Google maakt tweestapsverificatie via e-mail verplicht voor alle Nest-gebruikers

Google maakt tweestapsverificatie voortaan verplicht voor alle Nest-gebruikers. Wie wil inloggen op een account of in de app, moet een extra inlogcheck doen via e-mail. 2fa via sms was al langer mogelijk, maar dat wordt vooralsnog niet verplicht.

Google had eerder al gezegd dat het Nest-accounts op die manier beter wilde beveiligen, maar nu begint het bedrijf met de uitrol ervan. De tweestapsverificatie wordt alleen verplicht via e-mail. Gebruikers krijgen bij het inloggen een e-mail van accounts@nest.com met daarin een zescijferige code. Die is nodig om verder in te loggen.

Tweestapsverificatie was al langer een optie in Nest-accounts, al was dat alleen mogelijk met sms en niet via totp of hardwaretokens. Het is nog steeds mogelijk om sms-verificatie aan te zetten. Ook wijst Google op de mogelijkheid een Nest-account om te zetten in een Google-account.

Google wil gebruikers beter beschermen tegen accountinbraken. Vorig jaar logde het bedrijf verschillende gebruikers automatisch uit. Dat gebeurde nadat bleek dat aanvallers met verscheidene Nest-camera's hadden meegekeken.

Reacties (26)

ro3lie 6 mei 2020 09:37

Mooie zet voor MFA uiteraard, in dat opzicht ben ik alleen maar voor.
Qua stuk integratie naar o.a. Apple HomeKit via Apple HomeBridge was MFA tot nu toe al vrij lastig en dit helpt niet mee.
De API's waarmee MFA niet nodig was worden stuk voor stuk uitgefaseerd waardoor ik dan toch neig naar een andere thermostaat oplossing.
De missende integraties zorgt er ook voor dat ik niet verder zou willen investeren in het Nest Eco systeem met o.a. rookmelders.

Enfin, dit wist ik natuurlijk al toen ik het kocht, maar met HomeBridge heb ik nu toch zo'n 1-2 jaar genot gehad van HomeKit integratie

Monalisa01 @ro3lie • 6 mei 2020 09:59

Een andere vorm van Google/Nest intergratie naar Apple Homekit is" Starling Home Hub" ( is een RaspberryPie met eigen software ) en werkt met 2FA ( Nest en Google ). En ik moet zeggen, werkt perfect al mijn Google/Nest producten ( Nest Hello en Nest Protect ) zijn bedienbaar in Apple Homekit ( en dan bedoel ik volledige bedienbaar, aan/uit, automatisering ) . De volgende producten van Google/Nest worden ook ondersteund Nest/Yale sloten, Camera's,Thermostaten, Google Secure en temperatuur sensors.
De ondersteuning is ( voorlopig ) goed, regelmatige updates.
En ja, het is alleen voor Nest/Google producten
https://www.starlinghome.io

xoniq @Monalisa01 • 6 mei 2020 10:15

Dus een boxje met deels open source Hardware en closed source software. Nee dank je, nu kan je je bestaande pi waar allerhande apparaten aan gekoppeld zijn gebruiken door gratis het open source Homebridge te installeren, die ook verder bruikbaar is voor de smart lampen van de Action. Dan komt er niet nou een betaalde closed source oplossing bij, zonder dat je weet wat dat ding nog meer doet.

En je hebt geen idee hoe lang ze nog bestaan.

xces @Monalisa01 • 6 mei 2020 10:07

@Monalisa01 wat voor automatisering heb je dan voor je protects? want dat klinkt interessant.

Monalisa01 @xces • 6 mei 2020 10:15

Via Staling Home Hub, als mijn Protect afgaan, zeg koolmonoxide of rook, worden mijn Philips Hue lampen geactiveerd en is mijn geheel huis verlicht. Eventueel kan je specifieke lampen laten branden. Werkt ook met andere lampen welke aangestuurd kan worden met Apple Home kit
Mijn Nest Hello, als er iemand aanbelt, krijg ik een bericht op mijn Apple Watch ( met beeld ) en gaat in de gang het licht branden.

Automatisering wordt geheel geregeld in Home kit zelf

xces @Monalisa01 • 6 mei 2020 10:20

dat is wel echt cool; ik wist niet dat er een API was voor callbacks als er aangebeld word. Ben jij al gemigreerd naar een Nest account of heb jij nog een google account?

Monalisa01 @xces • 6 mei 2020 10:25

Ben van een Nest account gemigreerd naar een Google account, de reden was toen 2FA.
Starling Home Hub is nu bezig om een update te maken voor 2FA van Nest, dus dit wordt straks ook ondersteund.

Yalopa @ro3lie • 6 mei 2020 09:43

Moet ik uit dit verhaal begrijpen dat jij na 2 jaar een nieuwe thermostaat moet /wil kopen?

Verwijderd @Yalopa • 6 mei 2020 11:56

Mwa, hij 'moet' natuurlijk niets. De thermostaat blijft gewoon ouderwets doorwerken. Daarnaast staat Homebridge ook niet still en zal ook wel MFA ondersteuning inbouwen.

/edit: zie hieronder, het werkt al met homebridge.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 16:45]

xoniq @ro3lie • 6 mei 2020 09:41

Veel mensen kunnen het niet eens meer via Homebridge doen. Als je al een API had, werkt het vooralsnog (ik gebruik het ook), maar nieuwe API’s kunnen niet meer. Zelfde als je geen Nest account hebt, moet je nu met Google Account werken, en dus geen Nest API. (Zoals m’n vader)

EDIT:

Ik zie net dat Homebridge-nest ook alles gewoon ondersteunt:

https://github.com/chrisjshull/homebridge-nest

Integrate your Nest Thermostat (including Nest Temperature Sensors), Nest Protect, and Nest x Yale Lock devices into your HomeKit system. Both Nest Accounts (pre-August 2019) and Google Accounts are supported.

Currently, homebridge-nest supports all Nest Thermostat, Protect, and Nest x Yale Lock models, now including the EU/UK model of the Thermostat E with Heat Link.

[Reactie gewijzigd door xoniq op 22 juli 2024 16:45]

Peetz0r 6 mei 2020 09:38

Goeie keuze.

Vergeet niet dat iemand met een matig beveiligd Nest account niet alleen z'n eigen maar ook persoonsgegevens van voorbijgangers te grabbel gooit.

Volgens mij zijn er een heleboel kleine ondernemers die dit soort camera's in hun winkeltjes hebben hangen, terwijl ze vaak niet zelf de technische kennis hebben om veilig persoonsgegevens te verwerken. Sommigen zullen een professional inschakelen, anderen doen alles zelf of hebben een "handig neefje" die de boel prima werkend krijgt maar geen flauw benul heeft van de beveiliging. Ik vind dat (als kritische gebruiker) best eng eigenlijk.

rvt1 @Peetz0r • 6 mei 2020 09:43

Tweestapsverificatie authentificatie via email is natuurlijk wel een beetje half werk en ook niet super secure.

Ik zou liever zien dat ze een authenticator inzetten zoals Microsoft Authenticator. Gewoon je mobiel erbij pakken en goedkeuren..

Eventueel een email auth maar dat zou eigenlijk gewoon bijzaak moeten zijn.

als je het mij vraagt dus geen goede keuze om het per email te doen...

V3LoXy @rvt1 • 6 mei 2020 09:54

Voor de normale gebruiker is zo'n authenticator app to nog een drempel te hoog denk ik, en iedereen forceren op SMS zal wel te kostelijk zijn voor Google en is ook niet bepaald veilig. Het is in ieder geval beter dan geen 2FA.

K-aroq @V3LoXy • 6 mei 2020 10:03

Dat SMS niet veilig is, is allang achterhaald. Een paar jaar terug zijn inderdaad vulnerabilities in MAP gevonden, maar iedere provider heeft ondertussen al zijn netwerk geupgrade met SMS Firewalls, en andere protectiesystemen.

Verder kost SMS niet zo veel met de hoeveelheden die Google zal afnemen. Apple gebruikt SMS voor iPhone activatie en Apple kennende gooien die geen geld over de balk als het goedkoper kan.

Verwijderd @K-aroq • 6 mei 2020 12:01

SMS is gewoon inherent onveilig, store and forward methode en geen encryptie. Daar kun je gewoon niets aan doen.

In theory SMS messaging is not secure. Why?

You cannot guarantee who is in possession of the phone.
Protocols governing transmission of SMS are not encrypted. (SMPP; SS7)
Many channels, providers and operators can sit between the origin of the message and receiving handset, meaning information could be compromised at any point.
SMS works on a 'store-&-forward' basis, thus information would remain on providers' systems, operators' systems and the handset itself, indefinitely.
As considerable as Messaging volumes are for both A2P & P2P, the unique identifying factor is freely available, the mobile number. Meaning compromised systems would be relatively easy to query for the desired messages.

rvt1 @V3LoXy • 8 mei 2020 13:17

Ik heb woord SMS niet in mijn mond genomen.... Ik had het over de Microsoft Authenticator, dat is gewoon een app zonder SMS.

Pikkemans @rvt1 • 6 mei 2020 09:54

Tenzij je Gmail gebruikt (wat waarschijnlijk is bij een Nest gebruiker) want die zit weer achter de zelfde Tweestapsverificatie.

Snow_King

@rvt1 • 6 mei 2020 10:01

2FA achter e-mail werkt prima. Is het super, super, super secure? Nee, maar het filtert echt al heel veel misbruik weg. Dat is het belangrijkste.

K-aroq @Peetz0r • 6 mei 2020 10:05

Je moet handige neefjes of buurmannen dan ook niet gebruiken. Liefst niet in een prive-omgeving en al helemaal niet in een zakelijke omgeving. Het gekke is dat veel van dit soort ondernemers wel zo'n neefje inschakelen, maar hun auto(s) wel bij de merkdealer in onderhoud doen. Terwijl het allemaal kritische bedrijfsmiddelen zijn.

Zapato @Peetz0r • 6 mei 2020 09:47

Ik heb dit toch liever (en zeker nu met 2FA) dan het handige neefje dat een lokaal dingetje opzet met alle risico's van dien.

bbob

Google

@Peetz0r • 6 mei 2020 10:08

Goeie keuze.

Vergeet niet dat iemand met een matig beveiligd Nest account niet alleen z'n eigen maar ook persoonsgegevens van voorbijgangers te grabbel gooit.

In het geval van nest kun je in het algemeen dan ook stellen dat iemand die een nest camare gebruikt dan ook gegevens van voorbijgangers aan google ter beschikking stelt of te grabbel gooit.

boe2 6 mei 2020 09:43

Verplichte 2FA is een goed idee, maar ik ben wel wat verward waarom ze dat voor een thermostaat een hogere prioriteit achten dan voor talloze andere google producten.

V3LoXy @boe2 • 6 mei 2020 09:58

Nest is meer dan enkel een thermostaat, er zijn ook camera's, alarm systemen enz onder die merknaam.

Verwijderd @boe2 • 6 mei 2020 10:19

Ik denk voornamelijk omdat het een makkelijke groep is om op te testen, het is een redelijk groep maar niet te groot. Daarnaast zijn Nest producten niet alleen thermostaten, maar ook camera's etc. Dat zijn dan ook weer producten waar mensen eerder (letterlijk) zien wat er gebeurt als het fout gaat.

battler 6 mei 2020 09:58

Volgens mij is de Nest dan ook niet meer te gebruiken via Logitech Harmony.

Byte 6 mei 2020 10:03

Het zou fijn zijn als ze eerst eens haast gaan maken met een degelijke API. Ik gebruik een workaround voor mijn Home Assistant configuratie, maar het zou fijn zijn als zij een manier kunnen bieden waardoor dit officieel ondersteund wordt. Aangezien deze workaround gebruik maakt van cookies op een al ingelogd systeem zou de workaround waarschijnlijk blijven werken, maar het verbaast mij wel dat we al zo lang zonder officiële API ondersteuning zitten.

Zoals anderen ook al aangeven weerhoudt dit mij wel om verder te investeren in de Nest productlijn.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (26)

Sorteer op:

Weergave: