:strip_icc():strip_exif()/u/416695/crop59a47e34ed35b_cropped.jpeg?f=community)
Waarom is er geen 2FA / FIDO U2F support op tweakers?
Het is tegenwoordig aardig de standaard om dit aan te bieden ivm veiligheid.
Het is tegenwoordig aardig de standaard om dit aan te bieden ivm veiligheid.
/u/1830/acm.png?f=community)
/u/243953/crop56f55a7bcf291.png?f=community)
Dat is nog steeds single factor authentication.
Leesvoer: Wikipedia: Time-based One-time Password algorithm
Volgens mij begrijpen we elkaar niet helemaal, dus hierbij een iets uitgebreidere reactie.:
[...]
Dat is nog steeds single factor authentication.
Leesvoer: Wikipedia: Time-based One-time Password algorithm
Eerder zei je:
Hieruit valt op te maken dat je wachtwoorden hergebruikt. Als dat niet zo is, dan hoor ik het graag. Als je wachtwoorden hergebruikt kan 2FA inderdaad voorkomen dat aanvallers op je account kunnen inloggen, omdat je nog 1 factor overhoud wanneer je wachtwoord bekend is/raakt. En het is inderdaad zo dat er nog steeds veel datalekken zijn, van verschillende partijen (zowel met als zonder 2FA ondersteuning).
Ik ben het zeker met je eens dat in een ideale wereld 2FA/MFA overal word aangeboden en iedereen get gebruikt. Echter leven we nog steeds in een wereld waarin 2FA met bijvoorbeeld een TOTP niet standaard is. En als het er is word het niet veel gebruikt. Zo is er bij Google maar zo'n 10 procent 2FA gebruik, terwijl het wel redelijk word gepromoot.
Het punt is dus, 2FA is lang niet overal beschikbaar en als het beschikbaar is word het niet veel gebruikt. (Helaas) Valt Tweakers dus ook onder de groep waar het niet gebruikt word. En als we een site zoals twofactorauth.org/ pakken zien we ook nog genoeg grote jongens die het niet ondersteunen en bij de kleinere sites is de ondersteuning alleen maar minder vaak aanwezig, omdat het niet triviaal is (zoals hier ook al aangegeven).
Het punt wat ik probeer te maken, we zijn nog lang niet af van alleen username en password als enige login methode, 1FA dus. En die valt weg wanneer het wachtwoord bekend is. En als je overal hetzelfde wachtwoord hebt, valt die dus voor veel sites weg wanneer 1 van die sites jouw wachtwoord lekt. Het is dus een stuk beter om voor elke website een apart wachtwoord te hebben, wat niet op een manier de naam van een site oid er in verwerkt, omdat je daarmee alsnog kwetsbaar bent omdat je wachtwoord te gokken is. Je wilt dus random wachtwoorden voor elke site en dat is op grote schaal alleen te doen met een password manager.
Dit is natuurlijk niet helemaal compleet. Het is ook mogelijk dat wachtwoorden uitlekken en op het specifieke account waar het voor uitgelekt was wordt gebruikt.
Het punt van MFA is daarbij dat het zelfs dan niet zo boeit dat het wachtwoord uitlekte. Het is dan uiteraard alsnog handig het wachtwoord aan te passen zodra dit bekend wordt, want effectief is het dan gereduceerd tot 1FA voor degene die het wachtwoord weet.
Er is overigens pas geleden een web standaard geintroduceerd voor authenticatie, dat heeft wel meer mijn voorkeur dan "een" standaard te implementeren, want webauthn is een stuk breder met ondersteuning.
Maar helaas is ook die niet bepaald triviaal om te implementeren (en Safari ondersteunt het nog niet)
En TOTP is browser onafhankelijk ^^":
[...]
Dit is natuurlijk niet helemaal compleet. Het is ook mogelijk dat wachtwoorden uitlekken en op het specifieke account waar het voor uitgelekt was wordt gebruikt.
Het punt van MFA is daarbij dat het zelfs dan niet zo boeit dat het wachtwoord uitlekte. Het is dan uiteraard alsnog handig het wachtwoord aan te passen zodra dit bekend wordt, want effectief is het dan gereduceerd tot 1FA voor degene die het wachtwoord weet.
Er is overigens pas geleden een web standaard geintroduceerd voor authenticatie, dat heeft wel meer mijn voorkeur dan "een" standaard te implementeren, want webauthn is een stuk breder met ondersteuning.
Maar helaas is ook die niet bepaald triviaal om te implementeren (en Safari ondersteunt het nog niet)
:strip_icc():strip_exif()/u/23263/crop619cf05922b03_cropped.jpg?f=community)
/u/394161/dfdesign70.png?f=community)
:strip_exif()/u/3443/lizard.gif?f=community)
/u/34186/crop62e07d174532d_cropped.png?f=community)
"Technological advancements don't feel fun anymore because of the motivations behind so many of them." Bron
/u/112676/crop63f49f7963127_cropped.png?f=community)
:strip_exif()/u/3333/pumpkin_avatar.gif?f=community){kind=avatar}
"Technological advancements don't feel fun anymore because of the motivations behind so many of them." Bron
Ik denk dat er ook een groot deel van de gebruikers wel weet/wist dat het niet hoorde, maar simpelweg te lui was om dan weer een los wachtwoord te kiezen (en/of een wachtwoordmanager te installeren). Veel gebruikers zien hun Tweakers-account ook niet als iets dat zó belangrijk dat ze daar veel moeite voor willen doen mbt beveiliging... En ja, dan kan je inderdaad die oplichtingvoorbeelden krijgen
Maar tegelijkertijd geef je zelf effectief ook aan dat een groot deel van de doelgroep niet op 2FA zal zitten te wachten, zeker niet als het extra moeite kost (en dat kost het eigenlijk per definitie). Sowieso is met terugwerkende kracht invoeren al niet mogelijk. Dus al die oude accounts blijven dan toegankelijk, tenzij we effectief iedereen uitloggen en dwingen 2FA in te stellen...
En dan komt er direct (wmb terechte) weerstand tegen de extra moeite die er nodig is zoiets 'onbelangrijks' als een Tweakers-account te kunnen aanmaken/gebruiken. Want waarom zou je 2FA nodig hebben om even een pricealert in te stellen?
Er zullen voorlopig nog wel meerdere groepen gebruikers zijn:
- MFA is wmb verplicht, als het er niet is, is de kans groot dat ik de dienst niet gebruik
- MFA is de norm, ik stel dat overal in als het beschikbaar is
- MFA is belangrijk, maar doe ik alleen bij écht belangrijke zaken
- MFA is wel veel gedoe, ik heb al unieke wachtwoorden overal, dus ik gebruik het alleen als het verplicht is gemaakt
- MFA is veel gedoe, irritant zeg, dat ik dat soms moet gebruiken
- Huh? MFA??
Als het doel is om oplichting in V&A via gehackte accounts te voorkomen, dan lijkt MFA me in ieder geval niet de meest praktische aanpak. Want tenzij MFA verplicht wordt, zal er altijd een deel van de accounts vatbaar voor zijn.
[ Voor 5% gewijzigd door ACM op 30-12-2019 08:33 ]
Je lijkt hier het te willen laten lijken alsof je voor elke actie een token in zou moeten vullen.:toon volledige bericht
[...]
Ik denk dat er ook een groot deel van de gebruikers wel weet/wist dat het niet hoorde, maar simpelweg te lui was om dan weer een los wachtwoord te kiezen (en/of een wachtwoordmanager te installeren). Veel gebruikers zien hun Tweakers-account ook niet als iets dat zó belangrijk dat ze daar veel moeite voor willen doen mbt beveiliging... En ja, dan kan je inderdaad die oplichtingvoorbeelden krijgen
Maar tegelijkertijd geef je zelf effectief ook aan dat een groot deel van de doelgroep niet op 2FA zal zitten te wachten, zeker niet als het extra moeite kost (en dat kost het eigenlijk per definitie). Sowieso is met terugwerkende kracht invoeren al niet mogelijk. Dus al die oude accounts blijven dan toegankelijk, tenzij we effectief iedereen uitloggen en dwingen 2FA in te stellen...
En dan komt er direct (wmb terechte) weerstand tegen de extra moeite die er nodig is zoiets 'onbelangrijks' als een Tweakers-account te kunnen aanmaken/gebruiken. Want waarom zou je 2FA nodig hebben om even een pricealert in te stellen?
Er zullen voorlopig nog wel meerdere groepen gebruikers zijn:
- MFA is wmb verplicht, als het er niet is, is de kans groot dat ik de dienst niet gebruik
- MFA is de norm, ik stel dat overal in als het beschikbaar is
- MFA is belangrijk, maar doe ik alleen bij écht belangrijke zaken
- MFA is wel veel gedoe, ik heb al unieke wachtwoorden overal, dus ik gebruik het alleen als het verplicht is gemaakt
- MFA is veel gedoe, irritant zeg, dat ik dat soms moet gebruiken
- Huh? MFA??
