Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 105 reacties

Google is bezig een inlogmethode te testen waarbij de gebruiker niet langer zijn wachtwoord hoeft in te voeren. In plaats daarvan wordt ingelogd met de smartphone, waarop de gebruiker al ingelogd moet zijn, en een bevestigingsvraag.

De nieuwe inlogmethode is niet breed gecommuniceerd, maar lijkt deel uit te maken van een stille test. Dat blijkt uit het feit dat een Google-gebruiker toegang heeft gekregen tot de nieuwe feature, zo ontdekte Android Police op basis van een Reddit-thread van Rohit Paul. Voor de nieuwe methode om in te loggen is een geschikte smartphone nodig waarbij Google schermbeveiliging aanbeveelt, al is dat laatste niet verplicht. Welke smartphones precies geschikt zijn is onduidelijk, maar de Nexus 6P van Paul werkt in ieder geval.

Het systeem werkt door de gebruiker via de smartphone toegang te geven tot het account op een ander apparaat. Wie bijvoorbeeld wil inloggen op de laptop krijgt op de smartphone een bevestigingsvraag; daarbij moet de gebruiker aangeven dat hij of zij daadwerkelijk op het apparaat wil inloggen, waarna geen verdere handelingen nodig zijn. De gebruiker is na de bevestiging dus automatisch ingelogd op de laptop, zonder daarbij het wachtwoord nodig te hebben.

Onduidelijk is in hoeverre Google het systeem wijdverbreid wil inzetten. Waarschijnlijk moet de test uitwijzen of deze manier van inloggen geschikt is om publiekelijk uit te brengen. Omdat de internetgigant zelf geen informatie heeft vrijgegeven is onduidelijk hoe lang de test gaat duren.

Google inloggen zonder wachtwoordGoogle inloggen zonder wachtwoordGoogle inloggen zonder wachtwoord

Moderatie-faq Wijzig weergave

Reacties (105)

Dit hebben ze meen ik een jaar of wat geleden ook gedaan. Toen kon je via je telefoon inloggen en vervolgens dmv een QR-code op de pc te scannen automatisch inloggen, omdat je al was ingelogged op telefoon. Leuk om te zien dat ze hier mee door gaan en andere ideeŽn toepassen.

Dit was destijds Google Sesame geloof ik.

edit: 2012 was dat dus: http://www.zdnet.com/arti...ogles-no-password-log-in/

[Reactie gewijzigd door Slechdt op 22 december 2015 20:07]

Dat is hoe web.whatsapp.com nu werkt.

Wat hier het verschil is is dat je telefoon waar je al op bent aangemeld via internet door de google servers word benaderd met de vraag of jij toevallig die persoon bent die probeert in te loggen op jouw account.
Logmein bied het ook al een tijdje aan in de vorm van een app. Zodra ik inlog (met mijn wachtwoord) komt die netjes met de vraag of ik toestemming wil geven of niet. Dit is dan helaas nog wel met wachtwoord erbij
Dat klinkt meer als een 2-factor authentication. De ene doet dat met een app (LogMeIn), de ander met een SMS (ING) en het grote gros met OTP's. Heb momenteel 12 accounts in Authenticator staan voor OTP's.

Dit van Google is gewoon een andere manier van authenticatie, niet een extra laag. Maar ter vervanging van.

[Reactie gewijzigd door xoniq op 22 december 2015 23:42]

Microsoft heeft hetzelfde systeem bij outlok/live/hotmail, als je voor het eerst inloggen, of het device niet als veilig markeerd moet je met een app op je telefoon toestemming geven na het invoeren van je wachtwoord.
Ja inderdaad! Best slimme techniek :D!
Ware het niet dat WhatsApp niet te gebruiken is zonder dat je telefoon online is. Ik mag hopen dat dat hier bij Google slechts eenmalig zo is wanneer je inlogt. Bij WhatsApp moet je telefoon *altijd* online zijn om de web client te kunnen gebruiken.. 8)7 8)7
Ja die manier snap ik eigenlijk ook niet helemaal, alsof ze je telefoon gebruiken als soort van processor voor de berichten ofzo. Je bent toch op Web juist online omdat misschien je mobiel leeg raakt. Vindt het ook maar een vage keuze van WhatsApp.

