de drempel daarvoor danwel de moeite die het kost.
Ik ben geen devver, dus heb geen idee hoeveel impact dit heeft voor een specifieke site als Tweakers, maar step-up authentication is toch ook niks nieuws meer.Wat nog vervelender zal zijn voor die gebruikers, is dat ze daarna MFA hebben geactiveerd op hun account en daarna verplicht zijn om dat continu te blijven gebruiken. Ook als ze het alleen maar activeerden zodat ze een advertentie konden plaatsen. Tenzij we het natuurlijk zo implementeren - en dus complexer maken - dat je het optioneel alleen kan gebruiken voor 'bijzondere handelingen' (zoals advertentie plaatsen of je profiel aanpassen).
DigiD gebruik ik echt niet vaak. Bankzaken doe ik juist zoveel mogelijk op mobiel om geen MFA gedoe te hebben.The Realone schreef op donderdag 2 januari 2020 @ 09:44:
[...]
Ik zie daar eigenlijk alleen maar voordelen in als ik eerlijk ben. Er wordt al jaren geklaagd over het dalende niveau op Tweakers vergeleken met jaren geleden. Als dit al een te grote stap voor je blijkt te zijn, terwijl je MFA overal al minimaal wekelijks gebruikt (denk aan bankzaken, DigiD, enz) dan voelt het toch wel als een prima (zeer beperkte) filter.
Dat is geen streven. Maar wel willen we het de gebruiker niet onnodig moeilijk maken. En we willen ook zker niet de vaste of aspirant vaste bezoeker wegjagen.The Realone schreef op donderdag 2 januari 2020 @ 09:44:
Tenzij het idee van Tweakers natuurlijk is om simpelweg zoveel mogelijk bezoekers te trekken, dat is een andere discussie.
Een account kan sowieso gebruikt worden voor oplichting. Een account kan daar specifiek voor gemaakt worden, daar hoeft het niet voor "geleend" te worden.maar zodra een account direct gebruikt kan worden voor malafide doeleinden (in dit geval oplichting) dan kun je eigenlijk niet meer wegkomen met het argument "ja maar zo maken we het gebruikers wel te lastig".
Dan doe je de aanname dat het onnodig moeilijk is. Dat moet natuurlijk wel de basis van de discussie zijn.ACM schreef op donderdag 2 januari 2020 @ 12:10:
[...]
Dat is geen streven. Maar wel willen we het de gebruiker niet onnodig moeilijk maken. En we willen ook zker niet de vaste of aspirant vaste bezoeker wegjagen.
Maar die mensen doen dat met alle sites en zullen dus overal opnieuw in moeten loggen. Facebook, Twitter, Instagram, LinkedIn... Allemaal "community" sites waar MFA volgens mij altijd wenselijk is.Wat ook vaak vergeten wordt in dit soort discussies zijn mensen die niet precies "jouw gedrag" hebben.
Zoals mensen die vanwege de cookies steeds uitloggen en dus vaak moeten inloggen. Of mensen die geen mobiel hebben.
Of situaties waarbij complex handelingen minder makkelijk uitgevoerd kunnen worden:
- Werken op mobiel
- Mensen met handicaps en/of andere beperkingen
Als Tweakers geen V&A had is een dergelijke account maar zeer zelden interessant voor malafide personen om over te nemen of mee te lezen.Een account kan sowieso gebruikt worden voor oplichting. Een account kan daar specifiek voor gemaakt worden, daar hoeft het niet voor "geleend" te worden.
Het "ja maar zo maken we het gebruikers wel te lastig" is juist een aspect om te beoordelen. Want ongeveer de enige manier om absoluut te garanderen dat er geen oplichting via Tweakers plaatsvindt, is om de site te veranderen in 'read only' of er helemaal mee te stoppen...
Dat zegt allemaal niet dat we nooit MFA introduceren, maar de kans dat we het verplicht maken voor iedereen acht ik erg klein. En dan helpt het natuurlijk niet of nauwelijks meer tegen V&A-oplichting, want de wachtwoordhergebruikers gaan vast niet massaal MFA gebruiken.
