image

Aanvaller schakelt multifactorauthenticatie in voor gekaapt account

zondag 21 juni 2020, 08:19 door Redactie, 15 reacties

Allerlei diensten bieden tegenwoordig multifactorauthenticatie aan, maar in de praktijk blijkt dat de meeste gebruikers hier geen gebruik van maken. En dat kan een probleem zijn wanneer het account wordt gekaapt. Wanneer een aanvaller voor een gekaapt account multifactorauthenticatie inschakelt maakt dit het veel lastiger voor de oorspronkelijke eigenaar om het account terug te krijgen, zo meldt it-journalist Brian Krebs.

Krebs werd getipt over een incident waarbij een Xbox-account door een aanvaller was overgenomen, die vervolgens multifactorauthenticatie voor het account inschakelde. Hierdoor kon de oorspronkelijke eigenaar niet het wachtwoord resetten zonder toestemming van de aanvaller. De gebruiker nam contact op met Microsoft en kreeg een lijst met allerlei vragen teruggestuurd om te beantwoorden. Zo zou de gebruikers kunnen aantonen de legitieme eigenaar van het account te zijn.

Ondanks het beantwoorden van de vragen werd het accountwachtwoord toch niet gereset. Uiteindelijk werd het incident naar een andere supportafdeling geëscaleerd. Daar werd de gebruiker geholpen bij het aanmaken van een nieuw Microsoftaccount waar het Xbox-profiel aan werd gekoppeld. "Het niet inschakelen van multifactorauthenticatie wanneer het wordt aangeboden is een veel groter risico voor mensen die op meerdere websites hun wachtwoorden hergebruiken", aldus Krebs.

Twee jaar geleden liet onderzoek van Google zien dat minder dan tien procent van de Gmail-gebruikers tweefactorauthenticatie had ingeschakeld. Volgens onderzoekers van Indiana University komt dit niet doordat mensen het beveiligen van hun account niet belangrijk vinden of niet de extra moeite willen nemen, maar omdat de risico's niet goed worden gecommuniceerd. Gebruikers krijgen niet duidelijk uitgelegd waarom de extra beveiligingslaag nodig is. Daarnaast is het ook belangrijk dat ontwikkelaars naar de gebruiksvriendelijkheid voor het inschakelen en gebruiken van tweefactorauthenticatie kijken.

Reacties (15)
21-06-2020, 08:26 door Anoniem
Wacht, "2FA" lost niet alle problemen op maar is zelfs een risico voor hen die niet gelijk met de muziek meelopen?

Wie had dat nu kunnen bedenken?

Een betere vraag is zelfs nog, wie had het moeten bedenken en heeft het niet gedaan?
21-06-2020, 11:02 door Anoniem
Door Anoniem: Wacht, "2FA" lost niet alle problemen op maar is zelfs een risico voor hen die niet gelijk met de muziek meelopen?

Wie had dat nu kunnen bedenken?

Een betere vraag is zelfs nog, wie had het moeten bedenken en heeft het niet gedaan?

2FA is een oplossing voor een probleem, namelijk het hacken van een account. Dat hacken kan weer doordat mensen lui en gemakszuchtig zijn. Vaak hetzelfde wachtwoord, makkelijke wachtwoorden etc.

En als je dan zo lui bent geweest en 2FA niet hebt ingeschakeld om je account te beschermen, dan doet een hacker dat wel op het moment dat hij je wachtwoord weet te raden. Daarna vult hij zijn eigen gegevens in en kan de oorspronkelijke eigenaar er niet meer bij. Als de oorspronkelijke eigenaar een fatsoenlijk wachtwoord had ingesteld was het waarschijnlijk ook niet gebeurd.
21-06-2020, 11:54 door Anoniem
Bij Microsoft 2FA accounts kan de inlogger zelf het te bellen telefoonnummer instellen als dit nog niet gebeurd is.
(en soms zelfs als dat al wel gebeurd is, afhankelijk van de instellingen)

Tja, daarmee heeft 2FA natuurlijk meteen alle waarde verloren...
21-06-2020, 15:53 door Anoniem
Door Anoniem: 2FA is een oplossing voor een probleem, namelijk het hacken van een account. Dat hacken kan weer doordat mensen lui en gemakszuchtig zijn. Vaak hetzelfde wachtwoord, makkelijke wachtwoorden etc.
"Hacken" betekent niets, ergo 2FA is een oplossing voor een probleem van niets.

Als dat niet is wat je bedoelde, probeer het nog eens met termen die wel wat betekenen.

En als je dan zo lui bent geweest en 2FA niet hebt ingeschakeld om je account te beschermen, dan doet een hacker dat wel op het moment dat hij je wachtwoord weet te raden. Daarna vult hij zijn eigen gegevens in en kan de oorspronkelijke eigenaar er niet meer bij. Als de oorspronkelijke eigenaar een fatsoenlijk wachtwoord had ingesteld was het waarschijnlijk ook niet gebeurd.
Oftewel je gaat er met gestrekt been in en geeft de slachtoffers de schuld van de nare gevolgen van deze "verbetering".
21-06-2020, 16:16 door Anoniem
Niet gebruik maken van "2FA" waar dit wel mogelijk is, betekent dus zelfs een dubbele security treat!

Daarom iedereen die het tot nu toe had verzuimd: als de donder aan de slag om die 2FA in te stellen.
"Nu, niet seffes, niet direkt, niet sebiet, niet weldra, maar nu! Maintenant, tout de suite, heute, ..."

The system needs your love!
21-06-2020, 17:52 door Anoniem
Door Anoniem:
Door Anoniem: Wacht, "2FA" lost niet alle problemen op maar is zelfs een risico voor hen die niet gelijk met de muziek meelopen?

Wie had dat nu kunnen bedenken?

Een betere vraag is zelfs nog, wie had het moeten bedenken en heeft het niet gedaan?

2FA is een oplossing voor een probleem, namelijk het hacken van een account. Dat hacken kan weer doordat mensen lui en gemakszuchtig zijn. Vaak hetzelfde wachtwoord, makkelijke wachtwoorden etc.

En als je dan zo lui bent geweest en 2FA niet hebt ingeschakeld om je account te beschermen, dan doet een hacker dat wel op het moment dat hij je wachtwoord weet te raden. Daarna vult hij zijn eigen gegevens in en kan de oorspronkelijke eigenaar er niet meer bij. Als de oorspronkelijke eigenaar een fatsoenlijk wachtwoord had ingesteld was het waarschijnlijk ook niet gebeurd.
Omdat men lui is!? Ga je mond spoelen aub, het is toch onvoorstelbaar dat je overal je telefoonnummer moet achterlaten. Met die uitspraak van je val je iedereen af behalve de criminelen die de oorzaak zijn van het probleem.
21-06-2020, 21:03 door Anoniem
wacht, 2fa stel je dus niet in via hetzelfde apparaat dat al in en in hackbaar is?? Goh, weer wat geleerd.......
22-06-2020, 00:45 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Wacht, "2FA" lost niet alle problemen op maar is zelfs een risico voor hen die niet gelijk met de muziek meelopen?

Wie had dat nu kunnen bedenken?

Een betere vraag is zelfs nog, wie had het moeten bedenken en heeft het niet gedaan?

2FA is een oplossing voor een probleem, namelijk het hacken van een account. Dat hacken kan weer doordat mensen lui en gemakszuchtig zijn. Vaak hetzelfde wachtwoord, makkelijke wachtwoorden etc.

En als je dan zo lui bent geweest en 2FA niet hebt ingeschakeld om je account te beschermen, dan doet een hacker dat wel op het moment dat hij je wachtwoord weet te raden. Daarna vult hij zijn eigen gegevens in en kan de oorspronkelijke eigenaar er niet meer bij. Als de oorspronkelijke eigenaar een fatsoenlijk wachtwoord had ingesteld was het waarschijnlijk ook niet gebeurd.
Omdat men lui is!? Ga je mond spoelen aub, het is toch onvoorstelbaar dat je overal je telefoonnummer moet achterlaten. Met die uitspraak van je val je iedereen af behalve de criminelen die de oorzaak zijn van het probleem.

Ik ga mijn mond niet spoelen. En ja, het is luiheid en gemakzucht. Dat wat jij crimineel noemt kan ook een scriptkiddie zijn die een tabel met veel gebruikte wachtwoorden en een tabel met vergaarde e-mail adressen combineren om te kijken of Facebook daarmee werkt. Dat is al vervelend, maar wat denk je van Amazon, E-bay, marktplaats etc?

Dus ja, helaas is 2FA nodig dus als je alle adviezen negeert kan je aan de beurt zijn. En aangezien er ontzettend veel aan je microsoft account kan hangen kan je in 1 klap alles kwijt zijn. Of zoals dit voorbeeld, hemel en aarde beewegen om iets terug te krijgen.

Een crimineel maakt nou eenmaal gebruik van een gat wat bestaat. Fatsoenlijke wachtwoorden en MFA waar dat kan zorgt ervoor dat het heel moeilijk wordt voor een crimineel.
22-06-2020, 08:12 door Anoniem
Ik hoop dat de gedupeerde zijn lesje duidelijk heeft geleerd waarom hij volgende keer die 2FA beter wel kan instellen en gebruiken.

2FA is een extra laag die je meteen alert erop maakt als iemand je account gehackt heeft en je dan de vraag krijgt of jij het bent die inlogt. Wel wakker zijn en beseffen dat jij het niet was dus weigeren want je zult het niet geloven hoevelen er achteloos op drukken zonder te beseffen wat er aan de hand is en alsnog akkoord drukken.
Het heeft mij in ieder geval beschermd tegen een hackertje uit de Oekraine die achter mijn 12 tekens lange ww was gekomen en meteen veranderd naar 21 tekens gegenereert door lastpass, naderhand was het stil.
Het is een extra laag, indien ingesteld, die als early warning dient dat er gerotzooid wordt met je account.
22-06-2020, 08:46 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Wacht, "2FA" lost niet alle problemen op maar is zelfs een risico voor hen die niet gelijk met de muziek meelopen?

Wie had dat nu kunnen bedenken?

Een betere vraag is zelfs nog, wie had het moeten bedenken en heeft het niet gedaan?

2FA is een oplossing voor een probleem, namelijk het hacken van een account. Dat hacken kan weer doordat mensen lui en gemakszuchtig zijn. Vaak hetzelfde wachtwoord, makkelijke wachtwoorden etc.

En als je dan zo lui bent geweest en 2FA niet hebt ingeschakeld om je account te beschermen, dan doet een hacker dat wel op het moment dat hij je wachtwoord weet te raden. Daarna vult hij zijn eigen gegevens in en kan de oorspronkelijke eigenaar er niet meer bij. Als de oorspronkelijke eigenaar een fatsoenlijk wachtwoord had ingesteld was het waarschijnlijk ook niet gebeurd.
Omdat men lui is!? Ga je mond spoelen aub, het is toch onvoorstelbaar dat je overal je telefoonnummer moet achterlaten. Met die uitspraak van je val je iedereen af behalve de criminelen die de oorzaak zijn van het probleem.

We moeten echt over op WebAuthn/FIDO2.

Dat heeft geen privacy probleem, maar gebruikt voor iedere website een nieuwe private/public key pair.
22-06-2020, 09:03 door Anoniem
Door Anoniem: wacht, 2fa stel je dus niet in via hetzelfde apparaat dat al in en in hackbaar is?? Goh, weer wat geleerd.......

Jawel, de programmeurs vertrouwen hun eigen code eigenlijk niet dus doen ze 2FA instellen. Zo maken ze de gebruiker verantwoordelijk voor hun probleem n.l. dat ze niet secure kunnen programmeren.
22-06-2020, 10:56 door Anoniem
Het help ook niet dat veel partijen alleen SMS als 2e factor aanbieden. Waarvan Facebook dit zelfs misbruikte voor advertenties: https://techcrunch.com/2018/09/27/yes-facebook-is-using-your-2fa-phone-number-to-target-you-with-ads/
22-06-2020, 11:08 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem: Wacht, "2FA" lost niet alle problemen op maar is zelfs een risico voor hen die niet gelijk met de muziek meelopen?

Wie had dat nu kunnen bedenken?

Een betere vraag is zelfs nog, wie had het moeten bedenken en heeft het niet gedaan?

2FA is een oplossing voor een probleem, namelijk het hacken van een account. Dat hacken kan weer doordat mensen lui en gemakszuchtig zijn. Vaak hetzelfde wachtwoord, makkelijke wachtwoorden etc.

