Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Google introduceert beschermingsprogramma voor gevoelige accounts

Google heeft een zogenaamd Advanced Protection Program geïntroduceerd, waarmee gevoelige accounts van bijvoorbeeld politici of journalisten beter beschermd kunnen worden. Tweakers sprak daarnaast met Stephan Somogyi over beveiliging en privacy bij Google.

Google schrijft dat alle gebruikers met een persoonlijk Gmail-account zich voor het programma kunnen aanmelden. Dat bestaat momenteel uit drie aanvullende beschermingsmaatregelen. Zo vereist het programma het gebruik van twee hardwaresleutels voor beveiliging van het account die dienst doen als een vorm van tweetrapsauthenticatie. Die moeten gebruikers aanschaffen. Google verwijst gebruikers op het moment van schrijven via de Nederlandstalige pagina door naar Amazon voor een aanschaf, maar die levert de bluetoothsleutel niet naar de Benelux.

Daarnaast schermt het programma de Gmail- en Drive-bestanden af van niet vertrouwde apps van derden. Ook kunnen gebruikers alleen nog de Chrome-browser voor apps als Gmail of Photos gebruiken en krijgen standaard iOS-apps geen toegang meer tot Gmail, de agenda en contacten op het mobiele besturingssysteem. De laatste maatregel bestaat uit een uitgebreidere procedure voor accountherstel, waarbij Google om meer details vraagt.

Tweakers sprak met Google-medewerker Stephan Somogyi, die werkzaam is binnen het team voor beveiliging en privacy, over het programma toen er alleen nog geruchten bekend waren. Somogyi wilde destijds niet inhoudelijk ingaan op de geruchten, maar zei:  “We kunnen altijd dingen beter doen en niet alles is ook daadwerkelijk geschikt voor al onze gebruikers. Sommigen lopen meer risico dan anderen. We moeten uitzoeken op welke plaatsen we dingen makkelijker kunnen maken.”

Datzelfde zou gelden op het gebied van de waarschuwingen die Google aan al zijn gebruikers toont. “Je moet ervoor oppassen dat mensen geen waarschuwingsmoeheid ontwikkelen. Er is nog steeds een bedroevend groot aantal personen dat onze waarschuwingen negeert.” Daarmee doelt hij bijvoorbeeld op meldingen van Safe Browsing, waaraan hij zelf heeft meegewerkt. Dat moet gebruikers voornamelijk beschermen tegen kwaadaardige websites en phishing. Somogyi: “Je ziet dat tegenwoordig bijna alle veelvoorkomende aanvallen bestaan uit social engineering.”

Dat zou komen doordat criminelen er steeds op uit zijn om hun winst te maximaliseren en de gebruikers zelf nog altijd de zwakste schakel zijn. “Social engineering is een erg vaag en grijs gebied, waardoor we steeds nieuwe oplossingen moeten bedenken. Dat is een doorlopend proces waarbij we gebruikers betere beslissingen willen laten nemen zonder al te beschermend over te komen. Bovendien kunnen opvattingen in de loop van de tijd veranderen, kijk maar naar de oude NIST-richtlijnen over wachtwoorden of naar de beslissing om auto-updates in Chrome door te voeren, wat destijds als ketterij werd gezien.”

Op de vraag hoe Google omgaat met via phishing gekaapte Chrome-extensies zegt Somogyi: “Op het moment dat we vaststellen dat zoiets gebeurt moeten we kijken of we ons kunnen aanpassen. We willen bijvoorbeeld geen verandering doorvoeren waarmee we ontwikkelaars te veel beperken. Aan de andere kant is een krachtige api natuurlijk wel een tweesnijdend zwaard. Ik denk niet dat we het ooit volledig zullen perfectioneren, omdat het een afweging blijft”.

Ook sprak Tweakers Somogyi over Googles relatie tot privacy. Het bedrijf besteedt in zijn communicatie veel aandacht aan de beveiliging van zijn producten, maar brengt bijvoorbeeld geen echte privacyproducten uit. Het werkte wel aan een extensie voor end-to-endencryptie voor e-mail, maar maakte die aan het begin van het jaar opensource en stelde dat het niet meer om een Google-project ging. De Google-medewerker antwoordt daarop dat het in dat geval net zo goed om een beveiligingsproduct kan gaan en dat volgens hem privacy niet bestaat zonder beveiliging.

“Een mogelijke verklaring is dat Google heel slecht is in privacymarketing”, vervolgt hij. “Ik zou willen dat het net zo eenvoudig was om privacytechnieken uit te leggen als uitleg geven over beveiligingsmaatregelen. Onze gebruikers zouden ervan uit moeten kunnen gaan dat we net als op beveiligingsgebied ons best doen voor privacy.” Op de vraag of Google het nodige vertrouwen van gebruikers mist om privacyproducten aan te bieden, zei Somogyi alleen: “Het zou niet goed voelen om nu privacy met een enkel product te pushen. We proberen privacy in al onze producten op te nemen in plaats van een enkel product aan te bieden.”

Door

Nieuwsredacteur

72 Linkedin Google+

Lees meer

Reacties (72)

Wijzig sortering
Het is de verantwoordelijkheid van de politica of journalist om zuinig te zijn op zijn of haar informatie. Dan hoor je dat sowieso niet te parkeren in een Google-account.

En zou dus ergens nu ook de bekende discriminatie-kaart kunnen trekken. ;) Waarom journalisten en politica wel?

[Reactie gewijzigd door CH4OS op 17 oktober 2017 12:42]

De gebruiker heeft geen keus, want natuurlijk willen ze hun account wel beveiligen, maar het probleem is, is dat ze de waarschuwing negeren. Staat zelfs in het artikel:
Datzelfde zou gelden op het gebied van de waarschuwingen die Google aan al zijn gebruikers toont. “Je moet ervoor oppassen dat mensen geen waarschuwingsmoeheid ontwikkelen. Er is nog steeds een bedroevend groot aantal personen dat onze waarschuwingen negeert.” Daarmee doelt hij bijvoorbeeld op meldingen van Safe Browsing, waaraan hij zelf heeft meegewerkt. Dat moet gebruikers voornamelijk beschermen tegen kwaadaardige websites en phishing. Somogyi: “Je ziet dat tegenwoordig bijna alle veelvoorkomende aanvallen bestaan uit social engineering.”
Ze leggen hier uit waarom ze dit doen:
Dat zou komen doordat criminelen er steeds op uit zijn om hun winst te maximaliseren en de gebruikers zelf nog altijd de zwakste schakel zijn. “Social engineering is een erg vaag en grijs gebied, waardoor we steeds nieuwe oplossingen moeten bedenken. Dat is een doorlopend proces waarbij we gebruikers betere beslissingen willen laten nemen zonder al te beschermend over te komen. Bovendien kunnen opvattingen in de loop van de tijd veranderen, kijk maar naar de oude NIST-richtlijnen over wachtwoorden of naar de beslissing om auto-updates in Chrome door te voeren, wat destijds als ketterij werd gezien.”

[Reactie gewijzigd door AnonymousWP op 17 oktober 2017 12:45]

De gebruiker heeft geen keus, want natuurlijk willen ze hun account wel beveiligen, maar het probleem is, is dat ze de waarschuwing negeren.
De gebruiker heeft geen keus? Sorry, maar politica willen vaak bewust emailberichten laten doorsturen naar hun privé GMail-adres (weet ik uit eigen ervaring), zodat ze maar 1 adres hoeven bij te houden op hun mobiele apparaat. Dáár wrikt wat mij betreft de schoen al. Google haakt er op in, door een speciaal beschermingsprogramma aan te bieden voor die accounts. Het beleid zou dus eigenlijk voor de partij (van die politica) of bedrijf (waar de journalist werkt) moeten zijn dat dit soort dingen niet toegestaan zijn. Op deze wijze krijgen anderen (zoals de Amerikaanse overheid) ook toegang tot de gevoelige informatie en kan mij voorstellen dat je dat niet altijd wilt. ;)

Dus hoe dit een 'fout' is geen idee, maar dit is een bewuste veiligheidsissue, als je het mij vraagt, waar Google nu aan gaat meewerken, omdat die partijen of bedrijven geen zin hebben om hun (beleids)probleem op te lossen.

Overigens is het al eens fout gegaan in het verleden, zie bijvoorbeeld nieuws: Minister Kamp kreeg mail van ambtenaren op privé-Gmail-account - update, waarbij minister Kamp ook trapte in een phishing mail en er 20 documenten naar zijn privé Gmail waren gelekt, waaronder 1 staatsgeheim. Maar minister Kamp blijft zijn privé Gmail account voor werk gebruiken, met o.a. als onderbouwing dat het hele kabinet Gmail gebruikt voor zakelijke stukken al betreurde hij de onzorgvuldigheid wel, omdat hij niet wist dat de e-mail dienst ongeschikt is hiervoor.

[Reactie gewijzigd door CH4OS op 17 oktober 2017 17:58]

Dat gebruikers foutmeldingen negeren is logisch. Het is niet een onderdeel van een gebruiker's denk- en werkproces om foutmeldingen te lezen en daarop in te gaan. Sterker nog, het volgen van de melding zou ervoor zorgen dat de gebruiker niet meer kan doen wat hij wilt doen. Hij kiest dus voor het alternatief.

De oplossing? Geen verbinding toestaan en accepteren dat (goede) beveiliging onveilige processen kan hinderen. Een site niet bereikbaar via HTTPS? Dan is het gewoon niet bereikbaar. Daar hoef je geen speciale foutmelding voor te geven. De site is niet bereikbaar, en dat vertel je aan de gebruiker. Site eigenaren passen snel genoeg hun site aan als ze nog bezoekers willen.

Beveiliging werkt niet als het te afhankelijk is van de gebruiker. De tijd van de gebruiker is het meest kostbare in beveiliging, en daar moet spaarzaam mee omgegaan worden om vermoeidheid te voorkomen.

[Reactie gewijzigd door The Zep Man op 17 oktober 2017 12:55]

De meeste safe browsing meldingen zijn onterecht in mijn ervaring, dus reken maar, afhankelijk van de site / doel van het bezoek, ik deze foutmelding regelmatig negeer.

Super a-relaxed als een browser weigert te verbinden met een http site, die browser komt er dan bij mij niet meer in. Qua flash-blokkeren is het een ander verhaal maar http heeft gewoon nog een functie.
Super a-relaxed als een browser weigert te verbinden met een http site, die browser komt er dan bij mij niet meer in. Qua flash-blokkeren is het een ander verhaal maar http heeft gewoon nog een functie.
HTTP heeft gewoon nog een functie omdat browsers het ondersteunen, waardoor sommige siteboeren te lui zijn om SSL/TLS te implementeren.

Chrome zal waarschijnlijk ooit eerste zijn die geen HTTP verbindingen meer over Internet toestaat of het in ieder geval sterk ontmoedigd. De andere browsers zullen snel genoeg volgen.
HTTP heeft zeker nog nut voor bijvoorbeeld lokale testservers. Natuurlijk kan je dan altijd self-signen, maar wat voor nut heeft het om verkeer wat je eigen netwerk niet verlaat te beveiligen.

Verder weigert Chrome ook al langer bepaalde functies (o.a. service workers) aan websites zonder HTTPS.
Dat is dus ook wat ik tegen CH4OS zeg, toch? :) Maar ach, ik denk dat je mijn mening toelicht.

Ben het helemaal met je eens, en zie het ook in m'n vrienden- en kennissenkring. Ze laten al die meldingen gewoon lekker staan (ook die standaard Google-melding op google.nl, over die voorwaarde etc). Nu is het natuurlijk niet de verantwoordelijkheid van de gebruiker, maar op deze manier zorg je er wel voor dat dingen door je strot worden geduwd, en misschien is dat wel nodig bij gebruikers.

Dat kan één van de maatregelen zijn, maar dan zit je alweer gauw tegen internetcensuur aan waarbij Google bepaalt wat jij wel en niet mag. Het gevolg is dan dat iedereen moord en brand gaat schreeuwen over hoe Google alles voor jou aan het bepalen is.

[Reactie gewijzigd door AnonymousWP op 17 oktober 2017 13:08]

Dat is dus ook wat ik tegen CH4OS zeg, toch? :) Maar ach, ik denk dat je mijn mening toelicht.
Klopt. Het was een toelichting. Ik denk dat onze meningen overeenkomen.
Dat kan één van de maatregelen zijn, maar dan zit je alweer gauw tegen internetcensuur aan waarbij Google bepaalt wat jij wel en niet mag.
Google zet HTTP-only sites al lager in hun zoekresultaten.
Het gevolg is dan dat iedereen moord en brand gaat schreeuwen over hoe Google alles voor jou aan het bepalen is.
Dat doet men nu al, en dat wordt evengoed geaccepteerd want ze komen ermee weg.

Voor een SSL/TLS certificaat hoeft men niet meer te betalen dankzij Let's Encrypt. Andere certificaatboeren zullen in de toekomst wel volgen om DV certificaten gratis te maken. Ze verdienen er anders niets mee, terwijl een CA met het uitgeven van gratis DV certificaten de legitimiteit om een root CA in de browsers te hebben behoudt, om zo te voorkomen dat ze overbodig worden.

