Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

Google gaat eind 2021 tweestapsverificatie inschakelen op 150 miljoen accounts

Google gaat aan het einde van dit jaar tweestapsverificatie inschakelen voor 150 miljoen Google-accounts. Vanaf 1 november zullen 2 miljoen YouTubers ook verplicht worden om deze authenticatiemethode in te schakelen.

Dat stelt Google in een blogpost waarin het Cybersecurity Awareness-maand viert. Vermoedelijk gaat het om accounts waarbij de herstelmogelijkheden al volledig ingevuld zijn. Bij deze accounts schakelt het bedrijf sinds mei dit jaar al automatisch de tweestapsverificatie in.

Google pleit voor het gebruik van tweestapsverificatie maar schrijft dat deze manier van inloggen niet altijd even toepasbaar is voor mensen. "We werken aan technologieën die het authenticatieproces veiliger en gemakkelijker moeten maken en de afhankelijkheid van wachtwoorden zal terugdringen", klinkt het.

Niet enkel tweestapsverificatie moet accounts beter helpen beveiligen. Google verwijst ook naar de ingebouwde Chrome-wachtwoordmanager en -generator. Die generator moet binnenkort ook wachtwoorden kunnen genereren voor iOS-apps. Alle opgeslagen wachtwoorden zullen binnenkort ook geraadpleegd kunnen worden via een menu in de Google-app op Android en iOS.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Jay Stout

Redacteur

05-10-2021 • 17:23

118 Linkedin

Reacties (118)

Wijzig sortering
Zolang het via mail kan prima.
Nope
"1. U moet uw wachtwoord opgeven
Wanneer u inlogt bij Google, geeft u zoals gewoonlijk uw wachtwoord op.
2. U wordt om iets anders gevraagd
Vervolgens wordt er een code naar uw telefoon verstuurd via sms, spraakbericht of onze mobiele app. Als u een beveiligingssleutel heeft, kunt u deze ook in de USB-poort van uw computer plaatsen."
Google duldt geen anonimiteit meer.
Dus Authy werkt ook niet, die heb ik toevallig wel voor 1 account...
Ik gebruik Authy voor mijn Google account, werkt prima.
Recent heb ik dit ook aangezet maar je moet ook eerst 2fa via gsmnummer aanzetten.
Dat klopt, maar na activatie van 2FA via Authy kan je 2FA via gsm nummer weer uitschakelen.
Bedenken dat ze zelf ook de Google Authenticator hebben, maar nee...
Google duldt geen anonimiteit meer.
Mee eens dat dit er deels op gericht is om meer gegevens van de gebruiker te verzamelen, maar die fysieke beveiligingssleutel is dan nog wel een escape.
Je kan bij Google gericht adverteren op basis van gsmnummer dus dit heeft ook een commercieel voordeel.
Want veel mensen gebruiken gmail met dezelfde account waar een eventuele hacker dan ook al toegang toe heeft?
Hier word ik niet blij van.

Persoonlijk heb ik een google account om services makkelijker te gebruiken (youtube e.d.) en gebruik ik de Gmail voor reclame en andere spam mail.

Het kan mij dus niet zoveel schelen als dit account gehacked zou worden maar toch zou ik verplicht worden 2FA te gebruiken?
Het kan mij dus niet zoveel schelen als dit account gehacked zou worden maar toch zou ik verplicht worden 2FA te gebruiken?
En dat kan Google dan weer niet zo veel schelen :Y)

Hoop dat meerdere partijen dit gaan verplichten, doei spam van standaard domeinen (gmail/hotmail/live), want nieuwe aanmaken is lastiger als 2FA verplicht is en het hacken van bestaande ook :)
Maar goed spam via random email addressen kunnen nog steeds net zo makkelijk verstuurd worden. En dan kan je niet zo makkelijk je account ditchen
:+ Reactie kan weg

[Reactie gewijzigd door xbeam op 7 oktober 2021 05:54]