En als je dan zo lui bent geweest en 2FA niet hebt ingeschakeld om je account te beschermen, dan doet een hacker dat wel op het moment dat hij je wachtwoord weet te raden. Daarna vult hij zijn eigen gegevens in en kan de oorspronkelijke eigenaar er niet meer bij. Als de oorspronkelijke eigenaar een fatsoenlijk wachtwoord had ingesteld was het waarschijnlijk ook niet gebeurd.
Omdat men lui is!? Ga je mond spoelen aub, het is toch onvoorstelbaar dat je overal je telefoonnummer moet achterlaten. Met die uitspraak van je val je iedereen af behalve de criminelen die de oorzaak zijn van het probleem.

We moeten echt over op WebAuthn/FIDO2.

Dat heeft geen privacy probleem, maar gebruikt voor iedere website een nieuwe private/public key pair.
Wat leuk dat je nog even wat buzzwords onder de discussie komt plakken.

Betekent wel dat jouw zilveren kogel mensen compleet afhankelijk maakt van hun ene browser en dus niet even ergens anders ook nog even kunnen inloggen. Of ze moeten gaan hannesen met een of andere usb-key die weg kan raken of stuk kan gaan, of ineens niet meer ondersteund wordt, of weetikhet.
23-06-2020, 13:29 door Anoniem
Door Anoniem:
We moeten echt over op WebAuthn/FIDO2.

Dat heeft geen privacy probleem, maar gebruikt voor iedere website een nieuwe private/public key pair.
Buzzword bingo....

maar gewoon een simpele authenticatie richting een een centrale authenticatie omgeving. Iets zoals google, microsoft, google, facebook of apple.
Centraal 1 authenticatie gebruiken, welke je goed beveiligd.

Door Anoniem: Het help ook niet dat veel partijen alleen SMS als 2e factor aanbieden. Waarvan Facebook dit zelfs misbruikte voor advertenties: https://techcrunch.com/2018/09/27/yes-facebook-is-using-your-2fa-phone-number-to-target-you-with-ads/
Jep. Had ik ook met twitter... Moest mij ineens authenticeren met een 06 nummer. Daarna heel snel dit nummer weggehaald bij Twitter. En tijdelijk nummer gebruikt.
28-06-2020, 09:14 door Legionnaire
Door Anoniem:
Door Anoniem:
We moeten echt over op WebAuthn/FIDO2.

Dat heeft geen privacy probleem, maar gebruikt voor iedere website een nieuwe private/public key pair.
Buzzword bingo....

maar gewoon een simpele authenticatie richting een een centrale authenticatie omgeving. Iets zoals google, microsoft, google, facebook of apple.
Centraal 1 authenticatie gebruiken, welke je goed beveiligd.

Door Anoniem: Het help ook niet dat veel partijen alleen SMS als 2e factor aanbieden. Waarvan Facebook dit zelfs misbruikte voor advertenties: https://techcrunch.com/2018/09/27/yes-facebook-is-using-your-2fa-phone-number-to-target-you-with-ads/
Jep. Had ik ook met twitter... Moest mij ineens authenticeren met een 06 nummer. Daarna heel snel dit nummer weggehaald bij Twitter. En tijdelijk nummer gebruikt.

Ik heb het zelfde probleem gehad met Twitter.
Had password, Black-up codes, alleen nog oude mobiele nummer in profiel staan.
Ik had ook dubbele verificatie aanstaan en ineens kon ik niet meer inloggen bij Twitter.
Nu blijkt dat Twitter een probleem heeft met dubbele verificatie en adviseert om het uit te zetten.
Maar als je er niet in kunt loggen, omdat je ineens ook je mobiele nummer moet gebruiken om in te loggen en ik nog de oude erin had zitten, zat ik vast.
Daarnaast kun je alleen via de Engelse site je probleem bij Twitter melden, maar kreeg constant de zelfde standaard email en kwam geen steek verder.
Gelukkig kom ik veel op de UTwente en heb een student gevraagd of hij het op kon lossen.
5 min later, alles weer bereikbaar en aangepast.
Heb ook op Instagram met mensen gesproken, die je ermee kunnen helpen.
Maar $100 betalen en hopen dat het goed komt was me iets te riskant .
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.