Het zal voor wrijving zorgen, maar het zijn de site eigenaren (zeker de commerciële) die snel genoeg bij zullen springen om toch maar SSL/TLS te gaan ondersteunen.

[Reactie gewijzigd door The Zep Man op 17 oktober 2017 14:25]

Ik heb echt liever dat ze google mail gebruiken dan hun waardeloze ISP of echt nooit bijgewerkte netwerk mail server ..

Iets vaker dan dat ik wil zit ik bij kleine gemeente enzo met mail server bij een ISP/host/lokaal en het admin wachtwoord voor het beheer is altijd 1x gereset, .. en meeste logins zijn niet nodig want de mail wordt plain-text opgeslagen in archief voor 10 jaar op servers die dus 10 jaar niet een update krijgen.

Het is serieus triest in heel heel heel veel gevallen.
Beste lijkt me nog altijd de servers van de werkgever of van de partij ervoor te gebruiken. Er zijn genoeg politica, iig op plaatselijk en nationaal niveau, die de mail van hun partij altijd laten doorsturen naar Gmail, omdat ze dan 1 mailbox hoeven bij te houden, namelijk alleen de privé mailbox. Vandaar dat ik vind dat de beveiliging van de informatie aan de persoon zelf is en niet aan Google. Dat Google dit nu biedt is dus enkel een workaround voor het werkelijke probleem van de luie politica of journalist.

[Reactie gewijzigd door CH4OS op 17 oktober 2017 16:42]

Want de servers van een relatief kleine werkgever voor onze overheid zal beter beveiligd zijn dat het grote Google? Als ik kijk naar het track-record van de overheid, die bovendien veel diensten moet uitbesteden aan uurtje-factuurtje-marktpartijen, heb ik toch echt liever dat men bij Gmail zit. Microsoft heeft succesvol aangevochten dat de Amerikaanse inlichtingendiensten niet zondermeer bij data mogen die in het buitenland zijn opgeslagen. Indien je dat alsnog niet vertrouwd zie ik niet in wat een lokale webdienst veiliger zou maken dan een Google waarbij veel meer op het spel staat wat betreft vertrouwen omtrent de maildienst.
Want de servers van een relatief kleine werkgever voor onze overheid zal beter beveiligd zijn dat het grote Google?
Ik mag hopen dat een overheid, zoals van een ministerie, geen kleine server omgeving heeft voor de e-mail omgeving. En los van dat, mag ik wel hopen dat men een security policy heeft en zakelijke e-mails (zoals bij een politieke partij) zoveel als mogelijk binnenshuis blijven eni niet doorgestuurd mógen worden naar privé e-mailadressen waar dan ook.
Als ik kijk naar het track-record van de overheid, die bovendien veel diensten moet uitbesteden aan uurtje-factuurtje-marktpartijen, heb ik toch echt liever dat men bij Gmail zit.
Een grote overheidsomgeving zoals een ministerie van Economische zaken heeft allicht project medewerkers ingehuurd voor projecten en heeft eigen beheerders in dienst voor een de eigen bestaande ICT omgeving. Dat laten doen of stallen bij Google / Alphabet moet je ook echt geen voorstander van willen zijn. Om het minste of geringste kan de Amerikaanse overheid namelijk servers in beslag nemen, ook bij Google en alle data die daarop staat inzien. Maar goed, als jij liever staatsgeheimen deelt met anderen, prima hoor. ;)
Microsoft heeft succesvol aangevochten dat de Amerikaanse inlichtingendiensten niet zondermeer bij data mogen die in het buitenland zijn opgeslagen.
Waar Microsoft ook best moeite voor heeft moeten doen; O.a. zijn de servers eigendom van een apart dochterbedrijf in het land waar die servers in een datacenter staan en dergelijken. Google heeft dat (zover bij mij bekend) niet en kan de Amerikaanse overheid dus 'gewoon' beslag op de data leggen wanneer zij dat nodig achten.
Je hoopt de hele tijd dingen omtrent de voorzieningen bij de overheid, maar het is enkel gebouwd op aannames. Noem eens inhoudelijke redenen waarom een in-house server voor de Tweede Kamer inherent veiliger is? Die mis ik compleet in al je reacties. Je lijkt vooral in te spelen op de typische Google-angst hier. Als er daadwerkelijk zoveel mogelijk is vanuit de inlichtingendiensten is ook echt die lokale Tweede Kamer-server niet veilig en hiermee de digitale staatsgeheimen vermoedelijk ook niet. De kans dat de expertise bij die detacheerder die dat regelt (bijna alles is een openbare aanbesteding, waarbij de goedkoopste toko vaak wint) beter is dan een van de marktleiders van webprotocollen en beveiligingen acht ik zelf in elk geval zeer gering.

