Twitter broedt op '2-factor'-inlog

De hack van mogelijk meer dan 250.000 accounts, vorige week, zit het management van Twitter niet lekker. Het social media-bedrijf overweegt nu invoering van een zogeheten two factor authentication. Dat leidt de nieuwssite Arstechnica.com af uit een vacaturemelding, waarin Twitter te kennen geeft op zoek te zijn naar software-engineers die zich moeten bezighouden met klantautenticatie en -identificatiezaken, zoals 'multifactor authenticatie en detectie van frauduleuze inlogpogingen'.

Redactie AG ConnectMeer van deze auteur

Geen bescherming tegen 'man in the middle'

Twitters huidige beveiligingen - SSL voor directe logins en OAuth voor Apps die toegang tot het Twitteraccount van de gebruiker vragen - voorkomen rechtstreekse inbreuk, maar bieden geen bescherming tegen afluisteraars ('man-in-the-middle') op een frauduleuze internettoegang. Ook blijft het in de huidige situatie mogelijk dat hackers inloggegevens achterhalen door gebruikers te misleiden ('social engineering').

Toevoeging van een 'tweede factor' in de inlog zou een extra horde voor wachtwoorddieven opwerpen. Die tweede factor kan van alles zijn, zo lang het maar gekoppeld is aan iets wat uniek is. Te denken van onder meer aan een lichaamskenmerk ('biometrie'), een chip in een card of sleutelhanger of de smartphone van de gebruiker. Die laatstgenoemde mogelijkheid wordt onder meer gebruikt door, Google, Dropbox en Microsoft om toegang vanaf 'niet gekende' computers afhankelijk te maken van een via SMS aan de gebruiker toegezonden code.

Geen wondermiddel

Arstechnica tekent in zijn bericht over de interesse van Twitter nog wel aan dat ook two-factor authenticatie geen wondermiddel is: vorig jaar slaagden hackers er in de helpdesk van Apple er van te overtuigen dat zij Mat Honan, redacteur van Wired, waren en dat hij een wijziging van wachtwoord en e-mailadres wenste. Met de nieuwe gegevens trokken ze een spoor van inbreuken door Honans accounts bij iCloud, Amazon, Gizmodo, Twitter en Gmail.