Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 152, views: 31.095 •

Google wil alle gebruikers verplichten om two-factor-authenticatie te gebruiken, als onderdeel van een strategie om de beveiliging te verbeteren. Nu is dat nog optioneel. Wanneer de wijziging moet ingaan, is op dit moment nog niet bekend.

Het verplicht stellen van two-factor-authenticatie kwam aan de orde tijdens een presentatie van de nieuwe beveiligingsstrategie van Google op het hoofdkantoor van de zoekgigant in Mountain View. Bij two-factor-authenticatie heeft een gebruiker naast zijn wachtwoord een extra authenticatiemiddel. In de praktijk is dat doorgaans de telefoon van de gebruiker, waarop een tijdgebaseerde code wordt gegenereerd die moet worden opgegeven bij het inlogproces.

Wanneer de wijziging moet ingaan is niet bekend, maar dat zal ergens in de komende vijf jaar gebeuren. Het voornemen maakt namelijk onderdeel uit van een vijfjarenplan van Google om de beveiliging van gebruikers verder te versterken. In 2008 stelde Google ook al een dergelijk vijfjarenplan op, en in de afgelopen vijf jaar is onder meer ondersteuning voor two-factor-authenticatie toegevoegd.

De two-factor-authenticatie zou er wel iets anders uit kunnen gaan zien. Op dit moment wordt nog een code gegenereerd op basis van een bepaald algoritme, maar in de toekomst zou het zo kunnen zijn dat de gebruiker op zijn telefoon simpelweg op 'akkoord' moet drukken om een login vanaf een andere computer te bevestigen.

Google is verder van plan om het wachtwoord te vervangen door een ingewikkeldere 'authenticatiecode', maar onduidelijk is hoe dat er precies uit moet zien. Daarnaast wil Google dat gebruikers nog maar één keer op een apparaat hoeven in te loggen, waarna ze ingelogd blijven, zoals nu al het geval is op mobiele telefoons. Hoe de zoekgigant dat voor elkaar wil krijgen, is echter nog niet duidelijk: op dit moment bieden besturingssystemen daarvoor geen ondersteuning.

Verder heeft de zoekgigant een toekomst voor ogen waarbij mensen zich authenticeren met behulp van nfc, maar het bedrijf fantaseert ook al over gezichtsherkenning en vingerafdrukscanners. Daarnaast wil Google dat er standaarden komen om veiligere loginmethodes mogelijk te maken. Eind vorige maand werd bekend dat Google zich heeft aangesloten bij de Fast Identity Online Alliance, een organisatie die dergelijke standaarden wil opzetten.

Google betere two factor auth

Zo zou Googles two-factor-authenticatie er uit kunnen gaan zien.

Reacties (152)

Reactiefilter:-11520146+184+217+32
Nou lekker dan... Moet ik straks elke keer als ik in log mijn telefoon bij de hand hebben. Heb ik echt een hekel aan en is niet echt gebruiksvriendelijk...
"We doen het om de veiligheid"

Ik ben niet zo van het paranoide doen over Google, maar ik vind het meer klinken als "we willen graag de telefoonnummers van de mensen die ze nog niet gegeven hebben" :(

Ik ben ook niet bang dat Google m'n gegevens misbruikt, maar ook ik heb geen zin om m'n telefoon te moeten pakken als ik wil inloggen. Kan toch zelf wel beslissen of ik die extra veiligheid wil of dat m'n mail me gestolen kan worden?

[Reactie gewijzigd door Egrimm op 10 mei 2013 11:05]

je kunt ook gewoon backup code afdrukken (soort tan codes)
dus je hoeft niet perse je telefoon er bij te pakken. :P
tan-codes :X laat me niet lachen, wat een amateuristisch fiasco
dat is anders niet veel verschil met wat google nu voorstelt. transactie authenticatie via je mobiele telefoon. die papieren lijstjes is natuurlijk een ander geval.
ach, als het echt te onvriendelijk wordt concurreert een bedrijf zich vanzelf uit de markt of biedt ruimte voor nieuwkomers
Het huidige systeem is zo lek als een mandje door de reserve codes en ASP's (voor apparaten die niet met 2 factor overweg kunnen).

Zo heb ik dus 10 reserve codes voor als de telefoon het niet doet (en alle andere TOTP opties - kan zo de security code in een andere generator stampen en verder gaan...) en voor minstens 8 apparaten ASP's.

Laten die ASP's nu minder veilig zijn dan mijn eigen wachtwoorden en dus niet de TOTP code vereisen. Behalve mijn wachtwoord + TOTP code zijn er dus 8 codes die allen minder veilig (complex) zijn dan mijn wachtwoord die toegang geven zonder de TOTP code. Plus dat mijn wachtwoord + 10 vaste codes ook toegang geven.

Bij voorbaat kansloos dus. Snap dat ze iets moeten met die oude apparaten (bijv. m'n televisie e.d.) die geen 2 factor ondersteunen, maar op deze manier is het onzin natuurlijk. ASP's zijn inmiddels wel zo afgeschermd dat je de account gegevens er niet mee kan wijzigen overigens - dat was voor half februari nog wel anders btw.

[Reactie gewijzigd door freaky op 10 mei 2013 12:28]

Je gaat hier wat mij betreft wel erg kort door de bocht op een aantal punten.

Ten eerste: ja, ASP's (nooit geweten dat die dingen zo heten?) kunnen inderdaad zwakker zijn dan je eigen wachtwoord. Maar, belangrijk voordeel eraan is dat ze maar eenmalig ingevoerd hoeven te worden. Mijn telefoon heeft een ASP. Ik heb dit eenmalig ingevoerd, en sindsdoen hoeft dit niet meer. De kans dat dit onderschept wordt is dus zeer gering. Mijn gewone wachtwoord voer ik op verschillende pc's, waar ik lang niet altijd de controle over heb (bijv. op de universiteit, in een internetcafé, bij vrienden) in. De kans dat hier een keylogger op staat is relatief groot, en de kans dat mijn eigen wachtwoord wordt onderschept is dus ook relatief groot. Uiteraard, er kan ook een keylogger op mijn eigen telefoon, tv, etc. staan, maar die kans is kleiner (immers, mijn wachtwoord voer ik in een maand wel 20 keer op verschillende vreemde computers in, de ASP maar eenmaal op een bekende).

Uiteraard is er het risico dat ze een ASP bruteforcen. Maar over het algemeen worden emailadressen niet gehackt door bruteforcen (google zal het snel doorhebben als ik duizenden pogingen achter elkaar doe en me blokkeren, eventueel tijdelijk). Het gaat meestal via keyloggers of domme mensen die op vreemde websites inloggen. En hey! Laat daar two-step id nou net tegen helpen!
Daarnaast kun je met een ASP niet inloggen op de webmail. Oftewel, je kunt hoogstens een telefoon, of email client instellen. Daarmee kun je verder niets op mijn account veranderen qua persoonlijke gegevens. Vervolgens zie ik een melding in gmail dat er van een vreemde locatie is ingelogd en verander gauw mijn password.

De 10 'vaste codes' zijn allen maar eenmaal bruikbaar. Dus je kunt inloggen, maar zodra je uitlogt kun je er met die vaste code niet meer in. Maar dan denk je natuurlijk: ze veranderen gewoon mijn wachtwoord. Maar dan dien je opnieuw in te loggen (bij het veranderen van je wachtwoord moet je inloggen met je oude wachtwoord). En wat is er dan het geval op een vreemde pc? Je moet een two-step id ingeven! Oftewel, je moet weer gaan bruteforcen om één van de andere 10 (nu nog 9 dus) codes te pakken te krijgen.
Dan heb ik het nog niet eens over het feit dat het bruteforcen van 1 wachtwoord nog altijd makkelijker is dan het bruteforcen van 1 wachtwoord + een (vast) two step id.

[Reactie gewijzigd door Orian op 10 mei 2013 14:55]

[quote]
De 10 'vaste codes' zijn allen maar eenmaal bruikbaar.
[/qoute]

Volgens mij kan je ze gewoon opnieuw gebruiken hoor, mijn Thunderbird op mijn PC en op mijn laptop gebruiken dezefde code, terwijl ik mijn PC laatst opnieuw heb geïnstaleerd, de code haalde ik uit de Thunderbird van mijn laptop.

En dan nog Thunderbird logt iedere keer dat hij mail ophaalt opnieuw in en ik heb nog nooit een nieuwe "vaste" code hoeven invullen. Ook niet na Thunderbird / mijn PC opnieuw opgestart te hebben.
De 'vaste codes' zijn de codes die je ook met je telefoon kunt aanmaken. Dit zijn niet de codes die je bijvoorbeeld gebruikt om bij thunderbird in te loggen. Die kun je inderdaad vaker (oneindig?) gebruiken. Maar daar kun je weer niet mee inloggen op de webclient.
Brute forcen kan alleen maar met de hash. Je kunt niet zomaar op de Google site brute forcen. Na een paar pogingen ben je al buitengesloten.

Bruto forcen kan meestal alleen offline en als je iets om tegen te brute forcen hebt.

Net als een pincode. Die kun je ook niet brute forcen tenzij je de hash geskimmed hebt.

BTW Two factor is de bom. Ik gebruik het nu zelfs bij mijn Live account sinds kort. Ja, het is wat meer werk, maar ik voel me er een stuk lekkerder bij. Het is als je fiets net wat beter op slot zetten dan je buurman. Perfect is het niet, maar je kans om gehackt te worden is een stuk kleiner.

[Reactie gewijzigd door Henrikop op 10 mei 2013 22:24]

Ik ben niet zo van het paranoide doen over Google, maar ik vind het meer klinken als "we willen graag de telefoonnummers van de mensen die ze nog niet gegeven hebben" :(
Voor de two-factor authenticatie bij Google hoef je geen telefoonnummer op te geven, alleen maar een app te installeren :)
Tja dan zou ik wel een smartphone moeten hebben... dus waarschijnlijk ben ik aangewezen op de SMS methode.

Ik vind het maar overdreven voor een webmail... dat het bij internetbankieren moet kan ik me voorstellen.
Precies, ik heb ook geen smartphone...

"He who sacrifices freedom for security deserves neither. "

- Benjamin Franklin
Altijd actueel zon quote uit de goeie oude tijd... Google probeert hier mee te gaan met de nieuwste veiligheidseisen en probeert het daarnaast zo makkelijk mogelijk te maken maar als je geen innovatie wil, blijf dan lekker weg van de google diensten .
Tot, zoals hier het geval, je instelling/bedrijf/... beslist om gebruik te maken van de gmail client. Kan ik beter ook direct mijn baan opzeggen?

Ik heb helemaal niets tegen two-factor authorisatie (zeker niet voor bepaalde diensten zoals mijn mails en "cloud" documenten), maar ik blijf erbij dat je dit een keuze van de gebruiker moet maken. Wijs de gebruiker op de mogelijke gevaren en laat hem kiezen of hij dit al dan niet wil.
maar waarom moet mijn veiligheid afhangen van jouw (on)wil om je account degelijk te beveiligen, het internet is immers een keten van aaneengesloten netwerken, en van een keten weten we allemaal dat ie maar zo sterk is als de zwakste schakel.

dus als jouw bedrijf je geplicht stelt 2factor auth te gebruiken, zullen ze je ook instaat moeten stellen om in te loggen, dikke kans dat er dus kastjes gaan komen dit dit mogelijk maken zonder je smartphone nodig te hebben. volgens mij zijn die er zelfs al....

dit werkt dan straks waarschijnlijk het zelfde als een random reader van bijv de rabobank.
Franklin zei: They who can give up essential liberty to obtain a little temporary safety, deserve neither liberty nor safety.

En is daar correct IMHO. De toevoegingen essential en temporary veranderen het verhaal nogal.

Anyways je hebt niet per se een smartphone nodig. Alles wat voldoet aan de OATH TOTP algoritmes voldoet. Ook zat apps voor op de PC...
welke innovatie ? ze verplichten mij tot het opgeven van mijn mobiel , hell no.

het is een stap terug in mijn ogen als het verplicht wordt.

Zelfde als dat facebook nu elke keer blijft vragen of je je "profiel" compleet maakt en een telefoonnummer add.

gewoon vieze truukjes om info van gebruikers te krijgen, het heeft niets met innovatie te maken.

P.s ik heb +- 16 wachtwoorden , ben nog nooit gehacked in wat voor manier dan ook . Het is veilig genoeg zolang je maar beetje weet wat je doet.
Yep. Keep on dreaming.

Het is gewoon een schande dat anno 2013 een mens een hele rits aan wachtwoorden moet kennen. Je hebt pin code van bankpasje, digid, creditcard codes, 30 tot 50 wachtwoorden, inlognamen etc. In 20 jaar IT revolutie is daar geen enkele verbetering in gekomen. Sterker nog, het is gigantisch verslechterd !

Mocht deze techniek van Google werken, dan ben ik daar een voorstander van. Want Google is al meerdere malen een aanjager geweest van innovatieve zaken.

Ik heb al eerder gezegd dat ik een fervent voorstander ben van OpenID. Deze techniek versoepelt het wachtwoorden en inlogverhaal op websites enorm. Toch stokt het op de een of andere manier. Zelfs tweakers.net, die de beste website van 2012 award heeft ontvangen doet er niet aan mee. Schandalig.

[Reactie gewijzigd door 505261 op 10 mei 2013 15:46]

mwah keep on dreaming gerard?

ooit van keepass , lastpass gehoord ? 1 masterpassword wat niemand kan kraken als je die uit je hoofd weet, voor de rest zorgen die programma's ervoor dat trojans niet je gegevens kunnen uitlezen wanneer je inlogt via het programma, al je wachtwoorden in 1 lijst, niemand die erbij kan (20+ chars is best makkelijk te onthouden als ww als je iets logisch pakt voor jezelf , bv geboortestad+datum+je eerste vriendinnetjes naam) gooi er nog 3 uitroeptekens aan op het einde en je bent zo goed als maar kan veilig.

