Google Authenticator kan op iOS codes exporteren naar ander apparaat

Google heeft een exportfunctie toegevoegd aan de Authenticator-app voor iOS. Apple-gebruikers kunnen daarmee tweestapsverificatiecodes overzetten naar een nieuwe telefoon als ze van toestel wisselen.

Het gaat om versie 3.1.0 van Google Authenticator. Daarin zit nu dezelfde functie als bij Android. Gebruikers kunnen via het menu hun data 'exporteren'. Dat gebeurt in de vorm van een qr-code. Als gebruikers die met Google Authenticator op een ander iOS-apparaat scannen, worden de accounts daar naartoe overgezet. Dat kan met maximaal tien accounts tegelijkertijd. Wie meer wil exporteren moet het proces dus meerdere keren doorlopen. Gebruikers moeten TouchID, FaceID of hun pincode gebruiken om de codes over te zetten.

De functionaliteit zat sinds mei van dit jaar in de Android-versie. Het was daarvoor alleen mogelijk tweestapsverificatie voor Google-accounts over te zetten naar andere apparaten, maar nu geldt dat voor alle Time-based One Time Passwords. Naast de exportfunctie heeft Authenticator op iOS ook voor het eerst een donkere modus gekregen en zijn er andere kleine ui-wijzigingen doorgevoerd.

Reacties (104)

Blackboard 3 december 2020 12:16

Een goed alternatief voor de Google Authenticator is de Aegis Authenticator. Helaas nog alleen beschikbaar op Android maar het is een open-source alternatief! De export functionaliteit bestaat hier al een geruime tijd.

Wanneer er een open-source variant die net zo goed, wellicht zelfs beter is, zou ik altijd hier voor kiezen. (Dit bericht is bedoeld voor de lezer die nog niet van Aegis had gehoord.)

Jazco2nd @Blackboard • 3 december 2020 12:28

Play Store: Aegis Authenticator
Wanneer er een open-source variant die net zo goed, wellicht zelfs beter is, zou ik altijd hier voor kiezen. (Dit bericht is bedoeld voor de lezer die nog niet van Aegis had gehoord.)

$_/-\o_$

Aegis is inderdaad wel DE authenticator om te benoemen, mag wel wat meer aandacht. Het is supergebruiksvriendelijk, simpele UI. En het maakt een backup in een mapje naar keuze die je vervolgens met je favoriete cloud oplossing kan syncen (Ikzelf heb 1 map Apps Backup op Android die door SyncThing-Fork naar mijn NAS gesynced worden. In de map zitten submapjes Aegis, Signal, Keepass, Pear Launcher. Whatsapp kan je geen mapje voor kiezen helaas dus die wordt apart gesynced).

Ik had eerst Authy maar besefte helemaal niet dat de org achter Authy dan je telefoonnummer heeft. Vond ik beetje gek.

The Realone @Jazco2nd • 3 december 2020 13:18

Dat Authy jouw telefoonnummer heeft is niet gek, dat is voor hun jouw identity waarmee ze je account koppelen. Een telefoonnummer is dan ook het enige wat ze hebben en dat zegt natuurlijk niets over wij jij bent. Als ik een database maak met alle nummers van 06-00000000 t/m 06-99999999 heb ik alle mobiele nummers van Nederland. En nu?

Het grote voordeel van Authy is in mijn ogen de sync functie. Voor de rest is het qua gebruiksvriendelijkheid en UI gelijk aan Aegis.

Jazco2nd @The Realone • 3 december 2020 13:35

Het is ook een prima app, maar toen ik dat ontdekte vond ik het voor mijzelf overbodig omdat ik gewoon mijn eigen private cloud setup heb, met FileRun (sneller en simpeler Nextcloud alternatief) en Syncthing.

Authy maakt de Google/Microsoft Authenticator apps wat mij betreft overbodig voor de massa. En voor wie zijn eigen sync gebruikt is Aegis perfect.

TheVMaster Moderator WOS @Jazco2nd • 3 december 2020 14:56

Beide (Google en MS) apps brengen, in ieder geval voor hun 'eigen' account, wel wat extra features. Zoals bijvoorbeeld het feit dat je (in het geval van de MS App) password less kunt inloggen. Ik kan op zowel mijn Microsoft Account als mijn werk account (zelfs als ik mijn laptop opnieuw installeer) inloggen zonder dat ik een wachtwoord hoef te gebruiken. Gebruikersnaam invullen en er komt een pushbericht in de Authenticator app (die overigens wel weer extra met FaceID is beveiligd) om de inlog te bevestigen.

Google heeft natuurlijk hetzelfde als je ergens met je Google account inlogt, dat je een push bericht krijgt voor de 2e factor.

Als je een app als Authy gebruikt, dan zul je dus altijd een code in moeten typen of kun je password less aanloggen (mogelijk) helemaal niet gebruiken.

[Reactie gewijzigd door TheVMaster op 22 juli 2024 23:50]

Jazco2nd @TheVMaster • 3 december 2020 15:03

Goed punt! Dat is net zo bijvoorbeeld bij Duo, voor zakelijke logins.