Maar ik geloof niet dat Google ooit zo dom zal zijn om het op deze manier te gaan gebruiken. Denk dat je het meer moet zien als een soort Token generator zoals je nu al vaak heb met 2 factor logins (bijvoorbeeld bij Blizzard enz.)
Het is niet vaag en ook niet dom. Het is gewoon hoe whatsapp werkt. De berichten staan alleen op de telefoon dus Whatsapp kan ze niet magisch naar een webclient verplaatsen.
Ze gaan toch via hun eigen server? Dus het afleveren van berichten kan dan toch ook gewoon naar hun webclient. Net als vele andere dit doen?

Of gebruiken hun iets waardoor dit niet mogelijk is?
Het principe van Whatsapp is dat ze berichten op hun server bewaren zolang de gebruik het bericht niet heeft ontvangen. Meerdere clients ondermijnt dat principe (en zou betekenen dat WA meer opslagcapaciteit moet inslaan).

Er is namelijk geen garantie dat jij de webclient gaat gebruiken, maar ze zouden de berichten dan wel moeten opslaan om dit op die manier mogelijk te maken.
Je zou het bericht wel via de web cliŽnt naar een ander kunnen sturen. Maar jij hebt het bericht dan niet op je telefoon, en de ontvanger heeft hem bv juist op zijn telefoon en niet in de web cliŽnt.

Zoals al eerder gezegd, whatsapp slaat jou berichten niet op. Die staan alleen op jou telefoon, als je dus van telefoon wisselt ben je ook alles kwijt (tenzij je backup maakt en terug zet). Whatsapp regelt dus alleen het transport! Dat heeft zijn voordelen, maar ook zijn nadelen.
Heeft te maken met de end2end encryptie.
Ja en dat kan dan toch ook eenmail door de berichten over te zetten naar de client die whatsapp gebruikt, vanaaf het apparaat ernaast? Die zitten in het zelfde netwerk (meestal) dus dat kan prima binnen no-time geregeld worden. desnoods doe je alleen de laatste 10 dagen ofzo.

De nieuwe whatsapp cliŽnt wat al precies hoeveel berichten je in welke chat hebt zitten en allerlei andere text based analyse spul dus die weet ook precies welke groep het vaakst gebruikt wordt, wie er het meeste zegt, wanneer laatste berichten ontvangen zijn, en nog meer an die simpele dingen waardoor je prima een kleine selectie kan maken van de gesprekken die je op de web client nodig zou hebben. Om daar nou helemaal moeilijk voor te moeten doen op deze manier vind ik een beetje jammer, want het nut is dan nog steeds nihil.
Het idee achter whatsapp is, dat het alleen werkt op basis van jouw unieke telefoonnummer/hardware. Dus een webapp kan wat dat principe betreft prima 'erbij' zolang je mobieltje controleerbaar aanwezig is, maar niet zonder. De techniek is niet het probleem maar het uitgangspunt van WhatsApp zelf.
WhatsApp op de pc heeft als voordeel dat je niet steeds hoeft te switchen naar je mobiel. En mobiel bijna leeg? Dan laad je je telefoon toch op aan diezelfde pc waar je aan zit te werken? 8)7
En mobiel bijna leeg? Dan laad je je telefoon toch op aan diezelfde pc waar je aan zit te werken? 8)7
Nou dan moet je geen OnePlus One hebben want die laad echt niet op via USB, hooguit 2% per uur ongeveer. Dus zo gek was het niet. En trouwens, wie zegt dat ik mijn oplaadkabeltje bij heb?

Heb wel vaker zonder stroom gezeten dan is het juist makkelijk dat ik bijvoorbeeld gewoon Telegram via web op mijn laptop open kan klikken en daar verder communiceer.

