Nieuws - Tweeps hoeven niet langer een sms'je te gebruiken om tweefactorauthenticatie in te zetten. Twitter komt met een nieuwe cryptomethode waardoor sms'jes en het invoeren van codes verleden tijd is.
Verificatie via sms’jes is volgens Twitter geen wenselijke situatie, onder meer omdat sms-verkeer onderschept kan worden of omdat hackers de gebruikte OATH-tokens kunnen opslurpen als er op de server wordt ingebroken.
Twitter heeft daarom een andere methode waarbij gebruikers met hun eigen sleutel communiceren met de microbloggingsdienst om zich aan te melden. In plaats van sms’jes, gebruikt het nieuwe systeem een splinternieuwe verificatiefunctie in de Twitter-app voor iOS en Android.
Sleutel naar app
De telefoon genereert een 2048-bit asymmetrisch sleutelpaar waarbij lokaal een privésleutel wordt opgeslagen en de publieke op een server van Twitter komt te staan. Bij het inloggen op de site, wordt er een bevestiging die is afgeleid uit de publieke sleutel naar de mobiele applicatie gestuurd waarna de gebruiker de toegang op Twitter goed- of afkeurt.
Met de bevestiging wordt een unieke code teruggestuurd op basis van de privésleutel die geverifieerd wordt door Twitter. Een belangrijk voordeel voor gebruikers – behalve dat je geen mobiel bereik hoeft te hebben – is dat er geen nummers meer hoeven worden ingetoetst, maar de gebruiker verifieert door de toegangsaanvraag te bevestigen.
Marlinspike en Miller
Bij het eventuele onderscheppen van de publieke sleutel, is een hacker dan nog steeds niet in staat om in te loggen op iemands Twitter-account, omdat deze niet beschikt over de privésleutel. Een alternatieve methode is door het gebruik van een back-up-code. Gebruikers bewaren deze voor het geval ze geen telefoon in de buurt hebben.
Twitter timmert stevig aan de weg aan encryptiemethodes. Eerder kocht het bedrijf de cryptotoko van vooraanstaand hacker Moxie Marlinspike. En vorig jaar haalde het bedrijf de bekende beveiligingsexpert Charlie Miller – voorheen NSA-mederwerker en nu vooral bekend als de Mac-hacker – in huis.
---
Eigenlijk zouden de banken dit al veel eerder gedaan moeten hebben om het internetbankieren veilig en comfortabel te maken, het principe dat aan de nieuwe cryptomethode ten grondslag ligt is waarschijnlijk helemaal niet zo nieuw.
Dat de banken weinig inzet laten zien op dit punt heeft waarschijnlijk meer te maken met de moeite die de banken moeten doen om het op hun servers te implementeren. Zonder dat extra werk kunnen ze hun systemen maar amper draaiende houden...
Dat Twitter dit nu invoert zal misschien een aansporing daartoe worden.