Vaak zorg je met 2FA ervoor dat je jouw device trusted maakt. Dus inloggen met authenticator. Dan hoef je in de regel vrijwel nooit meer in te loggen op dat specifieke device (laptop / mobiel). Pas als je jouw wachtwoord veranderd of expliciet uitlogt moet je weer de inlogprocedure volgen.
Ik heb al jaren 2FA ingeschakeld voor Google maar het is niet zo dat je dat om de haverklap hoeft in te voeren. Je merkt er niets van tenzij je probeert in te loggen op een onbekend systeem.
hier ga je helaas nog wel veeeeeeeel meer last van krijgen. Ik heb zelf ook meerdere "weggooi" accounts overal en nergens. Mag dan ook hopen dat het uit te schakelen is, maar ik ben bang dat dit niet het geval gaat zijn.
Verplicht nog wel.
Alleen maar goed. Mensen denken vaak dat tweestapeverificatie moeilijk is en heel tijdrovend. Dat is beide gewoon niet waar.

Goed dat Google het verplicht maakt. Kunnen sommige bedrijven echt een voorbeeld aan nemen.
Maar wat is dan het grote voordeel voor iemand die de Google diensten alleen gebruikt als het echt moet? Vind 1 stap eigenlijk al vervelend. Het gaat toch om afval accountjes die zijn aangemaakt uit "noodzaak".
Ik denk dat de meeste mensen geen 'afvalaccountjes' gebruiken maar gewoon één account die stiekem veel meer over hen zegt dan ze zich realiseren. Dit account kan misbruikt worden voor identiteitsdiefstal, spam of datalekken. Mensen staan zelf niet snel stil bij beveiliging totdat het mis gaat. Google is dat hiermee deels voor.
Alsnog zit er in 'afval accountjes' vaak meer data die handig is. MFA zal je steeds vaker zien bij diensten en het zal steeds vaker gebeuren dat je jezelf moet verifiëren zolang er geen universele oplossing is zonder wachtwoord.
Ja dat het vaker zal gaan gebeuren staat wel vast. Dat het ook gebruikt gaat worden voor diensten waar je niet onder uit komt, denk dan aan meet bijvoorbeeld, is dan schokkend.
Google bestaat natuurlijk niet voor mensen met "afval accountjes", dus dat het voor jouw use-case niet veel toevoegd zal Google, wat mij betreft terecht, een zorg zijn.

Als je 2FA niet verplicht maakt, kiest een overweldigende meerderheid voor de weg van de minste weerstand dus het moet wel afgedwongen worden. En zoals anderen ook al aangegeven hebben: het is echt niet zo veel moeite.
Best als google dat gaat afdwingen, maar dan is het wel hoog tijd dat de overheid zorgt dat burgers er geen gebruik van moeten maken. Nu dwingen scholen bijvoorbeeld de burgers dat spul te gebruiken.
Kan ik dan Microsoft Authenticator gebruiken, of moet ik weer een extra app installeren? Een app die bij een nieuwe telefoon niet vergeten moet worden, want ook al log je maar 1x per jaar ermee in, anders ben je redelijk toegang kwijt tot je account.

Veiliger is dan om SMS verificatie te doen (jaja, ik ken de risicos ervan, ik vermoed de kans dat iemand mijn Youtube playlist wil stelen niet zo groot is), maar dan zit je met nummertjes weer extra moeten invullen elke keer dat je moet inloggen.

En nee natuurlijk is het niet het einde van de wereld, maar tegelijk is mijn Google account ook niet zo fascinerend voor aanvallers.
Je kunt elke willekeurige app gebruiken die TOTP ondersteunt, waaronder de Microsoft Authenticator.
Ah thanks, dat maakt dat wel beter.
Maar je moet dus eerst je telefoon opgeven om mag te activeren
Vertel dat even aan mijn schoonouders, begin 90.....
Oef, inderdaad. Onlangs voor mijn grootouders een Coronacheck QR-code geprint. Dat was feest. Van het ene DigiD-account was het wachtwoord verlopen. Het andere had wel 2FA, maar waar gaat die code heen... Oh, een verlopen prepaid nummer.