[Reactie gewijzigd door defixje op 23 december 2015 09:06]

Het niet opladen is geen probleem, zolang je telefoon maar niet verder leeg loopt. Je moet idd wel een kabeltje bij je hebben.
Haha, ik denk dat een update naar CM13 een goeie optie is ;-)

Aangezien ik mijn telefoon rap zie opladen aan een usb 3.0 poort.
Toen ik nog Lollipop draaide was het idd soep, maar nu heb ik alleen maar lofprijzingen ;)
Er komt een tijd dat we een chip in onze pols hebben met onze volledige ID in. Wil je ergens inloggen of betalen, gewoon even die pols tegen het bakje houden terwijl de vingerafdruk en irisscan genomen wordt. De combinatie van deze drie zaken kun je niet vergeten en is moeilijk te kraken. Privacy moet een prioriteit blijven, maar kan geen probleem zijn als je niets te verbergen hebt. Helaas is Facebook een beetje de nieuwe token/online ID aan het worden als standaard om overal aan te melden. De rest ligt blijkbaar te slapen ...
Het is inderdaad verbazingwekkend dat er niemand opstaat om een onafhankelijke online ID service te introduceren. Telecomproviders kunnen de aangewezen partij zijn omdat je middels SIM authenticatie al een behoorlijk krachtig en veilig mechanisme hebt. En aangezien je een provider gewoon betaalt voor hun diensten hoeven die geen rare dingen te verzinnen om geld te verdienen waardoor het per definitie betrouwbaarder kan zijn dan een aanbieder die alles "gratis" doet.
Het is inderdaad verbazingwekkend dat er niemand opstaat om een onafhankelijke online ID service te introduceren.
Ik vind dat helemaal niet verbazingwekkend, want dit is een kwestie van vertrouwen. Als ik vandaag een onafhankelijke online ID service zou oprichten, wie zegt jouw dat ik te vertrouwen ben? En stel even dat ik dat wel ben maar ik heb straks 20.000.000 gebruikers, dan nog steeds?

Dit is het probleem met elk succesvol initiatief, zodra het echt succesvol is gaat het dan nog goed?

We hebben al een aantal private instellingen die als authenticatie intermediair optreden. Google, Facebook, Microsoft en onze eigen overheid met DigiD. En hoewel ik zelf de authenticatie services van Google, Microsoft en DigiD vertrouw (let op, ik laat met opzet Facebook weg) is het op niets meer gebaseerd dan dat, vertrouwen. Het minste van die 3 is in mijn ogen DigiD maar die willen ze ook niet voor niets vervangen door eID.

Nou zullen hele volksstammen zeggen dat ik zot ben om Google en Microsoft wel te vertrouwen als intermediair om authenticeren. En dat is nu precies het probleem. Kleine bedrijven zijn te klein om een deuk in een pakje boter te slaan en grote zijn al meteen verdacht omdat ze groot zijn en niet van liefdadigheid leven. Kortom, wat je ook verzint het zal nooit goed zijn. Zeg nu zelf, de enige die je echt vertrouwen kan ben jezelf (hoewel sommigen ook daar ook nog aan twijfelen).

Dus een onafhankelijke online ID service, hoe dan? Wat is onafhankelijk en waar komt de funding dan vandaan. Een onafhankelijk instituut dat boven alle twijfel verheven is, nou als jij er een weet, ik niet in elk geval.
Dat vertrouwen kan ontstaan als onafhankelijke diensten jou gaan peilen. Maar dan heb je kans dat de staat zich ermee bemoeien en je dwingen een backdoor in te bouwen en om dat niet bekend te maken. Dus ja, onafhankelijk is een heel groot woord.
Privacy opgeven is geen probleem als je niets te verbergen hebt?

En waarom zou een mens niets te verbergen mogen hebben?
Privacy moet een prioriteit blijven, maar kan geen probleem zijn als je niets te verbergen hebt.
8)7 Privacy en vrijheid van meningsuiting zijn fundamentele rechten. Als je daar uitzonderingen op maakt is het hek van de dam (slippery slope). Bij privacy is dat misschien nog wel erger omdat je persoonlijke data in de toekomst met terugwerkende kracht tegen je gebruikt kan worden. De huidige situatie is dus niet eens van belang!
Ik geloof volledig dat we een situatie krijgen waarbij mensen geen wachtwoord meer hoeven onthouden of invullen.

Ik zie hier wel een kanttekening in, maar neem aan dat Google daar al over heeft nagedacht: wat nou als precies op dat moment iemand anders ook probeert in te loggen?
Mijn grootste bezwaar is: wat nou als ik mijn telefoon kwijt ben? Kan iemand anders dan met behulp van mijn telefoon op een computer inloggen?

Lockscreens zijn niet verplicht, dus zelfs als die techniek feilloos is zullen sommige gebruikers daar vatbaar voor zijn.
Lockscreens zijn niet verplicht, dus zelfs als die techniek feilloos is zullen sommige gebruikers daar vatbaar voor zijn.
Binnenkort wel, sterker nog, in NL zijn ze het deels al. Geen Ziggo WiFi op je mobiel tenzij je lockscreen geactiveerd is.
En wees nou eerlijk, je bent een rund als je met jouw informatie stunt. Om even een slogan te stelen. Op jouw mobiele apparaat staat heel erg veel informatie, los van wachtwoorden. Dat wil je niet laten slingeren.
via hun app niet via manuele instelling kun je het wel gewoon.
Ik heb geen lockscreen geactiveerd en wel gewoon Ziggo wifi buitenshuis hoor.
Het is alleen verplicht icm met het certificaat.

Ik heb daarnaast meer 'moeite' met de continu melding "uw netwerk kan gecontroleerd worden"
Voor mijn bekende en vertrouwde netwerken heb ik nohome + exposed aanstaan, en het lockscreen ontgrendeld door de vingerafdruk snel en probleemloos

[Reactie gewijzigd door CooT71 op 23 december 2015 07:32]

Ze kunnen nooit een lockscreen globaal gaan verplichten. Blijft ieders keuze. Ware het niet of het een verstandige keuze is, dat terzijde.
Als ik mijn werk email instel op mijn telefoon dan moet ik verplicht en lockscreen instellen. Het is dus wel mogelijk.
Is dat op Android zo geregeld? Of wordt je door je werk gedwongen?
Het werk dwingt af dat android het afdwingt...
Dan nog kan je dit 'omzeilen' op Android door applicaties zoals NINE.

daar kan je ook je exchange mail aan toe voegen maar de applicatie zorgt er dan gewoon voor dat er een pincode is op de applicatie zelf en dan wordt er geen geforceerd voor je ganse telefoon.
Als je geen lockscreen hebt en dit wil gebruiken is het toch echt je eigen schuld.
Zelfde voor je gegevens, als je geen wachtwoord op je telefoon doet mag je ook niet klagen als je gegevens op straat liggen.

Verder zie ik wel toekomst hier in aangezien het een van de grootste irritaties is van internet en computers.
De wachtwoorden en veiligheid.
Lockscreens zijn niet verplicht, dus zelfs als die techniek feilloos is zullen sommige gebruikers daar vatbaar voor zijn.
er staat: waarbij Google schermbeveiliging aanbeveelt, al is dat laatste niet verplicht.

Dus ook wel als jij geen scherm beveiliging gebruikt dan kan iemand al bij jou mail dus lijkt het mij ook wel logisch dat het voor de pc geld..
Voor zakelijke mailboxen zoals van Microsoft Exchange kan dit al verplicht worden.
En enkel met een pin of wachtwoord, niet dat tekeningetje maken.

Dus het kan zeker zijn dat Google een manier toevoegt om dit te verplichten met hun eigen services.
Verplicht lockscreen bij Exchange is ook allang weer gehacked.
Ik moest het ook maar ben blij dat ik niet elke keer die verdomde pincode meer hoef in te tikken. Security is ook goed op je spullen letten.
Ja want alleen jij kan 100% voorkomen dat je mobiel word gejat...
Klopt inderdaad, knappe jongen die mijne te pakken krijgt.
Je zal die telefoon vermoedelijk eerst aan een computer moeten koppellen waarbij je dus wel met een wachtwoord moet aanmelden op die computer.
Dat is theoretisch. Als je zo geavanceerd bent dat je dit gaat gebruiken heb je sowieso al een PIN op je lockscreen zitten mag ik hopen. En als je je telefoon kwijt bent is dat hetzelfde als dat je de randon reader van de bank kwijt bent. Dan kan je niets doen.
Een paar jaar geleden al van een google werknemer gehoord dat ze eigenlijk wel van wachtwoorden afwillen, omdat het 'vervelend' is. Hun vingerafdruk scanner op de telefoon werkt zeer goed..

Weliswaar niet zonder paswoord, maar je kan bijvoorbeeld ook security keys gebruiken voor 2-tier authenticatie.
https://support.google.com/accounts/answer/6103523?hl=en
Dan heb je pech
Nee duidelijk :+

Zet jij het ook even in de handleiding bij meestgestelde vragen :P
Dus in plaats van dat ik mijn code handmatig intyp binnen secondes, moet ik eerst mijn telefoon vinden, dan mijn unlockcode type en dan akkoord geven?

Ook al ligt mijn GSM naast me, dan zie ik alsnog geen tijdswinst. Behalve als je een lang, moeilijk ww hebt.
En voor dat lang, moeilijk wachtwoord gebruik je een wachtwoordmanager.
Wat inbegrepen zit in Google Chrome.
Teminste als ik een nieuwe plek een wachtwoord invoer op de pc Hoef ik dat niet op de mobiele te doen.
Ja alleen als je je pc open laat staan dan kan iedereen gewoon doodleuk je wachtwoorden in plaintext inzien via de Chrome instellingen. Dat vind ik echt slordig, vandaar dat ik nooit dan ook maar 1 wachtwoord bij Chrome zal opslaan.
Zoals spNk zegt dit is bij veel browsers zo inclusief Firefox en Chrome. Safari heeft dan wel een keychain paswoord maar dit paswoord is ook compleet nutteloos (eigenlijk een vorm van schijnveiligheid).
Want ga gewoon naar de site waar je het paswoord van wil zien, daar staat het gemaskeerd ingevuld, control click op het paswoord, selecteer inspect element (zie dat webinspector aanstaat in advanced preferences, 'show develop menu') en simpelweg verander type van 'password' naar 'text'. En voila jouw paswoord in plain text zonder dat je het keychain paswoord nodig hebt. (Werkt voor Chrome, Safari en Firefox)

Het beste systeem is nog waar telkens je een browser opent je een paswoord moet ingeven alvorens de wachtwoorden ingevuld worden. Maar de realiteit is dat vanaf de moment dat iemand fysieke toegang heeft tot jouw computer opgeslagen paswoorden niet bepaald veilig meer zijn (of dit nu in Chrome, Safari of Firefox is).

[Reactie gewijzigd door Chip5y op 23 december 2015 00:40]

geldt het niet voor i.e of edge? want het is wel apart dat alle 3 dat wel hebben.
Had nog niet geprobeerd in Edge daarom dat ik het niet had vermeld. Maar via inspect element - DOM Explorer kan het in Edge wel degelijk ook.

Edit: voor de volledigheid ook eens Opera gecheckt. Daar werkt het ook. Dus werkt voor Edge, Chrome, Firefox, Opera en Safari.

[Reactie gewijzigd door Chip5y op 23 december 2015 01:36]

Dat geld ook voor firefox.
Dus? Het is geen browser bash ofzo. Het gaat om het principe. Ikzelf gebruik gewoon een 'echte' password manager, geen browser opgeslagen wachtwoorden. Bij dergelijke apps zoals 1Password weet je dat de beveiliging op orde is. En zelfs als iemand in je pc komt, is de database nog encrypted.
Nee ik wou het gewoon even toevoegen, ik gebruik zelf altijd Firefox.
Zover ik weet en gebruik. Kan je deze afschermen met een master wachtwoord.
Zover ik weet niet, althans niet in Chrome.
huh als ik naar instellingen >geavanceerd instellingen weergeven > wachtwoord beheer ga en daar klik op weergeven dan moet ik een wachtwoord invoeren.
dus hoe bedoel je in plain text zichtbaar voor iedereen?
Nou dat heb ik totaal niet hoor. Ik zie gewoon plaintext het wachtwoord.

PS: ik ben niet als een user ingelogd in chrome, misschien dat het daarmee te maken heeft. Maar ik kan gewoon op "show" drukken zonder ook maar 1 wachtwoord in te hoeven voeren.

[Reactie gewijzigd door defixje op 23 december 2015 09:03]

Inderdaad en op de computer kun je ook gewoon in de browser je wachtwoord laten onthouden.
En vervolgens kan je het in de instellingen van je browser in plaintext terug vinden :D
Gewoon een echte password manager gebruiken die een degelijke encryptie gebruikt op een lokale database. En bij OSX is dat overigens een uitzondering. Daar gebruiken ze (meestal) de KeyChain van OSX. Daar moet je altijd je master wachtwoord invullen om de KeyChain te unlocken. Dus ik prefereer liever de OS KeyChain of een reguliere password manager zoals 1Password.
Of TFA gebruikt. Dan moet je toch je telefoon pakken en is dit veel makkelijker
Ik gebruik sowieso TFA waar mogelijk. (Gitgub, Dropbox, Google, Apple ID, en zo nog een paar diensten)
Eigenlijk hetzelfde wat Microsoft al heeft met z'n Microsoft-account app
Klopt, alleen daar moet je wel het wachtwoord invullen. En bij bepaalde diensten (persoonlijke informatie), dien je dan via de app toestemming te geven.
Google is dus aan het testen zonder het wachtwoord.
Dat is gewoon 2FA.
Maar is dit niet het verplaatsen van het probleem? Je moet nu het wachtwoord van je PC niet onthouden, maar bent wel genoodzaakt je smartphone een beveiliging te geven.
Wat voor reden heb je om je smartphone Łberhaupt geen beveiliging te geven ..
Misschien dat het veiliger is omdat de mobiel en pc de zelfde locatie moeten hebben.(denk ik)
Als er eentje afwijkt kan dat betekenen dat je account gehackt is.Google wil gewoon zoveel mogelijk van je weten :P .
Handig als je telefoon gestolen wordt!
Dan blokkeer je je telefoon, en gebruik je 'ouderwets' je wachtwoord
Je moet nog steeds ergens ingelogd zijn. Lost dus niet zoveel op. Ik heb meer vertrouwen in een compleet alternatief voor inloggen: SQRL ziet er erg veel belovend uit. Dit zal binnenkort uitkomen, details op https://www.grc.com/sqrl/sqrl.htm
In Android ben je toch per definitie ingelogd met je Google account? Ik zou dit wel handig vinden dat ik op de desktop kan inloggen met de vingerafdruk van mijn telefoon.
Of je bouwt overal een gezichtsscanner/RealSense camera in.
Zitten...klaar.

Enne, dit is dus niet meer een lokaal opgeslagen id.
Als je geen RealSense cam hebt, dan kan je nog beter een fingerprint scanner inbouwen dan dit.
Of je bouwt overal een gezichtsscanner/RealSense camera in.
Zitten...klaar.

Enne, dit is dus niet meer een lokaal opgeslagen id.
Als je geen RealSense cam hebt, dan kan je nog beter een fingerprint scanner inbouwen dan dit.
ik KEN nog inet eens mensen met zo'n cam ... dus daar loopt het uitgebreide uitrollen van zo'n systeem al mis.
Wel ken ik al wat mensen met een smartphone & googleaccount, zie je zelf het nut van de ťťn t.o de andere ?
Als dit echt veilig blijkt te zijn denk ik dat dit nog meer zal gebruikt worden bij gebruikers dan de two factor authentication die nu wordt gebruikt.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True