Als het doel is om oplichting in V&A via gehackte accounts te voorkomen, dan lijkt MFA me in ieder geval niet de meest praktische aanpak. Want tenzij MFA verplicht wordt, zal er altijd een deel van de accounts vatbaar voor zijn.
Dit hoeft alleen bij inloggen, en er zijn genoeg apps om 2FA mee te bewerkstelligen (zoals Authy), en aangezien nagenoeg iedereen wel een smartphone heeft, kunnen ze gemakkelijk 2FA gebruiken.
Verder, het deels verplichten zou geen probleem moeten zijn, wil je iets plaatsen op V&A dan moet je account 2FA gebruiken, token is al ingevuld tijdens het inloggen dus iemand die 2FA gebruikt kan dan ook zonder moeite een advertentie posten.
Neehoor, ik doelde op registratie en/of inloggen. MFA verhoogt de drempel daarvoor danwel de moeite die het kost.
Voor degenen die dat tijdens het inloggen hadden gedaan wel ja... Maar voor iedereen die voor het eerst een advertentie wil plaatsen moet dan dat account opwaarderen.
Wat nog vervelender zal zijn voor die gebruikers, is dat ze daarna MFA hebben geactiveerd op hun account en daarna verplicht zijn om dat continu te blijven gebruiken. Ook als ze het alleen maar activeerden zodat ze een advertentie konden plaatsen. Tenzij we het natuurlijk zo implementeren - en dus complexer maken - dat je het optioneel alleen kan gebruiken voor 'bijzondere handelingen' (zoals advertentie plaatsen of je profiel aanpassen).
Bovendien moet dat dan zo geïmplementeerd worden dat een hacker dat niet simpelweg zelf er aan toe kan voegen, dus met e.o.a. bevestigingsmail, etc.
Al met al erg veel handelingen die nodig zijn om (voor het eerst) een advertentie te kunnen plaatsen.
En daarmee wordt de drempel voor het plaatsen van V&A-advertenties weer hoger; op zich natuurlijk een beetje het doel, maar we moeten wel oppassen dat security niet boven alles wordt verheven. Want in de meest extreme variant daarvan zou V&A dan gewoon verwijderd moeten worden; want alleen dan kunnen oplichters gegarandeerd niks doen
Dat gezegd hebbende; er zweven ook suggesties rond voor het hebben van een activatie-email bij advertenties. Dat is effectief ook een MFA-implementatie voor V&A, en deze zal wat gebruiksvriendelijker zijn omdat het van bovenstaand verhaal dan alleen die bevestigingsmail-stap bevat.
/u/74211/crop5db297afbbd2b_cropped.png?f=community)
Wat sommigen dagelijks doen, en als ik mijn browser per ongeluk afsluit meerdere keren per dag
Overigens is dat geen reden om geen 2FA aan te bieden, maar als je het doet, je het wel goed moet doen
Einstein: Mijn vrouw begrijpt me niet
Ik zie daar eigenlijk alleen maar voordelen in als ik eerlijk ben. Er wordt al jaren geklaagd over het dalende niveau op Tweakers vergeleken met jaren geleden. Als dit al een te grote stap voor je blijkt te zijn, terwijl je MFA overal al minimaal wekelijks gebruikt (denk aan bankzaken, DigiD, enz) dan voelt het toch wel als een prima (zeer beperkte) filter.
Nog even afgezien van een eventuele voorbeeldfunctie. Want de wereld heeft al lang laten blijken niet welwillend te zijn om goed met wachtwoorden om te gaan, dus MFA is een noodzakelijk kwaad geworden. Tweakers.net vind ik nou net een prima website/community om een kartrekkerrol te laten vervullen, al is dat in deze wel redelijk laat.
Tenzij het idee van Tweakers natuurlijk is om simpelweg zoveel mogelijk bezoekers te trekken, dat is een andere discussie.
Ik ben geen devver, dus heb geen idee hoeveel impact dit heeft voor een specifieke site als Tweakers, maar step-up authentication is toch ook niks nieuws meer.
Begrijp me niet verkeerd, MFA zie ik ook als een "last", maar zodra een account direct gebruikt kan worden voor malafide doeleinden (in dit geval oplichting) dan kun je eigenlijk niet meer wegkomen met het argument "ja maar zo maken we het gebruikers wel te lastig".
:strip_icc():strip_exif()/u/145751/check-in-minion-small2.jpg?f=community)
Dat is geen streven. Maar wel willen we het de gebruiker niet onnodig moeilijk maken. En we willen ook zker niet de vaste of aspirant vaste bezoeker wegjagen.:
Tenzij het idee van Tweakers natuurlijk is om simpelweg zoveel mogelijk bezoekers te trekken, dat is een andere discussie.
Wat ook vaak vergeten wordt in dit soort discussies zijn mensen die niet precies "jouw gedrag" hebben.
Zoals mensen die vanwege de cookies steeds uitloggen en dus vaak moeten inloggen. Of mensen die geen mobiel hebben.
Of situaties waarbij complex handelingen minder makkelijk uitgevoerd kunnen worden:
- Werken op mobiel
- Mensen met handicaps en/of andere beperkingen
Een account kan sowieso gebruikt worden voor oplichting. Een account kan daar specifiek voor gemaakt worden, daar hoeft het niet voor "geleend" te worden.
Het "ja maar zo maken we het gebruikers wel te lastig" is juist een aspect om te beoordelen. Want ongeveer de enige manier om absoluut te garanderen dat er geen oplichting via Tweakers plaatsvindt, is om de site te veranderen in 'read only' of er helemaal mee te stoppen...
Dat zegt allemaal niet dat we nooit MFA introduceren, maar de kans dat we het verplicht maken voor iedereen acht ik erg klein. En dan helpt het natuurlijk niet of nauwelijks meer tegen V&A-oplichting, want de wachtwoordhergebruikers gaan vast niet massaal MFA gebruiken.
Rond V&A dingen aanpassen is uiteraard mogelijk en zal ook zeker worden overwogen, maar dan is MFA ineens niet meer de enige optie en misschien niet eens de beste.
:strip_icc():strip_exif()/u/71115/plus222.jpg?f=community)
Desnoods reken je zo'n ding zelf uit, al is het dan wel handig een tijdstip ergens wat verder in de toekomst te gebruiken:
[...]
Maar weer niet techniekagnostisch
Maar goed, de manier waarop je het moet uitrekenen ligt natuurlijk wel vast...
[ Voor 14% gewijzigd door begintmeta op 02-01-2020 18:16 ]
:strip_exif()/u/396800/D-_3427da0a9c293b63f2a66dea2e642102.gif?f=community)
Niet alle. We hebben ook tijd nodig het daadwerkelijk correct te implementeren
En het ziet er niet bepaald triviaal uit; sowieso moet onze huidige login-flow op de schop omdat er een javascript-based stap tussenkomt (als we WebAuthn willen). Daarnaast zijn in ieder geval de ondersteunende php-libraries erg jong, waardoor het een flinke trial-and-error klus gaat worden.
Bovendien doen we redelijk wat moeite om oudere devices in ieder geval toe te laten, de ervaring is hooguit wat beperkter geworden.
Er zijn inderdaad grenzen. Maar 2FA is verre van ingeburgerd. We hebben het dan niet over dezelfde orde van grootte van afvallers als bijvoorbeeld het aantal browsers dat geen SNI kon of dat alleen nog TLS 1.0 spreekt.
Maar je hebt gelijk dat allerlei bezwaren wegvallen zolang het een vrije keuze blijft. Mijn bezwaren zijn in ieder geval niet zozeer gericht op het überhaupt hebben ervan (nouja, de technische wel), maar vooral gericht tegen het verplicht maken. En ik blijf ook moeite hebben met het haast mythische vertrouwen dat hier en elders door sommigen gesteld wordt in dat het alle oplichting via V&A zou moeten voorkomen.
Hoedanook, de keerzijde van het niet verplichten is uiteraard dat het dan sowieso niet of nauwelijks helpt tegen het kapen van accounts van mensen die niets gaven of geven - of niet doorhebben dat het fenomeen kan bestaan - om de gevolgen van een gekaapt Tweakers-account.
Want ik gok dat er hooguit een heel klein deel van de mensen die hun wachtwoord hergebruikten dan wel vrijwillig MFA zouden activeren... En bovendien gaat het dan sowieso niet aan voor mensen die hun account niet meer gebruiken.
