Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Google begint met uitfasering van sms bij tweetrapsauthenticatie

Door , 135 reacties

Google heeft bekendgemaakt dat het personen die gebruikmaken van tweetrapsauthenticatie via sms gaat uitnodigen voor een alternatief. Daarbij kunnen gebruikers een inlogpoging via hun smartphone goedkeuren of blokkeren na een notificatie.

Gebruikers zullen in de komende weken een uitnodiging te zien krijgen om van het alternatief gebruik te maken. Vervolgens kunnen ze kiezen om de methode te blijven gebruiken of om terug te keren naar een verificatiecode via sms. Kiezen ze voor die laatste optie, dan krijgen zij zes maanden later opnieuw een uitnodiging. De alternatieve verificatiemethode toont een notificatie op het scherm van een smartphone waarin wordt gevraagd of de gebruiker zojuist een poging heeft gedaan om in te loggen.

Vervolgens is het mogelijk om het verzoek te bevestigen of om het te blokkeren. Volgens Google is het voordeel dat hierbij gebruik wordt gemaakt van een versleutelde verbinding en dat personen meer details over de inlogpoging kunnen zien, zoals het apparaat en de locatie. Volgens de zoekgigant is sms onveilig, omdat de berichten en eenmalige codes vatbaar zijn voor phishing. Google gaf eerder al aan te werken aan manieren om deze manier van gegevensdiefstal te voorkomen.

Het Amerikaanse National Institute of Standards and Technology, oftewel NIST, schreef een jaar geleden dat het sms ongeschikt acht voor tweetrapsauthenticatie. Volgens Google wordt de uitnodiging alleen getoond aan mensen die hun account nu op deze manier beveiligen. Personen die daarvoor een hardwaresleutel gebruiken, krijgen geen uitnodiging. Voor iOS-gebruikers geldt dat de Search-app geïnstalleerd dient te zijn. Google introduceerde de mobiele goedkeuringen voor authenticatie ongeveer een jaar geleden.

Moderatie-faq Wijzig weergave

Reacties (135)

Reactiefilter:-11350129+166+211+30Ongemodereerd49
Ik zie nu al veel reacties die neerkomen op "Maar SMS is zoveel beter, want daarvoor heb ik geen internet/smartphone/... nodig". Maar eigenlijk is het gemak/ongemak van de vorm van 2-factor authenticatie helemaal niet van belang, de veiligheid wel. En NIST (National Institute of Standards and Technology) heeft alweer een tijdje geleden verklaard dat 2-factor authenticatie via SMS niet veilig is. Ze zijn niet de enigen die dat vinden.

Met andere woorden: het is goed dat Google afstapt van SMS als 2FA methode. Van de gekozen alternatieven kun je natuurlijk wat vinden. Ik heb in ieder geval geen probleem met de gekozen alternatieven.
Maar eigenlijk is het gemak/ongemak van de vorm van 2-factor authenticatie helemaal niet van belang, de veiligheid wel
Maar als gemak niet van belang is, waarom dan internet gebruiken? Over het algemeen doen we dat voor het gemak, emailtjes zijn nu eenmaal handiger dan brieven, een bank-app is handiger dan een ouderwetse overschrijving bij de bank brengen.
Gemak is wel degelijk van belang, in mijn ogen zelfs erg belangrijk voor beveiliging, want als het te ongemakkelijk wordt voor gebruikers dan gebruiken ze het niet en heb je kans dat men bijvoorbeeld 2FA uitschakelt, "omdat het zo lastig is".
Met andere woorden: het is goed dat Google afstapt van SMS als 2FA methode. Van de gekozen alternatieven kun je natuurlijk wat vinden. Ik heb in ieder geval geen probleem met de gekozen alternatieven.
Ik vermoed dat je anders piept als Google aankondigt dat je voortaan alleen nog maar met een geverifieerde GPG-key op een smartcard in kan loggen. Ik heb daar in ieder geval geen probleem mee...
En internetbankieren werkt ondertussen gewoon nog altijd verplicht met SMS bij ING. Bij Google is dat dadelijk zelfs als optie niet meer mogelijk. De wereld op zijn kop. Google beveiligd de consument, zijnde haar product voor adverteerders, verplicht beter dan dat de bank haar klanten beschermd.
Nee hoor ing heeft tegenwoordig ook dat je via de app van je tel inlogged en de bijgeleverde QR code op bijv. pc scherm scanned als beveiliging, komt geen sms aan te pas.
helaas niet op windows 10 mobile... (lekker ouderwets)
Bij ABN Amro log in in met vingerafdruk, stuk handiger. Zou iedereen die de mogelijkheid heeft ook subiet moeten inschakelen.
Dat heeft ING ook gewoon.
vingerafdruk is niet veilig.. helaas.
Een vingerafdruk is slechts een gebruikers-ID. Het nut van authenticatie is niet alleen zeggen wie je bent, maar dat óók bewijzen. Een gebruikersnaam of vingerafdruk heb je zo van iemand te pakken, evenals zaken als BSN en geboortedatum, en is dus niet voldoende voor complete en veilige authenticatie.

Iets is zo veilig als de zwakste schakel. We kunnen niet verwachten dat anderen onze gegevens veilig bewaren, als we niet bereid zijn daar zelf aan mee te werken.
log in in met vingerafdruk, stuk handiger
Yep, wel handiger. Maar totaal niet veilig. Want, kun je me beantwoorden hoe vaak/met welke (on-)regelmaat, jij je vingerafdruk verandert?
Zou iedereen die de mogelijkheid heeft ook subiet moeten inschakelen.
Op zich wel, maar dan meer om te zeggen "ik wil met deze account inloggen", dus in plaats van een email of gebruikersnaam, maar niet in plaats van een wachtwoord/andere authenticatie. Heb je toch een stukje van het gewenste gemak, maar geen compromise op beveiliging.
Dat DigiD sms gebruikt wil niet zeggen dat het veilig is. Jarenlang was het zelfs zo'n wassen neus die je met een vinkje tijdens het inloggen kon aan- en uitzetten.
Ik gebruik geen 2FA. Te veel ongemak.
In mijn omgeving gebruikt ook vrijwel niemand het.
Dus gemak is zeker wel van belang.
te veel ongemak? voor zover ik weet moet je dat enkel invoeren de eerste keer op een nieuw toestel, daarna pas na 30 dagen nog eens...
Die 30 dagen is dus ook "voor het gemak", omdat iedere keer het te doen als lastig wordt ervaren.
Ah. Ik neem aan dat je ook nooit de knip op de deur zet?

Voor de zekerheid, heb je wel verschillende sleutels voor je auto en je huis, of gebruik je je fietssleutel voor allebei? Dat is ook een stuk makkelijker. /s
Als iets makkelijker is wil het niet zeggen dat het ander voor mij ongemak is.

Bij 2FA is het voor mij echter wel 100% ongemak en dus gebruik ik het niet.

Bij sleutels heb ik dit niet, ik heb een auto sleutel en een huissleutel, de huisdeur heeft geen extra knip. Geen 2FA en al helemaal geen fiets-sleutel. Fietsen is te veel ongemak :-)

[Reactie gewijzigd door HansvDr op 17 juli 2017 13:24]

Die sleutels waren een link naar wachtwoorden hergebruiken. Dat zie ik als ongeveer een zelfde security-issue als geen 2FA gebruiken.

Ongeveer alle security-zaken, in real life of digitaal, zorgen voor extra tussenstappen en ongemak. Maar vooral voor meer veiligheid. Vaak wordt verwacht dat alles zo makkelijk is met computers, omdat het allemaal erg makkelijk is gemaakt in het verleden. Maar stiekem is het helemaal niet zo makkelijk, ook al kan je het makkelijk doen. Net als dat het makkelijker is om de knip niet op de deur te doen, en gewoon al je sloten met dezelfde sleutel te laten openen. Maar zodra je dat doet wordt je raar aangekeken. Waarom is dat niet zo met computers?
2FA is voor mij ongemak en dus gebruik ik het zo min mogelijk. Ik zie geen probleem met security bij 99% van de situaties en dan gebruik ik het dus niet. Verder is belangrijke informatie opslaan bij een reclame-boer voor mij een security-issue op zichzelf. Dus met Google doe ik zo min mogelijk en heb ik echt geen 2FA nodig.
Dat zie ik juist omgekeerd. De data die bij Google staat heeft Google verzameld, en dat is hun business. Zodra andere partijen daar direct toegang tot hebben, is Google hun toppositie op de reclamemarkt kwijt. Een website die Google ads gebruikt krijgt die gegevens niet te zien, Google behandeld die gegevens alleen en stuurt de ads direct naar mij. Google weet misschien alles van me, maar Google wil waarschijnlijk nog minder graag dan ik dat een ander dat ook weet.
Bovendien heb je voor HOTP / TOTP ook helemaal geen internet of smartphone nodig.
Sorry hoor, maar vertrouw zo een Authenticator niet goed. Als ik mijn gsm verlies kan ik nergens meer inloggen
Kwestie van een briefje met back-up codes in je portemonnee stoppen.
Ook handig voor als je telefoon leeg is of je internetverbinding even niet werkt.

