Poll
Reacties (22)
Nee, ik wil mijn telefoonnummer niet aan dit soort partijen/websites geven.
Telefoonnummer is prive en je wordt veel te afhankelijk van je telefoon aka verslaving.
22-02-2016, 13:43 door
Spiff has left the building
Stel ik twee-factor authenticatie in als dat wordt aangeboden?
Soms.
Tot op heden enkel wanneer dat vereist is voor wat ik nodig heb van een dienst.
Is twee-factor authenticatie vereist voor wat ik nodig heb, dan heb ik nauwelijks de keus om twee-factor authenticatie niet te gebruiken. Niet gebruiken is geen optie wanneer ik een dienst per se nodig heb.
Buiten dat, gebruik ik twee-factor authenticatie tot op heden niet, met name om de reden dat het te afhankelijk maakt van mijn mobiele telefoon, waarmee iets mis kan gaan, waardoor ik buitengesloten zou zijn van de betreffende dienst.
Daarnaast speelt tevens wat Anoniem 12:15 en 12:32 uur ook aangaven: mijn telefoonnummer is in principe privé, ik deel het niet met diensten wanneer dat niet noodzakelijk is.
Soms.
Tot op heden enkel wanneer dat vereist is voor wat ik nodig heb van een dienst.
Is twee-factor authenticatie vereist voor wat ik nodig heb, dan heb ik nauwelijks de keus om twee-factor authenticatie niet te gebruiken. Niet gebruiken is geen optie wanneer ik een dienst per se nodig heb.
Buiten dat, gebruik ik twee-factor authenticatie tot op heden niet, met name om de reden dat het te afhankelijk maakt van mijn mobiele telefoon, waarmee iets mis kan gaan, waardoor ik buitengesloten zou zijn van de betreffende dienst.
Daarnaast speelt tevens wat Anoniem 12:15 en 12:32 uur ook aangaven: mijn telefoonnummer is in principe privé, ik deel het niet met diensten wanneer dat niet noodzakelijk is.
Door Anoniem: Nee, ik wil mijn telefoonnummer niet aan dit soort partijen/websites geven.
Je hebt niet altijd een telefoonnummer nodig, je kunt ook vaak gebruikmaken van een smartphone app of een een fysieke token.Voor een aantal belangrijke diensten (zoals bank, e-mail en social media) heb ik two-factor authenticatie ingesteld. Maar voor de rest eigenlijk niet.
Soms: Hangt af van de soort dienst; wat voor informatie / functionaliteit er mee beschermd wordt.
Overigens gebruik ik een apart prepaid-nr voor SMS-tokens, zoals Digi-D.
Social media doe ik niet aan, ik neem aan dat die tegenswoordigs deze morgen ook 2fa gebruiken?
Je moet toch iets... *zucht*
Overigens gebruik ik een apart prepaid-nr voor SMS-tokens, zoals Digi-D.
Social media doe ik niet aan, ik neem aan dat die tegenswoordigs deze morgen ook 2fa gebruiken?
Je moet toch iets... *zucht*
22-02-2016, 16:15 door
Erik van Straten
Ik zeg niet dat je het niet moet toepassen. Maar bij 2FA bestaat het risico dat men bij compromise van 1 factor de schouders ophaalt, denkende "we hebben de andere factor toch nog...".
Bovendien gaat het soms echt fout, zie http://www.theregister.co.uk/2011/06/06/lockheed_martin_securid_hack/ maar ook enkele dagen geleden:
Uit https://blog.linode.com/2016/02/19/security-investigation-retrospective/ (bron: http://www.theregister.co.uk/2016/02/22/linode_lines_up_new_policy_features_after_2015s_breaches/):
Bovendien gaat het soms echt fout, zie http://www.theregister.co.uk/2011/06/06/lockheed_martin_securid_hack/ maar ook enkele dagen geleden:
Uit https://blog.linode.com/2016/02/19/security-investigation-retrospective/ (bron: http://www.theregister.co.uk/2016/02/22/linode_lines_up_new_policy_features_after_2015s_breaches/):
February 19, 2016 3:30 pm, by Linode Security Team:
[...]
Linode uses TOTP to provide two-factor authentication. This is an algorithm that uses a secret key stored on, and shared between, our server and the customer’s two-factor authentication app (such as Google Authenticator). The algorithm generates a time-sensitive code that the user provides during login as an additional authentication component. We encrypt these secret keys when storing them in our database.
After examining the image from our July investigation, we discovered software capable of generating TOTP codes if provided a TOTP key. We found software implementing the decryption method we use to secure TOTP keys, along with the secret key we use to encrypt them. We also found commands in the bash history that successfully generated a one-time code. Though the credentials found were unrelated to any of the unauthorized Linode Manager logins made in December, the discovery of this information significantly changed the seriousness of our investigation.
[...]
[...]
Linode uses TOTP to provide two-factor authentication. This is an algorithm that uses a secret key stored on, and shared between, our server and the customer’s two-factor authentication app (such as Google Authenticator). The algorithm generates a time-sensitive code that the user provides during login as an additional authentication component. We encrypt these secret keys when storing them in our database.
After examining the image from our July investigation, we discovered software capable of generating TOTP codes if provided a TOTP key. We found software implementing the decryption method we use to secure TOTP keys, along with the secret key we use to encrypt them. We also found commands in the bash history that successfully generated a one-time code. Though the credentials found were unrelated to any of the unauthorized Linode Manager logins made in December, the discovery of this information significantly changed the seriousness of our investigation.
[...]
Ik gebruik 2FA waar mogelijk, vooral DigiD, DNS portal, Google en de bank.
Ik laat het vooral aan de sec researchers over om dit goed aan de kaak te stellen en te kraken en tot die tijd geloof ik dat het 'redelijk' proven technology is.
Ik laat het vooral aan de sec researchers over om dit goed aan de kaak te stellen en te kraken en tot die tijd geloof ik dat het 'redelijk' proven technology is.
NOOOOI!!!
Als ze mijn telefoon jatten, dan hebben ze alles!
En interdaad, al die mensen in hun telefoons -.-'
Als ze mijn telefoon jatten, dan hebben ze alles!
En interdaad, al die mensen in hun telefoons -.-'
Ik ga er een 2e simkaart voor kopen met een tel nummer dat ik alleen daarvoor gebruik en niemand geef...
Door Anoniem: Soms: Hangt af van de soort dienst; wat voor informatie / functionaliteit er mee beschermd wordt.
Overigens gebruik ik een apart prepaid-nr voor SMS-tokens, zoals Digi-D.
Social media doe ik niet aan, ik neem aan dat die tegenswoordigs deze morgen ook 2fa gebruiken?
Je moet toch iets... *zucht*
Overigens gebruik ik een apart prepaid-nr voor SMS-tokens, zoals Digi-D.
Social media doe ik niet aan, ik neem aan dat die tegenswoordigs deze morgen ook 2fa gebruiken?
Je moet toch iets... *zucht*
zinvol een prepaid aanschaffen om je digi-d codes te ontvangen. alleen leggen ze direct even vast dat je prepaid nummer bij dat digid nummer hoort. Aan je digid nummer hangt gewoon je NAW gegevens. ofwel geld uitgegeven aan telefoon die je direct even registreerd voor de overheid.
Door Anoniem: NOOOOI!!!
Als ze mijn telefoon jatten, dan hebben ze alles!
En interdaad, al die mensen in hun telefoons -.-'
Als ze mijn telefoon jatten, dan hebben ze alles!
En interdaad, al die mensen in hun telefoons -.-'
tegenwoordig is het vrij simpel om je telefoon op afstand te wissen, dus dat ze alles hebben is een overtrokken reactie.
daarbij mag ik hopen dat je een fatsoenlijke code op je telefoon hebt zitten.
Tweevoudig zoals met de ING ??
Inlognaam dan ww
Als je een transactie wil doen krijg je een 6 cijferig nummer op je gsm.
Dat werkt leuk. Maar kan uiteraard altijd veiliger.
MAAR!!!!
Wanneer je WW vergeten klikt, dan krijg je 6 cijfers via sms!
Daarmee kan iedereen inloggen die de inlognaam kent en de GSM in handen heeft.
Als je daarna een transactie wil doen krijg je 6 cijfers op die ZELFDE GSM!!