Blackboard @Jazco2nd • 3 december 2020 12:44

Zinnig om te vermelden: ook te vinden op de F-Droid appstore (waar veel opensource android applicaties staan).

b12e @Jazco2nd • 3 december 2020 13:24

"De partij" achter Authy is Twilio, en ook al ken je ze niet, kans is groot dat als je ooit een klantenservice hebt gebeld dat ze je nummer toch al hebben - Twilio is een van de grootste VOIP providers wereldwijd en oa Zendesk Talk, Dixa e.a. customer service platforms maken van Twilio gebruik als backbone (oa elastic sip trunking, web sdk, als effectieve carrier, whatsapp aanbieder voor bedrijven, etc)

Jazco2nd @b12e • 3 december 2020 13:33

Twilio ken ik zeker

Wist niet dat Authy van hun was, thanks!

mailis

@Jazco2nd • 3 december 2020 13:43

Vergeet niet dat Twilio ook het messaging platform in Signal is.

Edit: @Jazco2nd Je hebt hieronder helemaal gelijk! Ik dacht mij te herinneren toen de app Signal (niet het event

) nog een splash screen liet zien, daar onderin "Powered by Twilio" stond. Maar ik kan dit niet direct terugvinden en op de website staat ook geen verwijzing.

[Reactie gewijzigd door mailis op 22 juli 2024 23:50]

Jazco2nd @mailis • 3 december 2020 14:26

Huh, weet je dat zeker? Signal is van de Signal Foundation, een open source organisatie, geen link met Twilio.

Twilio heeft wel een groot jaarlijks even dat toevallig ook Signal heet.

mailis

@Jazco2nd • 3 december 2020 13:47

Zelf gebruik ik de authenticator van Lastpass, omdat die automatisch de codes lijkt te backuppen en ik ze ook op zowel mijn smartphone als tablet kan gebruiken. Hiermee voorkom ik dat ik een bestandje ergens plaats met deze codes zoals jij voorstelt, waar iemand wellicht bij kan in het sync process. En als iemand toegang heeft tot mijn Lastpass account, heb ik in principe meer problemen...

Aangezien je meer weet over Aegis en daarover hebt nagedacht, heb je wellicht goede bezwaren tegen mijn manier via Lastpass die ik wellicht mis / verkeerd interpreteer?

Jazco2nd @mailis • 3 december 2020 14:34

Neehoor wat je doet is prima.
Het verschil met mij is: Lastpass synced jouw database met codes met hun cloud. Dat is dan weer een cloudservice die ze van een andere partij afnemen, bijvoorbeeld Amazon. Het voordeel is dat jij er niet over hoeft na te denken, de codes zijn gewoon op al je apparaten beschikbaar.
Meestal (vrijwel zeker) staan je codes echter ook lokaal op je telefoon opgeslagen, zodat je er ook bij kan zonder internetverbinding. Als je een code toevoegt/verwijdert gebeurd dat lokaal en die wijzigingen worden gesynced met hun cloudservice.

In mijn geval is die cloud van Lastpass, gewoon mijn homeserver thuis. De database staat net als bij elke andere app lokaal en wordt via internet gesynced, maar dan met mijn homeserver. Zo kunnen ook al mijn devices de codes gebruiken.

In mijn geval weet ik precies waar de data staat en langs welke wegen deze wordt gebackupped. De database is versleuteld, wordt via versleutelde rechtstreekse verbinding met mijn thuis IP gebackupped op mijn eigen server. Dit vind ik prettig, maar zelf dit opzetten is niet voor iedereen natuurlijk.

Ik gebruik trouwens 2 apps:
Nextcloud (maar op mijn server draait FileRun, niet Nextcloud) als typische Google Drive/Dropbox alternatief.
Syncthing: voor syncen van dingen. Zoals dit soort App data, maar ook mijn foto albums backuppen.
Zo ben ik vrij van 3e partijen.

Op mijn server is dan weer een heel systeem om ervoor te zorgen dat ik beschermd ben tegen disk failure, dat er wekelijkse backups zijn, dat de 2-way sync van Syncthing wordt ondervangen met een directe backup zodra een sync voltooid is.

[Reactie gewijzigd door Jazco2nd op 22 juli 2024 23:50]

Cerberus_tm

@Jazco2nd • 3 december 2020 15:55

Ben je niet bang al je gegevens te verliezen in geval van brand, ernstige waterschade, inbraak e.d.?

Jazco2nd @Cerberus_tm • 3 december 2020 16:26

Daarvoor heb je een backup

Zowel in mijn servertje, daarbuiten in andere kamer en bij ouders. Daarnaast: net zoals bij elke andere dienst is er een lokale versie op je devices. Als mijn mobiel verbrand in mijn broekzak, heb ik wel ergere dingen aan mijn hoofd dan het verlies van wat herstelbare wachtwoorden en 2FA.

Daarnaast heb ik recent via een mooie aanbieding een lifetime abo op pCloud, 2TB. Daar wil ik een geautomatiseerde offsite/online encrypted backup plaatsen van de belangrijkste data (docs, dit soort dingen, foto selecties).

Overigens kan je ook in de cloud alles kwijtraken hoor. Kijk maar naar de enge iCloud verhalen, mensen die hun wachtwoord niet meer weten, een kind dat overlijdt en heel veel fotos had in zijn account. Of gewoon clouddiensten die stoppen, gehacked worden etc.

Met een private cloud, goed ingericht, ben je geen interessant target.

Bovendien, als alles afbrandt, vind ik wachtwoorden en zeker 2FA niet bepaald het belangrijkste. Die kan jej zo opnieuw instellen. Foto's daarentegen... en daarvoor moet je sowieso investeren, want je foto's en filmpjes kan je zelden allemaal op een gratis cloud kwijt.

Ik draai ook Firefox Sync Server trouwens, dus ook de wachtwoorden die daarin zitten staat op mijn servr.

mailis

@Jazco2nd • 3 december 2020 18:07

Ook hier bedankt voor je reactie! Toevallig draai ik thuis ook Nextcloud, maar wil ik bepaalde zaken zoals passwords liever gescheiden houden. En ik vertrouw Lastpass voldoende dat ze mijn gegevens goed opslaan ipv. daar zelf bij te blijven. Maar je hebt mij voldoende gerustgesteld

Cerberus_tm

@Jazco2nd • 4 december 2020 01:04

OK, bij je ouders en bij Pcloud, dan heb je twee reserves voor het geval je huis afbrandt met telefoon e.d. erin, lijkt me wel genoeg.

Je kunt in de wolken zeker ook alles kwijtraken; daarom zou ik altijd alles zowel op je eigen opslag als ergens anders bewaren.

Yzord @Blackboard • 3 december 2020 12:52

Authy is ook een betere.

stftweaker @Yzord • 3 december 2020 13:01

Jup sinds het gedoe rond iOS 14 dat g authentication niet meer werkt gelijk overgestapt naar authy ben een halve dag bezig geweest om alle codes te recoveren.

Pro tip je kan authy ook gebruiken ook al de dienst alleen Google authenticate aanbied gewoon de qr code scannen en klaar.

TagForce @stftweaker • 3 december 2020 13:21

Google Authenticator gebruikt TOTP en HOTP OTPs op basis van RFC 6238 en 4226 respectievelijk.
ALLE code generator apps die deze RFCs ondersteunen werken hier mee en zouden onderling uitwisselbaar moeten zijn.

Protip: Je kan de QR code die de Google Authenticator genereert uitlezen. Hier staan namelijk alle keys in plain text in, en deze kun je dan handmatig in een willekeurige andere app invoeren. Hiermee kan je bijvoorbeeld een andere app op je telefoon inrichten, maar ook bijvoorbeeld keepass met de TOTP add-on vullen.

t_captain @stftweaker • 3 december 2020 13:35

"niet meer werkt" is een te groot woord.

Je moest de app unloaden (let op: unload != remove, verschil is dat de settings bij unload worden behouden), en opnieuw downloaden. Daarna werkte het weer.

RVervuurt @stftweaker • 3 december 2020 13:37

Hoezo werkt Google Authenticator niet bij jou op iOS14?

stftweaker @RVervuurt • 3 december 2020 15:37

iedereen die 14.2 draaide deed de app het niet meer. je kon deze openen en werd vervolgens weer afgesloten. Lees de app reviews maar van afgelopen tijd. Verwijderen opnieuw installeren niks werkte.

En dat was niet de eerste keer helaas dat dit gebeurde. Authy gebruikte ik voor aantal andere diensten en die werkte altijd .

RVervuurt @stftweaker • 3 december 2020 15:48

Gek, ik zit op 14,2 en het werkt prima en naar behoren. Wel goed om te weten dat Google Authenticator zomaar kan stoppen met werken, want dan ga ik maar eens kijken naar en app die backups toestaat, zoals Authy heb ik begrepen.

needless to say @Blackboard • 3 december 2020 13:15

Microsoft authenticator is ook een goede met een ingebakken back-up functionaliteit + notifications voor Azure AD.

localhost @needless to say • 3 december 2020 13:42

Nog veel te verbeteren daar:

Voor backup van AzureAD entries heb je een non-AzureAD account nodig
Je hebt een "LiveID/Microsoft Account" nodig voor Android
Of je hebt een iCloud account nodig voor iOS
Wisselen tussen iOS en Android kan niet

needless to say @localhost • 3 december 2020 13:51

Die eerste 3 vragen zijn hier geen probleem. Ik neem ook liever een back-up van mijn MFA-tokens op een persoonlijk device via een persoonlijk account. En op iOS heb je per definitie een iCloud account nodig, anders kun je zelf geen app vanuit de store installeren.

Dat laatste punt is idd iets dat ze eens dringend mogen fixen.

DigitalExorcist @needless to say • 3 december 2020 15:30

Maar een iCloud account kan toch prima op je gewone mailadres. Geen 'extra' account nodig verder.

(Overigens is dit geen vráág maar een stelling: ik heb gewoon m'n oude Hotmail account als iCloud account opgevoerd)

needless to say @DigitalExorcist • 3 december 2020 20:28

Je kan ook een bestaand emailadres gebruiken als microsoft account trouwens...