https://support.google.com/accounts/answer/1187538?hl=nl
Zelf heb ik de backup codes bij mijn Gmail account in KeePass gezet, zo vergeet ik die ook nooit en kan niemand er verder bij.
Goed idee, ga ik ook maar eens doen. Nu nog een Yubikey aanschaffen voor mijn Keepass login.
Je kunt de secret key van elke inlog gewoon backuppen. Zo'n authenticator genereert codes op basis van een secret key. Als je deze gewoon uitprint kun je hem zelfs herstellen op een nieuwe device. Of gewoon zoals ik op meerdere devices tegelijk gebruiken (syncen met password manager eventueel).
Met andere woorden: het is goed dat Google afstapt van SMS als 2FA methode. Van de gekozen alternatieven kun je natuurlijk wat vinden. Ik heb in ieder geval geen probleem met de gekozen alternatieven.
Het gevaar is dat het alternatief waar er straks naar wordt overgeschakeld, wat de gemiddelde gebruiker kiest, is om helemaal geen 2FA te gebruiken.
Wat hier van belang is is dat het steeds duidelijker wordt dat google alles waarover ze geen complete controle kunnen uitoefenen heel eng vindt
Voordeel aan SMS code is juist dat je geen internet nodig hebt, maar een dataverbinding. Als je 2fa met sms hebt ingesteld, denk ik dat je niet zo snel gephisht wordt...
Alternatief daarop kan je natuurlijk ook Google Authenticator gebruiken (zonder internet).
De kans dat je een mis-click maakt op je telefoon door op JA te drukken in plaats van NEE is natuurlijk ook een dingetje. Ik gebruik het liefst zelf Google Authenticator, dat is volgens mij de veiligste keuze.
Als je geen internet hebt dan kun je toch niet inloggen.

Trouwens wel opvallend dat Google Sms gaat uitfaseren, terwijl DigiD het gaat introduceren.

https://tweakers.net/nieu...achtwoord-afschaffen.html

Wat gaat hier mis.
Het probleem is dat ondanks dat er een reeel spoofing probleem is met SMS (met name VoIP spoofing), de alternatieven ook niet geweldig zijn.

Een authenticator app werkt bijvoorbeeld goed, al dan niet passief zoals de klassieke of interactief zoals in dit artikel beschreven. Maar vereist initialisatie en dus bij verlies of kapot gaan van het toestel is niet te herstellen. Dus het kan enkel gebruikt worden samen met een recovery mechanisme. SMS is te herstellen door de gebruiker zonder tussenkomst van de dienst in kwestie.

Bellen ipv SMS is onveilig ivm voice-mail spoofing, tenzij de gebruiker gevraagd wordt om een code in te toetsen. Dat echter wordt als ongebruiksvriendelijk gezien.

Email als 2e factor is ook redelijk veilig voor consumentengebruik, maar lastig aangezien een vereiste is dat er een tweede onafhankelijke email gebruikt moet worden. Voor veiligheidsdienst niveau zaken is het echter niet geschikt aangezien email afgeluisterd/onderschept kan worden. Plus email is traag.

Offline tokens werken goed, maar worden door de gebruiker vaak vergeten/niet meegenomen. Plus je kunt moeilijk X tokens meenemen, voor elke 2FA dienst eentje.


SMS zal om die reden dus nog wel even blijven. NIST heeft haar advies om SMS uit te faseren dan ook al ietsje afgezwakt.
En als het e-mailaccount dat gebruikt wordt voor 2FA ook bekeken kan worden vanaf een PC, is het niet echt 2FA meer, in die zin dat je altijd tegelijkertijd de beschikking hebt over beide "factoren".
En als het e-mailaccount dat gebruikt wordt voor 2FA ook bekeken kan worden vanaf een PC, is het niet echt 2FA meer, in die zin dat je altijd tegelijkertijd de beschikking hebt over beide "factoren".
Zelfde geld voor 2FA smartphone apps die een account beveiligen welke op dezelfde telefoon ook gebruikt wordt. Daaronder vallen bijv. Google accounts (want Gmail) en ook zaken als Steam.

SMS is dan wellicht zwakker, maar het heeft één heel groot voordeel - ten minste als je het op een dumbphone binnen laat komen - en dat is dat het een werkelijk gescheiden 2e kanaal is.
SMS is gescheiden; maar, als het gaat om inloggen op je telefoon (dus geen PC), dan komen de twee kanalen weer bij elkaar op het telefoontoestel: als dat gehackt is, kun je immers wachtwoord en SMS tegelijk onderscheppen. Dus bij inloggen op je telefoon is dat ook niet echt 2FA.
Dus bij inloggen op je telefoon is dat ook niet echt 2FA.
Ik schreef dan ook dat SMS een gescheiden kanaal was als je het op een dumbphone binnen liet komen. Dat punt heb je wss. gemist.
Dat klopt! Daar wilde ik dan ook niet op reageren, maar ik wilde alleen aangeven dat SMS wel 2FA kan zijn (hoewel het dat voor de meeste mensen dus niet is indien ze op de telefoon inloggen), terwijl e-mail als 2FA dat eigenlijk sowieso niet kan zin. Tenzij je op je telefoon nooit inlogt op dat specifieke e-mail-account: dan wordt het wel weer gelijk aan SMS.

[Reactie gewijzigd door Cerberus_tm op 15 juli 2017 20:30]

Wanneer je je authenticator app op een apart toestel hebt staan, is het even apart, dus dat is niet echt een valide argument. Die authenticator app heeft dan nog het voordeel dat je zelfs geen ontvangst moet hebben op je GSM.