Het voor V&A verplicht maken rakelt dan echter wel weer al die tegenargumenten op.
[ Voor 22% gewijzigd door ACM op 02-01-2020 20:46 ]
:strip_icc():strip_exif()/u/455986/crop60844ac5040b2_cropped.jpg?f=community)
Ik wil dit topic ook even een schopje geven
Ik ben sinds kort ook voorstander van 2FA. Ik denk dat het idd een goed idee is om het niet verplicht te stellen. Het moet denk ik wel gepromoot worden, en dan misschien in fases. Gebruikers die het niet willen, kunnen het negeren, zoals op de meeste websites het geval is. Wellicht dat het idd voor V&A beter is om wel te verplichten, om bovengenoemde redenen.
Wat je ook kan doen, misschien mooi als compromis, is in de V&A bij correspondentie met een andere user aangeven of de ander 2FA aan heeft staan. Dan kun je daar zelf je oordeel over hebben.
En hoe complex het ook moge zijn, dat geloof ik wel, maar we hebben het wel over Tweakers.net. Niet bepaald een simpele website. Ten opzichte van de rest van deze website, is 2FA implementeren echt zo moeilijk?
Misschien moeten we ook niet teveel tegelijk willen. Kunnen we beginnen met supporten van authenticator apps, en daarna misschien een keer kijken naar andere/fysieke second factors?
Ik ben sinds kort ook voorstander van 2FA. Ik denk dat het idd een goed idee is om het niet verplicht te stellen. Het moet denk ik wel gepromoot worden, en dan misschien in fases. Gebruikers die het niet willen, kunnen het negeren, zoals op de meeste websites het geval is. Wellicht dat het idd voor V&A beter is om wel te verplichten, om bovengenoemde redenen.
Wat je ook kan doen, misschien mooi als compromis, is in de V&A bij correspondentie met een andere user aangeven of de ander 2FA aan heeft staan. Dan kun je daar zelf je oordeel over hebben.
En hoe complex het ook moge zijn, dat geloof ik wel, maar we hebben het wel over Tweakers.net. Niet bepaald een simpele website. Ten opzichte van de rest van deze website, is 2FA implementeren echt zo moeilijk?
Misschien moeten we ook niet teveel tegelijk willen. Kunnen we beginnen met supporten van authenticator apps, en daarna misschien een keer kijken naar andere/fysieke second factors?
[ Voor 3% gewijzigd door _Thanatos_ op 31-08-2020 22:15 ]
日本!🎌
/u/189604/crop62f3f8c952ebc_cropped.png?f=community)
Ook een schopje vanuit mijn kant. Ik zou graag 2FA op Tweakers.net zien (en vind het stiekem wel wat raar dat de techsite van NL dat niet aanbiedt)
:strip_icc():strip_exif()/u/347331/crop595e271852a0b_cropped.jpeg?f=community)
Ook ik wil hier weer een schop tegen aan geven.
Het voorbeeld van hieronder over de V&A klinkt mij als muziek in de oren. Voor de rest kan ik er eerlijk gezegd niet helemaal bij hij een techsite als deze dit nog steeds heeft. Zelf ben ik abbo dus mijn rekening nummer, naam en adres zijn in te zien, dit alleen al lijkt mij meer dan genoeg reden om het te implementeren.
En kom op, laten we eerlijk zijn zo spannend is het niet om het erin te zetten
Het voorbeeld van hieronder over de V&A klinkt mij als muziek in de oren. Voor de rest kan ik er eerlijk gezegd niet helemaal bij hij een techsite als deze dit nog steeds heeft. Zelf ben ik abbo dus mijn rekening nummer, naam en adres zijn in te zien, dit alleen al lijkt mij meer dan genoeg reden om het te implementeren.
En kom op, laten we eerlijk zijn zo spannend is het niet om het erin te zetten
:
Ik wil dit topic ook even een schopje geven
Ik ben sinds kort ook voorstander van 2FA. Ik denk dat het idd een goed idee is om het niet verplicht te stellen. Het moet denk ik wel gepromoot worden, en dan misschien in fases. Gebruikers die het niet willen, kunnen het negeren, zoals op de meeste websites het geval is. Wellicht dat het idd voor V&A beter is om wel te verplichten, om bovengenoemde redenen.
Wat je ook kan doen, misschien mooi als compromis, is in de V&A bij correspondentie met een andere user aangeven of de ander 2FA aan heeft staan. Dan kun je daar zelf je oordeel over hebben.