DigitalExorcist @needless to say • 3 december 2020 22:32

Ja klopt maar 20 jaar geleden had ik niet zoveel keus. Of nou ja... had ik wel.. maar Hotmail leek me toen wel handig.

neo_mkl @Blackboard • 3 december 2020 12:37

Aegis is zeker aan te raden en heeft extra security features.

MrMarcie @Blackboard • 3 december 2020 12:47

Dank je, kende ik nog niet. Ziet er veelbelovend uit. Ga ik me vanavond even verder in verdiepen.

Vorkie @Blackboard • 3 december 2020 12:52

Maar wat heeft een iOS gebruiker hier dan aan?

GSan18 @Vorkie • 3 december 2020 12:56

Op moment niet veel, op IOS gebruik ik FreeOTP , opensource en werkt goed.
https://github.com/freeotp/freeotp-ios

BugBoy @Blackboard • 3 december 2020 13:00

Zakelijk gezien zijn authenticators die slechts op één platform beschikbaar zijn erg onhandig. Dan moet je namelijk twee totaal verschillende apps ondersteunen. Jammer dat die niet voor iOS beschikbaar is. Zakelijk gezien adviseer ik meestal de MS authenticator. Die heeft alle basic functionaliteit en werkt vrijwel identiek op beide platformen.

Waar ik helemaal moe van wordt zijn van die bedrijven die enkel werken met hun eigen authenticator. Twilio (SendGrid) krijg je alleen aan de praat met Authy. Waardeloos.

[Reactie gewijzigd door BugBoy op 22 juli 2024 23:50]

DigitalExorcist @Blackboard • 3 december 2020 15:28

In het kader van 'on topic' is dat dus totáál geen goed alternatief, want het is er niet voor iOS....

Jace / TBL @Blackboard • 3 december 2020 18:20

Precies dit.

Dat Google Authenticator nu na al die jaren met deze basale feature komt is wat mij betreft een kwestie van too little, too late.

Ben een poos geleden overgestapt op Aegis (dankzij een tip hier op tweakers, misschien ook wel van jou?) en die is in alle opzichten superieur.

iAR @Blackboard • 5 december 2020 08:23

OTP auth voor Apple devices, is ook prettig.

Wraldpyk 3 december 2020 12:08

Heel fijn! Ik ben vorig jaar overgestapt op een nieuwe telefoon en 2fa overzetten op een andere telefoon is verschikkelijk. Om die reden ben ik dan ook overgestapt op Authy zodat ik dat probleem niet weer zou hebben. Welliswaar iets minder veilig, maar nog steeds veilig genoeg, helemaal omdat dat weer beveiligd is met een wachtwoord in een password manager.

Ben natuurlijk wel slim genoeg geweest om de 2fa van de password manager dan weer niet in Authy te zetten

addictive_rhymz @Wraldpyk • 3 december 2020 12:12

Zelf ook al een poosje over op authy. In de tussentijd ook al een aantal nieuwe toestellen moeten aansluiten, dus dan is het superhandig dat het over al je apparaten gesynchroniseerd wordt. En aangezien het een tweede laag beveiliging is en de wachtwoorden er niet in staan, maak ik me ook niet zo druk over het feit dat het online gesynchroniseerd wordt.

Verwijderd @addictive_rhymz • 3 december 2020 12:14

Het probleem is denk ik meer dat je zowel het wachtwoord als de 2FA op hetzelfde apparaat hebt, dus met toegang tot je telefoon of laptop, heb je dan zowel toegang tot de wachtwoorden als de 2FA-methode.

Wraldpyk @Verwijderd • 3 december 2020 12:24

Authy heb ik alleen op telefoon en heeft altijd FaceID nodig

jcbvm

@Wraldpyk • 3 december 2020 12:29

Helaas kun je FaceID niet gebruiken zonder 4 cijferige pincode wat het geheel weer erg kwetsbaar maakt... Een 4 cijferige code is gemakkelijk te brute forcen.

EDIT: ik denk dat ik je opmerking verkeerd heb gelezen

, ik dacht dat je het had over de beveiliging van Authy zelf.

[Reactie gewijzigd door jcbvm op 22 juli 2024 23:50]

njh @jcbvm • 3 december 2020 13:20

Je kan desgewenst een langere code instellen, ik heb hier ook een 6cijferige code naast FaceID.

PPie @jcbvm • 3 december 2020 13:22

FaceID is niet enkel met een 4-cijferige code te gebruiken.
Het is eenvoudig de code aan te passen naar een meercijferige pincode of een alfanumerieke code.

jcbvm

@PPie • 3 december 2020 13:42

Ik had de opmerking verkeerd gelezen, ik dacht dat @Wraldpyk het had over de beveiliging van Authy zelf en niet die van iOS.

Verwijderd @Wraldpyk • 3 december 2020 14:51

Dat kan zo zijn, maar niet iedereen heeft FaceID/TouchID en ik ken persoonlijk genoeg mensen die zelfs op het werk per ongeluk hun telefoon/laptop open laten liggen, en een redelijke lange timeout hebben.

Wraldpyk @Verwijderd • 3 december 2020 14:54

Tja zwakste schakel. Ik ken ook mensen die wachtwoorden opschrijven en in agenda stoppen.

Verwijderd @Wraldpyk • 3 december 2020 15:18

Precies. Dat zou feitelijk geen kritiek probleem hoeven zijn als de 2FA niet in bereik is. Wat ga je met die agenda doen als je ook de telefoon moet hebben? Als die agenda daarnaast ook een 2FA code zou hebben, dan ben je de sjaak.

Wraldpyk @addictive_rhymz • 3 december 2020 12:14

Precies! Ze hebben beide nodig dus in combinatie met een password manager is het super veilig. Zo lang je de loop tussen Authy <> Password manager voorkomt (dat password manager beveiligd is met Authy 2fa, en Authy wachtwoord in Password manager staat). Want als je er dan niet meer in kan komen ben je alles kwijt

itguy013 3 december 2020 12:15

Dit kan de Microsoft Authenticator toch allang? Volgens mij moet je wel gebruik maken van een Microsoft account. Heb laatst een nieuwe iPhone gekocht. Ingelogd in de Authenticator app en alle code's getest. Werkt gewoon.

[Reactie gewijzigd door itguy013 op 22 juli 2024 23:50]

Auteur

TijsZonderH Nieuwscoördinator @itguy013 • 3 december 2020 12:21

Heel veel authenticatie-apps kunnen dit al. Authy begon ermee en stond er bekend om maar inmiddels is het normaler het wel te hebben dan niet. Dus Google loopt er wel wat mee achter.

Blokker_1999

Beveiliging en antivirus
Apple
Google

@itguy013 • 3 december 2020 12:19

Klopt, als je de MS Authenticator gebruikt icm met een Microsoft account (en dus sync met OneDrive) dan kan je na het installeren van de app op een ander toestel gewoon de backup uit OneDrive herstellen. Het enige wat ik spijtig vind is dat dit enkel kan als je de app voor de eerste keer opstart. Ik had die stap overgeslagen op mijn nieuwe telefoon en was uiteindelijk gedwongen om alle lokaal opgeslagen data opnieuw te wissen en opnieuw te starten.

TheVMaster Moderator WOS @itguy013 • 3 december 2020 12:23

Enige 'nadeel' is dat je de eventueel geconfigureerde Werk Accounts (Azure AD accounts) moet 'bijwerken'.

Dit is overigens wel de reden dat ik van Authy (die dit ook al langer had) ben afgestapt en al mijn TOTP accounts in de MS Authenticator heb gezet (je wilt toch ook niet meerdere authenticator apps op je foon).

b12e @TheVMaster • 3 december 2020 13:29

Ik gebruik zowel Authy als Dashlane. Als het wachtwoord van de dienst in Dashlane staat dan voeg ik daar ook de OTP codes aan toe, maar voor sommige zaken weet ik het wachtwoord van buiten (wil niet zeggen dat het iets als "hallo123!" is) en daar heb ik Authy voor.

Verder probeer ik zoveel mogelijk de OTP codes te vervangen door een Yubikey, waar mogelijk. Niet elke dienst ondersteunt het helaas.

TheVMaster Moderator WOS @b12e • 3 december 2020 14:50

Ik doe hetzelfde met 1Password, maar van een aantal apps heb ik de OTP codes in Authenticator staan. Eigenlijk heb ik voor geen enkele dienst het 'makkelijk onthoudbaar' wachtwoord. Alle wachtwoorden worden gegegeneerd binnen de passwordmanager en zijn allemaal 25+ tekens lang.

b12e @TheVMaster • 3 december 2020 19:55

Ik heb welgeteld 2 wachtwoorden van buiten geleerd, random letter/cijfercombinaties (caps, small, cijfers, leesteken of accenten) voor de meest belangrijke diensten die ik in moet kunnen: mijn mailbox en passwordmanager (de mailbox heeft naast OTP ook de Yubikey en "tap yes to login" als 2FA mogelijkheid) zodat ik in een rampscenario alsnog toegang heb tot mijn mail, ookal heb ik mogelijk geen toegang tot een passwordmanager / mobiel toestel. Mocht mijn telefoon gejat worden heb ik dan iig nog de Yubi en het wachtwoord.

Zolang die wachtwoorden niet op HIBP terecht komen wijzig ik ze ook niet, gewoonweg omdat er ook nog 2FA op zit.

jcbvm

@itguy013 • 3 december 2020 12:25

Er zit hier wel een subtiel verschil. Syncen van tokens is niet hetzelfde als exporten. Bij een export wordt niks op een server opgeslagen, maar kun je het enkel verplaatsen naar een ander apparaat. Veel authenticators syncen echter waarbij de tokens dus wel op een server staan en in principe dus iets onveiliger is.

delphium

@jcbvm • 3 december 2020 14:20

Veel authenticators syncen echter waarbij de tokens dus wel op een server staan en in principe dus iets onveiliger is.

Dat is niet per definitie "onveiliger". Bij het juiste gebruik van versleuteling zelfs veiliger. Als je telefoon gejat wordt en je huis (waar je backup ligt) brand af, heb je niets meer. Bij Bitwarden staan mijn wachtwoorden veilig versleuteld in mijn kluis. Ook kan ik daar eventueel mijn telefoon deauthorizen, als deze wordt gejat.

jcbvm

@delphium • 3 december 2020 16:31

Ok die kans is wel heel klein, maar het klopt dat het niet per definitie onveiliger is dan ja. Bij het voorbeeld wat je noemt over Bitwarden moet je er wel rekening mee houden dat deauthorizen niet genoeg is. Je hele kluis staat op je telefoon, zonder internet kun je er nog steeds in als je eenmaal het wachtwoord weet te achterhalen (bitwarden werkt ook in vliegtuigmodes).

RebelwaClue @itguy013 • 3 december 2020 12:50

Wat ik wel jammer vind is dat MS authenticator alleen werkt met een persoonlijk MS account en niet met een werk/school account. Ik gebruik de MS Auth alleen voor het werk en moet dan mn persoonlijk account gebruiken als ik wil backuppen.

logix147 @RebelwaClue • 3 december 2020 13:03

Volgens mij gaat er dan iets niet in jouw werkwolk niet goed... Werkt hier wel voor werk accounts.

Overigens gebruik ik privé Authy met een complex wachtwoord. Google alleen voor Google account zaken.

Mocht je ooit gedoe hebben met je werkgever kan je in elk geval altijd bij je 2FA. Vanuit verleden geleerd passwordmanagers en 2FA-apps van je werkgever gebruiken is leuk, totdat je werkgever en jij niet op dezelfde pagina zitten. Of het netjes en legaal is laat ik even in het midden - maar das mijn reden om toch privé en zakelijk strikt gescheiden te houden.

b12e @logix147 • 3 december 2020 13:31

in het geval van een wachtwoordmanager kan je vaak wel gewoon een export draaien. Op mijn (vorige) werk gebruikten we LastPass, toen ik mijn ontslag (ik ben opgestapt) zag aankomen heb ik een export gedraaid van LastPass en een import gedaan in Dashlane. Mijn huidige werkgever gebruikt 1Password, maar ik heb de meeste van mijn wachtwoorden gewoon in Dashlane zitten, enkel een aantal "gedeelde" logins zitten in 1Password, die kopieer ik dan wel manueel bij het inloggen (2 passwordmanagers, 1 browser, dat gaat niet goed, uit ervaring)

TheVMaster Moderator WOS @logix147 • 3 december 2020 14:52

het syncen van de MS Authenticator kan alleen met een Microsoft Account (die zorgt voor een extra laagt versleuteling, volgens de app zelf).

RebelwaClue @logix147 • 3 december 2020 15:07

Vreemd, ik heb dus wel (alleen) werk accounts in de app zelf staan. Maar als ik cloud backup kies, vraagt hij om een persoonlijk MS account

HenkEisDS @itguy013 • 3 december 2020 12:56

iPhone neemt de codes zelfs niet mee in de backup. DIt weekend een migratie gedaan naar een nieuwe vanuit een backup (draadloos van oud naar nieuw werkte niet), maar helaas alle codes kwijt.

Best irritant, want ik had hier geen extra backup van gemaakt en moet dus nu met support aan de slag en met een kopie van mijn ID om weer in te kunnen loggen....

Edit: hele goede tip!

[Reactie gewijzigd door HenkEisDS op 22 juli 2024 23:50]

mjl @HenkEisDS • 3 december 2020 13:08

Tip:
Daarom de oude telefoon altijd eenmaster weken achter de hand houden tot je alle apps een keer gebruikt hebt.

Gebruik zeg de app van Microsoft, migratie ging we maar had toch de oude telefoon nodig om in te loggen op het ms account waar de backup stond ...

Verwijderd @itguy013 • 3 december 2020 15:19

De MS Authenticator ondersteunt ook Authy/Google Auth-esque TOTP, dus MS-account is niet nodig 🙂

Dennisb1 3 december 2020 13:42

Ik weet niet hoor maar bij mijn vorige iPhone wissel (en paar daarvoor) ging de inhoud van GA gewoon mee naar mijn nieuwe telefoon met de iCloud backup...

[Reactie gewijzigd door Dennisb1 op 22 juli 2024 23:50]

mjz2cool @Dennisb1 • 3 december 2020 14:03

Dat is dan dus geen export naar een ander apparaat, maar een backup van iOS. Die kun je alleen meenemen naar een andere iPhone, niet naar andere apparaten zoals een Android telefoon, laptop, etc.

Dennisb1 @mjz2cool • 3 december 2020 15:29

Dat is maar hoe je het bekijkt. Het ging naar een nieuw apparaat met een backup van de oude.

mjz2cool @Dennisb1 • 3 december 2020 15:41

Ja oke, dat wel, maar niet via Google Authenticator.

danielvn @Dennisb1 • 3 december 2020 14:06

Bij mij was dat niet het geval, lijkt mij ook een behoorlijke security flaw en niet wenselijk.

Dennisb1 @danielvn • 3 december 2020 15:30

Hier ben ik het deels mee eens. Het is altijd een afweging met gebruikersgemak en veiligheid.
Je kan de app wel uitzetten in de backup.

slijkie 3 december 2020 12:13

Dit was de reden voor mij om het nooit te gebruiken, raak je je toestel kwijt of hij raakt defect, ben je de sjaak.

