Android 11 laat gebruikers inloggen zonder wachtwoord na terugzetten back-up

Android 11 heeft een nieuwe functie die Google Block Store noemt en die gebruikers in apps laat inloggen zonder gebruik te hoeven maken van een inlogscherm. Ontwikkelaars kunnen gebruikers tokens voor inloggen laten opslaan in de back-up van hun software.

Als gebruikers een nieuw toestel hebben en die zet de app terug, dan kan de app de token opvragen en zo gebruikers inloggen zonder dat ze een inlogscherm hoeven te zien, zo is te zien in een video van Google over Android 11 die Android Police ontdekte.

Door een token te gebruiken hoeft de app geen wachtwoord van een gebruiker op te slaan. De token is bovendien versleuteld. Ontwikkelaars kunnen een manier van versleuteling gebruiken die alleen hun eigen app begrijpt.

Er is volgens Google geen toestemming voor nodig van gebruikers, omdat het niet gaat om een inlognaam die of wachtwoord dat wordt opgeslagen. Daardoor is het mogelijk om na het terugzetten van de back-up gebruikers automatisch in te loggen. Gebruikers moeten Block Store wel ondersteunen om het te laten werken. Nu moeten gebruikers vaak inloggen na het terugzetten van een back-up.

Door Arnoud Wokke

Redacteur Tweakers

Feedback • 16-06-2020 08:00 27

16-06-2020 • 08:00

27

Lees meer

Google brengt stabiele versie van Android 11 uit
Google brengt stabiele versie van Android 11 uit Nieuws van 8 september 2020
Android 11 legt agressieve 'appkillers' van fabrikanten enigszins aan banden
Android 11 legt agressieve 'appkillers' van fabrikanten enigszins aan banden Nieuws van 11 juli 2020
Google lijkt Android 11 op 8 september te willen uitbrengen - update
Google lijkt Android 11 op 8 september te willen uitbrengen - update Nieuws van 8 juli 2020
4GB-limiet voor video-opnames is per Android 11 bèta 1 opgeheven
4GB-limiet voor video-opnames is per Android 11 bèta 1 opgeheven Nieuws van 13 juni 2020
OnePlus brengt Android 11-bèta uit voor OnePlus 8 en 8 Pro
OnePlus brengt Android 11-bèta uit voor OnePlus 8 en 8 Pro Nieuws van 12 juni 2020
Smartphones van OnePlus, Xiaomi en Oppo krijgen Android 11-bèta in komende weken
Smartphones van OnePlus, Xiaomi en Oppo krijgen Android 11-bèta in komende weken Nieuws van 11 juni 2020
Google kondigt onverwachts eerste bèta van Android 11 aan
Google kondigt onverwachts eerste bèta van Android 11 aan Nieuws van 10 juni 2020
Meer producten en artikelen
Smartphones Google Android

Reacties (27)

-Moderatie-faq
27
27
15
0
0
12
Wijzig sortering
P_Tingen 16 juni 2020 08:07
Hiermee wordt de beveiliging van je telefoon zélf ineens wel een stuk belangrijker. Als iemand jouw telefoon in handen heeft en een app terugzet, heeft die ook gelijk toegang tot je oude gegevens, want ik neem aan dat deze methode dan ook 2FA omzeilt.
glennoo @P_Tingen16 juni 2020 08:13
Ik gok dat de token maar tijdelijk beschikbaar is en vervolgens verwijderd wordt. Ze spreken immers alleen over het gebruik van de token bij backups.
Kenhas @glennoo16 juni 2020 08:23
Dan vrees ik dat je verkeerd gokt. Als ik de video (gedeeltelijk) bekijk, wordt die token altijd gebruikt om niet manueel te moeten inloggen in een app omdat er (te)veel manieren van inloggen zijn. In de praktijk moet je waarschijnlijk maar één keer inloggen.
Die token wordt wel meegenomen in een backup. Wil je dan je telefoon herinstalleren, dan wordt die token uit die backup gehaald en gebruikt om in te loggen.

In dit artikel wordt de nadruk gelegd op het terugzetten van een backup maar het filmpje gaat toch iets ruimer.

disclaimer : heb het filmpje niet volledig bekeken.
Tadsz @Kenhas16 juni 2020 08:33
Is het niet logischer om een token alleen te onthouden in een backup wanneer een app geinstalleerd is? Aan de andere kant is een sign-in via je google account bij diverse diensten niet veel anders dan dit.
Kenhas @Tadsz16 juni 2020 08:40
Wat bedoel je met "een sign-in via je google account"? Dat is maar één manier om in te loggen. Je kan soms inloggen met een Facebook, Microsoft,Github,... account naast het "ouderwetse" inloggen met een email en paswoord.
Hier wordt er bij de eerste maal inloggen een token aangemaakt die al die zaken vervangt

Dit is, voor zover ik het gegrepen heb, geen beveiliging maar een gemak. Gebruik je een zwak paswoord, dan kunnen kwaadwilligen ook nog altijd inloggen

[Reactie gewijzigd door Kenhas op 22 juli 2024 20:43]

Tadsz @Kenhas16 juni 2020 10:23
Waar ik op doelde was inderdaad het verstrekken van een token na inlog via een 3e dienst. Ook een gemakt net als deze tokens bewaren voor een backup waar als het goed is alleen jij zelf bij kan.
mjz2cool @glennoo16 juni 2020 08:26
Ik gok juist niet, want dat zou dan geen nut hebben. Het is juist een manier om altijd in te loggen zonder je daadwerkelijke gegevens altijd in te moeten voeren.
Septillion Moderator Duurzame Energie & Domotica @glennoo16 juni 2020 08:30
Nouw nee, want zo tijdelijk is een backup niet... Dus sta er nog niet in te springen. Naast dat dit het originele simpele password probleem zeker niet oplost.

Wat ik nog meer hoor in het filmpje is meer integratie van Smar Lock in One Tap ipv betere support voor algemene password managers :X
P_Tingen @glennoo16 juni 2020 09:06
De token wordt lokaal opgeslagen op je telefoon en gaat dan mee de backup in. Als je een nieuwe telefoon in gebruik neemt, wordt eerst de backup weer teruggezet vanuit de Google cloud. Inclusief je token. Als je de app start, ziet die het token en slaat het inloggedeelte over.
dooiedodo @P_Tingen16 juni 2020 08:11
Een token dekt niet 2fa, dus dat zou niet mogelijk moeten zijn .
Sannr2 @dooiedodo16 juni 2020 08:19
De token (iets wat je weet) plus de telefoon zelf (iets wat je hebt) is samen 2 factoren?
Tadsz @Sannr216 juni 2020 08:30
De token is niet wat je weet maar ook wat je hebt. De token is een opgeslagen bestand/sleutel die je doorgaans niet uit je hoofd kent. Vandaar het gebruik van een keyfile + wachtwoord.
P_Tingen @dooiedodo16 juni 2020 09:10
Voor zover ik het lees staat het de app-ontwikkelaar vrij om dit toe te staan. Er wordt in de video expliciet gezegd dat de ontwikkelaar zelf kan kiezen hoe het token wordt samengesteld. Het lijkt mij dan ook dat het aan de app-onwikkelaar is om te bepalen of 2FA wel of niet wordt overgeslagen.

Het punt is dat 2FA en de Block Store beide iets anders willen. De Block Store wil zo weinig mogelijk blokkades bij het opnieuw in gebruik nemen van een app / telefoon, daar waar 2FA dat juist moet beschermen.
dutchgio @P_Tingen16 juni 2020 08:34
Met name de beveiliging van je Google account vermoed ik, want het lijkt me niet dat ze die tokens lokaal op je device op gaan slaan. Die wordt immers gereset waardoor je een backup terug wilt zetten, uit de cloud.
beerse @P_Tingen16 juni 2020 09:33
Hopelijk is het een beetje vergelijkbaar met ssh-tokens, dat ze gekoppeld zijn aan iets anders wat van jou is. Bij ssh-tokens is het gekoppeld aan de machine (naam). In dit geval zou het gekoppeld kunnen worden aan iets anders eigens:
- de telefoon (het imei nummer), maar dat zal niet, want het moet juist op nieuwe telefoons werken
- het telefoonnummer, maar dat zal niet, want dat kan wisselen en in veel gevallen is het niet eens (goed) geconfigureerd.
- het simkaartnummer, maar dat zal niet want dat zal wisselen.
- het account dat is ingelogd in de play-store, waar vandaan het programma geïnstalleerd is. Dat is een mogelijkheid.
- het account van de opslag waar de backup vandaan komt. Een heel goede mogelijkheid.
Dus ja, er is een soort van 2fa, in de vorm van een bij komend account dat ook al is ingelogd en hopelijk wordt dat ook gebruikt en actief gecontroleerd.

Overigens, veel applicaties gebruiken al account opslag binnen de google omgeving. Zoals binnen android, binnen chrome of zelfs door gewoon het google account zelf te gebruiken.
Flipm0de 16 juni 2020 08:17
Is het nou zoveel moeite om even opnieuw in te loggen? Meeste wachtwoorden zijn toch opgeslagen bij google / password manager. Het is niet dat ik elke maand een backup terug zet ofzo.
lasharor @Flipm0de16 juni 2020 08:25
Ik ervaar het inloggen op apps etc best wel als storend. Helemaal omdat je dan moeilijk moet gaan doen met password managers op je telefoon. Op een PC is het niet zo storend maar multitasken op een telefoon gaat natuurlijk niet zo vloeiend.
Septillion Moderator Duurzame Energie & Domotica @lasharor16 juni 2020 08:33
Daarvoor zou juist de integratie voor password managers op je telefoon verbeterd moeten worden. Die kan een user dan zelf kiezen (met Google Smart Lock als een van de opties).In veel apps gaat dit tegenwoordig wel goed maar heb het idee dat dit geen standaard API in Android is. (Correct me if i'm wrong.)
walteij @lasharor16 juni 2020 09:06
KeePass2Android is daar dus een prima oplossing voor.
Je wachtwoorden in een KeepPass database (bij voorkeur met ww en token) opslaan op een cloud (ik gebruik OneDrive met MFA).Dan de DB openen met KeePass2Android. Op het moment dat een app om login gegevens vraagt, komt KeePass2Android met de vraag of ze de gegevens moeten opzoeken in de db.
ZIjn er gegevens, worden ze automagisch ingevuld. Zijn ze er niet, kun je meteen een random password laten genereren dat in de DB wordt opgeslagen.
Flipm0de @lasharor16 juni 2020 08:37
is wel echt alleen voor wanneer je een backup van een app terug zet. Dus niet wanneer ik nu bol.com ofzo open (tenzij ik het niet begrijp).
dooiedodo @Flipm0de16 juni 2020 08:57
bijvoorbeeld de ing app, die heeft best wat stappen nodig om weer actief te zijn. Zou het best prettig vinden als mijn oude tablet ff factory reset kan doen om het weer vlot te krijgen meteen na backup werkende is. Idee is best ok, risico's kan ik nog niet echt mn vinger op leggen.
Flipm0de @dooiedodo16 juni 2020 09:06
ja dat is wel een goed scenario, die tablet blijft toch lekker thuis.
pizzafried @dooiedodo16 juni 2020 11:34
ja, ik denk niet dat de ING die block store gaat ondersteunen, te meer omdat het dan gaat leunen op de beveiliging van een 3e partij (Google). Ik hoef in zo'n geval maar de inloggegevens van een google account te hebben, een android telefoon, en de backup "terug te zetten" om toegang te hebben tot bankgegevens.
dooiedodo @pizzafried16 juni 2020 13:21
Zo werkt de app niet. Altijd pin of vingerprint voor inloggen. Gaat er puur om dat die setup blijft werken na backup herstel.
Sannr2 16 juni 2020 08:22
“Gebruikers moeten Block Store wel ondersteunen om het te laten werken. ”.

Moet dit niet zijn dat ontwikkelaars het moeten ondersteunen? Wat zou een gebruiker moeten doen ervoor? Eerder staat juist “Er is volgens Google geen toestemming voor nodig van gebruikers”. Ondersteunen is meer iets voor ontwikkelaars toch? Of wordt inschakelen bedoelt, moet de gebruiker het eenmalig activeren voordat het werkt?
Alex3 16 juni 2020 10:50
Nogal warrig artikel. Alsof je eerst een backup moet terugzetten om de functie te kunnen gebruiken. Zo wordt het in de video niet gezegd. Maar als je acht minuten nodig hebt om het uit te leggen is het te ingewikkeld. Hier zit ik niet op te wachten. Ik gebruik dezelfde wachtwoorden als op m'n computer en die laat ik Google niet beheren, net zo min als ik met een Facebookaccount inlog.
frivo! 17 juni 2020 09:57
Iets anders. Sinds Android 10 op de Motorola One serie smartphones zit, zakt na enige inactiviteit de WiFi signaal snelheid terug met 90%. Na uit en aanzetten is dit dan tijdelijk weer verholpen. Motorola werkt hier aan maar vindt nog geen oplossing.
Vraag:
Zou Android 11 de oplossing hiervoor kunnen zijn?

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq