Improving Discord account security

Nyfos
  • Edited

Before starting, please apologize me for some errors in this text. I'm french, and my english is not perfect... 😅

 

Introduction:

Account security can be an important subject for everyone. From individual users with personnal conversations, to creators and profesionals holding sensitive data on their Discord account.
I lost access to my account one year ago, and the very hard process of account recovering, coupled to the long delays (I spent 6 months without access to my account), make the thing overcomplicated for a majority of people, sometimes young, that won't lead the process to an end.
Also remember that stolen accounts means possibly identity theft, and so potential dangers for friends or teams discussing with the hacked user, or even job loss.
What are we waiting? Let's improve Discord users safety!

 

Suggestion:

2FA stands for "Two Factor Authentification". Basically a code on your phone, changing all 60 seconds, that you need to put on Discord after entering your password for connection.

2FA isn't that secure if someone gets your token: I mean, you just need the token of an user to login and change 2FA, phone number, and password. What about making 2FA backup codes persistent across 2FA changes? By doing this, we could use our backup codes to reset 2FA even if someone changed 2FA settings on our account.
Another solution can simply be to get a permanent backup code. It would be shown only once, and used as a second token to login on a Discord account, kinda like bots tokens.

We could also create a setting (or enable this for everyone, with no exception and no disabling possibility) to force 2FA even if the connection was made using the Discord account token, but from an never-used location (like a new geographic location, IP adress, MAC adress...). This is already done by a lot of popular websites/applications, so why not Discord?

OK, I know this suggestion is very long and unreadable, so I will stop there. 😅
Thank you a lot for reading me! Remember to vote and share this suggestion link if you think this is a good idea to improve safety for everyone! 🙏🏽

10

Comments

3 comments

Date Votes
  • @volcanofr
    • Edited

    Here is the french 🇫🇷 version:

    ----

    Introduction :

    La sécurité des comptes est un sujet important pour tous. Des utilisateurs lambda avec conversations privés, aux créateurs et professionnels détenant du contenu sensible sur leur compte Discord.
    Nyfos a perdu l'accès de son compte il y a un an, et il y avait un processus long et difficile afin de récupérer son compte, complété avec de longs délais (Il a passé 6 mois sans avoir accès à son compte), font les choses make the thing excessivement compliqué pour une majorité de personnes, parfois jeunes, qui n'aboutiront pas à la fin.
    Il est aussi important de se rappeler que les comptes volé peuvent aboutir à un vol d'identité, ainsi que de potentiels dangers pour vos amis et les personnes susceptible de discuter avec le hacker à la place de vous. Pour les professionnels, cela peut conduire à une perte d'emploi.
    Qu'attendons-nous ? Améliorons la sécurité des utilisateurs Discord !

     

    Suggestion:

    A2F veut dire "Authentification à 2 Facteurs". En gros un code sur votre téléphone, qui change toutes les 60 secondes, que vous devez insérer sur Discord après avoir rentré vos identifiants pour vous connecter.

    L'A2F n'est pas autant sécurisé que ça. Si quelqu'un récupère votre token (appelé aussi clé) : je veux dire par là qu'il suffit de posséder le token d'un utilisateur pour se connecter et changer l'A2F, le numéro de téléphone, ainsi que le mot de passe du compte. Pourquoi pas alors faire en sorte d'avoir les codes de secours de l'A2F de manière persistante ? Cela voudrait dire que même si quelqu'un modifierait l'A2F, les codes de secours resteront utilisable sur votre compte.
    Une autre solution serait de simplement avoir un code de secours permanent. Il serait visible qu'une seule fois, et utilisé comme un token secondaire. On pourrait comparer cette solution aux tokens des bots.

    Nous pourrions aussi créer un paramètre (ou activer cela pour tous, sans possibilité de désactivation) de forcer la vérifiaction avec A2F même si la connexion a été faite avec un token (et non pas identifiants), mais d'une localisation n'ayant pas encore été utilisée par le compte (nouvelle localisation géographique, adresse IP, adresse MAC...). Cela est déjà mis en place par de nombreux sites & applications populaires, alors pourquoi pas Discord ?

    OK, 

    OK, Nyfos sait que sa suggestion est vraiment longue et illisible, donc il va s'arrêter ici. 😅
    Merci beacoup de m'avoir lu! N'oubliez pas de voter et partager le lien de cette suggestion, c'est une bonne idée d'amélioration pour la sécurité de tous ! 🙏🏽

    0
  • @volcanofr
    • Edited

    My opinion about these suggestions:

    1. 2FA persistent backups
      So, if a hacker get access to an account and make some backup codes, they have access to this account forever? I don't think that this suggestion is possible...
    2. Permanent backup code
      Without any reset possible (without contacting Discord's support), that could be nice :D
    3. Force 2FA
      Why do you wanna make this a parameter? Make it for everybody (who have enabled 2FA) with even any alredy-knonw localisation would be great!
    Edit: 2FA persistent backups & Permanent backup code is the same thing: only one code shown once, in addition of actual backup codes system.
    1
  • Nyfos

    So, if a hacker get access to an account and make some backup codes, they have access to this account forever? I don't think that this suggestion is possible...

    Those backup codes should be shown only once.

     

    Why do you wanna make this a parameter? Make it for everybody (who have enabled 2FA) with even any alredy-knonw localisation would be great!

    Just a proposition in case they don't want to apply this change to everyone.

    0

Please sign in to leave a comment.