Ok, even geduld en de boel is bijgewerkt, maar het wordt er niet makkelijker op. Überhaupt het concept van een code die je toegestuurd krijgt, die elke inlogpoging verandert, is niet uitgelegd te krijgen. Voor mijn grootouders neem ik veel in beheer, maar ik kan me voorstellen dat er ouderen zijn die daar niemand voor hebben.
Een familielid van me werkt in de bibliotheek. Daar hebben ze tegenwoordig een "Informatiepunt Digitale Overheid", waarbij bibliotheek-medewerkers burgers kunnen helpen in hun contact met de digitale overheid. De hoeveelheid ouderen die hier op vastloopt is echt schrikbarend - simpelweg geen Digid hebben, of geen mobiel telefoonnummer voor de 2FA.

Wat ik niet snap is hoe deze mensen tot de invoering van de QR-code hun leven op de rit houden.
Claim indienen bij je zorgverzekeraar? Inloggen met Digid.
Belastingaangifte? Inloggen met Digid.
Ziekenhuis-afspraak plannen? Inloggen met Digid.
En ga zo maar door...

Hoe doen ze die dingen zonder Digid? Theorie van dat familielid is dat ze heel veel uitbesteden: verzekeringsagent, belastingadviseur, zorg via instelling. Mijn interpretatie: voor het eerst kun je je weigering om mee te gaan in de 21e eeuw niet compenseren met "ik ben boomer en heb genoeg geld om dit uit te besteden aan overpriced dienstverleners".
Hoe doen ze die dingen zonder Digid? Theorie van dat familielid is dat ze heel veel uitbesteden: verzekeringsagent, belastingadviseur, zorg via instelling.
Yep, dat is precies wat ik ook zie. Zodra ze echt zelf iets met Digid moeten, wordt er bij mij aangeklopt. Ik doe het natuurlijk graag met alle liefde, maar ik vind het vervelend om te zien. De ontwikkelingen van de informatiepunten bij de bibliotheek vind ik erg mooi. Mijn grootvader kwam daar ook mee, maar zolang ik ze zelf kan helpen doe ik dat graag.

edit:
Mijn interpretatie: voor het eerst kun je je weigering om mee te gaan in de 21e eeuw niet compenseren met "ik ben boomer en heb genoeg geld om dit uit te besteden aan overpriced dienstverleners".
Ik zou het niet zozeer zien als weigering. Mijn grootvader heeft een smartphone en weet hoe hij die moet gebruiken. Hij is ook nog wel slim genoeg om niet te trappen in zaken als Whatsappfraude e.d. Maar zaken als 2FA gaan net een stap te ver. Dat is niet per se weigering, maar puur onbegrip.

[Reactie gewijzigd door CykoByte op 6 oktober 2021 09:44]

Zolang het maar redelijk is. 2FA bij het inloggen van Youtube om video's te kijken is niet redelijk. Instellingen veranderen of bij het uploaden wel.

Als een doorsnee bedrijf 2FA gaat toepassen op hun webshopje kunnen ze van mij de pot op.
Ik ben een groot voorstander van 2FA, zolang het maar gebruikersvriendelijk is. Bv door een security key in je USB poort (bv een Yubikey) of via een App op je telefoon. (geen SMS of e-mailcode, die zijn minder veilig dan een gewoon wachtwoord) Ook ben ik dan een voorstander van een shared logon systeem zodat je bv met een Google / Apple / etc account op andere websites kan inloggen.
Ook ben ik dan een voorstander van een shared logon systeem zodat je bv met een Google / Apple / etc account op andere websites kan inloggen.
Ja heerlijk, geef Google en FB nóg meer inzage in en controle over wat je online doet.
Er zijn helaas al websites waarbij je niet anders kan. Die hebben geen eigen login meer, amper alleen Google/Facebook/Twitter.
Die zijn dus het gebruiken niet waard. Overigens zit er vaak onopvallend wel ergens een linkje "sign up with email", maar inderdaad, niet altijd. Treurig.
Alleen maar goed. Mensen denken vaak dat tweestapeverificatie moeilijk is en heel tijdrovend. Dat is beide gewoon niet waar.
totdat jij vaker in moet loggen op verschillende devices die niet allemaal je gekozen 2FA ondersteunen (security key), dan is het gewoon een gigantisch gezeik.
Je kunt bij Google gebruik maken van je telnr, google authenticator (of elke TOTP authenticator), decices waar je al ingelogd bent (telefoon/tablet) en/of dan inderdaad met een fysieke key, dat je het jezelf dan moeilijk maakt door die laatste te kiezen kan Google niks aan doen, die biedt het toevallig ook aan maar verplicht je niet specifiek dat te gebruiken.

Ik zie mensen die nu geen 2FA gebruiken ook niet meteen zn key kopen, die gaan gewoon voor de simpele oplossing. Dus ik vind het sowieso niet echt een probleem. Want die beperking leg je jezelf op of je werkgever maar dan doe je dat nu toch al en niet omdat/nadat Google 2FA verplicht stelt...

Je kunt er ook meerdere activeren dan kan je ze allemaal gebruiken wanneer het je uit komt :)

[Reactie gewijzigd door watercoolertje op 5 oktober 2021 19:59]

Ja goed maar ik gebruik mijn google account voor niet boeiende dingen, alleen ingelogd te zijn bij Youtube om 2/3 kanalen video beetje te volgen, en een beetje pokemon go nog te spelen.
Voor de rest gebruik ik gmail helemaal niet, om dan daarvoor 2 staps verplicht te gaan gebruiken.
Zolang het geen 2fa wordt met een telefoonnummer, dan vind ik het prima (dus een authentificatie via de mail is wat ik dan hoop).

Een telefoonnummer is veel geld waard, niet alleen bij een lek, maar ook voor marketeers. Hierdoor vul ik die zo min mogelijk in bij mijn accounts.
Dat kan wel zo zijn, maar het is tegelijkertijd natuurlijk ook weer meer data graaien.
Hoe is dit in hemelsnaam data graaien? Dit slaat echt totaal nergens op, je kunt vinden van Google wat je wilt maar als zij iets begrijpen is het wel toegankelijk maken van beveiliging. Helaas ziet het gros van de gebruikers de noodzaak er niet van in, maar dat is een ander verhaal.
Met een simpele TOTP oplossing wordt er geen data verzameld en heb je een prima MFA oplossing.
Moet je de eerste keer voor je 2fa opzet niet je telefoonnummer doorgeven om te verifieren? Je kan het daarna dan misschien wel weghalen, maar je telefoonnummer hebben ze dan wel idd :)
voor youtube vragen ze tegenvoordig ook naar je identificatiebewijs of creditcard
Waarom is tweestapeverificatie meer data graaien? Het is vaak een akkoord geven in een app of een code invoeren.
Dan moet je toch weer een telefoonnummer of extra email-adres doorgeven? Dat bedoel ik.
Google Authenticator gehoord?
Nope. Maar ik zit er gruwelijk naast kennelijk. Excuus. Ik ben gewend bij dit soort dingen altijd weer een telefoonnummer op te moeten geven. Vind ik vrij vervelend. Kennelijk werkt dit anders.
Je zit er niet gruwelijk naast. Het alternatief voor een code via een SMS bericht is een 2FA/MFA app op je telefoon zoals Google Authenticator... die je ook op je telefoon moet installeren...

Mogelijk kan je die app ook op je tablet installeren (waardoor je alsnog een link met een andere device hebt gemaakt, en dus meer data graaien) maar eigenlijk is zo'n 2FA/MFA app op je telefoon toch wel de enige echte oplossing, omdat dat het device is wat je altijd bij je hebt.

Dus tsja, dat 'Google Authenticator' als tegenargument wordt gegeven op het verkrijgen door Google van specifiek je telefoonnummer kan ik nog begrijpen, maar zoals Goderic hieronder al zegt, goede kans dat ze die alsnog doorgeven/koppelen via je 2FA/MFA app. Los daarvan, je installeert die app alsnog op je telefoon, dus de koppeling met je telefoon is dus gemaakt.

M.a.w. je opmerking over meer data graaien is gewoon absoluut terecht. Goede bedoelingen van Google of niet, ze kunnen hiermee je devices (nog gemakkelijker) koppelen en zo gemakkelijker meer data over je verkrijgen.

[Reactie gewijzigd door xtlauke op 5 oktober 2021 18:03]

Mogelijk kan je die app ook op je tablet installeren
Een extra apparaat met een authenticator app is sowieso een betere oplossing. Inloggen middels 2FA op de PC doen mensen wel netjes met hun smartphone, maar ergens middels 2FA inloggen op de smartphone gebruiken mensen dan weer de authenticator app op dezelfde smartphone.
Je kan elke TOTP-app installeren, dus je hoeft niet per se Google's app te gebruiken. Microsoft's app, of Bitwarden, bijvoorbeeld kan ook gewoon. Als je het echt niet vertrouwt, zou je zelfs je eigen app kunnen maken, want TOTP is een redelijk toeganklijk protocol.
Nou ja, je kunt natuurlijk ook gewoon Microsoft Authenticator pakken. Werkt precies hetzelfde en genereert dezelfde codes. Nintendo heeft een tijdje terug ook 2FA ingevoerd en stuurt op de Google Authenticator als tweede factor, maar die van MS doet het ook. Dan heeft Google dus alsnog niets.

Er zijn er vast nog een hoop meer die allemaal op dezelfde manier werken - KeePassXC heeft ook zo'n code generator aan boord (en ook die kan in plaats van de Google app worden gebruikt overigens).
Google authenticator werkt volledig offline en lokaal op je device. Er wordt geen enkele data met google uitgewisseld. Je voert een time based challenge uit waarbij je klok gesynchroniseerd is aan die op de google server. (Enkel de klok wordt gesynchroniseerd) Verder is de 2FA code niets anders dan een berekening. Deze berekening wordt op de server gecontroleerd en geeft dan aan of je code geldig is of niet.
Het genereren van een code is lokaal, zeker, maar beweer je nou echt dat Google niet bijhoudt wie de app installeert en welke diensten/accounts je toevoegt in de app?
Wie de app installeert? Ja, dat denk ik wel.
Welke accounts je toevoegt? Nee. Die gegevens worden nooit naar Google gestuurd.
zoals Google Authenticator
"Zoals" inderdaad. Je kunt gewoon elke TOTP-app gebruiken, hoeft niet die van Google zelf te zijn.
Je moet eerst je telefoonnummer (of Android telefoon waarschijnlijk ook, maar dan hebben ze je nummer zeer waarschijnlijk ook) gebruiken als 2e factor voor dat je Google Authenticatie kunt gebruiken.

Dat kun je daarna wel weer uitschakelen, maar Google heeft dan wel je telefoonnummer. Niet vreemd dat sommige mensen het dan data graaien noemen.
Google Authenticator vind ik niet echt wenselijk. Daarmee bewijs je dat je een keer heb weten in te loggen via de telefoon gebruikmakend van 1FA. Als je de telefoon kwijt bent, dan heb je alsnog een (andere) vorm van 2FA nodig. Of 1FA is genoeg. Op mijn werk heb ik ook een authenticator. Deze kan ik alsnog instellen via mijn baas. Dus dan is mijn stem aan de telefoon de tweede factor.
Of Microsft Authenticator, Authy en nog een hele reeks anders, sommige ook open source. Je hebt helemaal gelijk.
Nee, je bent bij Google en anderen niet verplicht om iets extra’s op te geven. Dat is in het verleden wel zo geweest. Je loopt zonder een extra verificatie mogelijkheid wel het risico dat je geen toegang meer hebt tot je account als je je telefoon kwijtraakt. Met Authy op je PC zou je dit overigens zelfs nog kunnen ondervangen.
Je loopt zonder een extra verificatie mogelijkheid wel het risico dat je geen toegang meer hebt tot je account als je je telefoon kwijtraakt.
Je kan ook de backup codes in een password manager bewaren :)
2FA is lastiger dan je denkt. Initieel lijkt het leuk maar als je gebruik maakt van een authenticator app heb je al een probleem als je telefoon gestolen wordt of crasht en een herinstallatie/ander toestel nodig is.
Dan kom je niet meer in je account zonder je in alternatieve bochten te moeten wringen.