En hoe complex het ook moge zijn, dat geloof ik wel, maar we hebben het wel over Tweakers.net. Niet bepaald een simpele website. Ten opzichte van de rest van deze website, is 2FA implementeren echt zo moeilijk?
Misschien moeten we ook niet teveel tegelijk willen. Kunnen we beginnen met supporten van authenticator apps, en daarna misschien een keer kijken naar andere/fysieke second factors?
Learn from yesterday, Live for today, Hope for tomorrow
/u/1401/haroid_icon_60x60.png?f=community){kind=icon}
Als men hier geld voor durft te vragen ben ik al mijn vetrouwen in Tweakers permanent kwijt
. 2FA klinkt spannender dan het is. Er zijn ontiegelijk veel examples, plugins, packages etc te vinden. Dit zou echt niet zo lang moeten duren om te implementeren. Naar mijn inziens kleine moeite veel plezier, Ik zou het zelf verplichten puur en alleen al om dat er mens zijn met een abbo die hun persoonlijke gegevens sowieso al makkelijk in zichterlijk hebben maar ook omdat er persoonlijke gegeven over de chat rondom V&A gaat.
Learn from yesterday, Live for today, Hope for tomorrow
:strip_exif()/u/119419/candc-60px.gif?f=community)
Ze zouden het als extraatje bij een abo kunnen geven zoals Ars Technica doet bij hun Pro++ abo, neem aan dat ze daar een hele goede deal op krijgen (want 1 jaar abo kost ongeveer hetzelfde als die hele yubikey:
[...]
Als men hier geld voor durft te vragen ben ik al mijn vetrouwen in Tweakers permanent kwijt
)Maar je kan tegenwoordig ook je Android of iOS telefoon als Fido2 key gebruiken trouwens. Nou kan de Yubikey wel een hoop meer dan Fido2, daarom gebruik ik ze juist.
[ Voor 14% gewijzigd door GekkePrutser op 02-03-2021 23:50 ]
:strip_exif()/u/1223346/crop66826d404a07e.gif?f=community)
:strip_icc():strip_exif()/u/34345/crop604df19f86683.jpg?f=community)
Dat was een creatief idee van @crisp en daar was ik het helemaal mee eens.:
[...]
Enne, lol @ vooringevulde "maansuiker"
Has wares if you have coin 💰
:strip_icc():strip_exif()/u/43400/avatar.jpeg?f=community){kind=avatar}
Even uit een topic uit het ABO forum:
(Op persoonlijke titel; ik heb niets met de implementatie van doen
)Hmmm, dat is inderdaad niet "goed" wmb. Meestal is 't 1 of 2 codes 'er voor' en 1 of 2 codes 'er na' die (ook) geldig is/zijn. Daar kan @crisp of @boenkeijer vast wel iets mee
[ Voor 26% gewijzigd door RobIII op 01-04-2021 15:52 ]
There are only two hard problems in distributed systems: 2. Exactly-once delivery 1. Guaranteed order of messages 2. Exactly-once delivery.
Je eigen tweaker.me redirect
Over mij
Wij hanteren zo te zien inderdaad geen specifieke window. In de door onze gebruikte library is dat de default. Ik zal dit intern eens bespreken:
[...]
(Op persoonlijke titel; ik heb niets met de implementatie van doen
Hmmm, dat is inderdaad niet "goed" wmb. Meestal is 't 1 of 2 codes 'er voor' en 1 of 2 codes 'er na' die (ook) geldig is/zijn. Daar kan @crisp of @boenkeijer vast wel iets mee
Intentionally left blank
Dat is wel héél strak (en té strak IMHO). Dus als dat iets-of-wa gerekt kan worden lijkt me dat wel wenselijk
There are only two hard problems in distributed systems: 2. Exactly-once delivery 1. Guaranteed order of messages 2. Exactly-once delivery.
Je eigen tweaker.me redirect
Over mij
:
Wij hanteren zo te zien inderdaad geen specifieke window. In de door onze gebruikte library is dat de default. Ik zal dit intern eens bespreken
Voorkomt ook issues als mensen systemen niet helemaal in sync lopen met de klok.:
Dat is wel héél strak (en té strak IMHO). Dus als dat iets-of-wa gerekt kan worden lijkt me dat wel wenselijk
1 timeslice ervoor en 1 erna zou (imho) voldoende moeten zijn.
[ Voor 83% gewijzigd door Hmmbob op 01-04-2021 16:31 . Reden: Ik loop zelf nooit in sync met de klok ]
Sometimes you need to plan for coincidence
:strip_exif()/u/294184/20150204_SITE_GIF_VALKUIL-resized.gif?f=community)
Zojuist ook getest (in combinatie met KeepassX en bijbehorende browser plugin), en alles werkt netjes zoals het hoort 
Een klein iets (ongerelateerd aan de functionaliteit zelf): na instellen, als je dan direct uitlogt redirect hij terug naar https://tweakers.net/instellingen/.../, wat uiteraard niet toegankelijk is als niet-ingelogde gebruiker... Zou een redirect naar de homepagina dan niet beter zijn?
Een klein iets (ongerelateerd aan de functionaliteit zelf): na instellen, als je dan direct uitlogt redirect hij terug naar https://tweakers.net/instellingen/.../, wat uiteraard niet toegankelijk is als niet-ingelogde gebruiker... Zou een redirect naar de homepagina dan niet beter zijn?
[ Voor 3% gewijzigd door azerty op 02-04-2021 11:44 ]
:strip_icc():strip_exif()/u/53213/crop57ace20969734.jpeg?f=community)
/u/69484/crop65eb3317e5e80.png?f=community)
@Moonsugar Ik vermoed dat je dit even moet pushen naar je testers. Het is echt toevallig dat ik dit hier lees 
Maar, ik ga meteen aan de slag voor je.
Maar, ik ga meteen aan de slag voor je.
FreeReef.nl
Dat vermoeden had ik al! Ik ga morgen even wat dm’s uitsturen.:
@Moonsugar Ik vermoed dat je dit even moet pushen naar je testers. Het is echt toevallig dat ik dit hier lees
Maar, ik ga meteen aan de slag voor je.
Has wares if you have coin 💰
Zojuist de functionaliteit eventjes getest:
De herstelcodes vind ik wat verwarrend; normaal gezien mag je gelijk welke code gebruiken als je een lijstje hebt gekregen, maar bij de huidige implementatie moet je eerst code 1 invullen, de volgende keer dat je hem nodig hebt code 2 etc.
Dit is nergens duidelijk gemaakt en zorgt voor een beetje verwarring en kan denk ik leiden tot paniek bij mensen als ze niet meer aan hun geliefde Tweakers account kunnen
Verder zou het ook handig zijn om te zien hoeveel codes je nog over hebt (bijv zoals bij Google, "je hebt nog 10/10 recovery codes over").
De herstelcodes vind ik wat verwarrend; normaal gezien mag je gelijk welke code gebruiken als je een lijstje hebt gekregen, maar bij de huidige implementatie moet je eerst code 1 invullen, de volgende keer dat je hem nodig hebt code 2 etc.
Dit is nergens duidelijk gemaakt en zorgt voor een beetje verwarring en kan denk ik leiden tot paniek bij mensen als ze niet meer aan hun geliefde Tweakers account kunnen
Verder zou het ook handig zijn om te zien hoeveel codes je nog over hebt (bijv zoals bij Google, "je hebt nog 10/10 recovery codes over").
[ Voor 10% gewijzigd door azerty op 21-04-2021 10:21 ]
:strip_icc():strip_exif()/u/79018/crop6244312d860f5_cropped.jpg?f=community)
Dit staat uitgelegd op de pagina waar je de herstelcodes kunt overnemen. Zou je dit (ook) op een andere plek willen zien?:
Zojuist de functionaliteit eventjes getest:
De herstelcodes vind ik wat verwarrend; normaal gezien mag je gelijk welke code gebruiken als je een lijstje hebt gekregen, maar bij de huidige implementatie moet je eerst code 1 invullen, de volgende keer dat je hem nodig hebt code 2 etc.
Dit is nergens duidelijk gemaakt en zorgt voor een beetje verwarring en kan denk ik leiden tot paniek bij mensen als ze niet meer aan hun geliefde Tweakers account kunnen
Daar had ik dus overgelezen
Het lijkt me wel handig om dit eventueel op de pagina te vermelden waar je de code moet invoeren bij inloggen, zodat je (als het al héél lang geleden was dat je die codes gedownload had) daar nog een herinnering krijgt.
Wat gebeurt er trouwens als je de 10 codes opgebruikt hebt? Kan je dan nieuwe downloaden?
jep, wanneer je token 7 en later gebruikt krijg je een mailtje met de waarschuwing dat je bijna door de codes heen bent. Je kunt dan vanuit een link in die mail nieuwe codes genereren, waarna evt oude codes ook direct vervallen.
