Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 49 reacties

Wachtwoordbeheerder LastPass komt met een app voor tweetrapsauthenticatie. De app kan Google Authenticator vervangen en biedt gebruikers een makkelijke manier om het inloggen goed te keuren via een zescijferige code of een goedkeuring.

De LastPass Authenticator werkt op alle plekken waar Google Authenticator ook werkt, claimt het bedrijf, omdat het net als Googles app werkt met totp. LastPass heeft apps uitgebracht voor iOS, Android en Windows, hoewel die laatste nog wacht op goedkeuring. Behalve het inloggen via een zescijferige code die anderhalve minuut geldig is of via sms, kunnen gebruikers ook inloggen op hun LastPass-account met een pushnotificatie.

Het koppelen van de app en het LastPass-account gaat via een barcode op de desktop die de app kan scannen. Met de applicatie kunnen gebruikers via tweetrapsauthenticatie onder meer inloggen bij diensten als Facebook en Dropbox. LastPass is sinds enige tijd eigendom van LogMeIn, dat het bedrijf vorig jaar overnam.

Moderatie-faq Wijzig weergave

Reacties (49)

Ben erg blij met lastpass maar vraag me af wat nu het (praktisch) voordeel is t.o.v. google authenticator waarmee ik naast lastpass nog circa 9 logins mee verzorg? Waarom zou ik voor lastpass een aparte extra app gaan gebruiken?
Aan de andere reacties is nog toe te voegen: niet afhankelijk zijn van Google is voor sommigen een doel op zich.
TOTP is een standaard en introduceert dan ook totaal geen afhankelijkheid van Google. Er zijn tal van authenticator apps; MS heeft er zelf ook een voor Windows Phone/Mobile. Ze werken allemaal identiek: een key phrase in base32 wordt tezamen me de huidige tijd modulo 30 door een HMAC-SHA1 functie gehaald, om er vervolgens op een bepaalde manier 6 digits uit te onttrekken. Iedereen kan dat algoritme implementeren. Er wordt altijd heel anal gedaan over de "Google" Authenticator, maar dat is puur gebaseerd op de naam en dan ook volledig onterecht.
Helemaal niet onterecht. Juist omdat het een standaard is kies je de authenticator die je vertrouwd. Als je Lastpass je passwoorden toevertrouwd dan is het logischer hun authenticator te gebruiken dan die van een derde partij, zelfs al zijn ze identiek. Ik vertrouw Google niet, dus gebruik ik niet hun authenticator (en zo min mogelijk van hun andere diensten).
De stelling was afhankelijkheid van Google, jouw post gaat daar niet echt over. Het punt is dus dat men doet alsof je voor vendor lock-in kiest als je de Google authenticator gebruikt. Dat is dus helemaal niet zo, want je kunt eender welk app gebruiken die TOTP implementeert. Er is niets aan de implementatie ervan die je afhankelijk maakt van Google zoals tijnvw en anderen stellen.

Een deel van het probleem is dat websites tijdens de setup van 2FA voor je account het ook atlijd "Google Authenticator" noemen terwijl het gebruik van die specieke app dus helemaal niet vereist is. Ik snap wel waarom ze het doen, het is veruit de meest gebruikte TOTP app. De term TOTP zelf zegt men over het algemeen weinig.

[Reactie gewijzigd door .oisyn op 17 maart 2016 12:30]

Ik verbaas me ook een beetje over deze non-discussie elke keer 8)7 in dit nieuwsbericht staat de RFC zelfs gelinkt. Installeer bijvoorbeeld FreeOTP als je bang bent voor de grote boze G. Die doet een aantal dingen imo ook fijner, zoals het kunnen aanpassen van de volgorde van OTP-codes.

[Reactie gewijzigd door Rafe op 17 maart 2016 07:38]

Ik snap het "geen Google" sentiment wel, maar voor die authenticator zie ik de reden niet meteen. De kleine extra handigheidjes zoals swipe op homescreen zijn ook gevaarlijk: hoe makkelijker ze het maken hoe minder veilig het is. En als je pincode hebt op je telefoon hoort die swipe ook niet te werken.

Google kan daar niks mee behalve de wetenschap dat je een bepaalde tool gebruikt met de authenticator op een bepaald nummer en in geval van android met een bepaalde gmail account. Ik ontwijk ook graag Google, maar in geval van de auth app zie ik het nut niet zo.

[Reactie gewijzigd door Dasprive op 16 maart 2016 21:34]

Nou, qua redenen; Google Authenticator was altijd open source, maar is om onduidelijke redenen sinds een tijdje NIET meer opensource! (zie https://github.com/google/google-authenticator en https://f-droid.org/wiki/...droid.apps.authenticator2). Ook heeft de app rechten voor internet, waardoor, als je echt paranoid bent, zou kunnen denken dat alle 2-factors ook de app verlaten en naar Google worden verstuurd...

Ik zeg niet dat dit zo is, enkel iets wat ik geconstateerd heb en wat mij in ieder geval bewogen heeft om een open alternatief te gebruiken; https://github.com/0xbb/otp-authenticator. Blijkt dat het open alternatief nog prettig werkt ook :)
Hoewel je in de basis natuurlijk volledig gelijk hebt is daar wel een kanttekening bij te plaatsen. Dit soort reacties zie je (terecht) best vaak, maar waar ik dan vaak mijn twijfels bij zet is het alternatief waar men voor gaat. In de meeste gevallen heb je eigenlijk geen idee bij wat voor toko je je vertrouwen legt maar het geeft een beter gevoel "omdat je weg bent bij Google".

In veel gevallen heb ik simpelweg meer vertrouwen in de kunde van Google dan menig alternatief en als ik dan alle belangen voor mezelf op een rijtje zet kom in onder aan de streep toch redelijk vaak bij een partij als Google uit.
Jammer dat youtube zonder echte alternatieven zit. Anders kan je pas echt een google-vrij leven hebben... Het laatste obstakel voor mij, maar ik ben bang dat er geen alternatief voor gaat komen
Je kan prima een google vrij leven hebben. Niet dat ik zo blij ben met het missen van allerlij officiŽle google apps op windows 10 mobile...
Dat is er dus niet. :-)
Ik zou even het artikel lezen of de video bekijken†als ik jou was. :)
Hmmm... In plaats van een code intikken, kun je gewoon even een knop swipen en dat is het. Maar het blijft nog steeds een Lastpass-only oplossing. Ik gebruik tegenwoordig waar mogelijk overal two-factor authenticatie, zowel bij het inloggen op de desktop, als bij Lastpass voor mijn logingegevens. Ik ben blij dat ik dat met Authy voor meerdere accounts kan doen, dan maar niet swipen.
Maar het blijft nog steeds een Lastpass-only oplossing.
Maar hoezo dan? Je kunt het voor andere diensten gebruiken en je hoeft er niet de LastPass app voor te downloaden.
Yep. Gelijk!

- edit: uitgeprobeerd en bevalt goed. Goed alternatief voor Authy. Dat sliden werkt overigens nog niet heb ik gemerkt.

[Reactie gewijzigd door mind123 op 17 maart 2016 21:32]

Omdat je dan je code als een pushbericht (op je lockscreen) kan krijgen.
Dit werkt echter enkel voor LastPass zelf (en in mijn geval gewoon niet, geeft vage error bij inscannen code).

Screentje

[Reactie gewijzigd door JoWannes op 16 maart 2016 21:06]

Niet, dat is een eigen keuze die je kan maken. :)
Als je de video bekijkt, zie je dat je met een swipe vanaf je homescreen kunt accorderen, heb het vanmiddag getest en werkt een stuk sneller dan een code overtypen uit Google Authenticator bijvoorbeeld. Helemaal als je je telefoon kan ontgrendelen m.b.v. je vingerafdruk.
Waarom zou ik voor lastpass een aparte extra app gaan gebruiken?
Het lijkt erop dat ze de app willen populariseren in plaats van het alleen voor LastPass gebruikers te marketen. Daarom is het een aparte app.
Dat is een mooie vervanging, loop me nu suf te zoeken in de lijst met codes van mijn Microsoft Authenticator, om de juiste te pakken.
Nu alleen nog hopen dat Microsoft hem snel goedkeurt.

@Yinchie: Ik bedoelde juist de lijst met codes in die app ;)

[Reactie gewijzigd door St00mwals op 16 maart 2016 20:26]

Mijn probleem met de Google Authenticator app op Android is dat je geen mogelijkheid hebt om codes accounts te rangschikken of te groeperen. Ze komen gewoon in een chronologische lijst.

Had gehoopt dat deze meer opties had, maar helaas. Het is zelfs slechter:
  • De tegel per code is groter, er passen er dus minder op het scherm (mijn OnePlus One: 4 in Lastpass Auth vs 5 in Google Auth)
  • De app start duidelijk trager dan de Google Auth
Daarnaast is er helaas ook geen methode om de profielen van Google Auth te importeren.

Edit: LastPass Auth sorteert ze op naam, niet aan te passen. Je kan het label editten, maar dat is het account veld (meestal je email adres), niet de provider/site (waarop ze dus gesorteerd zijn).

Ik heb LastPass premium en kan 2 steps verification instellen op de Google Auth manier, maar niet op de nieuwe LastPass manier :')

[Reactie gewijzigd door JoWannes op 16 maart 2016 21:57]

Je kunt ze op iOS wel rangschikken en (soms) een label toekennen, maar dat is dan ook alles. De nachtmerriesituatie dat alles verloren gaat doet zich geregeld voor na het herstellen van een iPhone.

Edit: woordje.

[Reactie gewijzigd door Blizz op 17 maart 2016 00:49]

Precies. Daarom ben ik overgestapt op Authy, dat de tokens backupt (versleuteld) naar hun servers en synchroniseert tussen je apparaten (bijv. tablet, smartphone en Chrome-extensie op de PC). Vereist natuurlijk enig vertrouwen in de kwaliteit van de versleuteling...
Ik kan in Google Authenticator gewoon zelf de volgorde aanpassen hoor ?(iOs)

Het is idd jammer dat je niet makkelijk bestaande profielen van google auth kan overnemen
Als de profielen van Google Auth te importeren zouden zijn, dan zou dat een serieus veiligheidslek in de applicatie van Google zijn. Immers zouden dan ook 'kwaadwillende' apps op die manier codes (en de instelsleutel) kunnen stelen.

Ik kan het op de nieuwe Lastpassmanier ook niet instellen. Ik krijg een "Error. Device pairing failed." melding bij het scannen van de code.

Ik ben het met je eens dat de app qua functies wel wat rijker had mogen zijn. Hopelijk worden die op den duur nog toegevoegd.
FreeOTP al geprobeerd? Ik ben overgestapt (Android) juist vanwege het niet kunnen aanpassen van de volgorde.
Er bestaan al apps zoals dit die al langer bestaan. Google Authenticator en Authy.
Ik denk dat hij die apps ook bedoeld. Ik gebruikt Authy voor alles wat 2FA accepteerd, en het is vaak een race tegen de klok om de code op tijd erin te krijgen :).
Vooral op de telefoon is het een race tegen de klok. Meestal wacht ik ff in de app op de volgende OTP om die te kopiŽren en te plakken in de desbetreffende app.
Gelukkig is ook de vorige code nog geldig, dus als je hem iets te laat submit is er niks aan de hand.
Oh dat was me nooit bekend 😊 ik wachte gewoon ff op de nieuwe. Komt denk ik ook doordat de huidige code in de laatste seconde nerveus rood gaat knipperen in de Google Authenticator app.
Bij een goede OTP implementatie is het vorige en het volgende wachtwoord ook geldig. Dit om kleine tijdsverschillen tussen server en "Token" op te vangen, waarschijnlijk heb je dus meer tijd dan je denkt.
Microsoft heeft hier toch al een app voor? :9

Edit. Snap hem al 8)7

[Reactie gewijzigd door Keromi007 op 16 maart 2016 20:27]

Leg uit, want ik snap hem niet. Ik gebruik ook Authenticator van Microsoft, maar hoef nooit te zoeken naar codes. Ik ga naar het loginscherm, log in en moet dan de code invoeren. Ik start vervolgens de app op die elke zoveel seconde een nieuwe code genereert (zoals RSA token ook doet) en voor de code van dat moment in. Als ik het vinkje 'Ik log vaker vanaf dit apparaat in' zet komt deze vraag om de code niet weer.

Ik heb nooit hoeven te zoeken voor codes.
Hij bedoeld waarschijnlijk dat hij veel authenticators erin heeft staan.
Ik vind het maar niks, al die alternatieve. Is hetzelfde als met Steam. Ik zou graag voor alles een authenticator gebruiken in plaats van mailtjes of SMS. Als Steam nou zijn authenticator bij die van Google gooit, ga ik over op Google Authenticator..
Het verschil is dat dit niets te maken heeft met hoe Steam het regelt, want deze app is niet enkel bedoeld voor de LastPass-dienst. Dit is een concurrent van Google Authenticator, echter kunnen alle denkbare digitale multifactor-auth diensten (behalve misschien auth per e-mail) kunnen deze app gebruiken, waar Google besloten heeft enkel 1 methode te benutten. Kortom, deze app is Google Authenticator en meer.

Of het ook beter werkt weet ik nog niet, want ik heb nog geen zin om al mijn diensten handmatig te gaan overzetten…
Werkt ideaal! Was altijd best nog even vervelend om elke keer de authenticator app te zoeken, lastpass in het lijstje te vinden en de code over te typen. Nu krijg je simpelweg een notificatie waar je gewoon de login kan goedkeuren of afkeuren.
tweetrapsauthenticatie: MUST HAVE voor wachtwoord databases.
Persoonlijk vind ik het wel handig om alles onder 1 (Windows phone) app te hebben.
Ik gebruik het voor Office 365, Synology nas, Lastpass en diverse IT beheersystemen.
Het enige nadeel is dat de Azure app vrij langzaam laad en dus de tijd verlopen is.
Zijn er meerdere tweakers die hier last van hebben?
Grrr, net wanneer ik Gauth via alfred 2 heb draaien komen ze hier mee aan. Denk dat ik toch maar bij Alfred blijf want dit zal wel niet werken met Gauth denk ik.

Wel jammer, want de push notificatie is op zich wel cool bedacht, maar ik heb juist Gauth erop gezet omdat ik niet elke keer mijn telefoon bij de hand had.
Zelf vind ik de Google Authenticator prima werken, met name de Android Wear ondersteuning is voor mij een grote pluspunt.

Geen redenen voor mij om over te stappen op Lastpass :)
De enige reden om over te stappen, zou zijn als je met deze app een export kan maken. (mťt password beveiligd en encrypted uiteraard. Een plain-text export zou nogal ziekelijk zijn.)
Niets vervelender dan je toestel kwijtraken of moeten resetten, en je 2fa codes zijn pleite... En de container met daarin de sleutel backups heb je zo'n achterlijke naam gegeven dat je hem zelf ook niet meer kan vinden. :')
Haal je niet het nut van 2-factorauth niet onderuit als je beide verificaties laat hosten door maar 1 partij.

Stel lastpass wordt gehacked en ze verkrijgen mijn google inloggevens, nu kan de hacker "direct" inloggen met het wachtwoord en de 2-factor key. Als je google authenticator had gebruikt zullen ze niet in je google account kunnen inloggen.
Ik neem aan dat net als Authenticator, die sleutels netjes enkel op t toestel staan?

Aan de andere kant, als LastPass gehacked wordt moeten ze alsnog jou container decrypten. Dat is t hele punt van LastPass dacht ik... Als zij gehacked worden, hebben de hackers niets van jou (tot ze je database wachtwoord weten te kraken).
Same shit met KeePass bijvoorbeeld. Iemand kan je container .kdb stelen, maar zonder het decriptie wachtwoord/sleutel hebben ze er niets aan. Dmv brute force kan er uiteindelijk toegang verschaft worden, maar als je minstens 1x per jaar je wachtwoorden wijzigt, en natuurlijk meteen als je weet dat je database gejat is/bij LastPass is ingebroken, is de kans van slagen enorm klein en ben je dus veilig.

Tenzij je een ruk wachtwoord gebruikt natuurlijk, maarja.
Ik wilde even doorgeven dat deze app;Google Authenticator nu te downloaden is in the Play Store.

Werkt perfect! :)

Edit: Ik bedoelde dus LastPass Authenticator

[Reactie gewijzigd door Alien8 op 17 maart 2016 21:33]

Die is echt al jaaaaaaren te downloaden.
Het leipste is dat enkele weken geleden een dag kwam waarvan ik nooit verwacht had dat ie zou komen: Google heeft een update uitgebracht voor Authenticator voor iOS waardoor ie normaal werkt op de iPad. Shocker.
Sorry.. ik bedoelde natuurlijk LastPass Authenticator.. :)

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True