[Reactie gewijzigd door MsG op 17 oktober 2017 16:48]

Het gaat niet eens zo zeer om veiligheid. Je wilt vertrouwlijke overheidsinformatie toch niet in handen van een buitenlands bedrijf hebben?!?!

Onze overheid kan best een veilig email omgeving inhouse opzetten.
En hoe wordt dan wèl gewaarborgd dat het in enkel Nederlandse handen blijft? Inderdaad, dat kunnen we helemaal niet waarborgen.
Dat is met beheer over je eigen systemen en netwerk een stuk makkelijker te controleren en waarborgen, dan de boel bij default maar bij gmail te hosten.

Als een Google of MS bereidt zou zijn een zelfde soort setup hier in Nederland neer te zetten zoals ze in Duitsland gedaan hebben, zou al schelen.

Maar zoals nu, dat alles maar doorgestuurd wordt naar prive email adressen... zo verschikkelijk fout.
Je hoopt de hele tijd dingen omtrent de voorzieningen bij de overheid, maar het is enkel gebouwd op aannames.
Ik heb zelf jarenlang bij een gemeente gewerkt. De berichtgeving van minister Kamp uit een eerdere post van mij, verbaasde mij dan ook totaal niets.
Noem eens inhoudelijke redenen waarom een in-house server voor de Tweede Kamer inherent veiliger is?
Je verward nu beveiliging met beveiligingsbeleid. Als men bewuster omgaat met informatie te delen via e-mail, zou dat echt al een hoop schelen. Maar ja, het is nu eenmaal makkelijker om iemand een e-mail te sturen met bestand er kant en klaar in, dan een verwijzing naar waar het bestand op het netwerk te vinden is. ;) Jezelf naar binnen hacken kan altijd, of dat via e-mail of het bestandssysteem is, dat maakt natuurlijk niets uit, maar kan wel voorkomen worden, als mensen meer gaan nadenken over wát zij wel (of niet) versturen via bijvoorbeeld e-mail.
Je lijkt vooral in te spelen op de typische Google-angst hier.
Dan haal je overduidelijk dingen door elkaar. Ik heb het namelijk nergens over een Google angst. De Wet in Amerika geeft een overheid namelijk toegang tot data als er verdenking is van verschillende vormen van strafbare feiten, ik mag hopen dat ik die ook niet uit hoef te schrijven voor je. :)
Als er daadwerkelijk zoveel mogelijk is vanuit de inlichtingendiensten is ook echt die lokale Tweede Kamer-server niet veilig. De kans dat de expertise bij die detacheerder die dat regelt (bijna alles is een openbare aanbesteding, waarbij de goedkoopste toko vaak wint) beter is dan een van de marktleiders van webprotocollen en beveiligingen acht ik zelf in elk geval zeer gering.
Daarom is bewustwording van informatiebeveiliging ook zo belangrijk, maar helaas denken velen daar liever te makkelijk over. Waarom moet alles via e-mail verzonden worden? Gelukkig is het tegenwoordig tussen de mailservers via TLS versleuteld, maar wat er allemaal op de servers zelf gebeurd na het ontvangen is totaal onduidelijk, maar nogmaals, als jij liever staatsgeheimen aan een dergelijke server toevertrouwd waar je totaal geen zeggenschap laat staan beheer over hebt, moet je dat helemaal zelf weten.

[Reactie gewijzigd door CH4OS op 17 oktober 2017 16:56]

als jij liever staatsgeheimen aan een dergelijke server toevertrouwd waar je totaal geen zeggenschap laat staan beheer over hebt, moet je dat helemaal zelf weten.
Als er dus inderdaad geen fundamenteel verschil is, en het net zo onveilig blijft, mis ik het verschil.

Ik heb even bij een lokale gemeente gezeten, en kortweg is mijn samenvatting omtrent de publieke sector "men doet maar wat". Zolang men op IT-gebied nog het verstand heeft van een fruitvlieg, lopen er dagelijks duizenden zwakke schakels rond en zal een eventuele cloud- of inhouse-beheer afweging nog wel de minste zorg zijn. Ik mag hopen dat de Amerikaanse overheid en inlichtingendiensten niet van een dusdanig laag niveau zijn dat een in-house door Capgemini geleverd servertje een daadwerkelijke bottleneck zou zijn in het vergaren van informatie die de Amerikanen eventueel over ons zou willen hebben.
In sommige landen zijn de alternatieven in handen van de overheid. Dan is gmail (en varianten) de enige optie.
De Amerikaanse overheid kan zichzelf ook prima toegang verschaffen tot de servers van Google, hebben zij (helaas) al genoeg middelen voor en kunnen dus zonder medeweten van de politica zomaar staatsgeheimen bekend worden in Amerika. Vind ik althans geen fijne gedachte.

[Reactie gewijzigd door CH4OS op 17 oktober 2017 13:54]

En jij denkt dat de Amerikaanse overheid dat niet kan bij je eigen Plesk servertje of je account bij Hostgator?
En jij denkt dat de Amerikaanse overheid dat niet kan bij je eigen Plesk servertje of je account bij Hostgator?
Ik mag hopen dat overheidsinstellingen en journalistieke bedrijven wel iets meer hebben staan dan een Plesk-servertje of accountje bij Hostgator voor hun e-mail omgeving in een datacenter in Nederland of inpandig eigen rackspace. ;)

[Reactie gewijzigd door CH4OS op 17 oktober 2017 17:00]

Vaak staat er een Microsoft Exchange omgeving, ingericht door Henk van de afdeling IT. Dat geeft vertrouwen.
Vaak staat er een Microsoft Exchange omgeving, ingericht door Henk van de afdeling IT. Dat geeft vertrouwen.
Wie de server ingericht heeft maakt natuurlijk niet uit, het gaat om de manier waarop. In de loop der jaren zal zo'n machine echt wel meer dan eens vervangen zijn intussen en heeft men ook mogelijkheden om Microsoft te contacteren voor support. Overigens heeft Microsoft ook best practice guides voor het installeren van Exchange binnen diverse omgevingen.
Of het nou Henk of Mohammed is... Het maakt niet zoveel uit. Die gasten van de afdeling IT richten eens in de drie-vier jaar een mailserver in. Als je het dan hebt over 'de manier waarop' dan maak ik me daar serieus wel eens zorgen om.
Het is de verantwoordelijkheid van de politica of journalist om zuinig te zijn op zijn of haar informatie. Dan hoor je dat sowieso niet te parkeren in een Google-account.
Waarom zou je die informatie niet in een Google account kunnen zetten?
Zo te zien hou je niet van artikelen lezen, maar vind je reageren op de titel leuker? Welkom, je past helemaal in de tijdgeest van vandaag.

Politici of journalisten zijn regelmatig extra doelwit geweest en zijn mogelijk kwetsbaarder dan gewone stervelingen, daarom worden deze specifiek als voorbeeld genoemd. Je wordt echter nergens beperkt vanuit Google om je ook als gewone burger aan te melden. Dus ik mis de discriminatie waar je over spreekt.
Voel je vrij om CH4OS in 'nieuws: Google introduceert beschermingsprogramma voor gevoelige ac... ook even door te nemen, dan begrijp je mijn standpunt allicht wat beter en hoef je voortaan niet direct op de man te spelen, iets wat ook helemaal past in de tijdsgeest van vandaag. ;)

[Reactie gewijzigd door CH4OS op 17 oktober 2017 16:29]

Ik zou graag nog steeds een normale 2FA TOTP mogelijkheid willen zien bij Google (en nog wat andere diensten) zonder de verplichting van een GSM nummer te moeten koppelen aan het account.
Je kunt dat volgens mij tegenwoordig? De sms verificatie is weg, tegenwoordig kun je met een ander apparaat een login toestaan. Als ik dus ergens inlog kan ik vanaf tabket of mobiel de login bevestigen.
Nee, helaas nog steeds niet. Als ik 2FA wil aanzetten wordt mij om mijn telefoonnummer gevraagd en hoe ik de codes wil ontvangen (via een bericht of oproep), deze stap is niet over te slaan.
Er is een workaround voor. Wij hebben hier een dumbphone liggen met een simkaart. Als je 2FA eenmaal hebt ingesteld met een telefoonnummer kan je vervolgens andere methodes koppelen (YubiKey, TOTP, static codes etc.). Daarna kan je het telefoon nummer weer weggooien en houd je alleen de andere methode(s) over.
Waarom wil je geen telefoonnummer opgeven? Bang dat Google je opbelt?

Google heeft toegang tot je webactiviteiten (adsense, analytics, zoekmachine), je mail, gedownloade apps en nog wel meer. Van alles wat Google (theoretisch) zou kunnen zien lijkt me je telefoonnummer nog wel het minst vervelende.

Dat Google mijn telefoonnummer heeft voor account recovery vind ik eerlijk gezegd zwaar opwegen tegen het risico dat iemand anders mijn account kraakt.
Je kunt er inderdaad voor kiezen om op je toestel een pop-up te laten weergeven in plaats van SMS. Dat kan je hier instellen: https://myaccount.google....gDkDhvWYVFL8PC7qvLXy21kXw

@Horrorist618

Ik zie dat je inderdaad daarvoor je telefoonnummer moet toevoegen. Maar ach, ik zie het probleem niet. Als je een Google-account hebt, hebben ze toch je telefoonnummer al, ga daar maar van uit.

[Reactie gewijzigd door AnonymousWP op 17 oktober 2017 12:54]

Waarom? Ik heb een Google account op een oud toestel waar geen contacten in staan; dat gebruik ik om betaalde apk's te kunnen kopen die ik dan naar mijn dagelijkse toestellen overzet. Mijn echte telefoonnummer staat niet op dat toestel. Maar goed, ik gebruik gmail dan ook bijna alleen voor Google en soms om wat registratiemails te ontvangen.
En wat houdt je dan tegen om dat telefoonnummer op te geven, als je per sé 2FA wil instellen? Ik neem aan dat je er wel een SIM kaart in hebt, aangezien je zegt dat je 'echte' nummer niet op dat toestel staan, dus heeft die toch ook een nummer?
Lekker krom allemaal, en dan verwacht je wel dat het allemaal werkt zoals jij wilt?
Ja, dat werkt prima. Mara ik heb en wil dan ook geen 2FA op gmail.
2FA TOTP is gewoon mogelijk bij Google. Ik gebruik het in ieder geval al geruime tijd. Ik heb wel een telefoonnummer moeten koppelen, maar dat kan natuurlijk ook gewoon je vaste nummer zijn. Dat er een nummer aan gekoppeld is, vind ik overigens niet meer dan logisch.
Dat er een nummer aan gekoppeld is, vind ik overigens niet meer dan logisch.
Voor TOTP hoeft er geen nummer gekoppeld te worden. Zie bijvoorbeeld de implementatie in Nextcloud.

In plaats van een nummer kan Google ook vereisen dat je ergens anders een emailadres hebt voor account recovery.
Het is natuurlijk gewoon een keuze. Ik zie er het punt niet van in, maar laat me graag overtuigen door jouw eventuele bezwaren.
“We kunnen altijd dingen beter doen en niet alles is ook daadwerkelijk geschikt voor al onze gebruikers. We moeten uitzoeken op welke plaatsen we dingen makkelijker kunnen maken.”
Misschien door dit probleem te verhelpen? :+
Google verwijst gebruikers op het moment van schrijven via de Nederlandstalige pagina door naar Amazon voor een aanschaf, maar die levert de bluetoothsleutel niet naar de Benelux.
Het is redelijk generieke hardware die je nodig hebt, dus die link richting amazon zou ik eerder zien als een usability-bonus feature dan een core feature. Praktisch gezien zullen de meeste mensen die dit instellen er hulp bij krijgen terwijl ze dit doen.

Ben in ieder geval erg blij te zien dat dit een open programma is voor iedereen :D .

[Reactie gewijzigd door David Mulder op 17 oktober 2017 12:51]

Precies, je kunt gewoon een FIDO U2F kopen van welke leverancier dan ook (heb er zelf een van Yubikey, zo'n blauwe).
Het hangt er nogal vanaf of je bang bent voor hackers of de NSA. Ja de NSA kan waarschijnlijk bij Google accounts via allerlei manieren (door kabels op te graven bijvoorbeeld al werkt Google dat alweer tegen), en misschien makkelijker omdat het een bedrijf uit de VS is. Maar qua hackers is Google echt wel een bedrijf wat zijn mannetje staat, meer dan Webreus.nl ofzo. En bijv transip heeft pas ssl/tls op smtp ingevoerd in 2015 (beter laat dan nooit), daarvoor ging al je email plain text de wereld rond. Dan kan je wel denken dat je bij een betrouwbaar Nederlands bedrijf zit maar je moet goed bedenken waar je veilig voor wilt zijn en of je aannames kloppen. Wat dat betreft heeft Google gelijk, het is lastig uit te leggen.

[Reactie gewijzigd door teek2 op 17 oktober 2017 12:54]

"Google heeft een zogenaamd Advanced Protection Program geïntroduceerd, waarmee gevoelige accounts van bijvoorbeeld politici of journalisten beter beschermd kunnen worden."
Prima ontwikkeling naar mijn idee, al kan ik me in de reactie van @CH4OS ook wel vinden.
Dat dit soort mensen gewoon zelf extra zuinig horen te zijn op zijn of haar informatie, en dit soort informatie dus niet even bij Google horen te parkeren, en vervolgens dan te gaan denken dat het wel goed zit.
Zorg gewoon dat je een goed wachtwoord op je account hebt.
Zo ja, dan wens ik ze veel succes met het achterhalen van zo'n wachtwoord.
Maar goed.
in hoeverre verschilt dit van 2FA ?

is dit iets wat nadat je account is gehackt moet/kan worden gebruikt ?
Op zich goed natuurlijk, al vind ik de standaard beveiligingsmaatregelen voor Gmail-accounts al behoorlijk uitgebreid. Dat begint al met meldingen in je browser op het moment dat je je probeert aan te melden vanaf een afwijkende locatie. Wie vervolgens gebruik maakt van 2FA is in staat om daar weer een extra laag van beveiliging overheen te leggen, maar wie écht meer zekerheid wil moet een hardwaresleutel kopen.

Kom daar maar eens aan met je eigen Plesk servertje die je host bij TransIP.
"Ook kunnen gebruikers alleen nog de Chrome-browser voor apps als Gmail of Photos gebruiken en krijgen standaard iOS-apps geen toegang meer tot Gmail, de agenda en contacten op het mobiele besturingssysteem"

Dat noem ik geen beveiliging, als het alleen (goed) werkt op je eigen browser!
Ook dat is natuurlijk gewoon een vorm van beveiliging.
Het is uiteraard een vorm van beveiliging. Maar ik ben het verder met mocean en CivLord eens. Het is gebruikers pushen om gebruik te maken van de Chrome-browser, welke bovendien niet voor iedereen op elke locatie toegankelijk is. Ik heb een tijd in de Tweede Kamer gewerkt en daar gebruikte iedereen Internet Explorer. Firefox en Chrome waren beschikbaar op aanvraag, maar daarvoor moest eerst toestemming gevraagd worden bij de daarvoor aangewezen persoon. Die snapte vaak de noodzaak niet van een andere browser.

Ik denk daarom juist dat het goed zou zijn om gebruikers niet te dwingen om gebruik te maken van de Chrome-browser, puur vanwege de beschikbaarheid. Daarnaast vraag ik mij af of het alleen toestaan van de Chrome-browser daadwerkelijk zoveel toevoegt op het gebied van veiligheid. Inloggen op een onveilige browser, kan je ook gebeuren wanneer je inlogt op een verouderde variant van Chrome of een versie waar aan "geknutseld" is.
Nee, dat is het dwingen van je gebruikers om all-in Google te gaan wanneer ze een beetje extra veiligheid willen hebben.
Waarom zou de toegang tot Gmail en Photos niet veilig via andere browsers kunnen verlopen?
Je zou zelfs kunnen stellen dat het voor bepaalde gebruikers in risicogebieden tot een onveiliger situatie zal leiden wanneer ze niet langer via Torbrowser gebruik van Gmail kunnen maken.
Excuus, men tel zat even wat raar te doen.
Iets met een verkeerde token, waana ik de reactie iets aanpas, en vervolgens probeer te plaatsen, waarna die er plot dubbel staat.
heb ik weer hoor :/

[Reactie gewijzigd door SSDtje op 17 oktober 2017 14:06]

Dan ben ik gelukkig niet de enige.
Maar heb dit al wel eens eerder mee gemaakt, maar dat maakte toen niet, dat een reactie achteraf ook dubbel geplaatst bleek te zijn.
Maar goed, shit happens.
Soort koppelverkoop van Google om hun Chrome app en Android OS te promoten.
Doe mij maar ProtonMail ;-)
Helaas heeft Protonmail niet bijzonder veel meerwaarde als de ontvanger Gmail heeft.

Op dit item kan niet meer gereageerd worden.


Call of Duty: Black Ops 4 HTC U12+ dual sim LG W7 Google Pixel 3 XL OnePlus 6 Battlefield V Samsung Galaxy S9 Dual Sim Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V. © 1998 - 2018 Hosting door True

*