Ik maak wel meer fouten in mijn reacties al hier, vaak vergeet ik een zin met belangrijke details.
Vertel me A.U.B. dat ik iets gemist heb.
Inlognaam dan ww
Als je een transactie wil doen krijg je een 6 cijferig nummer op je gsm.
Dat werkt leuk. Maar kan uiteraard altijd veiliger.
MAAR!!!!
Wanneer je WW vergeten klikt, dan krijg je 6 cijfers via sms!
Daarmee kan iedereen inloggen die de inlognaam kent en de GSM in handen heeft.
Als je daarna een transactie wil doen krijg je 6 cijfers op die ZELFDE GSM!!
Ik maak wel meer fouten in mijn reacties al hier, vaak vergeet ik een zin met belangrijke details.
Vertel me A.U.B. dat ik iets gemist heb.
Door Anoniem:
zinvol een prepaid aanschaffen om je digi-d codes te ontvangen. alleen leggen ze direct even vast dat je prepaid nummer bij dat digid nummer hoort. Aan je digid nummer hangt gewoon je NAW gegevens. ofwel geld uitgegeven aan telefoon die je direct even registreerd voor de overheid.
Inderdaad, dat was ook de bedoeling.Door Anoniem: Soms: Hangt af van de soort dienst; wat voor informatie / functionaliteit er mee beschermd wordt.
Overigens gebruik ik een apart prepaid-nr voor SMS-tokens, zoals Digi-D.
Social media doe ik niet aan, ik neem aan dat die tegenswoordigs deze morgen ook 2fa gebruiken?
Je moet toch iets... *zucht*
Overigens gebruik ik een apart prepaid-nr voor SMS-tokens, zoals Digi-D.
Social media doe ik niet aan, ik neem aan dat die tegenswoordigs deze morgen ook 2fa gebruiken?
Je moet toch iets... *zucht*
zinvol een prepaid aanschaffen om je digi-d codes te ontvangen. alleen leggen ze direct even vast dat je prepaid nummer bij dat digid nummer hoort. Aan je digid nummer hangt gewoon je NAW gegevens. ofwel geld uitgegeven aan telefoon die je direct even registreerd voor de overheid.
Dat prepaid heeft natuurlijk niets met anonimiteit te maken (want SMS-tokens voor een dienst waar ik reeds bekend ben = Digi-D / bank / etc), maar met het scheiden van media en zo goedkoop mogelijk zijn.
Als bonus heb ik minder last van bedrijven die me rond etenstijd lastig gaan vallen met vragen over hypotheken, verzekeringen en andere zwendel.
Daarnaast maak ik me persoonlijk niet zoveel (lees: "geen enkele") zorgen over "getapt worden door de roverheid," zolang burgers (nog?) niet vervolgd worden wegens een afwijkend gedachtegoed tenminste.
Bedrijven zijn de grote smeerlappen wat dat betreft (= smartphone), de overheid maakt het alleen maar mogelijk.
Ook dwingt mij dat gebruik te maken van mij bekende systemen voor bepaalde toepassingen (ook zakelijk, maar da's een ander verhaal), omdat die prepaid-telefoon gewoon fijn thuis in de bureaula ligt. Dan maar niet even mijn banksaldo kunnen checken terwijl ik in de file sta...
Defense in depth, waaronder fysieke toegang, of zoiets...
En dat voor €10,- per jaar!
Door Anoniem: NOOOOI!!!
Als ze mijn telefoon jatten, dan hebben ze alles!
En interdaad, al die mensen in hun telefoons -.-'
Als ze mijn telefoon jatten, dan hebben ze alles!
En interdaad, al die mensen in hun telefoons -.-'
Nee hoor, dan hebben ze één van jouw twee factoren voor authenticatie, helemaal niets aan de hand.
Verder sluit ik me aan bij Anoniem 11:34, gewoon een fatsoenlijke code op die telefoon zetten en evt remote wipen.
Nee hoor, dan hebben ze één van jouw twee factoren voor authenticatie, helemaal niets aan de hand.
Verder sluit ik me aan bij Anoniem 11:34, gewoon een fatsoenlijke code op die telefoon zetten en evt remote wipen.
Verder sluit ik me aan bij Anoniem 11:34, gewoon een fatsoenlijke code op die telefoon zetten en evt remote wipen.
Na de eerste gebroken vinger geef je die fatsoenlijke code wel af.
Zonder telefoon/computer en/of een spiekbriefje is het moeilijk wipen.
Bovendien heeft spalken van je gebroken vingers en pijnbestrijding waarschijnlijk voor jou dan meer priortijd.
Binnen 10 minuten is je spaar en je bank tegoed overgeschreven naar naar Bitcoins.
De bank zal stellen dat je nalatig bent geweest om na middernacht in die buurt te gaan stappen.
Als je foon ook nog je auto sleutel is, dan kun je voorlopig gaan lopen.
Als je daarna met je gebroken vingers op het toilet zit kijk je toch heel anders tegen wipen aan.
Door Anoniem: Nee, ik wil mijn telefoonnummer niet aan dit soort partijen/websites geven.
Prepaid dingetje kost een paar tientjes incl. voldoende tegoed om sms'en te ontvangen.Wel altijd alle sms'en en historie verwijderen zodat bij verlies of diefstal niet te achterhalen valt dat de telefoon voor authenticatie gebruikt is. Je kunt er ook een prepaid credit card mee activeren zonder dat bekend is wie je bent. Altijd handig.
Door Anoniem: NOOOOI!!!
Als ze mijn telefoon jatten, dan hebben ze alles!
En interdaad, al die mensen in hun telefoons -.-'
Als ze mijn telefoon jatten, dan hebben ze alles!
En interdaad, al die mensen in hun telefoons -.-'
Hoezo hebben ze alles? Twee factor authenticatie is iets wat je weet en iets wat je hebt. Als je telefoon gestolen wordt hebben ze alleen iets wat je hebt (of in dit geval had), maar niet iets wat je weet, dus zou je account nog steeds niet gecompromiteerd moeten zijn.
En als je "wachtwoord onthouden" aanvinkt op je telefoon, dan ben je zelf gewoon niet goed bezig.
Door Anoniem: NOOOOI!!!
Als ze mijn telefoon jatten, dan hebben ze alles!
En interdaad, al die mensen in hun telefoons -.-'
Als ze mijn telefoon jatten, dan hebben ze alles!
En interdaad, al die mensen in hun telefoons -.-'
Internetbankieren op een telefoon, dezelfde waar je ook de TAN-codes op ontvangt, is per definitie onveilig.
Dat is net zoiets als je pincode op je pinpas schrijven.
Als het TOTP, HOTP of U2F is gebruik ik het wel.
Maar als het via SMS werkt waarbij ze je telefoonnummer willen koppelen dan liever niet.
Ook als er geen backup/recovery codes aangeboden worden voor HOTP/TOTP worden dan liever niet i.v.m. verlies van telefoon/yubikey dan meestal leidt tot verlies van account.
Mijn voorkeur van 2FA techniek gaat momenteel uit naar de U2F standaard, grootendeels vanwege het GEEN gebruik van een gedeeld geheim wat bij TOTP en HOTP wel het geval is.
Helaas wordt U2F nog niet veel ondersteund omdat het nog redelijk nieuw is.
TOTP is wel veiliger dan HOTP omdat het tijdgeboden is.
Maar TOTP op een telefoon is weer relatief redelijk onveilig door het onvertrouwd systeem wat met een echte hardware HOTP oplossing juist niet het geval is.
Maar als het via SMS werkt waarbij ze je telefoonnummer willen koppelen dan liever niet.
Ook als er geen backup/recovery codes aangeboden worden voor HOTP/TOTP worden dan liever niet i.v.m. verlies van telefoon/yubikey dan meestal leidt tot verlies van account.
Mijn voorkeur van 2FA techniek gaat momenteel uit naar de U2F standaard, grootendeels vanwege het GEEN gebruik van een gedeeld geheim wat bij TOTP en HOTP wel het geval is.
Helaas wordt U2F nog niet veel ondersteund omdat het nog redelijk nieuw is.
TOTP is wel veiliger dan HOTP omdat het tijdgeboden is.
Maar TOTP op een telefoon is weer relatief redelijk onveilig door het onvertrouwd systeem wat met een echte hardware HOTP oplossing juist niet het geval is.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