Gebruik zelf nu al 2 jaar Last Pass met de Last Pass Authenticator. Bij de echt heel belangrijke dingen gebruik ik een Yubikey waar mogelijk. (Lastpass ook met yubikey beveiligd trouwens)

maxxie85

@slijkie • 3 december 2020 12:20

Dit heb ik ook heel lang gedaan, tot Lastpass die prijzen zo achterlijk omhoog heeft gegooid als je een Yubikey wil gebruiken als 2FA.

Ik ben zelf nu overgestapt op Bitwarden en dan ook nog selfhosted, maar dat hoeft niet natuurlijk.
Het mooie van Bitwarden is dat die ingebouwde ondersteuning heeft voor TOTP, geen 2e app meer nodig.
Extra goede functie is dat Bitwarden ook nog de TOTP code automatisch in je klembord kan zetten als hij een wachtwoord invult waarbij een TOTP geconfigureerd is.

Yggdrasil

@maxxie85 • 3 december 2020 12:41

Ik ben ook recent overgestapt van LastPass Premium naar Bitwarden Premium. Beiden met Yubikey 2FA.

Vond LastPass de dure kant op gaan, maar had daarnaast ook een paar slechte ervaringen. Regelmatig problemen dat de browser plugin me steeds uitlogde; support die zelden behulpzaam bleek; laatst mijn hele vault corrupt en pas na een week mailen eindelijk een backup terug; etc. Ben er ruim 8 jaar betalend klant geweest maar voelde me er niet meer prettig.

Bitwarden werkt goed en duidelijk. Ik twijfel wel nog of ik ook 2FA codes erin wil opslaan. Voelt toch een beetje als op één paard wedden. Voor nu gebruik ik MS Authenticator.

[Reactie gewijzigd door Yggdrasil op 22 juli 2024 23:50]

maxxie85

@Yggdrasil • 3 december 2020 13:35

Wat bijzonder, want ik heb ook een corrupte Vault gehad bij LastPass, volgens mij was dat dit jaar nog.
Was ook een drama om dat weer goed te krijgen, was uiteindelijk wel gelukt maar ging ook meer dan een week over heen.

Ja dat snap ik wel. Daarom heb ik ook de Yubikey toegevoegd als 2FA in Bitwarden zelf om dat zo sterk mogelijk te beveiligen.
Het grote voordeel vind ik dat ik niet voor sessies met TOTP-2FA mijn telefoon erbij hoef te zoeken om de code over te tikken. En bij Bitwarden heb ik het strak beveiligd, bij MS Auth, of LastPass Auth staan je TOPT tokens ook in de cloud.

xFeverr @Yggdrasil • 3 december 2020 13:38

Ik gebruik een mix van MS Authenticator (die moest ik toch hebben voor mijn MS-account en werkaccount) en Bitwarden.
De belangrijkere dingen staan in MS Authenticator, denk aan 2FA voor Bitwarden zelf, maar ook toegang tot mijn Synology Drive en dat soort diensten.
De rest laat ik via Bitwarden lopen. Erg makkelijk, want de 2FA-code wordt meteen op het klembord gezet zodra je een gebruikersnaam/wachtwoord automatisch laat invullen. Kun je meteen CTRL+V doen in de 2FA-prompt. Aanradertje!

(Ik host Bitwarden trouwens zelf)

logix147 @maxxie85 • 3 december 2020 13:04

TOTP is wel een premium functie toch? Of kan je dit op de selfhosted ook draaien?

maxxie85

@logix147 • 3 december 2020 13:30

Op zelfhosted met Bitwarden_RS heb je ook toegang tot alle Premium-features.

https://github.com/dani-garcia/bitwarden_rs

xFeverr @logix147 • 3 december 2020 13:39

Ik gebruik zelf Bitwarden_rs op mijn Synology NAS, daarin kun je alle functies gebruiken, dus ook TOTP.

mjz2cool @slijkie • 3 december 2020 12:23

Valt wel mee hoor, er zijn ook alternatieve login methodes, zoals een sms of email (in ieder geval bij Microsoft accounts, ik ga er vanuit dat het met Google accounts hetzelfde geldt). Het enige systeem waar ik tot nu toe problemen mee heb gehad is het Apple ID van iemand. Diegene had alleen een iPhone, dus geen andere apparaten waar de code op in beeld komt. Dan kun je wel een sms laten sturen, maar als die vervolgens nooit aankomt heb je een probleem (06 nummer was wel correct). Het duurde 2 weken voordat we weer toegang hadden tot dat account.

Yggdrasil

@mjz2cool • 3 december 2020 12:42

MS gaat SMS 2FA uitfaseren omdat ze dit te onveilig vinden. nieuws: Microsoft roept op om geen tweestapsverificatie via sms meer te gebru...

mjz2cool @Yggdrasil • 3 december 2020 12:48

Dan blijft in ieder geval email nog over. Ik lees daar trouwens ook niet dat sms ook echt uitgefaseerd zal worden, er wordt vooral aanbevolen om een authenticator te gebruiken. Via sms is niet minder veilig zolang je het niet als standaard methode gebruikt. Precies vanwege de risico's gebruik ik sms alleen als de authenticator én de code via email niet werken.

[Reactie gewijzigd door mjz2cool op 22 juli 2024 23:50]

Yggdrasil

@mjz2cool • 3 december 2020 13:42

Nou, het probleem met sms is dat het relatief makkelijk onderschept kan worden. Ook als je het niet als standaard gebruikt kan een aanvaller er toch naar overschakelen want het is wel als keuze beschikbaar. Ze moeten natuurlijk eerst je wachtwoord hebben, maar kunnen dan de 2FA code ontvangen door de bekende spoofing en sim-swap methodes. Weinert haalt ook aan dat de code onversleuteld verzonden wordt. Dat vind ik ook een nadeel aan e-mail 2FA. Het gebruik van 2FA is natuurlijk beter dan géén 2FA dus deze risico's zijn nogal academisch, tenzij je bijv. politiek activist bent. Dan is het goed dat er mensen zijn die je helpen je communicatie te beschermen.

Je hebt gelijk dat MS het niet officieel deprecated heeft. Ik was te voorbarig. Maar omdat hun Director of Identity Security het zo publiekelijk afraadt denk ik wel dat er op termijn een einde aan gaat komen.

mjz2cool @Yggdrasil • 3 december 2020 14:01

Dat klopt wel inderdaad, ik doelde vooral op dat je alleen die sms methode moet gebruiken als het nodig is (outlook.com zal er bijvoorbeeld nooit naar vragen), maar vergat daarbij even dat het hele 2fa natuurlijk vooral bedoeld is voor als je wachtwoord in verkeerde handen komt. Dan kunnen ze inderdaad bij inloggen gewoon kiezen voor sms, en die sms dan onderscheppen of ontvangen via sim-swap en andere methodes. Al verwacht ik niet dat criminelen die moeite zullen nemen voor ieder willekeurig persoon. Als ze een grotere doelgroep hebben zullen ze eerder phishing toepassen, en dan maakt het niet zoveel uit welke methode je dan gebruikt, als je er in trapt geef je ze vrijwillig je wachtwoord én 2fa code.

Yggdrasil

@mjz2cool • 3 december 2020 14:43

Klopt, ik denk dat het vooral een risico is voor iemand die specifiek getarget wordt door een gerichte aanval, zoals bij dissidenten en politiek activisten nog wel eens voor komt. Google biedt bijv. speciaal voor die doelgroepen Google Advanced Protection aan, waarbij automatisch de veiligste instellingen voor je worden gekozen.

vespino 3 december 2020 12:28

In hoeverre is het af of aan te raden dan wel mogelijk op verschillende apparaten 2fa codes te hebben? Voorbeeld: mijn telefoon ligt in de andere kamer aan de lader maar ik wil nu ergens op inloggen. Kan ik dan een browser plugin (oid) gebruiken waarbij al mijn account beschikbaar zijn? Of valt zoiets niet te syncen?

moonlander @vespino • 3 december 2020 12:31

Ik gebruik Authy, syncen op meerdere devices.

vespino @moonlander • 3 december 2020 12:32

Die heeft ook een Firefox addon?

moonlander @vespino • 3 december 2020 12:35

Het is een losse app voor ios, android, mac, windows, linux. Dus niet browser afhankelijk.
https://authy.com/download/

jesse! 3 december 2020 12:36

Net te laat voor mij, ben net van Android naar iOS overgestapt en toen besloten om voor 1Password te gaan voor mijn 2FA TOTP's
Omdat ik het wel zat was dat ik elke 2 jaar oid weer op 30+ diensten moet inloggen en 2FA moet overzetten naar mijn nieuwe telefoon.

diotav 3 december 2020 12:43

1Password heeft tegenwoordig een 2FA-integratie. Na het invullen van je logingegevens kopieert hij de 2FA automatisch naar een tijdelijk klembord. Zo ben je niet langer afhankelijk van één auth device.

Yggdrasil

@diotav • 3 december 2020 13:44

Klopt, Bitwarden doet dat ook. Toch twijfel ik nog of het verstandig is je 2FA codes in dezelfde kluis te hebben als je logingegevens. Verhoog je daarmee je risico niet onnodig?

BillyBee @diotav • 3 december 2020 16:57

Ja super grappig, ik ben net sinds 2 dagen overgestapt op 1Password voor 2FA, vanwege het feit dat ik mn codes weer niet over kon zetten op mn nieuwe telefoon.
Nu release ze opeens toch de mogelijkheid lol. Maar liever op 1PW anyway; gesynchroniseerd en op meerdere apparaten beschikbaar, en makkelijk copy/paste of zelfs automatisch invullen!

Boy 3 december 2020 12:51

YES! Eindelijk!

Nog belangrijker, je kan nu ook *importeren*!

Ik ben een aantal weken terug overgestapt op iOS en gebruikt de authenticator van Android nog omdat ik niet al m'n codes overgezet had. Dat werkt nu dus wel!

Evexium 3 december 2020 12:57

Wat spijtig, eergisteren alle codes handmatig moeten overzetten van mijn iPhone 8 naar 12. Was een goed uur zoet

Op dit item kan niet meer gereageerd worden.

Google Authenticator kan op iOS codes exporteren naar ander apparaat

Lees meer

Reacties (104)

Sorteer op:

Weergave: