Google maakt tweestapsverificatie via e-mail verplicht voor alle Nest-gebruikers

Google maakt tweestapsverificatie voortaan verplicht voor alle Nest-gebruikers. Wie wil inloggen op een account of in de app, moet een extra inlogcheck doen via e-mail. 2fa via sms was al langer mogelijk, maar dat wordt vooralsnog niet verplicht.

Google had eerder al gezegd dat het Nest-accounts op die manier beter wilde beveiligen, maar nu begint het bedrijf met de uitrol ervan. De tweestapsverificatie wordt alleen verplicht via e-mail. Gebruikers krijgen bij het inloggen een e-mail van accounts@nest.com met daarin een zescijferige code. Die is nodig om verder in te loggen.

Tweestapsverificatie was al langer een optie in Nest-accounts, al was dat alleen mogelijk met sms en niet via totp of hardwaretokens. Het is nog steeds mogelijk om sms-verificatie aan te zetten. Ook wijst Google op de mogelijkheid een Nest-account om te zetten in een Google-account.

Google wil gebruikers beter beschermen tegen accountinbraken. Vorig jaar logde het bedrijf verschillende gebruikers automatisch uit. Dat gebeurde nadat bleek dat aanvallers met verscheidene Nest-camera's hadden meegekeken.

Door Tijs Hofmans

Redacteur

06-05-2020 • 09:30

26 Linkedin

Submitter: TheVivaldi

Reacties (26)

Wijzig sortering
Mooie zet voor MFA uiteraard, in dat opzicht ben ik alleen maar voor.
Qua stuk integratie naar o.a. Apple HomeKit via Apple HomeBridge was MFA tot nu toe al vrij lastig en dit helpt niet mee.
De API's waarmee MFA niet nodig was worden stuk voor stuk uitgefaseerd waardoor ik dan toch neig naar een andere thermostaat oplossing.
De missende integraties zorgt er ook voor dat ik niet verder zou willen investeren in het Nest Eco systeem met o.a. rookmelders.

Enfin, dit wist ik natuurlijk al toen ik het kocht, maar met HomeBridge heb ik nu toch zo'n 1-2 jaar genot gehad van HomeKit integratie :+
Een andere vorm van Google/Nest intergratie naar Apple Homekit is" Starling Home Hub" ( is een RaspberryPie met eigen software ) en werkt met 2FA ( Nest en Google ). En ik moet zeggen, werkt perfect al mijn Google/Nest producten ( Nest Hello en Nest Protect ) zijn bedienbaar in Apple Homekit ( en dan bedoel ik volledige bedienbaar, aan/uit, automatisering ) . De volgende producten van Google/Nest worden ook ondersteund Nest/Yale sloten, Camera's,Thermostaten, Google Secure en temperatuur sensors.
De ondersteuning is ( voorlopig ) goed, regelmatige updates.
En ja, het is alleen voor Nest/Google producten
https://www.starlinghome.io
Dus een boxje met deels open source Hardware en closed source software. Nee dank je, nu kan je je bestaande pi waar allerhande apparaten aan gekoppeld zijn gebruiken door gratis het open source Homebridge te installeren, die ook verder bruikbaar is voor de smart lampen van de Action. Dan komt er niet nou een betaalde closed source oplossing bij, zonder dat je weet wat dat ding nog meer doet.

En je hebt geen idee hoe lang ze nog bestaan.
@Monalisa01 wat voor automatisering heb je dan voor je protects? want dat klinkt interessant.
Via Staling Home Hub, als mijn Protect afgaan, zeg koolmonoxide of rook, worden mijn Philips Hue lampen geactiveerd en is mijn geheel huis verlicht. Eventueel kan je specifieke lampen laten branden. Werkt ook met andere lampen welke aangestuurd kan worden met Apple Home kit
Mijn Nest Hello, als er iemand aanbelt, krijg ik een bericht op mijn Apple Watch ( met beeld ) en gaat in de gang het licht branden.

Automatisering wordt geheel geregeld in Home kit zelf
dat is wel echt cool; ik wist niet dat er een API was voor callbacks als er aangebeld word. Ben jij al gemigreerd naar een Nest account of heb jij nog een google account?
Ben van een Nest account gemigreerd naar een Google account, de reden was toen 2FA.
Starling Home Hub is nu bezig om een update te maken voor 2FA van Nest, dus dit wordt straks ook ondersteund.
Moet ik uit dit verhaal begrijpen dat jij na 2 jaar een nieuwe thermostaat moet /wil kopen?
Mwa, hij 'moet' natuurlijk niets. De thermostaat blijft gewoon ouderwets doorwerken. Daarnaast staat Homebridge ook niet still en zal ook wel MFA ondersteuning inbouwen.

/edit: zie hieronder, het werkt al met homebridge.

[Reactie gewijzigd door dycell op 6 mei 2020 11:57]

Veel mensen kunnen het niet eens meer via Homebridge doen. Als je al een API had, werkt het vooralsnog (ik gebruik het ook), maar nieuwe API’s kunnen niet meer. Zelfde als je geen Nest account hebt, moet je nu met Google Account werken, en dus geen Nest API. (Zoals m’n vader)

EDIT:

Ik zie net dat Homebridge-nest ook alles gewoon ondersteunt:

https://github.com/chrisjshull/homebridge-nest
Integrate your Nest Thermostat (including Nest Temperature Sensors), Nest Protect, and Nest x Yale Lock devices into your HomeKit system. Both Nest Accounts (pre-August 2019) and Google Accounts are supported.

Currently, homebridge-nest supports all Nest Thermostat, Protect, and Nest x Yale Lock models, now including the EU/UK model of the Thermostat E with Heat Link.

[Reactie gewijzigd door xoniq op 6 mei 2020 10:25]

Goeie keuze.

Vergeet niet dat iemand met een matig beveiligd Nest account niet alleen z'n eigen maar ook persoonsgegevens van voorbijgangers te grabbel gooit.

Volgens mij zijn er een heleboel kleine ondernemers die dit soort camera's in hun winkeltjes hebben hangen, terwijl ze vaak niet zelf de technische kennis hebben om veilig persoonsgegevens te verwerken. Sommigen zullen een professional inschakelen, anderen doen alles zelf of hebben een "handig neefje" die de boel prima werkend krijgt maar geen flauw benul heeft van de beveiliging. Ik vind dat (als kritische gebruiker) best eng eigenlijk.
Tweestapsverificatie authentificatie via email is natuurlijk wel een beetje half werk en ook niet super secure.

Ik zou liever zien dat ze een authenticator inzetten zoals Microsoft Authenticator. Gewoon je mobiel erbij pakken en goedkeuren..

Eventueel een email auth maar dat zou eigenlijk gewoon bijzaak moeten zijn.

als je het mij vraagt dus geen goede keuze om het per email te doen...
Voor de normale gebruiker is zo'n authenticator app to nog een drempel te hoog denk ik, en iedereen forceren op SMS zal wel te kostelijk zijn voor Google en is ook niet bepaald veilig. Het is in ieder geval beter dan geen 2FA.
Dat SMS niet veilig is, is allang achterhaald. Een paar jaar terug zijn inderdaad vulnerabilities in MAP gevonden, maar iedere provider heeft ondertussen al zijn netwerk geupgrade met SMS Firewalls, en andere protectiesystemen.

Verder kost SMS niet zo veel met de hoeveelheden die Google zal afnemen. Apple gebruikt SMS voor iPhone activatie en Apple kennende gooien die geen geld over de balk als het goedkoper kan.
SMS is gewoon inherent onveilig, store and forward methode en geen encryptie. Daar kun je gewoon niets aan doen.

In theory SMS messaging is not secure. Why?
  • You cannot guarantee who is in possession of the phone.
  • Protocols governing transmission of SMS are not encrypted. (SMPP; SS7)
  • Many channels, providers and operators can sit between the origin of the message and receiving handset, meaning information could be compromised at any point.
  • SMS works on a 'store-&-forward' basis, thus information would remain on providers' systems, operators' systems and the handset itself, indefinitely.
  • As considerable as Messaging volumes are for both A2P & P2P, the unique identifying factor is freely available, the mobile number. Meaning compromised systems would be relatively easy to query for the desired messages.
Ik heb woord SMS niet in mijn mond genomen.... Ik had het over de Microsoft Authenticator, dat is gewoon een app zonder SMS.
Tenzij je Gmail gebruikt (wat waarschijnlijk is bij een Nest gebruiker) want die zit weer achter de zelfde Tweestapsverificatie.
2FA achter e-mail werkt prima. Is het super, super, super secure? Nee, maar het filtert echt al heel veel misbruik weg. Dat is het belangrijkste.
Je moet handige neefjes of buurmannen dan ook niet gebruiken. Liefst niet in een prive-omgeving en al helemaal niet in een zakelijke omgeving. Het gekke is dat veel van dit soort ondernemers wel zo'n neefje inschakelen, maar hun auto(s) wel bij de merkdealer in onderhoud doen. Terwijl het allemaal kritische bedrijfsmiddelen zijn.
Ik heb dit toch liever (en zeker nu met 2FA) dan het handige neefje dat een lokaal dingetje opzet met alle risico's van dien.
Goeie keuze.

Vergeet niet dat iemand met een matig beveiligd Nest account niet alleen z'n eigen maar ook persoonsgegevens van voorbijgangers te grabbel gooit.
In het geval van nest kun je in het algemeen dan ook stellen dat iemand die een nest camare gebruikt dan ook gegevens van voorbijgangers aan google ter beschikking stelt of te grabbel gooit.
Verplichte 2FA is een goed idee, maar ik ben wel wat verward waarom ze dat voor een thermostaat een hogere prioriteit achten dan voor talloze andere google producten.
Nest is meer dan enkel een thermostaat, er zijn ook camera's, alarm systemen enz onder die merknaam.
Anoniem: 1350842
@boe26 mei 2020 10:19
Ik denk voornamelijk omdat het een makkelijke groep is om op te testen, het is een redelijk groep maar niet te groot. Daarnaast zijn Nest producten niet alleen thermostaten, maar ook camera's etc. Dat zijn dan ook weer producten waar mensen eerder (letterlijk) zien wat er gebeurt als het fout gaat.
Volgens mij is de Nest dan ook niet meer te gebruiken via Logitech Harmony.
Het zou fijn zijn als ze eerst eens haast gaan maken met een degelijke API. Ik gebruik een workaround voor mijn Home Assistant configuratie, maar het zou fijn zijn als zij een manier kunnen bieden waardoor dit officieel ondersteund wordt. Aangezien deze workaround gebruik maakt van cookies op een al ingelogd systeem zou de workaround waarschijnlijk blijven werken, maar het verbaast mij wel dat we al zo lang zonder officiële API ondersteuning zitten.

Zoals anderen ook al aangeven weerhoudt dit mij wel om verder te investeren in de Nest productlijn.

Op dit item kan niet meer gereageerd worden.


Google Pixel 7 Sony WH-1000XM5 Apple iPhone 14 Samsung Galaxy Watch5, 44mm Sonic Frontiers Samsung Galaxy Z Fold4 Insta360 X3 Nintendo Switch Lite

Tweakers is samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer onderdeel van DPG Media B.V.
Alle rechten voorbehouden © 1998 - 2022 Hosting door True

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee