Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 125 reacties

Google heeft een nieuwe manier van tweetrapsauthenticatie ingevoerd voor telefoons met de naam Google-prompt. De functie werkt op Android-apparaten zonder toevoegen van extra programmatuur. Voor iOS-apparaten moet de Google Search-app zijn geïnstalleerd.

Met Google-prompt ingeschakeld is het mogelijk om op Google apps in te loggen door op een bevestiging op een smartphone te klikken zonder verder codes in te hoeven voeren. Tot nu toe was tweetrapsauthenticatie op Google-diensten mogelijk door het ontvangen van een sms met daarin een beveiligingscode waarna de code ingevoerd moet worden in de betreffende dienst.

Ook bestaat de mogelijkheid gebruik te maken van de Google Authenticator-app of een fysieke beveiligingssleutel. Met Google Prompt wordt het in sommige gevallen makkelijker om in te loggen doordat alleen op 'Ja' of 'Nee' geklikt hoeft te worden op de smartphone.

Op dit moment is het niet mogelijk zowel een beveiligingssleutel en Google Prompt te gebruiken. Ook moet de telefoon verbonden zijn met een dataverbinding omdat het systeem anders niet functioneert. Voor sms is alleen een mobiele telefoonverbinding nodig en Authenticator functioneert zonder verbinding.

Android-gebruikers moeten updaten naar de laatste versie van Google Play Services en iOS-gebruikers moeten de laatste versie van de Google-zoek-app installeren. Installeren werkt via Mijn Account in het Google Dashboard, dan 'Inloggen bij Google', vervolgens 'Authenticatie in twee stappen' en daarna 'Alternatieve tweede stap instellen'.

Google Prompt

Moderatie-faq Wijzig weergave

Reacties (125)

Microsoft heeft vergelijkbare app voor Android. Erg handig om alleen even op ok te hoeven klikken ipv codes te moeten overtypen.

https://play.google.com/s...crosoft.msa.authenticator
Absoluut, erg jammer dat Microsoft het alleen op de Android app heeft. De ios en azure app genereren nog steeds een code.
de Azure app kan ook om een bevestiging vragen i.p.v. een code te geven. In ieder geval voor je Office 365 account. Dit kun je in je account instellen onder je two-factor instellingen.
niet waar, werkt ook op iOS.
Linkje naar de app?
https://itunes.apple.com/...nticator/id983156458?mt=8

Werkt toch een stukje handiger dan die Google Authenticator app waarbij je een code moet overtikken.

De Azure app geeft een notificatie op je lockscreen, even vegen, de app opend, er komt een pop-up, je tikt op verifiëren en je browser op je computer logt daarna direct in.
Ik krijg hier met geen mogelijkheid een popup in die app anders. Enige mogelijkheid is het gebruik van een code. Ook al zeg ik bij het inloggen dat hij die verificatie popup moet sturen, de app doet niets. Op android werkte dat perfect.
heb je hem wel aangemeld in je admin center? En de config doorgelopen?
Ik gebruik hem met mijn outlook.com account. Geen pop-up. Wellicht als je een azure ad account hebt dan? Bedoel je dat?
Ja, ik heb Exchange online en daar werkt die Azure authenticator mee/voor. Outlook.com gebruik ik niet, ik dacht dat jij het ook over Azure had, zoals in je eerste post staat.
Ik gebruik de Android app en die werkt bij mij ook op zijn minst gezegd onregelmatig. Ongeveer de helft van de gevallen moet ik zelf de app openen. Vaak komt nadat ik zelf de app geopend heb en toestemming heb gegeven alsnog de popup.
Ja, die Microsoft authenticator app heb ik op mijn mobiel, en het heeft een tijd lang gewerkt. Maar nu krijg ik geen notificatie/prompt meer van de app als ik op de PC een log-in moet doen en 2-factor authenticatie nodig heb. Dan moet ik handmatig de app openen en handmatig een code laten genereren in de app die ik dan op de PC moet invullen. Jammer. :/
Dat had ik ook. Volgens mij had dit te maken met de power manager functie van de telefoon. Deze zet weinig gebruikte apps uit om op accuverbruik te besparen, maar daardoor valt deze functie ook weg. Kijk eens naar je power management instellingen.
Dan heb je waarschijnlijk ooit op de link gedrukt dat je geen verzoek heb gekregen (of iemand anders) en dat je een code wil laten genereren door de app. Dit is bijvoorbeeld handig als je telefoon geen verbinding heeft.

Hoe dan ook, op de pagina waar je je code moet invoeren staat vanonder een link om weer een verzoek naar de telefoon te sturen. Vanaf dan treed het systeem weer helemaal terug in werking.
Lastpass heeft een vergelijkbaar iets. Lastpass Authenticator. Werkt perfect!

https://play.google.com/s...om.lastpass.authenticator
Exact hetzelfde als Google Authenticator.
Nee hoor. Bij Google Authenticator moet je de app openen, de code uitlezen en overtypen. Bij Lastpass Authenticator krijg je een dropdown en kun je kiezen uit deny of approve en hoef je verder niks meer te doen.
Screenshots van de app tonen een ander beeld, namelijk hetzelfde als Lastpass.

En die optie waar jij het over hebt, werkt alleen met het inloggen bij Whatsapp? Of ook bij bijvoorbeeld Yahoo! Mail ?
Heeft de authenticator geen verbinding nodig?! Beetje off topic, maar hoe werkt die dan?
Dat is RFC 6238: TOTP, een open standaard. Er wordt aan de hand van een shared secret en de hoeveelheid blokken van 30 seconden sinds 1 januari 1970 door zowel de server als de app dezelfde getallen berekend.
Je telefoon moet wel een redelijke klok hebben of eens in de zoveel tijd verbinding maken om te synchroniseren met een tijdserver. Elke zoveel dagen lopen ze toch een paar seconden uiteen waardoor na verloop van tijd je 30 seconden blokken niet matchen.

Gelukkig zit er een grace-period op waardoor je niet strak aan 30 seconden gebonden bent. Je krijgt dan elke 30 seconden een nieuwe code, maar elke code is voor zo'n 2 minuten geldig.
Voorzover ik heb gezien syncen telefoons standaard automatisch met de tijd van het netwerk, een smartphone kan dat ook nog via internet doen. Hoofdstuk 6 van de RFC raadt inderdaad aan praktisch met clock drift om te gaan.
Nee hoor, dat is een optie die je kunt instellen op de meeste telefoons.
Nee, de authenticator genereert aan de hand van een algoritme een code en dat doet hij ook offline. Vergelijkbaar met RSA tokens. Volgens mij doen de random reader achtige apparaatjes die je bij de bank gebruikt ook zoiets.
Readers van banken gebruiken vaak EMV-CAP, de onderliggende werking is niet gebaseerd op tijd.
Het klopt inderdaad dat de werking van EMV-CAP zelf niet gebaseerd is op tijd. E.e.a. is gebaseerd op invoer in combinatie met een key. Tijd speelt echter bij een juiste implementatie van EMV-CAP wel degelijk een belangrijke rol, alleen wordt dit op een andere manier geregeld door het beperken van de geldigheid van een bepaalde 'invoer'. (de code die de website van bijvoorbeeld een bank geeft en die je op de reader invoert).

Het gebruik van readers is echter niet zo gebruikers vriendelijk, je moet namelijk dat ding altijd bij je hebben om in te loggen en daarnaast nog een pas met chip waar de key op staat. Dan werkt een gesynchroniseerde tijd toch wat vriendelijker, zeker als je vaak in moet loggen.

Toch jammer dat google zich (hoe kan het ook anders, concurrentie beperken) wederom beperkt tot IOS en Android voor systemen die zo essentieel zijn voor hun diensten. Ik had graag gezien dat ze ondersteuning bieden voor andere veel gebruikte OS...Windows en Linux om er maar twee te noemen.
Ik had graag gezien dat ze ondersteuning bieden voor andere veel gebruikte OS...Windows en Linux om er maar twee te noemen.
Het hele idee is juist dat het gebruik maakt van een mobiel, die je dus altijd bij je hebt.
Ja inderdaad...ik gebruik overal en voor alles mijn mobiel en tablet/laptop.
Maar beide draaien niet op Android of IOS en zeker voor die laatste zou ik dat (op dit moment) ook nog niet willen!
En juist dat is een device waar je nu nog regelmatig met twee traps in wilt/moet loggen. Op de mobiel gebruik je veelal toch al de google apps (bij Android) en juist daarvoor heb je de methode uit het artikel nu net niet dagelijks nodig.
Tja, verwacht je nu echt dat iemand een mobiel OS anders dan iOS/Android gaat ondersteunen ?

Als je apps wilt gebruiken zal je een iPhone of Android toestel moeten kopen, zo simpel is het. Het marktaandeel v/d overigen OSen is zo klein dat het niet uit kan om daar tijd en geld aan te besteden.
Volgens mij had ik het juist niet over specifiek een mobiel OS. Windows (de desktop versie) draait op meer systemen dan Android op mobieltjes. En juist op de desktop log je regelmatig opnieuw in, in tegenstelling tot op de mobiele platforms waar je apps gebruikt.
Daarvoor kan je dan beter instellen dat je het apparaat vertrouwt.

Prompt op een desktop brengt 2 factor authentication terug naar 1. Je logt namelijk al in op dat apparaat en bevestigt op het zelfde apparaat dat je inlogt.

2 factor is juist ingesteld zodat iemand én je wachtwoord moet hebben én een 2e verificatie die eigelijk alleen jij altijd bij je hebt. Als dan één van de twee gestolen wordt is er weinig aan de hand.
Maar een desktop stop je niet in je broekzak. Het punt is juist dat je een mobiel altijd meeneemt en je dus je 2e factor nooit uit het oog verliest.
Er zijn diverse Google Authenticator compatible alternatieven voor de desktop/laptop: https://www.maketecheasie...uthenticator-for-desktop/
De vraag is alleen of je dat moet willen, je geeft zelf al aan dat je juist daar het vaakst 2FA gebruikt, juist het feit dat je een extra device nodig hebt is een deel van de veiligheid.
Zou ING dit ook kunnen bouwen dan? Maar dan via hun eigen servers? Voor de ING-app.
Ik weet niet welk systeem de ING gebruikt, nog altijd de TAN codes van vroeger?

De ING kan een systeem als dat wat google nu gebruikt ook prima kunnen implementeren. Er kleeft echter een groot nadeel aan, bank zullen een hogere mate van beveiliging vragen...met andere woorden, ze willen niet dat je bij toeval unlockte telefoon die gejat wordt tot gevolg heeft dat de gelukkige dief ook direct even je bankrekening leegtrekt :*)
Dat kan toch ook met de huidige SMS-methode?
als je via de ING app iets overmaakt heb je een pin code in de app nodig en geen sms. Je logt in, in de app met touch ID en als je betaald moet je nog je pincode invoeren.

TAN codes heb je alleen nodig als je het via een browser doet.
Oh dan begrijp ik waarschijnlijk dit artikel verkeerd. Ik dacht dat het ging om het inloggen op de computer waarbij je een 2e authenticatievorm nodig hebt - SMS of authenticator. Dus ik vergeleek het met bankieren op de computer, waarbij je een SMS op de telefoon krijgt.
om in te loggen bij ING via je browser is er geen 2 traps authenticatie, alleen als je een betaling doet heb je een TAN code nodig.
Al zouden een TAN code vragen bij inloggen alleen zou dat al een hele verbetering zijn.

Waarom zou overdracht wel met 2FA worden beveiligd maar inzage in rekening (en bestellen op rentepuntenwinkel) niet?
Ik neem aan dat dit is om een (wat jou betreft slechte en wat mij betreft goede) verhouding tussen gemak en beveiliging te vinden.

Mensen willen gemak en mensen willen veilig. Deze twee gaan niet altijd hand in hand.
Op Android kan ik inloggen met m'n vingerafdruk en het bevestigen van de betaling ook, dus je hebt niet altijd meer je code voor nodig :).
Ik ken de (huidige) implementatie bij de ING onvoldoende. Voorheen (lees: vroeger) dat je op de website in moet loggen met een user/password combinatie en bij betalingen de TAN codes als aanvulling gebruikt werden.
In dat geval heb je dus alleen aan het gestolen mobieltje niet voldoende, behalve als de eigenaar daarvan zijn user/password daarin in plain text heeft staan |:(
De afgelopen 10(?) jaar ofzo krijg je een TAN code per SMS. Je moet dus een wachtwoord op de website hebben en een (gestolen) (ge-unlockte) telefoon.

Ik weet nog wel dat ik ergens in die tijd een rekening van Rabo naar ING overzette omdat ik vaak kleine bedragen overmaakte en die 'rekenmachine' steeds niet bij me had of kwijt was.
Two-factor authenticatie op basis van SMS kan ook. Dus zelfs de oude Nokia's worden ondersteund ;).
De app syncroniseert met de Google server de tijd. De app is namelijk correcte tijd nodig om te werken.

https://support.google.com/accounts/answer/1066447?hl=nl

App instellen>Stap 5:

"Zorg ervoor dat u de sleutel Tijdsgebonden heeft gemaakt..."

Edit: Bron toegevoegd

[Reactie gewijzigd door RPiNut op 21 juni 2016 07:53]

Klopt bijna. Het apparaat dat de TOTP tokens genereert (dus waarop de Authenticator-app draait) moet de correcte tijd hebben, maar die komt niet van de Google server af. Er wordt gewoon de tijd gebruikt die je telefoon van het netwerk van de provider krijgt.
Ik denk toch echt dat je het van Google krijgt, hoe krijg je anders nog steeds de goede tijd zonder simkaart, of op je tablet?
In de app:

Menu > instellingen > tijd correctie voor codes > syncroniseer nu

Bij mij geeft hij dan de melding:

Authenicator's internal clock was not adjusted because it appears to already be in sync with Google servers

Hier in geven ze dus wel daadwerkelijk aan de tijd van de Google server te gebruiken. Mogelijk is elke code slechts 60 seconden geldig aangezien er steeds een nieuwe code gegenereerd word elke 30 seconden.

Edit: typo

[Reactie gewijzigd door RPiNut op 21 juni 2016 23:13]

Het lijkt erop dat de app alleen op Android zijn eigen tijd ophaalt. Voor iOS wordt vrijwel zeker de tijd van het OS gebruikt.

De synchronisatie op iOS-niveau wordt gedaan via meerdere methodes, afhankelijk van beschikbaarheid.
  • Elk GSM netwerk levert tijd aan apparaten (niet altijd heel nauwkeurig).
  • Daarnaast leveren de GPS satellieten heel nauwkeurige tijd aan. Elke satelliet heeft een ingebouwde atoomklok en jouw telefoon bepaald via het minimale verschil tussen de ontvangen tijden waar hij is.
  • Als er een dataverbinding is kan je telefoon tijd ophalen bij NTP-servers, hetzelfde systeem dat alle moderner desktop en laptop OS-en gebruiken om hun tijd in te stellen. Die tijd is vrij nauwkeurig.
Ik kan zo gauw niet vinden in welke volgorde iOS die bronnen gebruikt.

Voor TOTP (Time-based One-time Password Algorithm) is synchrone tijd inderdaad vereist om de juiste code te kunnen genereren. Elke code is 30s geldig en de vorige, huidige en volgende code worden alle drie geaccepteerd zodat een klein verschil in tijd tussen client en server op te vangen zijn. Dat is een vrij grote tolerantie.

Sommige andere OTP algoritmes, zoals HOTP, hebben geen timestamp nodig. OTP's zonder timestamp zie je bijv. terug in de bekende RSA tokens en Yubikeys.
Heb een tijdje geleden de 2-way authenticatie van Google ingeschakeld. Had bij de opzet niet gezien dat je dit met de authenticator-app van Google kon doen, dus had sms ingesteld om de code te ontvangen.

Wat heb ik daar problemen mee gehad... Echt frustrerend. Ben daarna maar overgeschakeld naar de google authenticator app.

Dit lijkt me ook een mooi systeem, maar ik ben in het bezit van een iPhone dus zou ik verplicht moeten zijn om de Google Search app te installeren. Deze app zou ik dan enkel gebruiken om mezelf te verifiëren want ik weet namelijk uit ervaring (voor mij persoonlijk) dat ik deze app toch niet gebruik om dingen te gaan zoeken of om me te assisteren. Hier heb ik Siri namelijk al voor.
Dan is het naar mijn mening interessanter om de authenticator-app te installeren, omdat deze app dan echt gebruikt wordt waarvoor hij gemaakt is.
Probeer ook eens de app Authy. Is een alternatief voor Authenticator maar synchroniseert (versleuteld) tussen meerdere apparaten waardoor je niet gehandicapt bent als je telefoon het begeeft of je hem kwijtraakt. Ook vind ik de UI prettiger.
Dit ziet er best handig uit! Maar ik vind het niet noodzakelijk aangezien ik 2-way authenticatie enkel gebruik voor Google en nog één andere dienst. Maar ik zie zeker het nut van deze app wel in

Heb mijn telefoon ook ALTIJD bij me dus vormt dit geen probleem :)
Ik sla het shared TOTP secret gewoon op in mijn password database. Kan ik op willekeurige apparaten zonder netwerk connectiviteit altijd alsnog de sleutel toevoegen. Immers waarom zou ik iets dusdanig belangrijks toevertrouwen aan een 3rdparty app die iets met netwerk doet?
Wanneer je siri gebruikt gebruik je google niet om te zoeken maar bing (geen flame war aub). Welke google services gebruik je dan waar je zo nodig 2 traps authenticatie voor nodig hebt?
Gmail en google drive.

En siri gebruik ik vooral voor aan te geven wanneer ik moet vertrekken, wekker in te stellen, ...

Zoeken zelf loopt bij mij altijd via adresbalk van Safari op iOS
Dit gebruik ik al een aantal maanden, maar misschien heette het dan eerst geen Google Prompt, en is het nu iets promintenter aanwezig gemaakt bij de instellingen?
Ja, misschien met de nieuwe naam. De nieuwe manier van authenticatie op google door op je telefoon in een prompt op "nee" of "ja" te klikken bestaat 100% zeker al langer.

[Reactie gewijzigd door fatalefout op 21 juni 2016 07:54]

Gebruik het inderdaad ook al tijden, soms moet je ook en klein puzzeltje oplossen wat ook geweldig werkt
Had ook al het idee dat dit langer bestond. Maar door het apart te benoemen krijgt het meer aandacht in de pers. Een goed ding, want daardoor stijgt het gebruik ervan (denk ik).
Je hebt gelijk want ik heb het ook al een tijdje in gebruik
Werkt erg goed op de 5s. Erg handig.
Hoe krijg je het uberhaupt ingesteld dan? Ik kom er niet uit op een 5s. Ingelogd in die app, uiteindelijk bij het overzicht van inlogmethodes, daar staat alleen dat het nu per SMS gaat en dat er andere opties zijn, maar ik kan ze niet selecteren noch de huidige keus veranderen :/
Zo te zien ben je wel goed op weg. Je zou het eerst per SMS moeten doen, daarmee enable je de functie. Hierna verschijnt de rest vanzelf.
Ik heb altijd problemen met de Google-Account functies. Ik krijg het nu wel per sms, zie de 'mogelijkheid' dus wel staan bij de instellingen, maar kan dit niet selecteren. Als ik op de 'wijzig methode' knop klik, krijg ik enkel een venster met de toelichting dat het nu per sms gaat.

Misschien dat ik als beheerder de functie eerst nog moet toestaan, voordat ik 'm kan activeren..
Misschien dat ik als beheerder de functie eerst nog moet toestaan
Ik ga er van uit dat je dus geen "gewoon" Google account hebt maar een Google Apps for Work account. Houd er rekening mee dat dit soort features vaak pas later beschikbaar zijn voor Google Apps for Work, en dat ze inderdaad soms door de beheerder geactiveerd moeten worden.
Scherp van je. Dat zal het waarschijnlijk zijn :+ .
Toch raar dat ik de "optie" dan wel zie..
En dat is nogal een gekke vraag...als je het vanaf je telefoon instelt is er geen sprake van een andere computer én het is niet duidelijk dat er echt een inlogactie plaatsvindt die je per se goed moet keuren (ik was zelf niet bepaald aan het inloggen).
Ik stelde het in vanaf mijn computer dus de vraag klopt wel degelijk.
Vergeten te melden: ik kreeg de vraag dus ook toen ik hem vanaf mijn telefoon instelde. Bovendien als je hem instelt vanaf de computer is nog niet direct voor de gebruiker duidelijk dat er blijkbaar een inlogactie wordt uitgevoerd. Je bent immers al ingelogd.

[Reactie gewijzigd door vickypollard op 21 juni 2016 10:45]

Dit ziet er vergelijkbaar uit met de apps van Duo en Authy.
Ik ben de afgelopen dagen bezig geweest met 2FA in te schakelen bij tal van services mbv Authy.
(15 services and counting :*) )

Ik kan alleen Authy OneTouch nergens activeren? Is het enkel voor enterprise environments momenteel?

[Reactie gewijzigd door Asgaro op 21 juni 2016 12:29]

Volgens de pricing matrix is het beschikbaar voor gratis accounts, maar het is een API die door de externe dienst ondersteund moet worden voordat jij hem in de app kunt gebruiken. Zie o.a. http://docs.authy.com/onetouch_getting_started.html
Dit klopt. Is een mooie toevoeging. Werkt namelijk perfect.

Fijn dat Google er nu ook mee komt, ookal heb ik de Google authenticatie maar voor 1 ding in gebruik.

Ik hoop zelf dat Steam hier ook aan gaat werken.
Dit soort 2FA begint (gelukkig?) steeds vaker voor te komen. Ik denk dat het voor mensen die het invullen van een code irritant vinden misschien het duwtje in de juiste richting is om ook een betere bescherming van hun online accounts te gaan gebruiken.

Slight Off Topic: Blizzard doet dit nu ook voor haar spellen en website. Waar je eerst altijd een code moest invullen vanuit een app op je smartphone kun je nu een login bevestigen of weigeren met een enkele klik op de knop. Erg handig, vind ik zelf.

http://us.battle.net/hero...n-authenticator-6-16-2016
Gelukkig... sja, je hebt dan wel weer de app van elke aanbieder nodig van wiens diensten je gebruik maakt. Een TOTP authenticator app of een U2F-beveiligingssleutel werkt voor meerdere aanbieders, en is ook een eenvoudiger te implementeren als je zoiets aan je gebruikers wil aanbieden.

Ook is maar de vraag of alle partijen die zo'n "push notificatie voor app"-systeem de knowhow hebben om dit veilig te bouwen. Ik weet van oplossingen waarbij er een RSA-sleutelpaar wordt gegenereerd bij installatie op de telefoon en daarmee een versleutelde challenge-response authenticaties worden gedaan. Maar er zijn zat manieren te bedenken om zoiets te bouwen waarbij de veiligheid sterk te wensen overlaat. Neem bijvoorbeeld het opslaan van passwords: het is allang bekend dat je dan bcrypt of PBKDF2 moet gebruiken om het goed te doen, maar er wordt nog genoeg aangerommeld met MD5 of SHA1 (al dan niet met een salt).

[Reactie gewijzigd door Rafe op 21 juni 2016 10:35]

Bedankt voor het melden van die Authenticator van Blizzard. Dit vind ik handig genoeg om hem eindelijk eens toe te voegen aan m'n account!
Kan google zien waar/wanneer je in logt met prompt? Lijkt me wel? Dan vind ik een onafhankelijke offline app toch beter.
Ja dat kunnen ze en dat is ook belangrijk. Als je probeert in te loggen vanaf een onvertrouwde locatie krijg je een challenge zodat je niet per ongeluk maar op ja drukt als een vreemde probeert in te loggen op je account.

Op dit item kan niet meer gereageerd worden.



Nintendo Switch Google Pixel Sony PlayStation VR Samsung Galaxy S8 Apple iPhone 7 Dishonored 2 Google Android 7.x Watch_Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True