Het is volgens mij voor herstelcodes wel gebruikelijk dat je ze slechts opvolgend kunt gebruiken; dus zo raar is het niet. Maar ben het wel met je eens dat het belangrijk is dit duidelijk te communiceren
Einstein: Mijn vrouw begrijpt me niet
Wij hebben vandaag tweefactorauthenticatie voor de gehele community gereleased, het .plan kun je hier lezen: https://tweakers.net/plan/3096/tweefactorauthenticatie-vanaf-vandaag-beschikbaar-op-tweakers.html
Has wares if you have coin 💰
1password lijkt het automatisch inloggen waarbij het invullen van de token automatisch gebeurd niet te herkennen. Het genereren van de eenmalige code gaat overigens wel goed en kan daar dus ook mee inloggen.
Verder wel top dat dit geïmplementeerd is, prettige gedachte dat de beveiliging op orde is naast dat we er bijna dagelijks over discuseieren
Edit: iOS wordt niet herkend maar Firefox desktop browser wel.
Verder wel top dat dit geïmplementeerd is, prettige gedachte dat de beveiliging op orde is naast dat we er bijna dagelijks over discuseieren
Edit: iOS wordt niet herkend maar Firefox desktop browser wel.
[ Voor 8% gewijzigd door Miki op 28-04-2021 13:56 ]
:strip_exif()/u/56159/archer.gif?f=community)
1Password (de 'ouderwetse' extensie met app, niet die ene die compleet in-browser draait) autofill werkt voor mij prima op macOS
Ik had dit al in de reacties onder het artikel geplaatst maar realiseer me dat de feedback hier beter op zijn plaats is:
Ik had dit al in de reacties onder het artikel geplaatst maar realiseer me dat de feedback hier beter op zijn plaats is:
Elke moderne smartphone (Android 7+, iOS 14+) heeft de relevant hardware ingebouwd. Daar heeft Tweakers zelf het nodige over geschreven:
- nieuws: Google start met vingerafdrukauthenticatie bij webdienst voor Android...
- nieuws: Safari kan gebruikers bij websites laten inloggen met Touch ID of Fac...
:
1Password (de 'ouderwetse' extensie met app, niet die ene die compleet in-browser draait) autofill werkt voor mij prima op macOS
Ik had dit al in de reacties onder het artikel geplaatst maar realiseer me dat de feedback hier beter op zijn plaats is:
[...]
Elke moderne smartphone (Android 7+, iOS 14+) heeft de relevant hardware ingebouwd. Daar heeft Tweakers zelf het nodige over geschreven:Een losse security key kopen is helemaal niet nodig. Browser support is ook prima: https://caniuse.com/webauthn en eenvoudig te testen op bijvoorbeeld https://webauthn.io/ of https://webauthn.me/
- nieuws: Google start met vingerafdrukauthenticatie bij webdienst voor Android...
- nieuws: Safari kan gebruikers bij websites laten inloggen met Touch ID of Fac...
:no_upscale():strip_icc():fill(white):strip_exif()/f/image/Hu4JMhhw3n1qrczaIENQ0NFS.jpg?f=user_large)
Samsung Browser, nieuwste update
/u/47143/crop67e315c19a3a9_cropped.png?f=community)
Dat zijn er best veel, maar ik heb geen idee hoeveel accounts er actief zijn
Sometimes you need to plan for coincidence
Ik begreep het nut als aanvulling voor een vrij snel verdwijnend .plan, ik doelde vooral op het nu nog steeds hebben ervan
:strip_icc():strip_exif()/u/372809/crop5a4f7e643d4c5_cropped.jpeg?f=community)
Ik check Tweakers elke dag, maar heb niks gezien over een aankondiging van 2FA...
Maar wel random dit topic tegen gekomen, dus 2FA staan aan
Ryzen 2700X, Gigabyte Aorus Gaming 7, G.Skills Ripjaws V 3200Mhz 16GB DDR4 RAM, PowerColor Red Devil 5700 XT, Samsung 970 250GB NVMe-SSD, 3x 5TB Toshiba HDD, 500GB Samsung Evo 850 SSD
:strip_icc():strip_exif()/u/443360/gimli-avatar_smaller.jpg?f=community){kind=avatar}
Pagina: 1
Dit topic is gesloten.