Rond V&A dingen aanpassen is uiteraard mogelijk en zal ook zeker worden overwogen, maar dan is MFA ineens niet meer de enige optie en misschien niet eens de beste.
Ik spreek hier als gebruiker die zo werkt. Op elk apparaat (desktop, laptop, mobiel) gooi ik aan 't einde van mijn sessie alle cookies weg (of specifieker, doet mijn browser dat). Zo'n sessie duurt maximaal een dag (vaak korter) en ik moet dus inderdaad heel vaak opnieuw inloggen; elke dag weer. Ik heb geleerd dat het inlogproces bij sommige websites dusdanig vervelend is dat ik hier weg blijft (denk aan verplichte CAPTCHA bij inloggen, die altijd onleesbaar is).The Realone schreef op donderdag 2 januari 2020 @ 12:21:
[...]
Maar die mensen doen dat met alle sites en zullen dus overal opnieuw in moeten loggen. Facebook, Twitter, Instagram, LinkedIn... Allemaal "community" sites waar MFA volgens mij altijd wenselijk is.
[...]
Einstein: Mijn vrouw begrijpt me niet
Dit vind ik eigenlijk wel een dusdanige goeie suggestie, dat ik die ook hier niet onvermeld wilde laten.Of verplicht 2FA als je gebruik wilt maken van V&A? Zoals bijvoorbeel bij Steam. Als je gebruik wilt maken van de marketplace MOET je een 2FA ingesteld hebben.
Desnoods reken je zo'n ding zelf uit, al is het dan wel handig een tijdstip ergens wat verder in de toekomst te gebruiken
[ Voor 14% gewijzigd door begintmeta op 02-01-2020 18:16 ]
- Mensen die (om noem reden) een te oude browser gebruiken op een te oud OS.ACM schreef op donderdag 2 januari 2020 @ 12:10:
[...]
Of situaties waarbij complex handelingen minder makkelijk uitgevoerd kunnen worden:
- Werken op mobiel
- Mensen met handicaps en/of andere beperkingen
Sinds de 2 dagen regel reageer ik hier niet meer
Niet alle. We hebben ook tijd nodig het daadwerkelijk correct te implementerenCurlyMo schreef op donderdag 2 januari 2020 @ 19:34:
Sowieso is het bieden van een keuze voor het gebruik van TFA een argument dat alle tegen argumenten wegneemt. Je hoeft het dan namelijk niet te gebruiken.
[ Voor 22% gewijzigd door ACM op 02-01-2020 20:46 ]
[ Voor 3% gewijzigd door _Thanatos_ op 31-08-2020 22:15 ]
日本!🎌
_Thanatos_ schreef op maandag 31 augustus 2020 @ 22:10:
Ik wil dit topic ook even een schopje geven
Ik ben sinds kort ook voorstander van 2FA. Ik denk dat het idd een goed idee is om het niet verplicht te stellen. Het moet denk ik wel gepromoot worden, en dan misschien in fases. Gebruikers die het niet willen, kunnen het negeren, zoals op de meeste websites het geval is. Wellicht dat het idd voor V&A beter is om wel te verplichten, om bovengenoemde redenen.
Wat je ook kan doen, misschien mooi als compromis, is in de V&A bij correspondentie met een andere user aangeven of de ander 2FA aan heeft staan. Dan kun je daar zelf je oordeel over hebben.
En hoe complex het ook moge zijn, dat geloof ik wel, maar we hebben het wel over Tweakers.net. Niet bepaald een simpele website. Ten opzichte van de rest van deze website, is 2FA implementeren echt zo moeilijk?
Misschien moeten we ook niet teveel tegelijk willen. Kunnen we beginnen met supporten van authenticator apps, en daarna misschien een keer kijken naar andere/fysieke second factors?
Learn from yesterday, Live for today, Hope for tomorrow
Ryzen9 5900X; 16GB DDR4-3200 ; RTX-4080S ; 7TB SSD
Als men hier geld voor durft te vragen ben ik al mijn vetrouwen in Tweakers permanent kwijtGarBaGe schreef op woensdag 6 januari 2021 @ 08:30:
Ik ben voor 2FA, bijvoorbeeld in de vorm van optionele Yubikey ondersteuning.
Als er voor Tweakers kosten verbonden zijn aan 2FA oplossingen, dan kan het wellicht ook bijvoorbeeld als feature in het betaalde abo worden aangeboden.
Learn from yesterday, Live for today, Hope for tomorrow
Ze zouden het als extraatje bij een abo kunnen geven zoals Ars Technica doet bij hun Pro++ abo, neem aan dat ze daar een hele goede deal op krijgen (want 1 jaar abo kost ongeveer hetzelfde als die hele yubikeyFlyingDutchMen schreef op woensdag 6 januari 2021 @ 08:36:
[...]
Als men hier geld voor durft te vragen ben ik al mijn vetrouwen in Tweakers permanent kwijt.
[ Voor 14% gewijzigd door GekkePrutser op 02-03-2021 23:50 ]
Has wares if you have coin 💰
Sometimes you need to plan for coincidence
Ja, hardware tokens willen we ook zeker nog naar gaan kijken maar is geen onderdeel van deze MVP.Hmmbob schreef op woensdag 31 maart 2021 @ 12:05:
Cool, goede ontwikkeling.
Weet je of het gebruik van security tokens (zoals bijv. Yubikey) ook op de roadmap staat?
Intentionally left blank
Has wares if you have coin 💰
Moonsugar schreef op donderdag 1 april 2021 @ 14:56:
Wij zijn inmiddels een kleine test gestart onder abonnees, en zouden vanuit dit topic ook graag wat tweakers willen uitnodigen om 2FA uit te proberen. We hebben ongeveer plek voor 20 man.
Lijkt het je interessant om hieraan mee te doen? Stuur mij dan een DM zodat ik je de instructies kan sturen. Vol = vol!
Sometimes you need to plan for coincidence
Has wares if you have coin 💰
Jep, kwam net tot dezelfde conclusie. tx!
[ Voor 41% gewijzigd door Hmmbob op 01-04-2021 18:38 ]
Sometimes you need to plan for coincidence
Even uit een topic uit het ABO forum:Hmmbob schreef op donderdag 1 april 2021 @ 15:28:
is dit expected behaviour?
crisp schreef op woensdag 31 maart 2021 @ 13:47:
[...]
De 'feature flag' geldt alleen voor de browsersessie waar je deze hebt ingesteld (middels de speciale link); het wordt lokaal opgeslagen in een cookie dat je die feature enabled hebt. Daarom werkt het niet automatisch in een andere browser of incognito.
Je account is dus ook niet meteen extra beveiligd. Deze preview is puur om de functionaliteit te kunnen bekijken en testen.
(Op persoonlijke titel; ik heb niets met de implementatie van doenHmmbob schreef op donderdag 1 april 2021 @ 15:28:
Het lijkt erop dat de "grace period" op 0 staat?
[ Voor 26% gewijzigd door RobIII op 01-04-2021 15:52 ]
There are only two hard problems in distributed systems: 2. Exactly-once delivery 1. Guaranteed order of messages 2. Exactly-once delivery.
Je eigen tweaker.me redirect
Over mij
Wij hanteren zo te zien inderdaad geen specifieke window. In de door onze gebruikte library is dat de default. Ik zal dit intern eens besprekenRobIII schreef op donderdag 1 april 2021 @ 15:37:
[...]
(Op persoonlijke titel; ik heb niets met de implementatie van doen)
Hmmm, dat is inderdaad niet "goed" wmb. Meestal is 't 1 of 2 codes 'er voor' en 1 of 2 codes 'er na' die (ook) geldig is/zijn. Daar kan @crisp of @boenkeijer vast wel iets mee
Intentionally left blank
Dat is wel héél strak (en té strak IMHO). Dus als dat iets-of-wa gerekt kan worden lijkt me dat wel wenselijkcrisp schreef op donderdag 1 april 2021 @ 16:02:
[...]
Wij hanteren zo te zien inderdaad geen specifieke window. In de door onze gebruikte is dat de default.
There are only two hard problems in distributed systems: 2. Exactly-once delivery 1. Guaranteed order of messages 2. Exactly-once delivery.
