Verhoogd aantal account-aanvallen: activeer tweestapsverificatie (2FA)

En om af te sluiten nog deze.

Stel ik wil weten of mijn extreemrechtse buurman op BG zit, want sommige uitspraken komen me toch wel bekend voor!
Ik ken die mens zijn email adres... BG laat mij meteen weten of die hier zit:

Als hij hier niet bestaat:
"De gevraagde gebruiker ... kon niet gevonden worden."
Klik om te vergroten...
Als hij hier wel bestaat:
"Foutief wachtwoord. Gelieve opnieuw te proberen."
Klik om te vergroten...
:wallbash: Dat zijn zo van die dingentjes... komop hoe moeilijk is het? :headshake:
 
Five-seveN zei:
Dat is toen niet gemeld in deze openingspost en zit een beetje verdoken in de menu's.
Kennelijk omdat jij een MFA token van BG beter vindt dan een SSO platform gebruiken? Dat leid ik toch af uit uw reactie.
Klik om te vergroten...
Zo rancuneus ben ik (nog net) niet :unsure: (anders had ik toen zelfs nooit de moeite gedaan om het intern te vermelden en pro-actief te configureren op de verschillende platformen/activeren/testen :fingerguns: ).

Gewoon op de ouderwetse manier is iedereen dat compleet vergeten in de chaos van dat moment (was in het midden van de jaarlijkse Algemene Vergadering).
Is nu pas sinds vandaag (omdat ik er naar toe wou linken in de reactie op Cerv.Be) en zelf geen anouncement erover vond, dat ik het zelf ontdekte dat hierover nooit werd gecommuniceerd.

Five-seveN zei:
We moeten u zeker niet herinneren aan de 9lives hack waar de volledige database met gegevens, emails en (hashed?) passwoorden op straat gegooid werd? Moeten wij BG en de BG crew meer vertrouwen met onze data dan Google of Facebook?
Klik om te vergroten...
Met het grote risico dat dit verkeerd en enorm overmoedig gaat overkomen, maar daar durf ik echt oprecht "ja" op antwoorden :unsure:

In tegenstelling tot zowel Telenet als Google/Facebook/Twitter/Github (= nu eigenlijk ook Microsoft) hebben wij hier geen zeer grote circulatie van interne/externe werknemers/medewerkers/consultants met dubieuze/ongecontroleerde toegang tot onze servers/software/gegevens, noch investeerders/adverteerders die ons onder druk zetten om deze gegevens te misbruiken.
Hoe tegenstrijdig het ook klinkt: ondanks dat (en tegelijkertijd ook doordat) wij nu een pak kleiner zijn, is er vandaag géén kans op random cowboys die volledig zonder ons medeweten intern dingen ermee kunnen doen die het daglicht niet mogen zien.

Five-seveN zei:
Daarom kan je de mensen ook veel beter laten inloggen via hun usernaam. Dan weten hackers namelijk ook niet welk email adressen ze moeten gebruiken om dit forum...
Klik om te vergroten...
Wanneer je de OAuth2 verbinding effectief maakt, staat er (normaalgezien) altijd bij welke "scopes" (aka informatie) er gevraagd van de externe services en of je er mee akkoord gaat. Dan ga mogelijks wel wat schrikken wat voor informatie daarmee doorgestuurd wordt :unsure:

Five-seveN zei:
:wallbash: Dat zijn zo van die dingentjes... komop hoe moeilijk is het? :headshake:
Klik om te vergroten...
Dat is inderdaad een gekende probe methode :) Ik vermoed dat de ontwerpers van deze software de UX voor de modale gebruikers verkiezen boven de veiligheid (maar daar heb ik geen bronnen van, noch weet dat deze discussie met hen werd gevoerd), want dat zijn zeker geen amateurs.
 
Laatst bewerkt:
Cyberkef zei:
Wanneer je de OAuth2 verbinding effectief maakt, staat er (normaalgezien) altijd bij welke "scopes" (aka informatie) er gevraagd van de externe services en of je er mee akkoord gaat. Dan ga mogelijks wel wat schrikken wat voor informatie daarmee doorgestuurd wordt :unsure:
Klik om te vergroten...
Merci voor u reactie. Voor dit stukje bedoelde ik gewoon puur de BG logins, geen SSO van andere partij.
Dus laten inloggen met de username en geen mogelijkheid tot inloggen met de email.
Zo voorkom je dat hacked databanken hier geprobeerd worden. Maarja je kan niet aan alle code neem ik aan.
Cyberkef zei:
Dat is inderdaad een gekende probe methode :) Ik vermoed dat de ontwerpers van deze software de UX voor de modale gebruikers verkiezen boven de veiligheid (maar daar heb ik geen bronnen van, noch weet dat deze discussie met hen werd gevoerd), want dat zijn zeker geen amateurs.
Klik om te vergroten...
Kunnen jullie die tekst dan niet aanpassen dat dat 2x dezelfde tekst is?
Het is in het Nederlands ik dacht zelfs dat jullie die nu al zelf getypt hadden.
Als die tekst niet aan te passen is dan is de software toch vrij beperkt imo.
 
Ook hier weer een prachtig staaltje dualiteit: hoe meer we aanpassen, hoe meer gezeik we hebben om de boel te onderhouden/upgraden (+ die bots kijken daar toch niet naar, zij dumpen gewoon vanalles in die text inputs). Het is een zéér dunne lijn om te bewandelen.
Hoewel we momenteel op de meest recente versie van xf 2.2.x zitten (security updates worden zo goed als bijna altijd zelfs al binnen het uur van release gepatched op productie 💪 ), zijn we al meerdere maanden bezig met voorbereidingen voor de nieuwe major upgrade (XF 2.3.x) door alle huidige aanpassingen (voornamelijk ikv de frontpage en iTraders) :crazy:

Gelukkig is nog niet zo erg als ons vorig leven, maar het begint toch terug de frustrerende kant uit te gaan :angry: (ze spreken ondertussen al van een vroegere 2.4 release omdat de 3.x release te lang zou duren :scream: ). Het mag toch nooit es gewoon gemakkelijk gaan he.
 
Laatst bewerkt:
Je moet ingelogd zijn om te kunnen reageren. Aanmelden | Registreren

Vergelijkbare onderwerpen

nestorius
Hoe bescherm jij jouw gegevens op internet.
3 4 5
Reacties
93
Weergaven
9K
Philharmoniker
Philharmoniker
Loser
  • Gesloten
  • Artikel Artikel
FAQ Forum
2 3
Reacties
50
Weergaven
8K
Loser
Loser
Terug
Bovenaan