Bij mij worden die 2FA codes gegenereerd op mijn smartwatch, en dat valt echt wel op als iemand anders daar aan komt.
Ik denk trouwens dat er nog minder mensen zijn die en een smartphone hebben en een dumbphone bijhebben voor 2FA, dan mensen met een smartwatch. Echt praktisch is dat ook niet trouwens om altijd 2 telefoons mee te nemen.
Het probleem is dat ondanks dat er een reeel spoofing probleem is met SMS (met name VoIP spoofing), de alternatieven ook niet geweldig zijn.
Nee, het probleem is dat het SS7 protocol (SMS netwerk) geen beveiliging kent.
Lukt het je verbinding met het systeem te krijgen dan kun je locatie en nummer overnemen van een mobiel.

https://www.security.nl/p...+mobiele+telefoon+via+SS7
https://www.wired.com/201...ell-phone-infrastructure/
Klopt, maar dan moet de aanvaller extreem veel moeite doen om bijvoorbeeld bij mijn provider toegang te krijgen terwijl de SMS zelf wel encrypted wordt afgeleverd (alleen zeer zwakke encryptie als je nog op een 2G-only plek zit). Of je moet malware op je mobiel hebben, dat kan ook.

De moeite om toegang te krijgen is enorm groot maar het grote voordeel van 2FA is volgens mij dat je niet zomaar kunt bruteforcen of gestolen wachtwoorden o.i.d. kunt misbruiken.

Als je het hebt over toegang tot belangrijke overheidssystemen of extreem belangrijke bedrijfsonderdelen waarbij toegang tot SS7 een rol kan spelen (met name tijdens roaming in het buitenland!), dan is het misschien wel een idee om hierover na te denken :+
Nee, het probleem is dat het SS7 protocol (SMS netwerk) geen beveiliging kent.

Ja, en dus kan ik o.a. makkelijk VoIP spoofing doen.

Er zijn meer aanvallen mogelijk in het SS7 protocol, maar de criminele netwerken gebruiken doorgaans VoIP spoofing waarbij ze een VoIP systeem aanmelden als de telefoon van het slachtoffer.

Dat is niet eens echt een zwakheid, want voor bedrijfssystemen is het soms de bedoeling om zo te fucntioneren. Bijvoorbeeld support per SMS of andere diensten. Maar het is wel verdacht als een consumenten telefoon opeens naar een VoIP ontvanger doorgelust is.

Eén van de voorgestelde beveilingingen is dan ook voor aanbieders van diensten om te controleren dat de ontvanger een echte telefoon is en geen VoIP ontvanger. Het overweldigende merendeel van de criminelen heb je dan te pakken.

(Niet de staatshackers, maar bij de meeste diensten zijn dan niet de verwachte gevaren.)
Voor zover ik weet kan e-mail geen 2e factor zijn naast een wachtwoord. 2-factor betekent: twee verschillende factoren uit de volgende drie factoren:

Iets weten
Iets hebben
Iets zijn

Wachtwoord inloggen plus e-mail is twee keer iets weten (2 wachtwoorden). Tenzij je 2-factor authenticatie aan hebt staan voor je e-mail, dan kan het wel.

Desondanks geen veilige keus van de dienstverlener, omdat veel mensen hetzelfde wachtwoord gebruiken voor verschillende diensten.

[Reactie gewijzigd door stuffie123 op 15 juli 2017 13:23]

Wachtwoord inloggen plus e-mail is twee keer iets weten (2 wachtwoorden). Tenzij je 2-factor authenticatie aan hebt staan voor je e-mail, dan kan het wel.

In principe heb je gelijk, maar strikt genomen is er niets in de definitie van "twee factor" het het ook twee verschillende factoren moet zijn O-)

Je ziet in de praktijk dan ook dat email toch vaak gebruikt wordt, of als een soort backup/recovery. Het is verre van ideaal, maar beter dan niets natuurlijk.
DigID gebruikt ook al jaren sms. Nu willen ze dat op alle diensten gaan doen. Voor bijvoorbeeld "minder" spannende zaken zoals Duo was het namelijk nog niet verplicht .

Overigens gebruikt DigID ook al een App als test dacht ik.

[Reactie gewijzigd door krakendmodem op 14 juli 2017 20:38]

De mogelijkheid om tijdens het inloggen te kiezen of je wel of niet sms wil gebruiken hadden ze al, maar waar slaat dat op? :X
Je kunt er bij de algemene instellingen van DigID voor kiezen om altijd met SMS te willen inloggen, en daarnaast vereisen sommige website (met gevoelige informatie) het standaard.
Bij sommige diensten, bijvoorbeeld zorgverzekeraars, heb je meer mogelijkheden als je inlogt met SMS.
dat vraag ik me ook al heel lang af.
Het is daar al heel lang geintroduceerd, ze gaan t nu enkel verplichten.
Introduceren of verplichten is inderdaad een verschil. Dr essentie ligt bij het vertrouwen er op.
Mmmm, eens kijken hoe ik daarmee om wil gaan. Ik heb zelf geen mobiel, wel één van de zaak, maar daar hanteer ik een zeer strikte scheiding tussen privé en zakelijk gebruik. Oftewel, ik zou dan niet meer op DigiD kunnen inloggen zonder concessies daaraan te doen. "De zaak" heeft ook ergens staan dat hij alleen zakelijk mag worden gebruikt, alhoewel daar letterlijk niemand zich aan houdt. Ik heb privé geen enkele behoefte aan een smartphone ...