OpenID is bij lange na niet goed genoeg voor mijn optiek.
Het is ook niet schandalig dat tweakers er niet aan meedoet, aangezien maar een hele kleine groep openID gebruikt. De nadelen van openID zijn ook nog niet aan het licht waardoor het gewoon nog steeds een niet goed onderzocht systeem is.

Als je klaagt over verschillende wachtwoorden dan moet je gewoon leren googlen en die programma's gebruiken. in de 20 jaar van IT revolutie is het alleen maar belangrijker geworden dat je niet voor alles zelfde wachtwoord gebruikt en daarbij is het gebruik van 1 systeem zoals OpenID gewoon een ramp , als iemand die zou kraken dan ben je meteen supergoed de pineut, met een programma als lastpass achter bv een portable truecrypt container op een usb stick en niemand die ooit in je gegevens kan komen.

Zoals ik al zei ik ben nooit gehacked , nooit heeft iemand 1 van mijn ww's geraden en ik ga ook al deze 20 jaar van IT revolutie mee.

Deze bedrijven zitten uiteindelijk er om winst te maken / informatie te verzamelen / verkopen aan derden. Two factor authentication is zinloos tenzij ze het gewoon met twee wachtwoorden doen.

Nuff said

p.s lekker bijdehand van je met je keep on dreaming

[Reactie gewijzigd door Aionicus op 11 mei 2013 04:19]

Dat keep on dreaming was inderdaad niet bijster slim dat geef ik toe.

Maar de strekking van mijn verhaal, daar sta ik nog steeds achter.

En ja, natuurlijk ken en gebruik ik keypass. Maar het is toch te gek dat we dit soort software nodig hebben?

Met OpenID heeft een website alleen een linkje naar een OpenID host voor authenticatie. Dus behalve op de OpenID host wordt nergens jouw wachtwoord en inlognaam opgeslagen. Dit vind ik veel veiliger dan dat op iedere site een gebruiksnaam / wachtwoord combinatie is opgeslagen.

En om terug te komen op keypass. Weet jij of dit veilig is? Ik niet. En toch stop ik er tientallen geheime dingen in.
Wat denk je dat Google precies met je telefoonnummer wil dan behalve gebruiken voor authentificatie in 2 stappen?
Je gaat immers akkoord met hun voorwaarden dus ja je informatie word opgeslagen , doorgestuurd , gekoppelt . Net als met facebook is je data gewoon niet 100% veilig .
Het heeft niets te maken met innovatie. Het maakt de boel alleen maar gebruikersonvriendelijker.
Precies, ik heb ook geen smartphone...

"He who sacrifices freedom for security deserves neither. "

- Benjamin Franklin
Je weet dat Franklin het over een andere veiligheid dan de veiligheid van je eigendommen en al helemaal over een andere vrijheid dan je vrijheid om geen extra code in hoeven te vullen om in te loggen?

Veiligheid <-> Vrijheid gaat over dat de staat je vrijheid inperkt om de algehele veiligheid te waarborgen, tenminste, zo brengen ze dat. Dus bijvoorbeeld continu in de gaten gehouden worden door cctv camera's overal op staat. Het is meer een op privacy gerichte uitspraak.

De orginele uitspraak, die jij gebruikt is een vereenvoudigde versie die beter op een truttig tegeltje staat ;) ,geeft dat al wat beter aan:
They who can give up essential liberty to obtain a little temporary safety, deserve neither liberty nor safety.
Anyway.. terug ontopic. Ik gebruikte two-factor-auth al op m'n laptop voor LastPass. Persoonlijk vind ik het een kleine hel op aarde om altijd m'n telefoon klaar te hebben liggen voor die extra code. Het biedt wel een goede extra beveiliging, maar nu alles met idioot moeilijk wachtwoorden achter LastPass zit met een een hele hoop tekens (random met cijfers en speciale tekens) wachtwoord voel ik me al een stuk veiliger over m'n wachtwoorden. Dat wachtwoord was een bitch om uit m'n hoofd te leren, maar daardoor is de rest een stuk veiliger. Lijkt me persoonlijk beveiliging genoeg.

Belangrijkste is eigenlijk dat mensen niet overal hetzelfde wachtwoord voor gebruiken, want vaak is het toch een email + ww combinatie die dan vaak op andere sites/email accounts ook geprobeerd worden. Dit schijnt een veel gebruikte manier te zijn om MMORPG accounts te hacken. Op externe game fora gebruiken mensen dezelfde account + ww combo in hun MMORPG, alleen zijn die bij lange na niet zo goed beveiligd als de MMORPG databases zelf, geen salting over de wachtwoorden e.d. Die worden "gehackt" (SQL injection beveiliging is er vaak al niet eens) en zo komen ze aan de accounts die dan spontaan gehackt worden. Heb er zo even geen bron meer van.

Voor deze mensen is een extra beveiligingslaag wel goed, want zonder die 2e code kom je nergens. Ben het er alleen niet mee eens dat het verplicht wordt. Doe een opt-out situatie voor "power-users" die hun beveiliging wat beter op orde hebben. Zolang het een default setting is zullen al veel mensen er aan meewerken, mits er ook duidelijk verteld wordt waarom het goed voor ze is. Dat weet Google zelf maar al te goed:

http://www.nytimes.com/20...t-online-or-not.html?_r=0

edit: thx freaky.. dat was stom genoeg niet bij me opgekomen toen ik dit typte 8)7

[Reactie gewijzigd door MathijsR op 10 mei 2013 12:36]

Psst, het is niet handig om te gaan lopen roepen hoe lang je wachtwoord precies is. Maakt brute-forcen aanzienlijk makkelijker.
Uh, nee. Brute-forcen betekent alle mogelijkheden afgaan. Om praktische redenen begin je met het kortst mogelijke wachtwoord en telkens verhoog je de lengte met 1 tot je het juiste wachtwoord hebt gevonden. Daardoor zal bijna altijd het meeste werk liggen in de laatste stap van het brute-forcen.

Even een simpel voorbeeld van het bruteforcen van een wachtwoord van 5 tekens lang met als toegestane tekens: a-z A-Z 0-9. (Ik ga er even vanuit dat het wachtwoord wordt gevonden na het proberen van de helft van de mogelijkheden.)

Wanneer we weten dat het wachtwoord 5 tekens lang is:
0.5 * 62^5 = 458.066.416

Wanneer we dit niet weten:
62^1 + 62^2 + 62^3 + 62^4 + 0.5 * 62^5 = 473.084.986

Ik noem dit geen aanzienlijk verschil.

Dit is natuurlijk een gemiddelde, het kan best zijn dat de eerste poging van lengte 5 het correcte wachtwoord is. In dat geval scheelt het heel veel rekentijd, één poging vs 62^1+62^2+62^3+62^4+1.

Ik probeer mensen overigens niet te overtuigen dat het een goed idee is de lengte van je wachtwoorden te plaatsen. Ik vond het gewoon leuk om mijn gedachten hierover te delen.

Bij het kraken van wachtwoorden is het gebruiken van een dictionary attack heel gebruikelijk, en in dat geval maakt het weten van de lengte wel een groot verschil!
met idioot moeilijk wachtwoorden achter LastPass zit met een een hele hoop tekens (random met cijfers en speciale tekens) wachtwoord voel ik me al een stuk veiliger over m'n wachtwoorden. .... Lijkt me persoonlijk beveiliging genoeg.
Het grootste voordeel van 2-factor-auth is mijns inziens dat je ( indien nodig) kan inloggen vanaf een PC waarover je geen 100% controle hebt en dus niet weet of deze veilig is. Zo vertrouw ik PCs van andere mensen niet omdat de meeste mensen geen security experts zijn.

Het kan misschien wel zijn dat je wachtwoord veilig gekozen (of gegenereerd) is maar zorg dat je hierdoor geen vals veiligheidsgevoel hebt. Want als je het 1 keer ingeeft op een geïnfecteerd systeem kan het immers al gelogd zijn en dan is de sterkte van dat wachtwoord plots 0.

Mogelijks log jij nooit aan op andere computers dan die van uzelf en dan is uw aanpak volgens mij inderdaad veilig.

Zelf gebruik ik de 2-factor-auth van Google en ben ik daar zeer tevreden over. Ik ben een fervente gebruiker van de Google diensten en toch heb ik minder dan 10 keer mijn smartphone erbij moeten nemen. Wanneer je immers inlogt met 2-factor-auth kan je een cookie laten plaatsen die ervoor zorgt dat je deze extra code niet meer moet invoeren. (Dit doe je dan op je eigen machine die je 100% vertrouwd).

Ik zou het een gewaagde stap vinden indien ze dit inderdaad doorvoeren maar ik denk dat het de veiligheid wel effectief ten goede zal komen. Heel veel mensen hebben te weinig notie van security (wat je hen niet kan kwalijk nemen) en ik vind dat je als dienst-aanbieder wel effectief keuzes moogt nemen in hun plaats. Want die mensen brengen niet enkel hun eigen account in gevaar maar ook dat van mensen die hen vertrouwen want reken maar dat hun account vervolgens gebruikt gaat worden om spam/phishing-mails te verspreiden.

De opt-out mogelijkheid vind ik ook wel goed indien ze gepaard gaat met allerlei irritante waarschuwingsvensters.
Services als LastPass hebben inderdaad hier wel wat op gevonden in de vorm van one-time-passwords. Dus moet je dan toch echt bij je wachtwoorden op een vreemde PC dan kan je die gebruiken zonder dat je hoofdwachtwoord in gevaar komt. Overigens zijn m'n passwords inderdaad random generated, niet altijd even handig maarja, moet toch wat.

Daarentegen log ik inderdaad vrijwel nooit op vreemde PCs in nee. Wat dat betreft vertrouw ik nog meer m'n eigen mobiel met internet bankieren app (wat alleen 5-cijferige PIN code beveiliging heeft na een vrij uitvoerige activatieprocedure) dan een openbare PC met potentieel 300 keylogger en dergelijke erop. Combineer dit met Ceberus op de achtergrond waarmee remote je telefoon leeggehaald kan worden via een webinterface mocht hij kwijt raken/gejat worden lijkt me dit beter dan shared PCs.

Conclusie is eigenlijk dat veiligheid altijd het gemak in de weg komt te staan.
Ik vind het maar overdreven voor een webmail
Je vergeet dat Google veel meer aanbiedt. Stel je voor dat je een bedrijf draait en gekozen hebt voor App Engine als cloudinfra heeft het een stuk meer impact... of Ad Words-campgnes.
Dat was ik niet vergeten. Maar stel nou dat ik al die extra dingen niet gebruik, dan vind ik het ook niet nodig om deze extra veiligheid te gebruiken. Ik denk dat 95% van de Gmail gebruikers nog nooit van deze dingen gehoord heeft.
Daar heb je gelijk in, zelf heb ik nog nooit van die dingen gehoord, ondanks dat ik al vanaf 1992 op het toenmalige internet zat. IK gebruik ze niet dus heeft het totaal geen interesse om het te weten wat het is, wat je kunt doen etc. En zo zijn er miljoenen gebruikers met mij. IK heb net eens op mijn Google Dashbord gekeken wat er staat, laat het nu niets wezen alleen een paar you tube filmpjes die ik gezien heb vaneen amerikaaanse videoblogger. Als je nagaat dat ik dus al jaren Chrome draai, kun je zien dat ik nooit en te nimmer op Google kom,eens in het jaar om alle mail te deleten, want gebruik het meer als dumpadres voor de rotzooi die je krijgt, dus ik zie totaal niet waarom ik starks verplicht een 2 way Auth moet doen, mede door het geval dat ik geen mobiel meer gebruik of in bezit heb sinds 9 jaar. Mijn hoofdmail is gewoon die ik van de ISP heb gekregen en daar doe ik verder alles mee, zonder nare reclame's etc etc.

[Reactie gewijzigd door Athalon1951 op 10 mei 2013 14:15]

Waarom is dat overdreven? Wanneer gmail je hoofd-email is, zal daar erg veel persoonlijke informatie in staan. Denk aan gebruikersnamen en/of wachtwoorden van website's, sollicitaties, persoonlijke communicatie met je familie/vrienden, etc. Grote kans dat die persoon dan ook wel ergens je adres en telefoonnummer kan vinden (via bevestigingen van online aanbestedingen bijvoorbeeld).

Wanneer iemand toegang krijgt tot jouw e-mailadres, krijgt hij ook toegang tot al je accounts op alle website's (want hij kan dan overal simpelweg de "wachtwoord vergeten" optie gebruiken en via dat jouw wachtwoorden veranderen), wil je dat dat gebeurt? Ik vind het dus helemaal niet overdreven.

[Reactie gewijzigd door Walance op 10 mei 2013 11:37]

Nogmaals: als je dat belangrijk vindt dan kun je deze beveiliging gebruiken. Het gaat mij erom dat het lang niet altijd nodig is om een e-mail account zo te beveiligen. Op mijn telefoon staat ook geen pincode, ondanks dat andere mensen wel gevoelige informatie op hun telefoon opslaan.

Helaas is dit wel een onhandigheidje dat net niet de drempel bereikt om naar een andere mailprovider te gaan.. waarschijnlijk.
Daar heb je gelijk in, maar het probleem is (denk ik) dat veel mensen niet weten van de 2-factor-authenticatie of dat ze gewoon te lui zijn om het in te stellen. Vervolgens gaan ze wel zeuren wanneer hun account gestolen wordt. Dit wil Google waarschijnlijk voorkomen.
M.
Daar heb je gelijk in, maar het probleem is (denk ik) dat veel mensen niet weten van de 2-factor-authenticatie of dat ze gewoon te lui zijn om het in te stellen. Vervolgens gaan ze wel zeuren wanneer hun account gestolen wordt. Dit wil Google waarschijnlijk voorkomen.
ensen gaan nu zeuren over deze verplichte invoering. Zeuren blijven we toch wel.
Laat Google gewoon de mensen goed informeren en dan de keuze aan de gebruiker over laten. Raakt iemand zijn gegevens kwijt of wordt hun account gestolen dan pech voor diegene
"voor een webmail"

Ja, voor jou alleen de webmail. Bij mij zit ook de calender, drive, contacts, maps, youtube en weet ik veel achter. 2 step verification heb ik dus ook meteen van af dag 1 aangezet.

En Microsoft is het zelfde van plan.

-offtopic-

@rmd Welke vrijheid heb je dan verkregen door geen smartphone te hebben?
De vrijheid die ik heb door géén smartphone te hebben: ik hoef niet iedere dag mijn lader op te zoeken, ik hoef niet om de 5 minuten op mijn telefoon te kijken omdat het ding weer piept/trilt/zoemt/whatever, ik hoef mij niet druk te maken om apps die ik nooit gemist heb, ik hoef me niet druk te maken over het laten vallen van mijn toestel, ik hoef met niet druk te maken om diefstal van mijn toestel, ik hoef me niet druk te maken op twitter/facebook/4square/whatsapp/drawsomething/*.app om bij te blijven met mensen die ik niet ken, ik heb een beperkte informatiestroom waardoor ik mij gedurende mijn dagen met voor mij nuttigere dingen bezig kan houden...

Hoeveel redenen wel je hebben voor een beetje vrijheid?
Tja, dat is natuurlijk selectief je argumenten kiezen. Vrijheid is ook direct 112 kunnen bellen in geval van nood zonder op iemand te hoeven wachten die wél een telefoon heeft of een ANWB-praatpaal op te zoeken. Vrijheid is ook zónder enige voorbereiding (stadsgidsen en kaarten kopen) naar een vreemde stad gaan en daar meteen je weg vinden met je telefoon en alle leuke dingen en bezienswaardigheden vinden.

Wellicht sprak men 50 jaar geleden ook zo over de auto. "Nee, geef mij maar een fiets! Ik wil me niet druk maken over een auto waar ik steeds benzine in moet doen!" Vervolgens was de actieradius van die mensen natuurlijk helemaal niets vergeleken met degenen die wél een auto namen en daardoor de vrijheid hadden om grotere afstanden af te leggen.
Ik snap dat jullie het overdreven vinden maar een "ongelukje" zit in een klein hoekje!
Ik dacht ook altijd mijn account wordt niet gehacked maar dus wel.
Had een prima antivirus oplossing met firewall en zelfs nog extra anti spyware geinstalleerd en dan nog hebben ze weten binnen te komen op mijn pc en mijn wachtwoorden te pakken hebben kunnen krijgen.
En was niet aan het downloaden geweest van cracks of andere illegale software!

Het kan dus wel gebeuren dat je account wordt gehackd! Ik vind het dus niet zo gek dat google met deze actie komt. Waarschijnlijk hebben ze er al langer ervaring mee.

Overigens heb ik via de optie van google zelf mijn account terug kunnen krijgen! Als je inlogt nadat je wachtword is gewijzigd dan staat er "klik hier als je dit niet hebt gedaan" en kwam er vrijwel direct achter omdat mijn android toestel een melding gaf kan niet meer synchroniseren!

Maar misschien is het beter als google nog een andere methode verzind dan alleen een telefoon! Overigens heb ik er zelf geen problemen mee is toch weer wat veiliger.
En ja als er zo veel android telefoons zijn dan is het voor google niet zo moeilijk om die stap te zetten.

[Reactie gewijzigd door bastiaansmit199 op 10 mei 2013 12:28]

Je schrijft dat je je pc compleet beveiligd hebt en er geen rare dingen op gedaan hebt maar is dat ook het geval met je Android toestel? Je hoeft maar één keer je wachtwoord in een bepaalde app te hebben ingevoerd en wie weet waar dat wachtwoord belandt.
Raad eens welke rechten die app nodig heeft.

Voorlopig ziet het 'toestemmingen'-lijstje nog vrij onschuldig uit. Ondanks dat ik "accounts op het apparaat gebruiken", "accounts maken en wachtwoorden instellen" en "accounts op het apparaat vinden" bedenkelijk vind.

Maar met een update van die app kan door Google gemakkelijk meerdere rechten worden afgedwongen.
In ieder geval op android heeft google toch al vrijwel overal toegang toe, dus of één app van hun die toegang nou heeft of niet, ze weten het toch wel...
En wat nou als je geen android hebt?
Op mijn iPhone komt niks van Google. Niet omdat ik iets tegen Google heb, ik gebruik hun desktop services regelmatig, maar omdat ik niet wil dat 1 bedrijf alles over mij weet. Beter om dat te verspreiden. Zo weet Apple wat ik op de telefoon doe en Google wat ik op internet uitspook, maar niemand weet beiden.
Nou, dan stappen we toch lekker massaal af van Google en gaan we wat anders gebruiken? Ik bedoel het is niet verplicht om Google te gebruiken en er zijn genoeg alternatieven.
Dan moeten we eerst de alternatieven weten/vinden die dezelfde functionaliteiten en resultaten bieden.

Ik zie Microsoft, Apple en Yahoo binnenkort al hetzelfde doen. Dan blijven er niet bar zoveel alternatieven over.

[Reactie gewijzigd door RoestVrijStaal op 10 mei 2013 15:42]

Dan gooi je zelf een pceetje neer met exchange en dergelijke...
Die 2-step authenticatie gaat "gewoon" via je google account. Tenzij je de app op je telefoon toestemming geeft om het telefoonnummer uit te lezen, krijgt Google niet je telefoonnummer.

Daarnaast lijkt me dat je de app ook op een tablet of iPod kunt installeren: die heeft niet eens een telefoonnummer :)

Uit de presentatie maak ik trouwens op dat er staat "Default enabled". Dat impliceert volgens mij dat we het ook kunnen uitschakelen -- Wat ik best een fijne gedachte vindt.
Niet helemaal waar. Je kan bij het inloggen aanvinken dat je een vertrouwde computer gebruikt, waarna het nog maar 1 keer per maand hoeft. Als je dan eens op een andere computer zit bij een vreemde heb je doorgaans je telefoon toch wel in je zak.

Of dat zo blijft wanneer ze de hele beveiliging gaan veranderen/verbeteren weet ik natuurlijk niet, maar zo werkt het nu in ieder geval.

Ik gebruik deze beveiliging nu al +- een jaar, nadat ik gehackt ben geweest. Ben er érg over te spreken, en de SMSjes met de code komen doorgaans binnen een paar seconden aan. Amper extra moeite en een hele boel veiliger.

[Reactie gewijzigd door Toenk op 10 mei 2013 11:06]

Volgens mij hoef je zelfs tegenwoordig nooit meer (dus ook niet meer 1 keer per maand) die code in te geven nadat je toestemming hebt gegeven. Tenminste, toen ik two-step authentication aanzette enkele maanden geleden stond dat er niet meer, en ik heb ook nooit die vraag gekregen. Toen ik het een jaar geleden (tijdelijk) inschakelde stond het er nog wel. Omdat ik destijds nog geen smartphone had heb ik het toen weer uitgeschakeld (vandaar dat ik het enkele maanden geleden opnieuw inschakelde).
Op vertrouwde computers hoef je tegenwoordig niet meer iedere maand opnieuw een code in te typen. Dit is nu eenmalig
Idem hier. Gebruik het ook al een jaar ofzo en eens je het door hebt is het best wel eenvoudig te gebruiken.
Je hebt verder ook backup wachtwoorden (voor moest je telefoon verloren gaan) en email clients of services die toegang willen op je Google account die gebruiken applicatiewachtwoorden (een door Google gegenereerd wachtwoord, dus niet je eigen wachtwoord). Voor je smartphone of emailclient maak dus je applicatiewachtwoorden aan en moest je laptop of GSM gestolen worden wis je gewoon de toegang door het applicatiewachtwoord te wissen zonder dat je al je wachtwoorden in gevaar komen. Uiteraard is het doel dat je voor elk ding afzonderlijk een applicatiewachtwoord aanmaakt.

Met dat applicatiewachtwoord kan je overigens niet aanloggen op Gmail ofzo maar zijn enkel bedoeld voor sync, pop3 enz. Aanmelden op Gmail vereist immers het random wachtwoord dat door de app voor je smartphone wordt gegenereerd.
Als je dan eens op een andere computer zit bij een vreemde heb je doorgaans je telefoon toch wel in je zak.
De meeste tweakers waarschijnlijk wel. Maar mijn ouders bijvoorbeeld niet.

Persoonlijk gebruik ik de two-factor-authenticatie al enige tijd voor onder andere Gmail. Ik vind het erg fijn, maar ik heb dan ook altijd mijn telefoon bij me. Ik weet niet of het slim is het te gaan verplichten voor iedereen. De meeste van mijn vrienden vinden het maar onzin als ik inlog op hun PC en eerst een smscode moet invoeren. Bovendien is het toestaan van applicaties en devices niet geheel triviaal. Toen ik het destijds wilde gebruiken moest ik eerst mijn telefoon toevoegen als geaccepteerd apparaat voordat ik hem kon gebruiken (dan krijg je een eenmalige code die je invoert).
Heb je een beter idee? Ik gebruik de 2-factor auth al een tijdje en is niet heel erg vervelend. Af en toe vraagt ie om een code. We leven nou eenmaal in een wereld dat oplossingen, zoals deze, nou eenmaal een must zijn.
Ik heb 2-factor inlog al ingeschakeld en eigenlijk heb je het alleen nodig als je op een nieuwe computer inlogt. Op mijn eigen PC hoef ik nooit mijn telefoon erbij te pakken.
Da's waar, maar een extra inlogstap (op OK drukken op je telefoon die veel mensen altijd bij zich hebben) heeft de voorkeur over een gehacked account voor de meesten. Maar het is nog even afwachten hoe Google dit aanpakt; voor hetzelfde geld blijft het een optie die standaard aan staat maar die je uit kunt zetten. Immers, niet iedere gebruiker heeft een smartphone.
Duidelijk dat je nog nooit two-factor authentication gebruikt hebt.
Je kan een device (gedurende een langere tijd) als trusted zetten.
Je zou dan enkel je telefoon moeten nemen als je op iemand anders laptop wilt inloggen, hetgeen me ook logisch lijkt.
Voor je telefoon en je GSM kan je trouwens ook application pasword aanmaken.
Paswoorden van 20 karakters lang speciaal voor één app.
Deze kan je dan nog eens revoke'n via de webinterface als je wenst dat ze niet langer toegang hebben.
Natuurlijk hoef je niet elke keer je telefoon erbij te pakken, dat moet alleen de eerste keer. Vervolgens heb je gewoon een sessie cookie met een voorgedefinieerde lifetime. Net als dat je nu automatisch in google wordt ingelogd vanaf je eigen pc. Nu is het ook al dat je extra security vragen krijgt wanneer je vanaf een niet eerder gebruikte pc inlogt, daar komt dat een 2-FA bij.

Je hebt ook niet perse een smartphone nodig voor een OTP generator, je kan ook gewoon een smsje of een telefoongesprek krijgen met een computer die je code opleest (in je eigen taal).

Ik zeg: goede zaak. Immers, hoeveel (gegenereerde) wachtwoorden heb jij in je gmail box rondslingeren?
Alleen de eerste keer dat je inlogt op een "vreemd" device. Daarna wordt je device herkend en hoef je alleen maar je wachtwoord in te vullen, zoals normaal.

Als je geen telefoon hebt kan je ook een lijst printen met codes, vergelijkbaar met de TAN codes op papier van ING. En als je daar ook geen zin in hebt, je kan ook een uniek wachtwoord voor een bepaalde device of client (bijvoorbeeld een gesyncte kalender die de API gebruikt) aanmaken.

Ik maak nu al enige tijd gebruik van two-factor authenticatie. In het begin was het wat werk met opzetten van client-wachtwoorden en intypen van codes, maar nu al mijn eigen devices zijn herkend hoef ik alleen nog maar mijn wachtwoord in te vullen en merk ik er dus niks meer van, maar geniet ik dus wel van de extra veiligheid.
Precies, en het heeft een super groot neven effect.
Ten eerste heeft een groot gedeelte van de mensen hier geen zin in, ten tweede zou bijvoorbeeld mijn oma of zelfs mijn vader dit amper snappen (en ja, mijn oma is best actief op het internet, alleen hou het wel simpel!).

Maar wat ik wil aangeven is dat een 2 factor helemaal niets gaat helpen na verloop van tijd.
Je zult het probleem moeten aanpakken, en niet dingen 'lastiger' maken. Zodra grotere partijen overgaan op een 2 factor worden de virussen alleen maar erger en krachtiger. Het is gewoon een kwestie van tijd totdat er spyware komt die even je auth code uitleest.

Malware op smartphones gebeurt al veel, omdat het zo dood simpel is, nu word dit met een factoor 100 erger.

Het is gewoon tijd dat mensen hun zaakje op orde hebben omtrent beveiliging van hun computer / telefoon. Iedereen misbruikt dat ding maar (even tweakers daar gelaten) en ze hebben geen benul wat ze doen. Als dat niet is opgelost, kun je van alles implementeren maar dat zal maar beperkt nut hebben. Kijk zelf maar eens welk percentage van alle PC's geïnfecteerd is, je schrikt namelijk!
Tenzij je root toegang hebt is het niet mogelijk voor spyware om de auth code uit te lezen.