Je eigen tweaker.me redirect
Over mij
crisp schreef op donderdag 1 april 2021 @ 16:02:
Wij hanteren zo te zien inderdaad geen specifieke window. In de door onze gebruikte library is dat de default. Ik zal dit intern eens bespreken
Voorkomt ook issues als mensen systemen niet helemaal in sync lopen met de klok.RobIII schreef op donderdag 1 april 2021 @ 16:03:
Dat is wel héél strak (en té strak IMHO). Dus als dat iets-of-wa gerekt kan worden lijkt me dat wel wenselijk
[ Voor 83% gewijzigd door Hmmbob op 01-04-2021 16:31 . Reden: Ik loop zelf nooit in sync met de klok ]
Sometimes you need to plan for coincidence
Goed idee. Ik had bewust nog geen window ingesteld (wat bij de door ons gebruikte library overigens ook de standaard is). Aangezien er blijkbaar meer mensen en dus niet alleen ikzelf die de afgelopen weken vaker dan mij lief is dit heeft ingeschakeld/uitgeschakeld tegenaanlopen lijkt het mij goed om dit wat relaxer te doen. Ik ga 'm instellen op een window van 1, dwz, de vorige en volgende code zullen ook geaccepteerd worden. Dit maakt dan effectief elke code anderhalve meter minuut geldig.Hmmbob schreef op donderdag 1 april 2021 @ 15:28:
[...]
edit2:
Het lijkt erop dat de "grace period" op 0 staat? TOTP codes zijn 30 sec valid, maar als je wat langzaam typt en iets na de "rotatie" de vorige code invoert, dan wordt deze gewijzigd. Andere sites met 2FA zijn hier wat vriendelijker in, daar kan je nog 'eventjes' na de rotatie de oude code gebruiken.
Einstein: Mijn vrouw begrijpt me niet
[ Voor 3% gewijzigd door azerty op 02-04-2021 11:44 ]
Learn from yesterday, Live for today, Hope for tomorrow
Is dat niet gewoon een kwestie van longpress-paste?FlyingDutchMen schreef op vrijdag 2 april 2021 @ 11:58:
Ziet er netjes uit, n werkt goed. Heb wel 2 puntjes:
1. Als mobiele gebruiker heb ik wel een puntje. Ik kan vanuit de authenticator de code kopieren. Echter is er geen ondersteuning van het plakken van deze code. Dit zou wel fijn zijn als dat kan.
Welke app gebruik je?2. Er komt netjes een naam mee die de authenticator app ook weer geeft. De naam Tweakers staat er nu dubbel in. Wat mij betreft is een keer genoeg, hierdoor is er ook meer ruimte om mijn gebruikersnaam te tonen. (zelf zou ik alleen tweakers.net (dus zonder username) genoeg vinden).
Intentionally left blank
☀️ Goedemorgen zonneschijn! ☀️
☀️Ja, je maakt me zo gelukkig, en door jou voel ik me fijn! ☀️
Lijkt bij mij niet te werken. Als dat al wel zo is, blijft mijn punt staan want het voelt dan wat mij betreft niet logisch aan.crisp schreef op vrijdag 2 april 2021 @ 12:26:
Is dat niet gewoon een kwestie van longpress-paste?
Gebruik Google Authenticator. Ik krijg het als volgt Tweakers (tweakers.net:FlyingDutchMen. Note het laatste ')' is er ook echt niet. Mogelijk door mijn wat langere username?crisp schreef op vrijdag 2 april 2021 @ 12:26:
Welke app gebruik je?
Learn from yesterday, Live for today, Hope for tomorrow
We hebben deze opmaak niet bepaald, dit maakt je app er zelf van.FlyingDutchMen schreef op vrijdag 2 april 2021 @ 18:14:
[...]
Gebruik Google Authenticator. Ik krijg het als volgt Tweakers (tweakers.net:FlyingDutchMen. Note het laatste ')' is er ook echt niet. Mogelijk door mijn wat langere username?
Einstein: Mijn vrouw begrijpt me niet
Has wares if you have coin 💰
FreeReef.nl
Dat vermoeden had ik al! Ik ga morgen even wat dm’s uitsturen.World Citizen schreef op maandag 19 april 2021 @ 22:20:
@Moonsugar Ik vermoed dat je dit even moet pushen naar je testers. Het is echt toevallig dat ik dit hier lees
Maar, ik ga meteen aan de slag voor je.
Has wares if you have coin 💰
[ Voor 10% gewijzigd door azerty op 21-04-2021 10:21 ]
Dit staat uitgelegd op de pagina waar je de herstelcodes kunt overnemen. Zou je dit (ook) op een andere plek willen zien?azerty schreef op woensdag 21 april 2021 @ 10:21:
Zojuist de functionaliteit eventjes getest:
De herstelcodes vind ik wat verwarrend; normaal gezien mag je gelijk welke code gebruiken als je een lijstje hebt gekregen, maar bij de huidige implementatie moet je eerst code 1 invullen, de volgende keer dat je hem nodig hebt code 2 etc.
Dit is nergens duidelijk gemaakt en zorgt voor een beetje verwarring en kan denk ik leiden tot paniek bij mensen als ze niet meer aan hun geliefde Tweakers account kunnen
Daar had ik dus overgelezenjelle. schreef op woensdag 21 april 2021 @ 10:32:
[...]
Dit staat uitgelegd op de pagina waar je de herstelcodes kunt overnemen. Zou je dit (ook) op een andere plek willen zien?
jep, wanneer je token 7 en later gebruikt krijg je een mailtje met de waarschuwing dat je bijna door de codes heen bent. Je kunt dan vanuit een link in die mail nieuwe codes genereren, waarna evt oude codes ook direct vervallen.azerty schreef op woensdag 21 april 2021 @ 10:35:
[...]
Wat gebeurt er trouwens als je de 10 codes opgebruikt hebt? Kan je dan nieuwe downloaden?
Het is volgens mij voor herstelcodes wel gebruikelijk dat je ze slechts opvolgend kunt gebruiken; dus zo raar is het niet. Maar ben het wel met je eens dat het belangrijk is dit duidelijk te communicerenazerty schreef op woensdag 21 april 2021 @ 10:21:
[...]
De herstelcodes vind ik wat verwarrend; normaal gezien mag je gelijk welke code gebruiken als je een lijstje hebt gekregen, maar bij de huidige implementatie moet je eerst code 1 invullen, de volgende keer dat je hem nodig hebt code 2 etc.
[...]
Einstein: Mijn vrouw begrijpt me niet
Has wares if you have coin 💰
[ Voor 8% gewijzigd door Miki op 28-04-2021 13:56 ]
Elke moderne smartphone (Android 7+, iOS 14+) heeft de relevant hardware ingebouwd. Daar heeft Tweakers zelf het nodige over geschreven:Hardwaretokens vereisen een extra apparaat en zijn daarmee voor minder gebruikers interessant dan totp, dat op elke smartphone werkt.
Rafe schreef op woensdag 28 april 2021 @ 14:04:
1Password (de 'ouderwetse' extensie met app, niet die ene die compleet in-browser draait) autofill werkt voor mij prima op macOS
Ik had dit al in de reacties onder het artikel geplaatst maar realiseer me dat de feedback hier beter op zijn plaats is:
[...]
Elke moderne smartphone (Android 7+, iOS 14+) heeft de relevant hardware ingebouwd. Daar heeft Tweakers zelf het nodige over geschreven:Een losse security key kopen is helemaal niet nodig. Browser support is ook prima: https://caniuse.com/webauthn en eenvoudig te testen op bijvoorbeeld https://webauthn.io/ of https://webauthn.me/
- nieuws: Google start met vingerafdrukauthenticatie bij webdienst voor Android...
- nieuws: Safari kan gebruikers bij websites laten inloggen met Touch ID of Fac...
Dat klopt ook volgens de Can I Use link die ik eerder noemde? Met Chrome zal het wel moeten lukken - zelf getest op mijn S10 en S21 😉Coffee2Code schreef op zondag 2 mei 2021 @ 06:11:
Samsung Browser, nieuwste update
Hier kon uw advertentie staan
"Helaas" is dat ding op de homepage (ik neem aan dat je daar naar refereert) effectief een soort advertentie (maar dan vooral voor interne zaken); los van dat die vrij in te stellen is door ons marketingteam heeft die ook helemaal geen toegang tot de accounts. En speciaal voor deze ene keer daar wel zo'n soort test in maken is daardoor wel wat zonde van de inspanning.Nitroglycerine schreef op maandag 10 mei 2021 @ 21:48:
Top voor Tweakers dat het geïmplementeerd is. Misschien voor de volgende iteratie een uitbreiding:
Detectie van het ingeschakeld zijn van 2FA, indien JA dan 2FA niet alsnog aanbevelen.
[ Voor 3% gewijzigd door ACM op 11-05-2021 08:01 ]
Sometimes you need to plan for coincidence
Learn from yesterday, Live for today, Hope for tomorrow
Het is bij ruim 6200 accounts aangezet.Hmmbob schreef op dinsdag 11 mei 2021 @ 08:15:
@ACM Zijn er ook (anonieme) stats uit de DB te trekken om te zien hoe populair deze functie is?
Sometimes you need to plan for coincidence
We hebben weer een forse toename gezien vanaf dat deze aankondiging op de frontpage werd geplaatst. Het is vooral bedoeld voor bezoekers die het .plan hadden gemist. Artikelen verdwijnen immers vrij snel van de frontpage. Het idee is trouwens niet om 'm daar permanent te laten staan, we gaan nog wat gerichte uitingen doen, bijvoorbeeld binnen V&A voor gebruikers die 2FA nog niet aan hebben staan.ACM schreef op dinsdag 11 mei 2021 @ 08:00:
Het is wel de vraag hoeveel nut het überhaupt nog heeft; @jelle. heeft het nog veel nut die aankondiging te hebben staan?
Ik begreep het nut als aanvulling voor een vrij snel verdwijnend .plan, ik doelde vooral op het nu nog steeds hebben ervanjelle. schreef op dinsdag 11 mei 2021 @ 10:12:
We hebben weer een forse toename gezien vanaf dat deze aankondiging op de frontpage werd geplaatst. Het is vooral bedoeld voor bezoekers die het .plan hadden gemist. Artikelen verdwijnen immers vrij snel van de frontpage.
Ik check Tweakers elke dag, maar heb niks gezien over een aankondiging van 2FA...jelle. schreef op dinsdag 11 mei 2021 @ 10:12:
[...]
We hebben weer een forse toename gezien vanaf dat deze aankondiging op de frontpage werd geplaatst. Het is vooral bedoeld voor bezoekers die het .plan hadden gemist. Artikelen verdwijnen immers vrij snel van de frontpage. Het idee is trouwens niet om 'm daar permanent te laten staan, we gaan nog wat gerichte uitingen doen, bijvoorbeeld binnen V&A voor gebruikers die 2FA nog niet aan hebben staan.
Ryzen 2700X, Gigabyte Aorus Gaming 7, G.Skills Ripjaws V 3200Mhz 16GB DDR4 RAM, PowerColor Red Devil 5700 XT, Samsung 970 250GB NVMe-SSD, 3x 5TB Toshiba HDD, 500GB Samsung Evo 850 SSD
~ beware of misinformation.
als je het invoerveld bedoelt waar je je TOTP token invoert: Hier hebben we een fix voor gemaakt dat plakken (pasten) mogelijk is. Wel staat er bewust een 'autocomplete="one-time-code"' waarde in, om aan oa passwordmanagers aan te geven dat het geen wachtwoordveld is. Dus het plakken van een code zou wel mogelijk moeten zijn; en een goede wachtwoordmanager begrijpt dan dan hier geen wachtwoord verwacht wordt.Nindustries schreef op woensdag 12 mei 2021 @ 14:20:
Is er een reden waarom paste niet werkt op de 2FA OTP pin entry?
Hierdoor werken autofills van password managers niet.
Einstein: Mijn vrouw begrijpt me niet
Dit topic is gesloten.
Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro
Tweakers is onderdeel van
DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025
•
Hosting door TrueFullstaq