Ach, kijk nou, bij de veelgestelde vragen:
Ook als u geen mobiele telefoon heeft kunt u gebruik maken van de sms-functie. U ontvangt dan een gesproken sms-bericht op uw vaste telefoonnummer.

Goed dat er aan veiligheid wordt gedacht, maar er wordt m.i. wat te makkelijk gegrepen naar middelen die de gebruiker geld kosten zoals een mobiel abonnement, terwijl banken dat m.i. prima hebben opgelost. RDW heeft een leuke optie om zelf je auto te kunnen overschrijven met een kaartlezer en je rijbewijs als token. Ik zou het wel een heel aardige optie vinden als je met je ID en een kaartlezer aan je PC jezelf kunt identificeren. En die kaartlezer mogen ze dan opsturen naar het gemeentehuis waar ik hem ophaal, me identificeer met mijn ID en klaar is Klara.

[Reactie gewijzigd door Houtenklaas op 14 juli 2017 23:31]

Zo'n apparaatje van de bank betaal je ook voor (en best veel), en sinds je rijbewijs die NFC chip heeft (die het hooguit een paar jaar uit houdt) is hij een stuk duurder geworden. Moet ik dan iedere 3 jaar een nieuw rijbewijs kopen omdat er een scheurtje in zit? Dat is pas duur! (Mijn bankpas NFC antenne haalt 1 jaar niet, maar heeft gelukkig nog een normale chip) SMS is overall de goedkoopste oplossing voor de belastingbetaler. Het werkt ook met een vaste telefoon, die zit toch vaak gratis bij je internet verbinding. Een pre-paid dumbphone heb je ook voor ¤ 15,- of zo.
Een pre-paid dumpphone heb je vaak al voor 10 euro met 10 euro beltegoed. Tel uit je winst :+
Sinds wanneer heb je voor SMS een smartphone nodig? Overigens kan je je afvragen waar je mee bezig bent als je überhaupt geen privé mobiel hebt.
Waarom zou ik prive mobiel moeten hebben? Moet ik dan ook zo'n schaap worden waarvan dan elk moment wordt verwacht dat je bereikbaar bent en meteen reageert, of zo'n randdebiel die zo aan z'n telefoon gehecht is datie meer op het scherm let dan op de omgeving? Het is vooralsnog nog steeds geen verplichting er 1 te hebben, en er zal dus ook rekening gehouden moeten worden met mensen die er geen hebben, het is niet alsof die dingen sowieso gratis zijn.
Nou begin maar met wat ik dan mis ... Overigens heb ik privé helemaal geen mobiel, ook geen dumbphone ... Bevalt me meer dan uitstekend. Geen facebook, geen whatsapp en ander (a)sociaal gedoe. Ik neem aan dat jouw laatste zin een mening is en geen waardeoordeel?
Als je geen internet hebt dan kun je toch niet inloggen.
Moeten inloggen betekend lang niet altijd dat je telefoon ook internet heeft. Onze medewerkers zitten geregeld in situaties waar ze wel toegang hebben tot een werkstation met internet, en dus op Google Apps kunnen inloggen, terwijl hun telefoon geen internetverbinding heeft. Momenteel gebruiken die SMS of de Authenticator app. Daarnaast hebben we medewerkers die geen zakelijke smartphone (willen) hebben, en dus aangewezen zijn op SMS.
Met geen internet bedoelde ik internet op je telefoon.
Als je bijvoorbeeld een prepaid kaartje hebt, kan je prima smsjes ontvangen, maar je kan geen pop-up krijgen van "Yo probeer je nu in te loggen met je Google Account?".
Als je geen internet op je _telefoon_ hebt kun je nog best inloggen op een computer. Misschien wel een waar je geen rechten op hebt om dingen op te installeren...
DigiD heeft al vele jaren SMS hoor. Toen ik in 2012 mijn DigiD heb ingesteld kon ik direct kiezen voor wachtwoord én sms verificatie. Het wordt dus niet geïntroduceerd maar juist verplicht.
Waarschijnlijk willen ze er vanaf omdat SMS verificatie al meerdere keren onveilig is gebleken. Een voorbeeld is van een Amerikaan die "gehackt" werd op Twitter omdat iemand via social engineering een nieuwe sim kaart van zijn mobiele nummer wist te bemachtigen via de provider.
Het grootste voorbeeld voor ons tweakers over hoe je bepaalde belangrijke dingen zoals backups niet moet doen *kuch Linus* had exact hetzelfde probleem.
Dat voorbeeld zegt niks over de veiligheid van SMS ansich, maar meer over de degelijkheid van de procedures bij de betreffende provider. Dat is net zoiets als roepen dat Tweakers onveilig is omdat jij je wachtwoord op een papiertje op de monitor hebt hangen en een huisgenoot onder jouw naam iets gepost heeft.
Ja de mens is altijd de zwakste schakel hè.

Iedereen zit te wauwelen over ingewikkelde hacking activiteiten maar het is gewoon iedere keer weer die collega die op de link in de email klikt. |:(
Ik vind het voordeel vooral dat als je een andere telefoon hebt je gewoon in kunt loggen.

Mijn telefoon is nu bv in reparatie en heb tijdelijk een iPhone. Geen authenticator app, niet de nieuwe mogelijkheid en die 10 offline codes ben ik allang kwijt.

Wel zo fijn dus dat ik gewoon via sms de 2fa code kan ontvangen!
Inderdaad ik vond Google altijd het beste op vlak van 2fa gebruiksvriendelijkheid. Het minst gebruiksvriendelijk vond ik dan weer EA account daar was totaal niet duidelijk waar ik de 10 herstellingscodes kon gebruiken nadat mijn smartphone met Google Authenticator kapot was gegaan bleek dat je bij EA dan contact moest zoeken met een medewerker die je dan een tijdelijke code geeft om in te loggen zodat je u 2fa kon veranderen naar sms of e-mail. Microsoft was voor mij persoonlijk de 2de beste.
Ik gebruik eigenlijk sms omdat ik dan nog bij mijn email kan als ik mijn telefoon kwijt raak. Voor een nieuwe simkaart moet ik met id naar een tmobile winkel. En ik heb ook wel wat back up simkaarten thuis. Hoe gaat dat met de andere methode zonder sms? Als je telefoon dan op de snelweg uit de auto valt. Hoe kom je dan weer bij je mail?
Goede tip voor iedereen die gebruik maakt van SMS 2FA: stel je smartphone zo in dat hij SMS'jes niet toont, of in ieder geval de inhoud niet toont, op het lockscreen. Anders hoeft je telefoon niet ontgrendeld te worden om ze te lezen, wat een flinke inbreuk is op de veiligheid!
Jammer, nu wordt je gedwongen een smartphone te gebruiken. Nu hoor ik iedereen al roepen "wie heeft er geen smartphone" maar toch is het handig als je een dumb phone hebt waar je ook gewoon mee kunt inloggen,
Ik heb juist een aparte dumb phone zodat ik dingen kan doen als bellen en SMS'en in comfort en veiligheid... natuurlijk heb ik ook een smartphone, maar die koelkast aan m'n oor hoeft niet, en om nu te zeggen dat Android en het updatebeleid van mijn telefoonfabrikant vertrouw om die draagbare computer veilig te houden... Eerder het tegenovergestelde.

Maar zodra we afhankelijk zijn van de smartphone voor ons hele digitale leven, inclusief bankzaken, overheid en noem het maar op... dan wordt het vast een stuk veiliger allemaal. Toch? 8)7
Hoezo is bellen en sms'en veiliger met een dumb phone? Dan kun je toch evengoed worden afgeluisterd?

Ik denk trouwens dat je sms beter kunt vervangen door een versleutelde chatapp van een externe partij, die je binnenhaalt via bijvoorbeeld F-Droid. Hang er een vpn boven en je bent denk ik redelijk safe.
Dumbphone voor bellen is voor comfort dus, niet voor afluistervrees -- de "beveiliging" van GSM stelt idd niks voor, dat is gevoeglijk bekend. De SMS gebruik ik ook alleen voor 2FA, niet voor dagelijks chatten. De 2FA berichtjes mogen ze van mij best afluisteren, dat is moeilijk uit te buiten zolang ik het inloggen zelf via mijn computer doe (een ander apparaat waar ik de controle over heb). Wat ik vooral een prettig idee vind is dat mijn dumbphone niet gehackt zal zijn...

Gaat SMS er helemaal uit dan moet ik inderdaad overstappen op een te beveiligen smartphone, voor zover dat mogelijk is. Zoals de beveiliging van mainstream Android er nu voor staat is dat vrij dramatisch en dat is dus een hoop extra gedoe met custom ROMs.
Je kan toch de authenticator app van Microsoft gebruiken op je laptop?
Hoe gaat die de SMSjes van DigID of de TAN codes van mijn bank binnenhalen dan? Voor zover ik weet kan ik daar niet kiezen voor Microsoft Authenticator...

[Reactie gewijzigd door MneoreJ op 14 juli 2017 21:15]

Als je de 2FA app op dezelfde laptop draait als waar je zeer waarschijnlijk ook al je Lastpass/1Password/Keepass data hebt, dan is het eigenlijk geen 2FA meer.
Het is alsnog veiliger, omdat ze dan alsnog eerst je laptop moeten bemachtigen voor ze kunnen inloggen. Anders hebben ze enkel je wachtwoord nodig.
Als het je niet boeit dat ze je 2FA smsjes kunnen onderscheppen, waarom dan uberhaupt 2FA gebruiken? Juist het hele idee daarachter is dat als iemand je passwork achterhaalt hij niet dat berichtje heeft.
Correct. Ik zou er ook geen groot probleem mee hebben als diensten helemaal geen 2FA deden en het volledig aan het wachtwoord van mijn PC overlieten, want dat mechanisme vertrouw ik wel. Maar sommige diensten verplichten 2FA omdat dat nou eenmaal als veiliger gezien wordt (en ongetwijfeld ook is voor Jan met de Pet). Sowieso, zelfs met een 2FA die afgeluisterd wordt moet een aanvaller dus nog steeds en het wachtwoord achterhalen en het 2FA-kanaal compromitteren. Ik maak me persoonlijk niet heel druk over de kans dat iemand mijn PC heeft besmet en mijn SMSjes kan lezen door GSM te hacken (o.i.d.). Het kan, natuurlijk, maar dan ben ik waarschijnlijk sowieso het slachtoffer van een targeted attack waar ik weinig tegen doe.

Wat ik niet vertrouw is als alle apps plus hun authenticatie plus al mijn data op een smartphone komen te staan, want dat kan ik niet of nauwelijks beveiligen behalve "geen vage apps installeren"... en dat is helaas wel waar we nu naartoe aan het gaan zijn in rap tempo.
2FA is per definitie veiliger dan enkel een password, hoe je dat niet in kunt zien is mij een raadsel.

Zelfs al doet het zeldzame scenario zich voor dat een OTP onderschept wordt ben je niet minder veilig af dan wanneer je geen 2FA zou gebruiken. In alle gevallen is het gewoon een enorme verbetering van de veiligheid. En zeker niet alleen voor "Jan met de pet".
Mwoh. Ik ben meer van de school "you can put all your eggs in one basket, as long as you build a really good basket". Ja, het is veiliger; hoeveel veiliger precies hangt af van je implementatie, natuurlijk. In het bijzonder, wanneer je tweede factor op hetzelfde platform binnenkomt en gepresenteerd wordt als je eerste factor ben je je voordelen natuurlijk voor een groot deel kwijt. Maar voor de duidelijkheid, ik ben zeker niet tegen 2FA en waar het mogelijk is maak ik er graag gebruik van. Ik beschouw het alleen niet intrinsiek als een "enorme verbetering", dat hangt dan toch echt van kwaliteit en vooral onafhankelijkheid van de factoren af. Vooralsnog is 2FA vooral een hele grote hulp bij situaties waarin beide factoren domweg niet goed genoeg zijn voor veilige authenticatie op zich (en daar komt Jan met de Pet met zijn slappe wachtwoorden en onbeveiligde thuisnetwerk om de hoek kijken), maar samen voldoende garantie bieden.

[Reactie gewijzigd door MneoreJ op 14 juli 2017 22:56]

Een dumb phone is idd wel radiografisch te onderscheppen, en dan is de beveiliging heden ten dage niet meer van deze tijd. Echter, de gemiddelde phishing actie wordt vanaf de luie stoel uitgevoerd. Een dumb pone is niet te hacken door middel van een mail off het hacken van een wifipunt. Dus hoewel het geen garantie geeft dat er niks onderschept wordt, is het met een dumb phone wel een stuk lastiger om die SMS te onderscheppen. De crimineel moet uit zijn stoel komen om iets te kunnen. (er vanuit gaande dat er tot de mast alles goed geregeld is, maar dat is verder zowieso niet binnen je eigen controle)

State actors kunnen sowieso al bij je spul, dus dan is het gewoon zinloos om het over methoden te hebben.

[Reactie gewijzigd door ocf81 op 14 juli 2017 23:09]

Of als je even tijdelijk een nieuwe mobiel nodig hebt. Laatst was de mijne ter reparatie dus had ik tijdelijk een ander toestel. Sim kaart overzetten en je 2FA met SMS werkt direct. Bij alle anderen moest ik opnieuw instellen.
Maar je krijgt toch backup codes?
Anders kan je toch altijd nog een kopie van de qr code maken en deze in een kluis opbergen.
Als je dit niet doet, is het idd zwaar ***(***) als je niet meer bij je app kan.

Probleem met 2FA via SMS is o.a. dit
https://www.wired.com/201...ack-2-factor-isnt-enough/

Daarnaast wordt SMS nog eens plain text door de lucht gestuurd, volgens

/edit
@rammes Een smartphone is niet verplicht, er zijn ook andere TOTP clients voor op de computer.

[Reactie gewijzigd door wica op 14 juli 2017 21:03]

Maar je krijgt toch backup codes?
En die heb je altijd bij je? Zo ja, dan heb je een leuke beveiligins-issue, indien nee, dan ben je weer erg beperkt in je mobiliteit wat betreft gebruik van Google diensten. Het is juist zo fijn dat je overal en nergens in kunt loggen, zelfs op pc's van anderen (met de nodige veiligheidsmaatregelen)
Een smartphone is niet verplicht, er zijn ook andere TOTP clients voor op de computer.
Ook hier geld weer de mobiliteits beperking, dat betekent dat je weer een pc mee moet nemen, een simpele telefoon is veel handiger meenemen.
ik ken ook nog wel mensen die geen smartphone (wel een mobiele telefoon) hebben en ik respecteer hun wensen
Vind SMS auth juist fijn, gebruik het voor Origin/Battle.net en MS diensten (allemaal zelfde nummer btw). Vind het gewoon super handig.

Als een aantal keer gehad dat ik met die google authenticator na telefoon reset/nieuwe telefoon heel moeilijk weer alles aan de praat kreeg.
Je hebt helemaal geen smartphone nodig. Je kan Authy ook gewoon installeren op je PC en alsnog 2FA gebruiken.
Ik heb inderdaad zelf bewust ervoor gekozen om geen bank app, aandelen app of welke andere app die persoonlijke informatie verwerkt dan ook te installeren, juist omdat ik dat soort zaken niet op een mobiel wil hebben waar de controle op je veiligheid op z'n zachtst gezegd gering is.

Ik heb het laatst meegemaakt dat ik mijn telefoon liet stuiteren, kwam ik erachter dat die heerlijke 2FA die ik op een aantal plekken had ingesteld alleen uitgezet kon worden met dezelfde telefoon als waarop het is aangezet....zit je dan.
Je wordt niet gedwongen. De sms werkt ook nog steeds.
Niet eens zomaar een smartphone, maar eentje met een OS dat door Google ondersteunt wordt. Zelf draai ik SailfishOS en verwacht maar niet dat die ondersteuning hiervoor gaat krijgen hoor. Dat betekent dat dus dat ik 2FA uit gaat zetten op het moment dat de SMS methode niet meer te gebruiken is.
Google heeft wel veel diensten... voor welke precies is dit dan? Of is het standaard zo dat als je dit aan zet voor gmail, dit ook voor youtube bijvoorbeeld actief is?
In de link staat dat het voor G Suite is, maar ik denk gewoon voor alle plekken waar je inlogt met je Google account.
Het is voor je complete Google account
Smartphone of ook bij een tablet?
Op een tablet valt geen sms te ontvangen, het gaat dus alleen om de gebruikers die sms gebruikte als tweede trap op hun mobiel.
Mits je tablet geen simkaart heeft of erin past. Er zijn genoeg tablets waarop je kan bellen/gebeld worden en kan sms'en/gesmst worden.
In dat geval noem je het een phablet ;) (voor zover ik weet)
Nee een phablet is een telefoon met een scherm resolutie van 5.5 tot 7 inch.

Volgens mij had de iPad Air 2 ook een optie met simkaart en die is 9.7 inch.

Samsung Galaxy tab 2 10.1 had ook een simkaart met een scherm diagonaal van 10.1 inch

Tegenwoordig kun je eigenlijk de meeste telefoons phablets noemen. De term stamt dan ook af van de eerste note die een hele verandering in de markt had gebracht waardoor er de term phablet ontstond.
Niet alleen iPad air 2 zelfs de iPad 2 had dit al, volgens mij had zelfs de iPad 1 ook een cellulair versie.
Kun je niet de sms op een dumbphone ontvangen naast je tablet?
Onzin, als je op een tablet zonder simkaart aanmeld kun je de code invoeren die je op je mobiel ontvangt.
Daar was het juist ook voor bedoeld, dat niet een één of andere hacker op een voor jou onbekend device/systeem kan aanmelden zónder de verificatie code die je op je mobiel ontvangt.
Type device doet er niet toe, je krijgt ook een authenticatie SMS als je op wat voor systeem dan ook aanmeld in Google Chrome. Vervolgens kan je het nr invoeren wat je per SMS ontvangen hebt.
Dus het toestel waarop je de SMS ontvangt moet je dan wel in de buurt hebben (in geval van een vaste lijn kan dit soms best lastig zijn).
Laat ik nou net gisteren die nieuwe methode voor mijn kiezen hebben gehad.
Werkte tot 2 keer niet en toen de derde keer maar gekozen voor sms-code.
Wat werkte er niet?
Probeer in te loggen op mijn pc.
Krijg wel die melding op mijn phone zoals in de afbeelding in het artikel.
Maar wanneer ik op yes tap gebeurd er niks.
Hoe werkt dit bij het toevoegen van je Google account aan je Android toestel?
Of valt dit niet onder de 2fa?
Dat valt inderdaad onder 2FA. Je kunt ook je account via NFC overzetten vanaf je vorige toestel, maar als je oude defect is is dat geen optie.
Ik gebruik zelf de app genaamd Authy for mijn 2FA logins. Werkt perfect. :)
Ik zou het wel prettig vinden dat je Google Authenticator kunt backuppen.

Er zijn andere apps, ik weet het. Maar ik gebruik deze nu eenmaal en omzetten is een tijdrovend klusje.


Om te kunnen reageren moet je ingelogd zijn


Nintendo Switch Google Pixel XL 2 LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*