Daarnaast is het idee van zulke authenticatie methodes dat het niet mogelijk is om permanent toegang te krijgen. Ik kan je makkelijk een token geven, 115793, zonder dat ik bang hoef te zijn dat je daar iets mee kan.Als je je tokens via de SMS ontvangt ben je al een stuk kwetsbaarder aangezien elke app toegang tot je SMS kan vragen.

Mensen begrijpen niet goed hoe groot het risico is van een e-mail account dat "gekraakt" wordt, je verliest werkelijk ALLES. Al je online accounts kunnen hun wachtwoord laten resetten en die ben je dan ook ineens kwijt, iemand leest al je mail en stuurt een paar flink gemene mailtjes (bekentenissen van vreemdgaan bijvoorbeeld) en je hele leven kan kapot gaan.
Als je relatie zo zwak is dat het kapot kan gaan door een mailtje dan was het toch al niks waard. En sowieso heb je geen toegang nodig tot iemand's account om mail namens die persoon te sturen. Mail is makkelijk te faken.

Overigens zijn wachtwoorden in mailtjes niet alleen een probleem als je account gehacked wordt. Die mailtjes gaan sowieso al in plain text het internet over. Je moet altijd je wachtwoord veranderen na het ontvangen van zo'n mailtje, en dan staat er geen geldig wachtwoord meer in je mailbox.
Tja, ik kan mijn eigen zaakjes wel op orde hebben, maar ik moet toch wel eens ergens anders inloggen. Op vakantie in een internet-café, op de universiteit (wie zegt me dat een students geen (fysieke) keylogger heeft geïnstalleerd, bij een vriend etc. Zelfs als ze nu mijn wachtwoord te pakken krijgen kunnen ze er niets mee, omdat ze die andere code (die elke 30 (?) sec. veranderen weten te achterhalen. En dat is toch een stuk moeilijker.
Google gebruikt hiervoor (momenteel) TOTP (Time-Based One-Time Password Algorithm) aka RFC 6238.

Hiervoor heb je echt geen telefoon nodig. 't is niet zo makkelijk als de Google Authenticator app te gebruiken maar er zijn alternatieven genoeg indien je de gegenereerde codes op je desktop wilt zien:

- https://5apps.com/apps/4fd87e80c439344a17000003
- https://code.google.com/p/winauth/
- https://code.google.com/p/gauth4win/
- https://github.com/rdgreen/LCGoogleApps
Het hoeft sowiso niet elke keer, enkel wanneer je op een nieuwe pc inlogged waar je nog niet eerder vandaan hebt ingelogged. Althans zo begrijp ik het, en zo is het ook als het momenteel werkt (ik gebruik al 2-staps verificatie namelijk). Moet zeggen dat ik het erg fijn vind, geen chinese hackers meer die proberen op mijn gmail in te loggen.
Waarschijnlijk log je maar 1 keer in op je pc en laat je hem daarna gewoon ingelogd staan? In de meeste situaties lijkt me dat voldoende.
Je kan bij het invoeren van de gegenereerde code aanvinken dat je de computer voor 30 dagen wil onthouden.
Dus eigenlijk hoef je dan maar eens in de 30 dagen in te loggen met je telefoon bij de hand.
Alleen de eerste keer op een apparaat.
Het vervelendste zijn de eenmalige wachtwoorden voor al je apparaten maar goed als t loopt dan loopt t. Wat mij betreft weegt het makkelijk op tegen de nadelen en potentiele gevolgen van een hack:
http://www.wired.com/gadg...amazon-mat-honan-hacking/
Eerste zin:
"In the space of one hour, my entire digital life was destroyed."
Nou, lekker is dat. Ik zit hier niet op te wachten. Veiligheid is belangrijk, dat begrijp ik ook wel maar dit is gewoon vervelend.
Nee, is het niet. Gewoon wennen. Het is normaal dat mensen niet blij zijn wanneer er iets wat ze al jaren gewend zijn ineens geforceerd verandert, maar accepteer het gewoon.

Het is veiliger, kost niks (alleen minimaal beetje extra moeite), en ik denk dat de andere mail-providers (bijv. microsoft met hotmail/outlook/live mail) heel hard achter Google aan gaan rennen zodra google straks bekend staat als de veiligste, en dan moet straks iedereen hetzelfde. En dan weet ik zeker dat ik het liever van Google heb, want dat is tenminste altijd gebruiksvriendelijk en goed. Microsoft daarentegen..
Omdat ik op veel verschillende computers werk. Daarnaast vind ik het waardeloos dat je zonder je telefoon gelijk geen toegang meer kunt krijgen.

Ook vind ik dat je de keuze aan de klant moet laten.
'Veel verschillende computers'. Zelfs als dit er 10 zijn, is het slechts een kwestie van 10 keer aanvinken 'niet meer vragen op deze pc' nadat je de code hebt ingevoerd. Ondertussen ben je voor alle miljarden computers op deze wereld beschermd, omdat daar niet ingelogd kan worden, zelfs niet als ze je wachtwoord hebben.
Dat zou best kunnen, maar wat als ik mijn telefoon vergeet (wat wel eens gebeurd) of als hij leeg is en ik heb geen lader (wat ook wel eens gebeurd)? Dan kan ik dus niet bij mijn mail.

Ik vind dat Google mij zelf de keuze moet laten houden over mijn account.
Je kan een secundair nummer opgeven en een lijst met codes uitprinten. Dat lijstje bewaar je bijvoorbeeld in je portemonnee en je kan nog steeds altijd en overal inloggen. Portemonnee kwijt? Gewoon nieuwe backup codes laten genereren en het is weer veilig.
Ja, dat is het wel. Ik zit er niet op te wachten dat Google mijn mobiele nummer heeft en als ze dit inderdaad door gaan voeren, dan ga ik wel bij de concurrentie kijken wat die te bieden hebben. Ik vertrouw mijn eigen overheid al niet met mijn persoonlijke informatie, laat staan een partij die erom bekend staat te handelen in persoonsgegevens.
het staat je toch vrij over te stappen naar een (mail)provider waar je geen nummer moet opgeven en waar ze dan meestal ook niet in staat zijn je paswoord (+ data) voor jou te recoveren ?

en als je denkt dat zonder je mobiel nr in te voeren je hierdoor "veilig" zit dan heb je het mis.

er zijn alternatieven genoeg tenzij je specifieke features wil...
gmx, lavabit, facebook 8)7 ,...

geloof me of niet.
een mail adres migreren is nu eenmaal een PITA als je het grondig wil doen.
Hoezo vervelend? Ooit is geprobeerd? In het begin is het even wennen, maar geeft je wel een fijn gevoel "mijn account is moeilijker te hacken". Ik heb, zoals hierboven vermeld, mijn eigen computers vertrouwd gezet waardoor ik eens in de 30 dagen hoef in te vullen. Tenzij je elke dag op 10 verschillende openbare computers moet inloggen, kan dit wel lastig worden. Verder krijg je app-specifieke wachtwoorden, dus mocht iets geen toegang meer willen geven, revoke je deze ipv je accountwachtwoord te veranderen.
Het is een extra stap waar ik niet op zit te wachten. Ik gebruik mijn Google account sporadisch en blijf per definitie niet bij Google (en vele andere op privacy-gevoelige info azende instellingen) ingelogd. Dit verplicht stellen betekent dus dat ik als ik bij Google in wil loggen, ik zeer veel moeite moet doen om dat te bereiken: ik heb geen smartphone en ben ook zeker niet van plan Google mijn telefoonnummer te geven. Ik heb een uniek wachtwoord voor (oa) Google wat ik nergens anders gebruik, en daarmee is mijn account wat mij betreft meer dan veilig genoeg. Waarom zou me dit dan opgedrongen moeten worden? Dan sluit ik mijn account wel...
Ik vind het goed nieuws! Vooral dat je alleen akkoord hoeft te klikken op je mobiel. Ik gebruik nu ook al die code wat je op je mobiel krijgt.
Voor mij is gmail toch het belangrijkste account wat ik heb, hier regel ik bijna alles op, hoe veiliger hoebeter .

En het is ook zo dat je maar 1 malig met je mobiel moet inloggen per pc, zo veel werk is dit ook weer niet ;)
Positief dat Google zich hard maakt voor de toekomst van wachtwoorden, aangezien die de langste tijd wel hebben gehad (ze zijn statisch, niet bestand tegen meerdere vormen van aanvallen of onderschepping enz). Aan de andere kant hoop ik wel dat Google inziet dat zij slechts één van de diensten zijn die een klant gebruikt. Kijk naar Facebook Home, niet echt een succes omdat mensen niet _altijd_ met Facebook bezig willen zijn. Hier lees ik al dat Google wil dat mensen nooit meer uitloggen; hoe obvious wil je total data mining verpakken :-). Onder het mom van veiligheid, hoe krijgen ze het verzonnen.
Maar zoals gezegd, alles hangt af van de implementatie. Ik denk dat Google ook wel in heeft gezien dat (bijvoorbeeld) het verplicht opgeven van een 06-nummer bij het registreren van diensten (zoals Google Analytics) eerder klanten wegjaagt dan dat deze het zien als positieven bijdrage aan de veiligheid.
De moderne internet gebruiker vertrouwt online bedrijven maar matig, en bij elk extra stukje data wat zo'n bedrijf van je wil daalt dat vertrouwen verder, net zolang tot de gebruiker daadwerkelijk afhaakt en op zoek gaat naar een alternatief (Outlook.com adverteert al openlijk tegen Gmail om zulke redenen).
Tegenwoordig zie je al steeds vaker dat je je mailbox moet gaan koppelen met een andere mail, telefoon of ander medium om extra beveiliging te krijgen, of voor extra identificatie. Ik vind het net als hierboven vaak lastig en onhandig.

Nou heb ik mijn telefoon wel altijd bij me maar van mij hoeven al die koppelingen niet. Als ik mijn Gmail gebruik dan hoeft ik dat niet te koppelen aan mijn Hotmail en/of de telefoon. Ik sla dat soort vragen dan ook altijd standaard over.
Google begint steeds agressiever te worden in het verzamelen van gegevens.

De afgelopen jaar zijn ze Google+ gaan pushen. Je moet nu Google+ hebben voor een aantal diensten, zoals app reviews en je krijgt automatisch een Google+ account.

Vervolgens is de zoekmachine aangepast zodat je slechtere resultaten krijgt als je niet ingelogd bent.

En nu willen ze dit verpicht gaan stellen! Google hoeft mijn telefoonnummer niet te weten en ik wil niet altijd en overal ingelogd zijn bij Google.
Vervolgens is de zoekmachine aangepast zodat je slechtere resultaten krijgt als je niet ingelogd bent.
Heb je hier een bron van? Die andere dingen geloof ik wel, maar hier ben ik wel (oprecht) benieuwd naar.
Het is wel een feit dat Google z'n resultaten aanpast aan degene die in is gelogd. Dat is omdat ze door jouw zoekopdrachten leren wat jij wel en niet wilt zien, en je van dienst willen zijn met betere resultaten. Daar vind ik op zich helemaal niks op tegen. Iedereen heeft tenslotte andere voorkeuren. Ik kan me voorstellen dat als je jouw resultaten gewend ben, en dan ergens zoekt waar je niet bent ingelogd, het raar vind om niet hetzelfde te vinden als voorheen, en dan kan het lijken alsof ze het expres doen. Maar volgens mij is het juist andersom: je resultaten worden niet slechter als je uitlogt, ze worden beter als je inlogt. ;)

Verder ben ik het wel met hem eens. Google krijgt mijn telefoonnummer niet, hoe hard ze ook zeuren. Net zoals F*c*book een keer moet kappen met zeuren om mijn email wachtwoord, mijn telefoonnummer en waar ik woon. Als ze gaan verplichten dat je een telefoonnummer op moet geven zeg ik gewoon mijn account op. Hun diensten zijn voor mij niet onmisbaar ofzo.
Zou dit ook gaan over bijv. inloggen op gmail met een pc/laptop/tablet ?
Aangezien ik volgens mij de enige persoon ben die (nog) geen telefoon heeft.
Neem aan dat in andere (arme) landen niet iedereen een telefoon heeft, en dan ?
Lijkt mij de veiligheid ten goede komen. Maar wat als je nou in een gebied bent waar je telefoon-provider niet serviced? Of misschien relevanter voor de meeste: het bakken met geld kost om je telefoon aan te laten staan. In beide situaties koop ik een lokale simkaart... maar dan wordt het lastig inloggen op je email.

ps. heb geen smartphone
Smsje ontvangen van google is zover ik weet (hoewel ik het alleen in NL heb getest via aldi/medion mobile) gratis.
Er komt vast wel weer iets om dit te omzeilen (hoop ik)
Niet iedereen zit hier op te wachten.
Je eigen zarafa server installeren :)
Je eigen mailserver opzetten heeft anders ook wel de nodige implicaties en is sowieso af te raden als je niet min of meer weet wat je aan het doen bent. Als je ergens een keer een setting verkeerd plakt en je gaat zitten relayen heb je issues die je niet wil hebben. Ook moet je er een machine voor hebben en willen dat er altijd wat staat te brommen.
Je kan beter gewoon een hostingpakketje aanvragen bij een NL isp en daar gewoon je mail laten lopen als je alleen weg wil bij google om het weggaan. Valt je mail in elk geval onder NL wet en regelgeving en 9 van de 10 keer kan je je eigen security policy bepalen.
Heb 25GB ruimte + eigen domein voor 30 euro per jaar ofzo. Ik heb hier zelfs gewoon hardware lopen die het ook zou kunnen in de vorm van een thuis/mediaserver maar het is me gewoon te veel gedoe.

[Reactie gewijzigd door Alpha Bootis op 10 mei 2013 12:27]

Is je accu leeg, telefoonnummer vergeten van iemand ie je moet bereiken, kan je ook niet meer inloggen bij google...
Dan moet je backup codes printen.
Pak dan pen en papier en schrijf de codes over.

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBDesktops

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013