2FA / FIDO U2F Support?

Pagina: 1
Acties:
  • 7.145 views

Acties:
  • +62 Henk 'm!

  • Coffee2Code
  • Registratie: Juli 2011
  • Laatst online: 26-05 20:02
Waarom is er geen 2FA / FIDO U2F support op tweakers?

Het is tegenwoordig aardig de standaard om dit aan te bieden ivm veiligheid.

Acties:
  • +1 Henk 'm!

  • ACM
  • Registratie: Januari 2000
  • Niet online

ACM

Software Architect

Werkt hier

Het is (of lijkt iig) aardig complex om te implementeren en we zijn - mijns inziens - nog niet voldoende overtuigd van het nut ervoor... Er zijn diverse forumtopics over 2FA geweest en telkens waren ook de meningen van gebruikers verdeeld ("hoe belangrijk is een Tweakers account? 2FA is onnodig extra gedoe om in te loggen" vs "ik wil overal veilig inloggen").

Bij een feature request zien we graag wat de achterliggende gedachte is om iets te maken. Aan welke wens voldoen we ermee, welk probleem lossen we op, etc. En hoe hoger de impact op onze techniek en/of de gebruikerservaring is, hoe belangrijker het is om goede redenen voor een verandering te hebben. Bovendien kunnen we met die gedachtes erachter beter zelf beoordelen of de voorgestelde oplossing dan het beste is, of wellicht is er wat anders/beters.

Ik heb overigens niet de indruk dat het de standaard is qua veiligheid, er zijn nog vele websites die het niet aanbieden.

  • Coffee2Code
  • Registratie: Juli 2011
  • Laatst online: 26-05 20:02
TOTP is niet al te lastig te implementeren gelukkig.

Het is ook mijn mening dat 2FA een keuze zou moeten zijn, geen verplichting.

Wat de achterliggende gedachte is? Er zijn al genoeg data breaches anno 2019 waarbij wachtwoorden op straat liggen, 2FA voorkomt dat aanvallers deze wachtwoorden gewoon kunnen gebruiken om in te loggen.
Je hebt immers je telefoon nodig met een app zoals Google Authenticator of Authy om een extra code in te voeren die gegenereerd word naast je wachtwoord.

Gelukkig is er op Google een plethora aan informatie te vinden waarom 2FA aangeraden wordt, en hoe het helpt identiteitsdiefstal te voorkomen.

Ik zou graag dus de keuze willen kunnen maken om 2FA in te schakelen voor mijn account.

FIDO U2F is een ander verhaal en inderdaad wat lastiger te implementeren dan TOTP

[ Voor 5% gewijzigd door Coffee2Code op 21-02-2019 17:39 ]


  • Mila1994
  • Registratie: Mei 2015
  • Laatst online: 22:17
@ACM Ik kan me ook voorstellen dat er gebruikers zijn voor wie hun account erg belangrijk is, bv @Foritain zal neem ik aan aardig wat waarde stellen op zijn account.

Acties:
  • +2 Henk 'm!

  • Gropah
  • Registratie: December 2007
  • Niet online

Gropah

Admin Softe Goederen

Oompa-Loompa 💩

Coffee2Code schreef op donderdag 21 februari 2019 @ 17:36:
[...]
Wat de achterliggende gedachte is? Er zijn al genoeg data breaches anno 2019 waarbij wachtwoorden op straat liggen, 2FA voorkomt dat aanvallers deze wachtwoorden gewoon kunnen gebruiken om in te loggen.
Je hebt immers je telefoon nodig met een app zoals Google Authenticator of Authy om een extra code in te voeren die gegenereerd word naast je wachtwoord.
[...]
Sorry, maar als dit je argument is, dan kun je je probleem waarschijnlijk beter oplossen door een password manager zoals KeePass waarmee je voor elke website een ander wachtwoord hebt, heb je niet altijd een 2e device nodig om in te loggen maar kun je wel overal toegang hebben tot je wachtwoorden.

Acties:
  • 0 Henk 'm!

  • Coffee2Code
  • Registratie: Juli 2011
  • Laatst online: 26-05 20:02
Gropah schreef op vrijdag 22 februari 2019 @ 20:18:
[...]

Sorry, maar als dit je argument is, dan kun je je probleem waarschijnlijk beter oplossen door een password manager zoals KeePass waarmee je voor elke website een ander wachtwoord hebt, heb je niet altijd een 2e device nodig om in te loggen maar kun je wel overal toegang hebben tot je wachtwoorden.
Dat is nog steeds single factor authentication. :)

Leesvoer: Wikipedia: Time-based One-time Password algorithm

Acties:
  • +2 Henk 'm!

  • Gropah
  • Registratie: December 2007
  • Niet online

Gropah

Admin Softe Goederen

Oompa-Loompa 💩

Volgens mij begrijpen we elkaar niet helemaal, dus hierbij een iets uitgebreidere reactie.

Eerder zei je:
Er zijn al genoeg data breaches anno 2019 waarbij wachtwoorden op straat liggen, 2FA voorkomt dat aanvallers deze wachtwoorden gewoon kunnen gebruiken om in te loggen.
Hieruit valt op te maken dat je wachtwoorden hergebruikt. Als dat niet zo is, dan hoor ik het graag. Als je wachtwoorden hergebruikt kan 2FA inderdaad voorkomen dat aanvallers op je account kunnen inloggen, omdat je nog 1 factor overhoud wanneer je wachtwoord bekend is/raakt. En het is inderdaad zo dat er nog steeds veel datalekken zijn, van verschillende partijen (zowel met als zonder 2FA ondersteuning).

Ik ben het zeker met je eens dat in een ideale wereld 2FA/MFA overal word aangeboden en iedereen get gebruikt. Echter leven we nog steeds in een wereld waarin 2FA met bijvoorbeeld een TOTP niet standaard is. En als het er is word het niet veel gebruikt. Zo is er bij Google maar zo'n 10 procent 2FA gebruik, terwijl het wel redelijk word gepromoot.

Het punt is dus, 2FA is lang niet overal beschikbaar en als het beschikbaar is word het niet veel gebruikt. (Helaas) Valt Tweakers dus ook onder de groep waar het niet gebruikt word. En als we een site zoals twofactorauth.org/ pakken zien we ook nog genoeg grote jongens die het niet ondersteunen en bij de kleinere sites is de ondersteuning alleen maar minder vaak aanwezig, omdat het niet triviaal is (zoals hier ook al aangegeven).

Het punt wat ik probeer te maken, we zijn nog lang niet af van alleen username en password als enige login methode, 1FA dus. En die valt weg wanneer het wachtwoord bekend is. En als je overal hetzelfde wachtwoord hebt, valt die dus voor veel sites weg wanneer 1 van die sites jouw wachtwoord lekt. Het is dus een stuk beter om voor elke website een apart wachtwoord te hebben, wat niet op een manier de naam van een site oid er in verwerkt, omdat je daarmee alsnog kwetsbaar bent omdat je wachtwoord te gokken is. Je wilt dus random wachtwoorden voor elke site en dat is op grote schaal alleen te doen met een password manager.

Acties:
  • +1 Henk 'm!

  • ACM
  • Registratie: Januari 2000
  • Niet online

ACM

Software Architect

Werkt hier

Gropah schreef op zaterdag 23 februari 2019 @ 16:43:
Hieruit valt op te maken dat je wachtwoorden hergebruikt. Als dat niet zo is, dan hoor ik het graag. Als je wachtwoorden hergebruikt kan 2FA inderdaad voorkomen dat aanvallers op je account kunnen inloggen, omdat je nog 1 factor overhoud wanneer je wachtwoord bekend is/raakt. En het is inderdaad zo dat er nog steeds veel datalekken zijn, van verschillende partijen (zowel met als zonder 2FA ondersteuning).
Dit is natuurlijk niet helemaal compleet. Het is ook mogelijk dat wachtwoorden uitlekken en op het specifieke account waar het voor uitgelekt was wordt gebruikt.

Het punt van MFA is daarbij dat het zelfs dan niet zo boeit dat het wachtwoord uitlekte. Het is dan uiteraard alsnog handig het wachtwoord aan te passen zodra dit bekend wordt, want effectief is het dan gereduceerd tot 1FA voor degene die het wachtwoord weet.

Er is overigens pas geleden een web standaard geintroduceerd voor authenticatie, dat heeft wel meer mijn voorkeur dan "een" standaard te implementeren, want webauthn is een stuk breder met ondersteuning.
Maar helaas is ook die niet bepaald triviaal om te implementeren (en Safari ondersteunt het nog niet) :/

Acties:
  • 0 Henk 'm!

  • Coffee2Code
  • Registratie: Juli 2011
  • Laatst online: 26-05 20:02
ACM schreef op zondag 24 februari 2019 @ 11:29:
[...]

Dit is natuurlijk niet helemaal compleet. Het is ook mogelijk dat wachtwoorden uitlekken en op het specifieke account waar het voor uitgelekt was wordt gebruikt.

Het punt van MFA is daarbij dat het zelfs dan niet zo boeit dat het wachtwoord uitlekte. Het is dan uiteraard alsnog handig het wachtwoord aan te passen zodra dit bekend wordt, want effectief is het dan gereduceerd tot 1FA voor degene die het wachtwoord weet.

Er is overigens pas geleden een web standaard geintroduceerd voor authenticatie, dat heeft wel meer mijn voorkeur dan "een" standaard te implementeren, want webauthn is een stuk breder met ondersteuning.
Maar helaas is ook die niet bepaald triviaal om te implementeren (en Safari ondersteunt het nog niet) :/
En TOTP is browser onafhankelijk ^^"

Acties:
  • 0 Henk 'm!

  • ACM
  • Registratie: Januari 2000
  • Niet online

ACM

Software Architect

Werkt hier

Coffee2Code schreef op zondag 24 februari 2019 @ 12:32:
En TOTP is browser onafhankelijk ^^"
Maar weer niet techniekagnostisch ;)

Acties:
  • +9 Henk 'm!

  • Zjemm
  • Registratie: Februari 2001
  • Laatst online: 21:45

Zjemm

...

Ik snap niet zo goed dat je als Tweakers een afweging wil maken om 2fa wel of niet te implementeren.

Als vooraanstaande tech site WIL je op zijn minst je gebruikers de mogelijkheid bieden om 2fa aan te zetten. zowel FIDO2 als OTP, zodat je van zowel hardware keys als software tokens gebruik kunt maken.

Niet verplicht, maar wel mogelijk voor mensen die daar waarde aan hechten.
voor mij is dat een must op internet om 2fa overal te gebruikenwaar dat mogelijk is.

je geeft je platform toch alleen maar een positieve upgrade met deze optie.
En voor de ontwikkelaars is het ook een mooi uitbreidings-project op een al mooi platform.


ik zie het probleem niet, ik zie alleen maar voordelen

opensecure.nl


Acties:
  • 0 Henk 'm!

  • DaveFlash
  • Registratie: Januari 2011
  • Laatst online: 09-06 21:04

DaveFlash

Here's to the crazy ones

hmm, zocht hier ook op, en kwam hier uit, dacht dat tweakers dit al zou hebben, gemiste kans om hier onder de 'nerds' mee voorop te lopen als je het mij vraagt. ben juist bezig alle 2fa op alle sites die het ondersteun aan aan te zetten of waneer ik het al gebruikte te resetten zodat ik de OTP codes opnieuw kan instellen en meteen op meerdere plekken beschikbaar heb ipv 1 (dus 1Password, Authy én Google Authenticator)

dat was ooit mijn valkuil dat ik het op 1 plek had, jaren terug als een van de eerste op github dit ingesteld, enigste iphone met de otp's in Google Authenticator is een keer gecrasht of moest ik opniew instellen, toen wat mis gegaan met de iphone backup, weg OTP's van github. kan dus nu al bijna 2 jaar ofzo niet meer in m'n github. (backup codes had ik ook niet centraal toen; die zet ik nu als secure note of attachment in 1Passw.)

[ Voor 37% gewijzigd door DaveFlash op 24-10-2019 18:29 ]


Acties:
  • +2 Henk 'm!

  • Lizard
  • Registratie: Februari 2000
  • Laatst online: 00:48
Nog een korte reactie hierop waarom het wel wenselijk is imo.
Een tweakers account kan wat 'waard' zijn als je ermee wil frauderen.
Mocht een ww ergens via een dataleak gelekt zijn is het natuurlijk het beste om dit meteen aan te passen.
Maar in de tussentijd kan er niet met je account bv. via V&A frraude gepleegd worden indien je 2FA aan hebt staan.

Acties:
  • +5 Henk 'm!

  • Room42
  • Registratie: September 2001
  • Niet online
Misschien goed om deze toch weer eens onder de aandacht te brengen, gezien onderstaande topics:

Account Gehackt...
Account gehackt

"Gehackt" blijft natuurlijk een ruim begrip maar het klinkt toch als 2FA hier een extra laag had kunnen zijn.

"Technological advancements don't feel fun anymore because of the motivations behind so many of them." Bron


Acties:
  • +1 Henk 'm!

  • Coffee2Code
  • Registratie: Juli 2011
  • Laatst online: 26-05 20:02
Room42 schreef op zondag 29 december 2019 @ 19:25:
Misschien goed om deze toch weer eens onder de aandacht te brengen, gezien onderstaande topics:

Account Gehackt...
Account gehackt

"Gehackt" blijft natuurlijk een ruim begrip maar het klinkt toch als 2FA hier een extra laag had kunnen zijn.
En dan zijn we ondertussen nagenoeg een jaar verder, en had al dit gedoe volledig voorkomen kunnen worden.

Acties:
  • +2 Henk 'm!

  • FirePuma142
  • Registratie: April 2004
  • Niet online

FirePuma142

Sergius Bauer

Coffee2Code schreef op zondag 29 december 2019 @ 20:05:
[...]


En dan zijn we ondertussen nagenoeg een jaar verder, en had al dit gedoe volledig voorkomen kunnen worden.
Misschien, misschien ook niet. Of wil je 2FA verplicht stellen of anderszins afdwingen? De mogelijkheid zelf zegt niets over de adoptiegraad van de userbase en al helemaal niet in relatie tot de getroffen accounts. Als je enigszins aware bent gebruik je geen dubbele wachtwoorden en een wachtwoordmanager en uitsluitend gegenereerde wachtwoorden. De getroffen gebruikers lijken die bewustheid in ieder geval niet te hebben.

Good taste is for people who can’t afford sapphires


Acties:
  • +2 Henk 'm!

  • crisp
  • Registratie: Februari 2000
  • Laatst online: 22:51

crisp

Devver

Pixelated

Coffee2Code schreef op zondag 29 december 2019 @ 20:05:
[...]


En dan zijn we ondertussen nagenoeg een jaar verder, en had al dit gedoe volledig voorkomen kunnen worden.
Ik vind het wat kortzichtig om daarvan nu de verantwoordelijkheid bij Tweakers neer te leggen. Het belang van het niet hergebruiken van wachtwoorden op verschillende sites zou onder Tweakers-gebruikers toch wel algemeen bekend moeten zijn.

Desalniettemin staat 2FA sinds de hacks van verschillende accounts de laatste tijd wel hoger op de radar, maar daarbij moet wel opgemerkt worden dat het belang hiervan toch voor een groot deel beperkt is tot V&A en dat ook andere zaken inmiddels prioriteit beginnen te vereisen (fotoalbum, betere mobiele support etc.). Ik kan dus geen beloften doen of, hoe en op wat voor termijn we hier specifiek mee bezig zullen gaan.

Dat er maatregelen getroffen moeten worden om verdere slachtoffers van dergelijke hacks te voorkomen is echter evident.

Intentionally left blank


Acties:
  • +6 Henk 'm!

  • Room42
  • Registratie: September 2001
  • Niet online
crisp schreef op zondag 29 december 2019 @ 22:06:
[...]

Ik vind het wat kortzichtig om daarvan nu de verantwoordelijkheid bij Tweakers neer te leggen. Het belang van het niet hergebruiken van wachtwoorden op verschillende sites zou onder Tweakers-gebruikers toch wel algemeen bekend moeten zijn.
Pfff... Volgens mij onderschat jij hoe 'breed' het publiek is dat jullie (Tweakers) hebben aangetrokken met de campagnes en reclames en zo. Van basiskennis op 'tweakers-niveau' mag je niet meer uitgaan, wat beveiligingsbewustzijn betreft.

[ Voor 3% gewijzigd door Room42 op 30-12-2019 01:17 ]

"Technological advancements don't feel fun anymore because of the motivations behind so many of them." Bron


Acties:
  • 0 Henk 'm!

  • Coffee2Code
  • Registratie: Juli 2011
  • Laatst online: 26-05 20:02
crisp schreef op zondag 29 december 2019 @ 22:06:
[...]

Ik vind het wat kortzichtig om daarvan nu de verantwoordelijkheid bij Tweakers neer te leggen. Het belang van het niet hergebruiken van wachtwoorden op verschillende sites zou onder Tweakers-gebruikers toch wel algemeen bekend moeten zijn.

Desalniettemin staat 2FA sinds de hacks van verschillende accounts de laatste tijd wel hoger op de radar, maar daarbij moet wel opgemerkt worden dat het belang hiervan toch voor een groot deel beperkt is tot V&A en dat ook andere zaken inmiddels prioriteit beginnen te vereisen (fotoalbum, betere mobiele support etc.). Ik kan dus geen beloften doen of, hoe en op wat voor termijn we hier specifiek mee bezig zullen gaan.

Dat er maatregelen getroffen moeten worden om verdere slachtoffers van dergelijke hacks te voorkomen is echter evident.
2FA verscherpt de veiligheid, en je kan het deels afdwingen (als je V&A wil gebruiken is 2FA verplicht, ook als je een populaire reviewer of Blogger bent, etc) of gewoon volledig, aangezien veruit de meeste mensen wachtwoorden hergebruiken.

Wat voegt "betere" mobile support toe, of een fotoalbum, aan de veiligheid van eindgebruikers die van Tweakers verwachten het veilig te kunnen gebruiken?

Tweakers is gewoon goed bruikbaar op mobiel, en een fotoalbum heb ik nog nooit gebruikt of nodig gehad op Tweakers, en als ik wel een album wil maken, gebruik ik Imgur wel.

Klinkt toch alsof 2FA bovenaan de lijst hoort te staan van prioriteiten.

Acties:
  • +4 Henk 'm!

  • FirePuma142
  • Registratie: April 2004
  • Niet online

FirePuma142

Sergius Bauer

Coffee2Code schreef op maandag 30 december 2019 @ 01:39:
[...]


2FA verscherpt de veiligheid, en je kan het deels afdwingen (als je V&A wil gebruiken is 2FA verplicht, ook als je een populaire reviewer of Blogger bent, etc) of gewoon volledig, aangezien veruit de meeste mensen wachtwoorden hergebruiken.
Als je dan je 2FA code via de email ontvangt, waar alsnog hetzelfde wachtwoord aan hangt heeft het allemaal niet zo veel zin. Of wil je apps, telefoonnummers of hardware verplicht gaan stellen?
Wat voegt "betere" mobile support toe, of een fotoalbum, aan de veiligheid van eindgebruikers die van Tweakers verwachten het veilig te kunnen gebruiken?
Het zal je verbazen maar niet elke verbetering heeft hetzelfde doel.
Tweakers is gewoon goed bruikbaar op mobiel, en een fotoalbum heb ik nog nooit gebruikt of nodig gehad op Tweakers, en als ik wel een album wil maken, gebruik ik Imgur wel.
Goed idee om de ervaring van één enkele gebruiker als maatstaf voor backlogprioritisering te nemen ....
Klinkt toch alsof 2FA bovenaan de lijst hoort te staan van prioriteiten.
Even je security/developerbril af zetten en pogen de wereld met een iets breder perspectief te aanschouwen zal helpen.

Good taste is for people who can’t afford sapphires


Acties:
  • +2 Henk 'm!

  • ACM
  • Registratie: Januari 2000
  • Niet online

ACM

Software Architect

Werkt hier

Room42 schreef op maandag 30 december 2019 @ 01:13:
Pfff... Volgens mij onderschat jij hoe 'breed' het publiek is dat jullie (Tweakers) hebben aangetrokken met de campagnes en reclames en zo. Van basiskennis op 'tweakers-niveau' mag je niet meer uitgaan, wat beveiligingsbewustzijn betreft.
Ik denk dat er ook een groot deel van de gebruikers wel weet/wist dat het niet hoorde, maar simpelweg te lui was om dan weer een los wachtwoord te kiezen (en/of een wachtwoordmanager te installeren). Veel gebruikers zien hun Tweakers-account ook niet als iets dat zó belangrijk dat ze daar veel moeite voor willen doen mbt beveiliging... En ja, dan kan je inderdaad die oplichtingvoorbeelden krijgen :/

Maar tegelijkertijd geef je zelf effectief ook aan dat een groot deel van de doelgroep niet op 2FA zal zitten te wachten, zeker niet als het extra moeite kost (en dat kost het eigenlijk per definitie). Sowieso is met terugwerkende kracht invoeren al niet mogelijk. Dus al die oude accounts blijven dan toegankelijk, tenzij we effectief iedereen uitloggen en dwingen 2FA in te stellen...

En dan komt er direct (wmb terechte) weerstand tegen de extra moeite die er nodig is zoiets 'onbelangrijks' als een Tweakers-account te kunnen aanmaken/gebruiken. Want waarom zou je 2FA nodig hebben om even een pricealert in te stellen?

Er zullen voorlopig nog wel meerdere groepen gebruikers zijn:
- MFA is wmb verplicht, als het er niet is, is de kans groot dat ik de dienst niet gebruik
- MFA is de norm, ik stel dat overal in als het beschikbaar is
- MFA is belangrijk, maar doe ik alleen bij écht belangrijke zaken
- MFA is wel veel gedoe, ik heb al unieke wachtwoorden overal, dus ik gebruik het alleen als het verplicht is gemaakt
- MFA is veel gedoe, irritant zeg, dat ik dat soms moet gebruiken
- Huh? MFA??

Als het doel is om oplichting in V&A via gehackte accounts te voorkomen, dan lijkt MFA me in ieder geval niet de meest praktische aanpak. Want tenzij MFA verplicht wordt, zal er altijd een deel van de accounts vatbaar voor zijn.

[ Voor 5% gewijzigd door ACM op 30-12-2019 08:33 ]


Acties:
  • 0 Henk 'm!

  • Coffee2Code
  • Registratie: Juli 2011
  • Laatst online: 26-05 20:02
ACM schreef op maandag 30 december 2019 @ 08:31:
[...]

Ik denk dat er ook een groot deel van de gebruikers wel weet/wist dat het niet hoorde, maar simpelweg te lui was om dan weer een los wachtwoord te kiezen (en/of een wachtwoordmanager te installeren). Veel gebruikers zien hun Tweakers-account ook niet als iets dat zó belangrijk dat ze daar veel moeite voor willen doen mbt beveiliging... En ja, dan kan je inderdaad die oplichtingvoorbeelden krijgen :/

Maar tegelijkertijd geef je zelf effectief ook aan dat een groot deel van de doelgroep niet op 2FA zal zitten te wachten, zeker niet als het extra moeite kost (en dat kost het eigenlijk per definitie). Sowieso is met terugwerkende kracht invoeren al niet mogelijk. Dus al die oude accounts blijven dan toegankelijk, tenzij we effectief iedereen uitloggen en dwingen 2FA in te stellen...

En dan komt er direct (wmb terechte) weerstand tegen de extra moeite die er nodig is zoiets 'onbelangrijks' als een Tweakers-account te kunnen aanmaken/gebruiken. Want waarom zou je 2FA nodig hebben om even een pricealert in te stellen?

Er zullen voorlopig nog wel meerdere groepen gebruikers zijn:
- MFA is wmb verplicht, als het er niet is, is de kans groot dat ik de dienst niet gebruik
- MFA is de norm, ik stel dat overal in als het beschikbaar is
- MFA is belangrijk, maar doe ik alleen bij écht belangrijke zaken
- MFA is wel veel gedoe, ik heb al unieke wachtwoorden overal, dus ik gebruik het alleen als het verplicht is gemaakt
- MFA is veel gedoe, irritant zeg, dat ik dat soms moet gebruiken
- Huh? MFA??

Als het doel is om oplichting in V&A via gehackte accounts te voorkomen, dan lijkt MFA me in ieder geval niet de meest praktische aanpak. Want tenzij MFA verplicht wordt, zal er altijd een deel van de accounts vatbaar voor zijn.
toon volledige bericht
Je lijkt hier het te willen laten lijken alsof je voor elke actie een token in zou moeten vullen.

Dit hoeft alleen bij inloggen, en er zijn genoeg apps om 2FA mee te bewerkstelligen (zoals Authy), en aangezien nagenoeg iedereen wel een smartphone heeft, kunnen ze gemakkelijk 2FA gebruiken.

Verder, het deels verplichten zou geen probleem moeten zijn, wil je iets plaatsen op V&A dan moet je account 2FA gebruiken, token is al ingevuld tijdens het inloggen dus iemand die 2FA gebruikt kan dan ook zonder moeite een advertentie posten.

Acties:
  • +1 Henk 'm!

  • ACM
  • Registratie: Januari 2000
  • Niet online

ACM

Software Architect

Werkt hier

Coffee2Code schreef op dinsdag 31 december 2019 @ 21:34:
Je lijkt hier het te willen laten lijken alsof je voor elke actie een token in zou moeten vullen.

Dit hoeft alleen bij inloggen, en er zijn genoeg apps om 2FA mee te bewerkstelligen (zoals Authy), en aangezien nagenoeg iedereen wel een smartphone heeft, kunnen ze gemakkelijk 2FA gebruiken.
Neehoor, ik doelde op registratie en/of inloggen. MFA verhoogt de drempel daarvoor danwel de moeite die het kost.
Verder, het deels verplichten zou geen probleem moeten zijn, wil je iets plaatsen op V&A dan moet je account 2FA gebruiken, token is al ingevuld tijdens het inloggen dus iemand die 2FA gebruikt kan dan ook zonder moeite een advertentie posten.
Voor degenen die dat tijdens het inloggen hadden gedaan wel ja... Maar voor iedereen die voor het eerst een advertentie wil plaatsen moet dan dat account opwaarderen.

Wat nog vervelender zal zijn voor die gebruikers, is dat ze daarna MFA hebben geactiveerd op hun account en daarna verplicht zijn om dat continu te blijven gebruiken. Ook als ze het alleen maar activeerden zodat ze een advertentie konden plaatsen. Tenzij we het natuurlijk zo implementeren - en dus complexer maken - dat je het optioneel alleen kan gebruiken voor 'bijzondere handelingen' (zoals advertentie plaatsen of je profiel aanpassen).

Bovendien moet dat dan zo geïmplementeerd worden dat een hacker dat niet simpelweg zelf er aan toe kan voegen, dus met e.o.a. bevestigingsmail, etc.
Al met al erg veel handelingen die nodig zijn om (voor het eerst) een advertentie te kunnen plaatsen.

En daarmee wordt de drempel voor het plaatsen van V&A-advertenties weer hoger; op zich natuurlijk een beetje het doel, maar we moeten wel oppassen dat security niet boven alles wordt verheven. Want in de meest extreme variant daarvan zou V&A dan gewoon verwijderd moeten worden; want alleen dan kunnen oplichters gegarandeerd niks doen ;)

Dat gezegd hebbende; er zweven ook suggesties rond voor het hebben van een activatie-email bij advertenties. Dat is effectief ook een MFA-implementatie voor V&A, en deze zal wat gebruiksvriendelijker zijn omdat het van bovenstaand verhaal dan alleen die bevestigingsmail-stap bevat.

Acties:
  • 0 Henk 'm!

  • DaFeliX
  • Registratie: December 2002
  • Laatst online: 12-06 13:03

DaFeliX

Tnet Devver
Coffee2Code schreef op dinsdag 31 december 2019 @ 21:34:
[...]

Dit hoeft alleen bij inloggen, en er zijn genoeg apps om 2FA mee te bewerkstelligen (zoals Authy), en aangezien nagenoeg iedereen wel een smartphone heeft, kunnen ze gemakkelijk 2FA gebruiken.

[...]
Wat sommigen dagelijks doen, en als ik mijn browser per ongeluk afsluit meerdere keren per dag :+
Overigens is dat geen reden om geen 2FA aan te bieden, maar als je het doet, je het wel goed moet doen :)

Einstein: Mijn vrouw begrijpt me niet


Acties:
  • 0 Henk 'm!

  • The Realone
  • Registratie: Januari 2005
  • Laatst online: 21:34
ACM schreef op woensdag 1 januari 2020 @ 11:37:
[...]

Neehoor, ik doelde op registratie en/of inloggen. MFA verhoogt de drempel daarvoor danwel de moeite die het kost.
Ik zie daar eigenlijk alleen maar voordelen in als ik eerlijk ben. Er wordt al jaren geklaagd over het dalende niveau op Tweakers vergeleken met jaren geleden. Als dit al een te grote stap voor je blijkt te zijn, terwijl je MFA overal al minimaal wekelijks gebruikt (denk aan bankzaken, DigiD, enz) dan voelt het toch wel als een prima (zeer beperkte) filter.

Nog even afgezien van een eventuele voorbeeldfunctie. Want de wereld heeft al lang laten blijken niet welwillend te zijn om goed met wachtwoorden om te gaan, dus MFA is een noodzakelijk kwaad geworden. Tweakers.net vind ik nou net een prima website/community om een kartrekkerrol te laten vervullen, al is dat in deze wel redelijk laat.

Tenzij het idee van Tweakers natuurlijk is om simpelweg zoveel mogelijk bezoekers te trekken, dat is een andere discussie. ;)
Wat nog vervelender zal zijn voor die gebruikers, is dat ze daarna MFA hebben geactiveerd op hun account en daarna verplicht zijn om dat continu te blijven gebruiken. Ook als ze het alleen maar activeerden zodat ze een advertentie konden plaatsen. Tenzij we het natuurlijk zo implementeren - en dus complexer maken - dat je het optioneel alleen kan gebruiken voor 'bijzondere handelingen' (zoals advertentie plaatsen of je profiel aanpassen).
Ik ben geen devver, dus heb geen idee hoeveel impact dit heeft voor een specifieke site als Tweakers, maar step-up authentication is toch ook niks nieuws meer.

Begrijp me niet verkeerd, MFA zie ik ook als een "last", maar zodra een account direct gebruikt kan worden voor malafide doeleinden (in dit geval oplichting) dan kun je eigenlijk niet meer wegkomen met het argument "ja maar zo maken we het gebruikers wel te lastig".

Acties:
  • +1 Henk 'm!

  • Sissors
  • Registratie: Mei 2005
  • Niet online
The Realone schreef op donderdag 2 januari 2020 @ 09:44:
[...]


Ik zie daar eigenlijk alleen maar voordelen in als ik eerlijk ben. Er wordt al jaren geklaagd over het dalende niveau op Tweakers vergeleken met jaren geleden. Als dit al een te grote stap voor je blijkt te zijn, terwijl je MFA overal al minimaal wekelijks gebruikt (denk aan bankzaken, DigiD, enz) dan voelt het toch wel als een prima (zeer beperkte) filter.
DigiD gebruik ik echt niet vaak. Bankzaken doe ik juist zoveel mogelijk op mobiel om geen MFA gedoe te hebben.

In principe zolang je inlog genoeg wordt onthouden hoef je natuurlijk nauwelijks opnieuw in te loggen, en is MFA ook geen probleem. Totdat je je telefoon kwijt bent, en je in één keer op al die plaatsen niet meer kan inloggen. Wat dan? Een Tweakers helpdesk die je met vragen gaat verifiëren om je account te resetten? Of een e-mail naar je geregistreerde adres waar je hetzelfde wachtwoord had gebruikt zonder MFA?

Ik herinner me nog jaren geleden toen Tweakers overging van ene naar andere wachtwoord database, ze eens hadden gekeken hoeveel wachtwoorden zo te kraken waren. Mijne zat daar tussen, en net als van veel andere was mijn reactie: "Lekker boeiend". Het is maar Tweakers, als iemand dat account hackt, tja, who cares.
Nu ben ik het ermee eens dat V&A laat zien dat er een reden is om toch je Tweakers account niet te laten hacken, maar een e-mailtje als je een advertentie wil plaatsen dekt dat ook af. Of één van die systemen dat als je vanaf een nieuwe locatie inlogt je het moet bevestigen. Maar echt 2FA verplichten voor Tweakers en/of V&A zou mij echt te ver gaan.

Acties:
  • 0 Henk 'm!

  • Coffee2Code
  • Registratie: Juli 2011
  • Laatst online: 26-05 20:02
Mailtje sturen naar iemand die z'n wachtwoorden hergebruikt.....
Want dat werkt....

Acties:
  • 0 Henk 'm!

  • ACM
  • Registratie: Januari 2000
  • Niet online

ACM

Software Architect

Werkt hier

The Realone schreef op donderdag 2 januari 2020 @ 09:44:
Tenzij het idee van Tweakers natuurlijk is om simpelweg zoveel mogelijk bezoekers te trekken, dat is een andere discussie. ;)
Dat is geen streven. Maar wel willen we het de gebruiker niet onnodig moeilijk maken. En we willen ook zker niet de vaste of aspirant vaste bezoeker wegjagen.

Wat ook vaak vergeten wordt in dit soort discussies zijn mensen die niet precies "jouw gedrag" hebben.
Zoals mensen die vanwege de cookies steeds uitloggen en dus vaak moeten inloggen. Of mensen die geen mobiel hebben.

Of situaties waarbij complex handelingen minder makkelijk uitgevoerd kunnen worden:
- Werken op mobiel
- Mensen met handicaps en/of andere beperkingen
maar zodra een account direct gebruikt kan worden voor malafide doeleinden (in dit geval oplichting) dan kun je eigenlijk niet meer wegkomen met het argument "ja maar zo maken we het gebruikers wel te lastig".
Een account kan sowieso gebruikt worden voor oplichting. Een account kan daar specifiek voor gemaakt worden, daar hoeft het niet voor "geleend" te worden.

Het "ja maar zo maken we het gebruikers wel te lastig" is juist een aspect om te beoordelen. Want ongeveer de enige manier om absoluut te garanderen dat er geen oplichting via Tweakers plaatsvindt, is om de site te veranderen in 'read only' of er helemaal mee te stoppen...

Dat zegt allemaal niet dat we nooit MFA introduceren, maar de kans dat we het verplicht maken voor iedereen acht ik erg klein. En dan helpt het natuurlijk niet of nauwelijks meer tegen V&A-oplichting, want de wachtwoordhergebruikers gaan vast niet massaal MFA gebruiken.

Rond V&A dingen aanpassen is uiteraard mogelijk en zal ook zeker worden overwogen, maar dan is MFA ineens niet meer de enige optie en misschien niet eens de beste.

Acties:
  • +3 Henk 'm!

  • Coffee2Code
  • Registratie: Juli 2011
  • Laatst online: 26-05 20:02
Wat een discussie om een 6 cijferige token....

Alsof je een betonnen blok van 50kg de Mount Everest op moet tillen om in te loggen op Tweakers.

Het is simpel, het is een klein drempeltje, het kost nagenoeg geen tijd.

Het enige wat ik lees is dat jullie er gewoon geen zin in hebben of dat er een reden is die niet gedeeld word met het publiek (TMG zeikt?)

Hoe je het ook wend of keert, t'is maar een 6 cijferige token die je alleen bij inloggen hoeft in te vullen, en kost je amper extra tijd, misschien wel 5 hele seconden, wauw.

Iedereen heeft een smartphone waarop een authenticator app geïnstalleerd kan worden, en als het echt moet kan je zelfs de API van Authy gebruiken zodat mensen hun code in een notificatie krijgen op hun telefoon (oh, de drempel is dan nog lager maar je zit wel met vendor lock-in, afwegingen.)

En Tjah, mailtjes sturen is dus niet een veilige vorm van 2FA, en ja, accounts waarop nog geen 2FA aan staat zijn idd nog steeds vatbaar en aanvallers kunnen dan nog steeds 2FA alsnog aanzetten.

Dus dan doe je een site-wide password reset nadat 2FA klaar staat voor iedereen om aangezet te worden of niet.

Dan is dat probleem ook weer opgelost, dat aanvallers een oude user+pw combo kunnen gebruiken om 2FA alsnog zelf aan te zetten....

Acties:
  • 0 Henk 'm!

  • The Realone
  • Registratie: Januari 2005
  • Laatst online: 21:34
ACM schreef op donderdag 2 januari 2020 @ 12:10:
[...]

Dat is geen streven. Maar wel willen we het de gebruiker niet onnodig moeilijk maken. En we willen ook zker niet de vaste of aspirant vaste bezoeker wegjagen.
Dan doe je de aanname dat het onnodig moeilijk is. Dat moet natuurlijk wel de basis van de discussie zijn.
Wat ook vaak vergeten wordt in dit soort discussies zijn mensen die niet precies "jouw gedrag" hebben.
Zoals mensen die vanwege de cookies steeds uitloggen en dus vaak moeten inloggen. Of mensen die geen mobiel hebben.

Of situaties waarbij complex handelingen minder makkelijk uitgevoerd kunnen worden:
- Werken op mobiel
- Mensen met handicaps en/of andere beperkingen
Maar die mensen doen dat met alle sites en zullen dus overal opnieuw in moeten loggen. Facebook, Twitter, Instagram, LinkedIn... Allemaal "community" sites waar MFA volgens mij altijd wenselijk is.
Een account kan sowieso gebruikt worden voor oplichting. Een account kan daar specifiek voor gemaakt worden, daar hoeft het niet voor "geleend" te worden.

Het "ja maar zo maken we het gebruikers wel te lastig" is juist een aspect om te beoordelen. Want ongeveer de enige manier om absoluut te garanderen dat er geen oplichting via Tweakers plaatsvindt, is om de site te veranderen in 'read only' of er helemaal mee te stoppen...

Dat zegt allemaal niet dat we nooit MFA introduceren, maar de kans dat we het verplicht maken voor iedereen acht ik erg klein. En dan helpt het natuurlijk niet of nauwelijks meer tegen V&A-oplichting, want de wachtwoordhergebruikers gaan vast niet massaal MFA gebruiken.

Rond V&A dingen aanpassen is uiteraard mogelijk en zal ook zeker worden overwogen, maar dan is MFA ineens niet meer de enige optie en misschien niet eens de beste.
Als Tweakers geen V&A had is een dergelijke account maar zeer zelden interessant voor malafide personen om over te nemen of mee te lezen.

We moeten natuurlijk niet gaan doen alsof MFA nu ineens exotisch en heel ingewikkeld is. Dat je hier 7 jaar geleden niet mee voorop wilde lopen, ok. Maar het is inmiddels behoorlijk ingeburgerd ding, ook bij leken vanwege de eerder aangehaalde voorbeelden.

Dat gezegd hebben is een oplossing voor enkel V&A natuurlijk prima, want daarmee bereik je wel grotendeels je doel.

Acties:
  • 0 Henk 'm!

  • DaFeliX
  • Registratie: December 2002
  • Laatst online: 12-06 13:03

DaFeliX

Tnet Devver
The Realone schreef op donderdag 2 januari 2020 @ 12:21:
[...]


Maar die mensen doen dat met alle sites en zullen dus overal opnieuw in moeten loggen. Facebook, Twitter, Instagram, LinkedIn... Allemaal "community" sites waar MFA volgens mij altijd wenselijk is.

[...]
Ik spreek hier als gebruiker die zo werkt. Op elk apparaat (desktop, laptop, mobiel) gooi ik aan 't einde van mijn sessie alle cookies weg (of specifieker, doet mijn browser dat). Zo'n sessie duurt maximaal een dag (vaak korter) en ik moet dus inderdaad heel vaak opnieuw inloggen; elke dag weer. Ik heb geleerd dat het inlogproces bij sommige websites dusdanig vervelend is dat ik hier weg blijft (denk aan verplichte CAPTCHA bij inloggen, die altijd onleesbaar is).

Op veel sites heb ik geen behoefte aan MFA en log ik slechts in omdat dat ik anders de site niet kan gebruiken; bij andere websites heb ik wel behoefte aan MFA. Die keuze zelf kunnen maken is fijn. Ik kan mij best voorstellen dat er gebruikers zijn op Tweakers zijn die slechts inloggen omdat het "vereist" is voor bepaalde functionaliteit, zoals hun forum bookmarks oid. Voor deze mensen zou een verplichte MFA wel degelijk een hinder kunnen zijn. Ik zeg niet dat dit geen reden is om geen MFA toe te passen, maar ik denk dat het het zeker moet meewegen in zo'n besluit.

Einstein: Mijn vrouw begrijpt me niet


Acties:
  • +1 Henk 'm!

  • Keypunchie
  • Registratie: November 2002
  • Niet online
Naar aanleiding van:
plan: Ga veilig met je wachtwoorden om en behoed je medetweakers voor misbruik

zag ik deze reactie:
Joao in 'plan: Ga veilig met je wachtwoorden om en behoed je medetweakers voo...
Of verplicht 2FA als je gebruik wilt maken van V&A? Zoals bijvoorbeel bij Steam. Als je gebruik wilt maken van de marketplace MOET je een 2FA ingesteld hebben.
Dit vind ik eigenlijk wel een dusdanige goeie suggestie, dat ik die ook hier niet onvermeld wilde laten.

Op deze manier spaar je kool en geit. Je kunt zowel de drempel laag houden voor Tweakers die alleen maar willen reageren en discussieren, maar ook de juiste beveiliging bieden voor de gebruikers die veel handelen op V&A.

Acties:
  • 0 Henk 'm!

  • begintmeta
  • Registratie: November 2001
  • Niet online

begintmeta

Moderator General Chat
ACM schreef op zondag 24 februari 2019 @ 19:21:
[...]

Maar weer niet techniekagnostisch ;)
Desnoods reken je zo'n ding zelf uit, al is het dan wel handig een tijdstip ergens wat verder in de toekomst te gebruiken :P

Maar goed, de manier waarop je het moet uitrekenen ligt natuurlijk wel vast...

[ Voor 14% gewijzigd door begintmeta op 02-01-2020 18:16 ]


Acties:
  • 0 Henk 'm!

  • CurlyMo
  • Registratie: Februari 2011
  • Nu online
ACM schreef op donderdag 2 januari 2020 @ 12:10:
[...]
Of situaties waarbij complex handelingen minder makkelijk uitgevoerd kunnen worden:
- Werken op mobiel
- Mensen met handicaps en/of andere beperkingen
- Mensen die (om noem reden) een te oude browser gebruiken op een te oud OS.

Voor hen wordt toch ook de keuze gemaakt om ze de toegang tot je site vrijwel onmogelijk te maken, want niet meer ondersteund?

Daarnaast werkt een app zoals Authy of WinAuth meer dan prima op je PC dus dat is ook geen argument tegen TOTP.

Sowieso is het bieden van een keuze voor het gebruik van TFA een argument dat alle tegen argumenten wegneemt. Je hoeft het dan namelijk niet te gebruiken.

Sinds de 2 dagen regel reageer ik hier niet meer


Acties:
  • 0 Henk 'm!

  • ACM
  • Registratie: Januari 2000
  • Niet online

ACM

Software Architect

Werkt hier

CurlyMo schreef op donderdag 2 januari 2020 @ 19:34:
Sowieso is het bieden van een keuze voor het gebruik van TFA een argument dat alle tegen argumenten wegneemt. Je hoeft het dan namelijk niet te gebruiken.
Niet alle. We hebben ook tijd nodig het daadwerkelijk correct te implementeren ;)

En het ziet er niet bepaald triviaal uit; sowieso moet onze huidige login-flow op de schop omdat er een javascript-based stap tussenkomt (als we WebAuthn willen). Daarnaast zijn in ieder geval de ondersteunende php-libraries erg jong, waardoor het een flinke trial-and-error klus gaat worden.

Bovendien doen we redelijk wat moeite om oudere devices in ieder geval toe te laten, de ervaring is hooguit wat beperkter geworden.
Er zijn inderdaad grenzen. Maar 2FA is verre van ingeburgerd. We hebben het dan niet over dezelfde orde van grootte van afvallers als bijvoorbeeld het aantal browsers dat geen SNI kon of dat alleen nog TLS 1.0 spreekt.

Maar je hebt gelijk dat allerlei bezwaren wegvallen zolang het een vrije keuze blijft. Mijn bezwaren zijn in ieder geval niet zozeer gericht op het überhaupt hebben ervan (nouja, de technische wel), maar vooral gericht tegen het verplicht maken. En ik blijf ook moeite hebben met het haast mythische vertrouwen dat hier en elders door sommigen gesteld wordt in dat het alle oplichting via V&A zou moeten voorkomen.

Hoedanook, de keerzijde van het niet verplichten is uiteraard dat het dan sowieso niet of nauwelijks helpt tegen het kapen van accounts van mensen die niets gaven of geven - of niet doorhebben dat het fenomeen kan bestaan - om de gevolgen van een gekaapt Tweakers-account.

Want ik gok dat er hooguit een heel klein deel van de mensen die hun wachtwoord hergebruikten dan wel vrijwillig MFA zouden activeren... En bovendien gaat het dan sowieso niet aan voor mensen die hun account niet meer gebruiken.

Het voor V&A verplicht maken rakelt dan echter wel weer al die tegenargumenten op.

[ Voor 22% gewijzigd door ACM op 02-01-2020 20:46 ]


Acties:
  • +1 Henk 'm!

  • NanoSector
  • Registratie: April 2012
  • Laatst online: 27-04 21:56
Het is alweer heel lang geleden dat er in dit topic iets is geplaatst, maar toch zou ik het een schopje willen geven en even mijn 2 centen laten vallen.

Ik verstuur relatief vaak berichtjes vanuit V&A naar medetweakers, om zo deals te maken en dergelijke. Maar hier komt ook veel aan persoonlijke gegevens aan bod. Denk aan NAW, e-mailadressen en tot op zekere hoogte bankrekeningnummers.

Nu heb ik zelf een sterk wachtwoord op mijn account staan, maar ik kan dit natuurlijk nooit zeker weten van de partij waarmee ik handel. Stel op het account van de tegenpartij wordt ingebroken vanwege een simpel wachtwoord, dan liggen ook mijn gegevens op straat. Vice versa idem dito, en iemand als ik die vaak handelt via V&A heeft nogal wat van die informatie in de inbox zitten.

Het zou mij meer geruststellen wanneer er in ieder geval de optie is voor 2FA, al dan niet verplicht bij V&A. Het lijkt me ook dat de gebruikers van Tweakers eerder geneigd zijn om zo'n functie aan te zetten dan bijvoorbeeld een Marktplaats. No hard feelings.
Bovendien, maar dit is natuurlijk niks meetbaars, voelt het niet heel erg modern aan als een site gericht op tech en met moderne snufjes op andere gebieden dan geen 2FA aanbiedt.

Acties:
  • +5 Henk 'm!

  • _Thanatos_
  • Registratie: Januari 2001
  • Laatst online: 18-03 09:33

_Thanatos_

Ja, en kaal

Ik wil dit topic ook even een schopje geven :)

Ik ben sinds kort ook voorstander van 2FA. Ik denk dat het idd een goed idee is om het niet verplicht te stellen. Het moet denk ik wel gepromoot worden, en dan misschien in fases. Gebruikers die het niet willen, kunnen het negeren, zoals op de meeste websites het geval is. Wellicht dat het idd voor V&A beter is om wel te verplichten, om bovengenoemde redenen.

Wat je ook kan doen, misschien mooi als compromis, is in de V&A bij correspondentie met een andere user aangeven of de ander 2FA aan heeft staan. Dan kun je daar zelf je oordeel over hebben.

En hoe complex het ook moge zijn, dat geloof ik wel, maar we hebben het wel over Tweakers.net. Niet bepaald een simpele website. Ten opzichte van de rest van deze website, is 2FA implementeren echt zo moeilijk?

Misschien moeten we ook niet teveel tegelijk willen. Kunnen we beginnen met supporten van authenticator apps, en daarna misschien een keer kijken naar andere/fysieke second factors?

[ Voor 3% gewijzigd door _Thanatos_ op 31-08-2020 22:15 ]

日本!🎌


Acties:
  • +3 Henk 'm!

  • Rebunted
  • Registratie: September 2006
  • Niet online
Ook een schopje vanuit mijn kant. Ik zou graag 2FA op Tweakers.net zien (en vind het stiekem wel wat raar dat de techsite van NL dat niet aanbiedt) :)

Acties:
  • 0 Henk 'm!

  • FlyingDutchMen
  • Registratie: Februari 2010
  • Laatst online: 10-06 21:49
Ook ik wil hier weer een schop tegen aan geven.

Het voorbeeld van hieronder over de V&A klinkt mij als muziek in de oren. Voor de rest kan ik er eerlijk gezegd niet helemaal bij hij een techsite als deze dit nog steeds heeft. Zelf ben ik abbo dus mijn rekening nummer, naam en adres zijn in te zien, dit alleen al lijkt mij meer dan genoeg reden om het te implementeren.

En kom op, laten we eerlijk zijn zo spannend is het niet om het erin te zetten 8)7
_Thanatos_ schreef op maandag 31 augustus 2020 @ 22:10:
Ik wil dit topic ook even een schopje geven :)

Ik ben sinds kort ook voorstander van 2FA. Ik denk dat het idd een goed idee is om het niet verplicht te stellen. Het moet denk ik wel gepromoot worden, en dan misschien in fases. Gebruikers die het niet willen, kunnen het negeren, zoals op de meeste websites het geval is. Wellicht dat het idd voor V&A beter is om wel te verplichten, om bovengenoemde redenen.

Wat je ook kan doen, misschien mooi als compromis, is in de V&A bij correspondentie met een andere user aangeven of de ander 2FA aan heeft staan. Dan kun je daar zelf je oordeel over hebben.

En hoe complex het ook moge zijn, dat geloof ik wel, maar we hebben het wel over Tweakers.net. Niet bepaald een simpele website. Ten opzichte van de rest van deze website, is 2FA implementeren echt zo moeilijk?

Misschien moeten we ook niet teveel tegelijk willen. Kunnen we beginnen met supporten van authenticator apps, en daarna misschien een keer kijken naar andere/fysieke second factors?

Learn from yesterday, Live for today, Hope for tomorrow


Acties:
  • 0 Henk 'm!

  • GarBaGe
  • Registratie: December 1999
  • Laatst online: 09:39
Ik ben voor 2FA, bijvoorbeeld in de vorm van optionele Yubikey ondersteuning.
Als er voor Tweakers kosten verbonden zijn aan 2FA oplossingen, dan kan het wellicht ook bijvoorbeeld als feature in het betaalde abo worden aangeboden.

Ryzen9 5900X; 16GB DDR4-3200 ; RTX-4080S ; 7TB SSD


Acties:
  • +1 Henk 'm!

  • FlyingDutchMen
  • Registratie: Februari 2010
  • Laatst online: 10-06 21:49
GarBaGe schreef op woensdag 6 januari 2021 @ 08:30:
Ik ben voor 2FA, bijvoorbeeld in de vorm van optionele Yubikey ondersteuning.
Als er voor Tweakers kosten verbonden zijn aan 2FA oplossingen, dan kan het wellicht ook bijvoorbeeld als feature in het betaalde abo worden aangeboden.
Als men hier geld voor durft te vragen ben ik al mijn vetrouwen in Tweakers permanent kwijt :( .

2FA klinkt spannender dan het is. Er zijn ontiegelijk veel examples, plugins, packages etc te vinden. Dit zou echt niet zo lang moeten duren om te implementeren. Naar mijn inziens kleine moeite veel plezier, Ik zou het zelf verplichten puur en alleen al om dat er mens zijn met een abbo die hun persoonlijke gegevens sowieso al makkelijk in zichterlijk hebben maar ook omdat er persoonlijke gegeven over de chat rondom V&A gaat.

Learn from yesterday, Live for today, Hope for tomorrow


Acties:
  • 0 Henk 'm!

  • Coffee2Code
  • Registratie: Juli 2011
  • Laatst online: 26-05 20:02
Ze hadden het in de afgelopen twee jaar makkelijk kunnen implementeren idd.

Acties:
  • 0 Henk 'm!

  • GekkePrutser
  • Registratie: Juli 2004
  • Niet online
FlyingDutchMen schreef op woensdag 6 januari 2021 @ 08:36:
[...]
Als men hier geld voor durft te vragen ben ik al mijn vetrouwen in Tweakers permanent kwijt :( .
Ze zouden het als extraatje bij een abo kunnen geven zoals Ars Technica doet bij hun Pro++ abo, neem aan dat ze daar een hele goede deal op krijgen (want 1 jaar abo kost ongeveer hetzelfde als die hele yubikey :) )

Maar je kan tegenwoordig ook je Android of iOS telefoon als Fido2 key gebruiken trouwens. Nou kan de Yubikey wel een hoop meer dan Fido2, daarom gebruik ik ze juist.

[ Voor 14% gewijzigd door GekkePrutser op 02-03-2021 23:50 ]


Acties:
  • +3 Henk 'm!

  • Moonsugar
  • Registratie: Juni 2019
  • Laatst online: 12-06 18:57

Moonsugar

Communitymanager
Tijdens de afgelopen sprints zijn we achter de schermen druk bezig geweest met de ontwikkeling van two-factorauthenticatie. Het gaat hier om een eerste versie op basis van een time-based one-time password (totp).

Het is op de testomgeving mogelijk gemaakt om een totp in te stellen, ermee in te loggen en het te verwijderen. Het laatste dat we nu nog moeten toevoegen voordat we de feature kunnen releasen, is het accountherstel als je geen toegang meer hebt tot je totp. Hier gaan we in de komende tijd aan bouwen en we verwachten dit in april te releasen voor gebruik.

Ook te lezen in het .plan van vandaag!

Has wares if you have coin 💰


Acties:
  • +1 Henk 'm!

  • Hmmbob
  • Registratie: September 2001
  • Laatst online: 11:42
Cool, goede ontwikkeling.

Weet je of het gebruik van security tokens (zoals bijv. Yubikey) ook op de roadmap staat?

Sometimes you need to plan for coincidence


Acties:
  • +3 Henk 'm!

  • crisp
  • Registratie: Februari 2000
  • Laatst online: 22:51

crisp

Devver

Pixelated

Hmmbob schreef op woensdag 31 maart 2021 @ 12:05:
Cool, goede ontwikkeling.

Weet je of het gebruik van security tokens (zoals bijv. Yubikey) ook op de roadmap staat?
Ja, hardware tokens willen we ook zeker nog naar gaan kijken maar is geen onderdeel van deze MVP.

Intentionally left blank


Acties:
  • +4 Henk 'm!

  • Moonsugar
  • Registratie: Juni 2019
  • Laatst online: 12-06 18:57

Moonsugar

Communitymanager
Wij zijn inmiddels een kleine test gestart onder abonnees, en zouden vanuit dit topic ook graag wat tweakers willen uitnodigen om 2FA uit te proberen. We hebben ongeveer plek voor 20 man.

Lijkt het je interessant om hieraan mee te doen? Stuur mij dan een DM zodat ik je de instructies kan sturen. Vol = vol!

Has wares if you have coin 💰


Acties:
  • +1 Henk 'm!

  • Hmmbob
  • Registratie: September 2001
  • Laatst online: 11:42
Moonsugar schreef op donderdag 1 april 2021 @ 14:56:
Wij zijn inmiddels een kleine test gestart onder abonnees, en zouden vanuit dit topic ook graag wat tweakers willen uitnodigen om 2FA uit te proberen. We hebben ongeveer plek voor 20 man.

Lijkt het je interessant om hieraan mee te doen? Stuur mij dan een DM zodat ik je de instructies kan sturen. Vol = vol!
*O*

Enne, lol @ vooringevulde "maansuiker" d:)b

Sometimes you need to plan for coincidence


Acties:
  • +1 Henk 'm!

  • Moonsugar
  • Registratie: Juni 2019
  • Laatst online: 12-06 18:57

Moonsugar

Communitymanager
Hmmbob schreef op donderdag 1 april 2021 @ 14:57:
[...]

*O*

Enne, lol @ vooringevulde "maansuiker" d:)b
Dat was een creatief idee van @crisp en daar was ik het helemaal mee eens. ;)

Has wares if you have coin 💰


Acties:
  • 0 Henk 'm!

  • Hmmbob
  • Registratie: September 2001
  • Laatst online: 11:42
Ok, feedback mocht in dit topic:

Stappenplan gevolgd, 2FA geactiveerd (Chrome op Win10, 2FA zowel in Authy (QR) als Bitwarden (code) succesvol ingevoerd) en netjes bevestigingsemail gekregen. Controle code was gelijk tussen Authy en Bitwarden en werd geaccepteerd door de site.

Daarna ontdekt dat al mijn sessies beeindigd waren (ok, snap ik op zich wel), maar toen werd me nergens om 2FA gevraagd bij inloggen - ook niet na uitloggen van de sessie waarin ik 2FA getest had. Dus eigenlijk heb ik het 1x in kunnen stellen, en daarna niet kunnen gebruiken in de login flow. Overigens geeft de pagina om het in te stellen me nu een 404.....

is dit expected behaviour?


Iets met de stappen in het stappenplan, cookies enz enz. Werkt nu wel correct in de browser waarin ik getest heb.
RobIII schreef op donderdag 1 april 2021 @ 15:37:
[...]

Even uit een topic uit het ABO forum:


[...]
Jep, kwam net tot dezelfde conclusie. tx!

edit2:
Het lijkt erop dat de "grace period" op 0 staat? TOTP codes zijn 30 sec valid, maar als je wat langzaam typt en iets na de "rotatie" de vorige code invoert, dan wordt deze geweigerd. Andere sites met 2FA zijn hier wat vriendelijker in, daar kan je nog 'eventjes' na de rotatie de oude code gebruiken.

[ Voor 41% gewijzigd door Hmmbob op 01-04-2021 18:38 ]

Sometimes you need to plan for coincidence


Acties:
  • +2 Henk 'm!

  • RobIII
  • Registratie: December 2001
  • Niet online

RobIII

Admin Devschuur®

^ Romeinse Ⅲ ja!

(overleden)
Even uit een topic uit het ABO forum:
crisp schreef op woensdag 31 maart 2021 @ 13:47:
[...]

De 'feature flag' geldt alleen voor de browsersessie waar je deze hebt ingesteld (middels de speciale link); het wordt lokaal opgeslagen in een cookie dat je die feature enabled hebt. Daarom werkt het niet automatisch in een andere browser of incognito.

Je account is dus ook niet meteen extra beveiligd. Deze preview is puur om de functionaliteit te kunnen bekijken en testen.
Hmmbob schreef op donderdag 1 april 2021 @ 15:28:
Het lijkt erop dat de "grace period" op 0 staat?
(Op persoonlijke titel; ik heb niets met de implementatie van doen :P )
Hmmm, dat is inderdaad niet "goed" wmb. Meestal is 't 1 of 2 codes 'er voor' en 1 of 2 codes 'er na' die (ook) geldig is/zijn. Daar kan @crisp of @boenkeijer vast wel iets mee :P

[ Voor 26% gewijzigd door RobIII op 01-04-2021 15:52 ]

There are only two hard problems in distributed systems: 2. Exactly-once delivery 1. Guaranteed order of messages 2. Exactly-once delivery.

Je eigen tweaker.me redirect

Over mij


Acties:
  • 0 Henk 'm!

  • crisp
  • Registratie: Februari 2000
  • Laatst online: 22:51

crisp

Devver

Pixelated

RobIII schreef op donderdag 1 april 2021 @ 15:37:
[...]

(Op persoonlijke titel; ik heb niets met de implementatie van doen :P )
Hmmm, dat is inderdaad niet "goed" wmb. Meestal is 't 1 of 2 codes 'er voor' en 1 of 2 codes 'er na' die (ook) geldig is/zijn. Daar kan @crisp of @boenkeijer vast wel iets mee :P
Wij hanteren zo te zien inderdaad geen specifieke window. In de door onze gebruikte library is dat de default. Ik zal dit intern eens bespreken :)

Intentionally left blank


Acties:
  • 0 Henk 'm!

  • RobIII
  • Registratie: December 2001
  • Niet online

RobIII

Admin Devschuur®

^ Romeinse Ⅲ ja!

(overleden)
crisp schreef op donderdag 1 april 2021 @ 16:02:
[...]

Wij hanteren zo te zien inderdaad geen specifieke window. In de door onze gebruikte is dat de default.
Dat is wel héél strak (en té strak IMHO). Dus als dat iets-of-wa gerekt kan worden lijkt me dat wel wenselijk d:)b

There are only two hard problems in distributed systems: 2. Exactly-once delivery 1. Guaranteed order of messages 2. Exactly-once delivery.

Je eigen tweaker.me redirect

Over mij


Acties:
  • 0 Henk 'm!

  • Hmmbob
  • Registratie: September 2001
  • Laatst online: 11:42
crisp schreef op donderdag 1 april 2021 @ 16:02:
Wij hanteren zo te zien inderdaad geen specifieke window. In de door onze gebruikte library is dat de default. Ik zal dit intern eens bespreken :)
RobIII schreef op donderdag 1 april 2021 @ 16:03:
Dat is wel héél strak (en té strak IMHO). Dus als dat iets-of-wa gerekt kan worden lijkt me dat wel wenselijk d:)b
Voorkomt ook issues als mensen systemen niet helemaal in sync lopen met de klok.

1 timeslice ervoor en 1 erna zou (imho) voldoende moeten zijn.

[ Voor 83% gewijzigd door Hmmbob op 01-04-2021 16:31 . Reden: Ik loop zelf nooit in sync met de klok ]

Sometimes you need to plan for coincidence


Acties:
  • +1 Henk 'm!

  • DaFeliX
  • Registratie: December 2002
  • Laatst online: 12-06 13:03

DaFeliX

Tnet Devver
Hmmbob schreef op donderdag 1 april 2021 @ 15:28:
[...]

edit2:
Het lijkt erop dat de "grace period" op 0 staat? TOTP codes zijn 30 sec valid, maar als je wat langzaam typt en iets na de "rotatie" de vorige code invoert, dan wordt deze gewijzigd. Andere sites met 2FA zijn hier wat vriendelijker in, daar kan je nog 'eventjes' na de rotatie de oude code gebruiken.
Goed idee. Ik had bewust nog geen window ingesteld (wat bij de door ons gebruikte library overigens ook de standaard is). Aangezien er blijkbaar meer mensen en dus niet alleen ikzelf die de afgelopen weken vaker dan mij lief is dit heeft ingeschakeld/uitgeschakeld tegenaanlopen lijkt het mij goed om dit wat relaxer te doen. Ik ga 'm instellen op een window van 1, dwz, de vorige en volgende code zullen ook geaccepteerd worden. Dit maakt dan effectief elke code anderhalve meter minuut geldig.

Einstein: Mijn vrouw begrijpt me niet


Acties:
  • 0 Henk 'm!

  • azerty
  • Registratie: Maart 2009
  • Laatst online: 21:27
Zojuist ook getest (in combinatie met KeepassX en bijbehorende browser plugin), en alles werkt netjes zoals het hoort (y)

Een klein iets (ongerelateerd aan de functionaliteit zelf): na instellen, als je dan direct uitlogt redirect hij terug naar https://tweakers.net/instellingen/.../, wat uiteraard niet toegankelijk is als niet-ingelogde gebruiker... Zou een redirect naar de homepagina dan niet beter zijn?

[ Voor 3% gewijzigd door azerty op 02-04-2021 11:44 ]


Acties:
  • 0 Henk 'm!

  • FlyingDutchMen
  • Registratie: Februari 2010
  • Laatst online: 10-06 21:49
Ziet er netjes uit, n werkt goed. Heb wel 2 puntjes:

1. Als mobiele gebruiker heb ik wel een puntje. Ik kan vanuit de authenticator de code kopieren. Echter is er geen ondersteuning van het plakken van deze code. Dit zou wel fijn zijn als dat kan.

2. Er komt netjes een naam mee die de authenticator app ook weer geeft. De naam Tweakers staat er nu dubbel in. Wat mij betreft is een keer genoeg, hierdoor is er ook meer ruimte om mijn gebruikersnaam te tonen. (zelf zou ik alleen tweakers.net (dus zonder username) genoeg vinden).

Learn from yesterday, Live for today, Hope for tomorrow


Acties:
  • 0 Henk 'm!

  • crisp
  • Registratie: Februari 2000
  • Laatst online: 22:51

crisp

Devver

Pixelated

FlyingDutchMen schreef op vrijdag 2 april 2021 @ 11:58:
Ziet er netjes uit, n werkt goed. Heb wel 2 puntjes:

1. Als mobiele gebruiker heb ik wel een puntje. Ik kan vanuit de authenticator de code kopieren. Echter is er geen ondersteuning van het plakken van deze code. Dit zou wel fijn zijn als dat kan.
Is dat niet gewoon een kwestie van longpress-paste?
2. Er komt netjes een naam mee die de authenticator app ook weer geeft. De naam Tweakers staat er nu dubbel in. Wat mij betreft is een keer genoeg, hierdoor is er ook meer ruimte om mijn gebruikersnaam te tonen. (zelf zou ik alleen tweakers.net (dus zonder username) genoeg vinden).
Welke app gebruik je?

Intentionally left blank


Acties:
  • 0 Henk 'm!

  • AW_Bos
  • Registratie: April 2002
  • Laatst online: 22:52

AW_Bos

Liefhebber van nostalgie... 🕰️

Same here.
Google Authenticator hier:
Tweakers (tweakers.net:AW_Bos)

☀️ Goedemorgen zonneschijn! ☀️
☀️Ja, je maakt me zo gelukkig, en door jou voel ik me fijn! ☀️


Acties:
  • 0 Henk 'm!

  • FlyingDutchMen
  • Registratie: Februari 2010
  • Laatst online: 10-06 21:49
crisp schreef op vrijdag 2 april 2021 @ 12:26:
Is dat niet gewoon een kwestie van longpress-paste?
Lijkt bij mij niet te werken. Als dat al wel zo is, blijft mijn punt staan want het voelt dan wat mij betreft niet logisch aan.
Gebruik Google Authenticator. Ik krijg het als volgt Tweakers (tweakers.net:FlyingDutchMen. Note het laatste ')' is er ook echt niet. Mogelijk door mijn wat langere username?

Learn from yesterday, Live for today, Hope for tomorrow


Acties:
  • 0 Henk 'm!

  • DaFeliX
  • Registratie: December 2002
  • Laatst online: 12-06 13:03

DaFeliX

Tnet Devver
FlyingDutchMen schreef op vrijdag 2 april 2021 @ 18:14:

[...]


Gebruik Google Authenticator. Ik krijg het als volgt Tweakers (tweakers.net:FlyingDutchMen. Note het laatste ')' is er ook echt niet. Mogelijk door mijn wat langere username?
We hebben deze opmaak niet bepaald, dit maakt je app er zelf van.

We geven in de QR code een aantal gegevens mee, die gegevens stellen we op adhv deze 'specs'.

Blijkbaar gebruikt Google Authenticator het formaat "$issuer ($label)" om de tokens te listen. Dat is logisch bij grotere diensten ("Google (gmail.com:FlyingDutchMen"), maar in ons geval lijkt 't wat dubbel omdat onze bedrijfsnaam en URL beide 'tweakers' bevatten.

Bij de app die ik gebruik (freeOTP+) laat ie in de listing alleen de label zien; verschillende app's zullen 't verschillend aanpakken. Hier hebben we verder geen controle over.

Ter volledigheid, we geven de volgende parameters mee in de QRcode:

- Een label; in dit geval "tweakers.net:FlyingDutchMen". Door "tweakers.net:" voor de username te plaatsen zorgen we er voor dat de label uniek is, zodat je ook bij een andere site dezelfde username kunt gebruiken
- De secret zelf (nogal wiedes)
- Welke hashingmethode er gebruikt wordt ("sha1")
- Hoeveel tekens de token moet hebben ("6")
- Hoevaak de code 'ververst' moet worden ("30")
- Extra geven we nog 'ns een keer de issuer mee; dit is "Tweakers"

Zo ver ik weet negeert Google Authenticator de lengte, hashing methode en hoevaak er ververst moet worden en gebruikt ie altijd 6/sha1/30. Conform de wens van Google geven we de issuer mee naast dat we "tweakers.net:" als prefix gebruiken in de label.

Einstein: Mijn vrouw begrijpt me niet


Acties:
  • +2 Henk 'm!

  • Moonsugar
  • Registratie: Juni 2019
  • Laatst online: 12-06 18:57

Moonsugar

Communitymanager
Een bericht voor degenen die 2fa voor ons testen:

We hebben momenteel de herstelcodes aan de test toegevoegd en zouden jullie willen vragen om je 2fa uit te schakelen en weer opnieuw in te stellen. Zorg dat je je herstelcodes goed opslaat of bewaard, deze heb je namelijk nodig voor toegang tot je account als je geen toegang hebt tot je authenticator-app.

Has wares if you have coin 💰


Acties:
  • +1 Henk 'm!

  • World Citizen
  • Registratie: Oktober 2002
  • Nu online

World Citizen

FreeReef.nl

@Moonsugar Ik vermoed dat je dit even moet pushen naar je testers. Het is echt toevallig dat ik dit hier lees :D

Maar, ik ga meteen aan de slag voor je.

FreeReef.nl


Acties:
  • +1 Henk 'm!

  • Moonsugar
  • Registratie: Juni 2019
  • Laatst online: 12-06 18:57

Moonsugar

Communitymanager
World Citizen schreef op maandag 19 april 2021 @ 22:20:
@Moonsugar Ik vermoed dat je dit even moet pushen naar je testers. Het is echt toevallig dat ik dit hier lees :D

Maar, ik ga meteen aan de slag voor je.
Dat vermoeden had ik al! Ik ga morgen even wat dm’s uitsturen. :)

Has wares if you have coin 💰


Acties:
  • 0 Henk 'm!

  • azerty
  • Registratie: Maart 2009
  • Laatst online: 21:27
Zojuist de functionaliteit eventjes getest:

De herstelcodes vind ik wat verwarrend; normaal gezien mag je gelijk welke code gebruiken als je een lijstje hebt gekregen, maar bij de huidige implementatie moet je eerst code 1 invullen, de volgende keer dat je hem nodig hebt code 2 etc.

Dit is nergens duidelijk gemaakt en zorgt voor een beetje verwarring en kan denk ik leiden tot paniek bij mensen als ze niet meer aan hun geliefde Tweakers account kunnen :+

Verder zou het ook handig zijn om te zien hoeveel codes je nog over hebt (bijv zoals bij Google, "je hebt nog 10/10 recovery codes over").

[ Voor 10% gewijzigd door azerty op 21-04-2021 10:21 ]


Acties:
  • 0 Henk 'm!

  • jelle.
  • Registratie: Februari 2003
  • Laatst online: 13-06 16:35

jelle.

Product Owner
azerty schreef op woensdag 21 april 2021 @ 10:21:
Zojuist de functionaliteit eventjes getest:

De herstelcodes vind ik wat verwarrend; normaal gezien mag je gelijk welke code gebruiken als je een lijstje hebt gekregen, maar bij de huidige implementatie moet je eerst code 1 invullen, de volgende keer dat je hem nodig hebt code 2 etc.

Dit is nergens duidelijk gemaakt en zorgt voor een beetje verwarring en kan denk ik leiden tot paniek bij mensen als ze niet meer aan hun geliefde Tweakers account kunnen :+
Dit staat uitgelegd op de pagina waar je de herstelcodes kunt overnemen. Zou je dit (ook) op een andere plek willen zien?

Acties:
  • 0 Henk 'm!

  • azerty
  • Registratie: Maart 2009
  • Laatst online: 21:27
jelle. schreef op woensdag 21 april 2021 @ 10:32:
[...]


Dit staat uitgelegd op de pagina waar je de herstelcodes kunt overnemen. Zou je dit (ook) op een andere plek willen zien?
Daar had ik dus overgelezen :+

Het lijkt me wel handig om dit eventueel op de pagina te vermelden waar je de code moet invoeren bij inloggen, zodat je (als het al héél lang geleden was dat je die codes gedownload had) daar nog een herinnering krijgt.

Wat gebeurt er trouwens als je de 10 codes opgebruikt hebt? Kan je dan nieuwe downloaden?

Acties:
  • 0 Henk 'm!

  • DaFeliX
  • Registratie: December 2002
  • Laatst online: 12-06 13:03

DaFeliX

Tnet Devver
azerty schreef op woensdag 21 april 2021 @ 10:35:
[...]


Wat gebeurt er trouwens als je de 10 codes opgebruikt hebt? Kan je dan nieuwe downloaden?
jep, wanneer je token 7 en later gebruikt krijg je een mailtje met de waarschuwing dat je bijna door de codes heen bent. Je kunt dan vanuit een link in die mail nieuwe codes genereren, waarna evt oude codes ook direct vervallen.
azerty schreef op woensdag 21 april 2021 @ 10:21:

[...]

De herstelcodes vind ik wat verwarrend; normaal gezien mag je gelijk welke code gebruiken als je een lijstje hebt gekregen, maar bij de huidige implementatie moet je eerst code 1 invullen, de volgende keer dat je hem nodig hebt code 2 etc.

[...]
Het is volgens mij voor herstelcodes wel gebruikelijk dat je ze slechts opvolgend kunt gebruiken; dus zo raar is het niet. Maar ben het wel met je eens dat het belangrijk is dit duidelijk te communiceren :)

Einstein: Mijn vrouw begrijpt me niet


Acties:
  • +12 Henk 'm!

  • Moonsugar
  • Registratie: Juni 2019
  • Laatst online: 12-06 18:57

Moonsugar

Communitymanager
Wij hebben vandaag tweefactorauthenticatie voor de gehele community gereleased, het .plan kun je hier lezen: https://tweakers.net/plan/3096/tweefactorauthenticatie-vanaf-vandaag-beschikbaar-op-tweakers.html :)

Has wares if you have coin 💰


Acties:
  • 0 Henk 'm!

  • Miki
  • Registratie: November 2001
  • Laatst online: 22:46
1password lijkt het automatisch inloggen waarbij het invullen van de token automatisch gebeurd niet te herkennen. Het genereren van de eenmalige code gaat overigens wel goed en kan daar dus ook mee inloggen.

Verder wel top dat dit geïmplementeerd is, prettige gedachte dat de beveiliging op orde is naast dat we er bijna dagelijks over discuseieren :)

Edit: iOS wordt niet herkend maar Firefox desktop browser wel.

[ Voor 8% gewijzigd door Miki op 28-04-2021 13:56 ]


Acties:
  • +1 Henk 'm!

  • Rafe
  • Registratie: Mei 2002
  • Laatst online: 27-05 16:36
1Password (de 'ouderwetse' extensie met app, niet die ene die compleet in-browser draait) autofill werkt voor mij prima op macOS :)

Ik had dit al in de reacties onder het artikel geplaatst maar realiseer me dat de feedback hier beter op zijn plaats is:
Hardwaretokens vereisen een extra apparaat en zijn daarmee voor minder gebruikers interessant dan totp, dat op elke smartphone werkt.
Elke moderne smartphone (Android 7+, iOS 14+) heeft de relevant hardware ingebouwd. Daar heeft Tweakers zelf het nodige over geschreven:Een losse security key kopen is helemaal niet nodig. Browser support is ook prima: https://caniuse.com/webauthn en eenvoudig te testen op bijvoorbeeld https://webauthn.io/ of https://webauthn.me/

Acties:
  • +1 Henk 'm!

  • Coffee2Code
  • Registratie: Juli 2011
  • Laatst online: 26-05 20:02
Rafe schreef op woensdag 28 april 2021 @ 14:04:
1Password (de 'ouderwetse' extensie met app, niet die ene die compleet in-browser draait) autofill werkt voor mij prima op macOS :)

Ik had dit al in de reacties onder het artikel geplaatst maar realiseer me dat de feedback hier beter op zijn plaats is:

[...]

Elke moderne smartphone (Android 7+, iOS 14+) heeft de relevant hardware ingebouwd. Daar heeft Tweakers zelf het nodige over geschreven:Een losse security key kopen is helemaal niet nodig. Browser support is ook prima: https://caniuse.com/webauthn en eenvoudig te testen op bijvoorbeeld https://webauthn.io/ of https://webauthn.me/
Afbeeldingslocatie: https://tweakers.net/i/KaT1vNuaJEu_nrE7YbTANBWRPXM=/x800/filters:strip_icc():strip_exif()/f/image/Hu4JMhhw3n1qrczaIENQ0NFS.jpg?f=fotoalbum_large

Samsung Browser, nieuwste update

Acties:
  • 0 Henk 'm!

  • Rafe
  • Registratie: Mei 2002
  • Laatst online: 27-05 16:36
Coffee2Code schreef op zondag 2 mei 2021 @ 06:11:
Samsung Browser, nieuwste update
Dat klopt ook volgens de Can I Use link die ik eerder noemde? Met Chrome zal het wel moeten lukken - zelf getest op mijn S10 en S21 😉

Naast de nodige TEE/hardware backed keystore inbouwen zal Samsung de FIDO2 APIs moeten implementeren in hun browser. Ze zijn lid van de FIDO Alliance, hopelijk volgen ze snel.

Acties:
  • 0 Henk 'm!

  • Zjemm
  • Registratie: Februari 2001
  • Laatst online: 21:45

Zjemm

...

super bedankt dat dit geïmplementeerd is :)

top

opensecure.nl


Acties:
  • 0 Henk 'm!

  • Nitroglycerine
  • Registratie: Januari 2002
  • Nu online

Nitroglycerine

Autisme: belemmering en kracht

Top voor Tweakers dat het geïmplementeerd is. Misschien voor de volgende iteratie een uitbreiding:
Detectie van het ingeschakeld zijn van 2FA, indien JA dan 2FA niet alsnog aanbevelen.

Hier kon uw advertentie staan


Acties:
  • 0 Henk 'm!

  • ACM
  • Registratie: Januari 2000
  • Niet online

ACM

Software Architect

Werkt hier

Nitroglycerine schreef op maandag 10 mei 2021 @ 21:48:
Top voor Tweakers dat het geïmplementeerd is. Misschien voor de volgende iteratie een uitbreiding:
Detectie van het ingeschakeld zijn van 2FA, indien JA dan 2FA niet alsnog aanbevelen.
"Helaas" is dat ding op de homepage (ik neem aan dat je daar naar refereert) effectief een soort advertentie (maar dan vooral voor interne zaken); los van dat die vrij in te stellen is door ons marketingteam heeft die ook helemaal geen toegang tot de accounts. En speciaal voor deze ene keer daar wel zo'n soort test in maken is daardoor wel wat zonde van de inspanning.

Het is wel de vraag hoeveel nut het überhaupt nog heeft; @jelle. heeft het nog veel nut die aankondiging te hebben staan?

[ Voor 3% gewijzigd door ACM op 11-05-2021 08:01 ]


Acties:
  • 0 Henk 'm!

  • Hmmbob
  • Registratie: September 2001
  • Laatst online: 11:42
@ACM Zijn er ook (anonieme) stats uit de DB te trekken om te zien hoe populair deze functie is?

Sometimes you need to plan for coincidence


Acties:
  • 0 Henk 'm!

  • FlyingDutchMen
  • Registratie: Februari 2010
  • Laatst online: 10-06 21:49
Zou niet zo moeilijk moet zijn lijkt me. Count op alle gebruikers met een 2FA config.

Overigens is het lijkt mij wel vrij makkelijk om iedereen die zonder 2FA inlogt een melding te geven. Al weet ik ook niet perse of ik dat zou doen. Ik zou overigens bij het aanmaken van nieuwe accounts dit wel duidelijk aangeven.

Learn from yesterday, Live for today, Hope for tomorrow


Acties:
  • +2 Henk 'm!

  • ACM
  • Registratie: Januari 2000
  • Niet online

ACM

Software Architect

Werkt hier

Hmmbob schreef op dinsdag 11 mei 2021 @ 08:15:
@ACM Zijn er ook (anonieme) stats uit de DB te trekken om te zien hoe populair deze functie is?
Het is bij ruim 6200 accounts aangezet.

Acties:
  • 0 Henk 'm!

  • Hmmbob
  • Registratie: September 2001
  • Laatst online: 11:42
Dat zijn er best veel, maar ik heb geen idee hoeveel accounts er actief zijn :+

Sometimes you need to plan for coincidence


Acties:
  • 0 Henk 'm!

  • jelle.
  • Registratie: Februari 2003
  • Laatst online: 13-06 16:35

jelle.

Product Owner
ACM schreef op dinsdag 11 mei 2021 @ 08:00:
Het is wel de vraag hoeveel nut het überhaupt nog heeft; @jelle. heeft het nog veel nut die aankondiging te hebben staan?
We hebben weer een forse toename gezien vanaf dat deze aankondiging op de frontpage werd geplaatst. Het is vooral bedoeld voor bezoekers die het .plan hadden gemist. Artikelen verdwijnen immers vrij snel van de frontpage. Het idee is trouwens niet om 'm daar permanent te laten staan, we gaan nog wat gerichte uitingen doen, bijvoorbeeld binnen V&A voor gebruikers die 2FA nog niet aan hebben staan.

Acties:
  • 0 Henk 'm!

  • ACM
  • Registratie: Januari 2000
  • Niet online

ACM

Software Architect

Werkt hier

jelle. schreef op dinsdag 11 mei 2021 @ 10:12:
We hebben weer een forse toename gezien vanaf dat deze aankondiging op de frontpage werd geplaatst. Het is vooral bedoeld voor bezoekers die het .plan hadden gemist. Artikelen verdwijnen immers vrij snel van de frontpage.
Ik begreep het nut als aanvulling voor een vrij snel verdwijnend .plan, ik doelde vooral op het nu nog steeds hebben ervan :)

Acties:
  • +2 Henk 'm!

  • ComputerHoed
  • Registratie: Augustus 2010
  • Laatst online: 02-06 10:34

ComputerHoed

Electronica <3

jelle. schreef op dinsdag 11 mei 2021 @ 10:12:
[...]


We hebben weer een forse toename gezien vanaf dat deze aankondiging op de frontpage werd geplaatst. Het is vooral bedoeld voor bezoekers die het .plan hadden gemist. Artikelen verdwijnen immers vrij snel van de frontpage. Het idee is trouwens niet om 'm daar permanent te laten staan, we gaan nog wat gerichte uitingen doen, bijvoorbeeld binnen V&A voor gebruikers die 2FA nog niet aan hebben staan.
Ik check Tweakers elke dag, maar heb niks gezien over een aankondiging van 2FA...
Maar wel random dit topic tegen gekomen, dus 2FA staan aan _/-\o_

Ryzen 2700X, Gigabyte Aorus Gaming 7, G.Skills Ripjaws V 3200Mhz 16GB DDR4 RAM, PowerColor Red Devil 5700 XT, Samsung 970 250GB NVMe-SSD, 3x 5TB Toshiba HDD, 500GB Samsung Evo 850 SSD


Acties:
  • 0 Henk 'm!

  • Nindustries
  • Registratie: Januari 2012
  • Laatst online: 09-05 15:31
Is er een reden waarom paste niet werkt op de 2FA OTP pin entry?
Hierdoor werken autofills van password managers niet.

~ beware of misinformation.


Acties:
  • +1 Henk 'm!

  • DaFeliX
  • Registratie: December 2002
  • Laatst online: 12-06 13:03

DaFeliX

Tnet Devver
Nindustries schreef op woensdag 12 mei 2021 @ 14:20:
Is er een reden waarom paste niet werkt op de 2FA OTP pin entry?
Hierdoor werken autofills van password managers niet.
als je het invoerveld bedoelt waar je je TOTP token invoert: Hier hebben we een fix voor gemaakt dat plakken (pasten) mogelijk is. Wel staat er bewust een 'autocomplete="one-time-code"' waarde in, om aan oa passwordmanagers aan te geven dat het geen wachtwoordveld is. Dus het plakken van een code zou wel mogelijk moeten zijn; en een goede wachtwoordmanager begrijpt dan dan hier geen wachtwoord verwacht wordt.

Het is iig heel lastig om het altijd goed te doen met zo'n invoerveld; enerzijds willen we zoveel mogelijk aan standaarden voldoen, anderzijds willen we ook voorkomen dat een wachtwoordmanager er een wachtwoord in gooit. Dit altijd precies goed te krijgen lijkt schier onmogelijk, omdat elke browser/passwordmanager de zaken anders interpreteert; en testen heel erg lastig is.

Welke browser/passwordmanager gebruik je waar 't niet werkt? Dan kan ik kijken of ik 't kan reproduceren; alleen weet ik niet of ik het kan fiksen omdat ik het niet weer stuk wil maken voor andere browsers/wachtwoordmanagers

Einstein: Mijn vrouw begrijpt me niet

Pagina: 1

Dit topic is gesloten.