Heb meermalen zelf meegemaakt op diverse accounts (bijv. Steam/Discord) omdat ik niet goed op zat te letten qua backups en uitwijkmethoden.
Ook werkgerelateerd enorm veel problemen. Zelfs heel simpel met vingerafdrukken op telefoons. Initieel moet je wel een pincode instellen, maar daarna gebruik je alleen je vingerafdruk. Na x maanden worden gebruikers ineens om hun pincode gevraagd en die weten ze dan niet meer...
Ook werkgerelateerd zie ik de Microsoft Authenticator app die soms omgevallen is en niet meer werkt zodat de support desk eerst weer de authenticator machtiging moet resetten zodat de gebruiker het weer kan koppelen waarna het weer werkt. Werkt spontaan niet meer en dan moet je daar weer tijd/aandacht aan besteden om mensen weer aan het werk te helpen.
Ja het is veiliger, maar als het niet meer werkt (buiten je eigen schuld om) dan ben je buitengesloten, en dan?

Teveel mensen zullen niet snel door hebben dat ze niet zomaar van provider/telefoonnummer kunnen veranderen zonder eerst in al hun accounts op het grote boze interwebz aan te passen met nieuwe informatie.

2FA/MFA is een goed streven, maar brengt ook weer heel veel gebruikersongemak met zich mee.
2FA is lastiger dan je denkt.
Nee.
Initieel lijkt het leuk maar als je gebruik maakt van een authenticator app heb je al een probleem als je telefoon gestolen wordt of crasht en een herinstallatie/ander toestel nodig is.
Dan kom je niet meer in je account zonder je in alternatieve bochten te moeten wringen.
Kwestie van een authenticator-app gebruiken die back-ups en/of meerdere toestellen ondersteunt. Niet Google Authenticator dus, maar bijvoorbeeld Authy, Microsoft Authenticator, Duo of LastPass Authenticator.
Heb meermalen zelf meegemaakt op diverse accounts (bijv. Steam/Discord) omdat ik niet goed op zat te letten qua backups en uitwijkmethoden.
Tja… beter opletten bij security-gerelateerde zaken dan?
Ook werkgerelateerd zie ik de Microsoft Authenticator app die soms omgevallen is en niet meer werkt
Heb je iets van toelichting voor dit probleem? Ik werk bij een bedrijf waar het gebruik van de Microsoft Authenticator voor honderdduizenden mensen verplicht is en heb hier eigenlijk nog nooit van gehoord.
Teveel mensen zullen niet snel door hebben dat ze niet zomaar van provider/telefoonnummer kunnen veranderen zonder eerst in al hun accounts op het grote boze interwebz aan te passen met nieuwe informatie.
Nogmaals, dat is absoluut niet nodig.
tja, beter opletten. Makkelijker gezegd dan gedaan.
We hebben het over gewone mensen he... Dat is het punt wat ik probeer te maken.

Hoeveel van die 150 miljoen denken en zijn zoals jij?
Zullen ze bij Google een goede klantsupport moeten opzetten om dit het hoofd te bieden.

Wat betreft die Microsoft Authenticator: mensen kunnen dan niet meer inloggen. Wachtwoord zou onjuist zijn, terwijl dat niet zo is.
Ontkoppelen en opnieuw koppelen van de authenticator et voila probleem opgelost.
Misschien zit de fout in onze eigen Azure-omgeving dan? Ik zie het in elk geval wel.
En zelfs al is het iets wat alleen in onze eigen Azure-omgeving speelt dan boeit dat nog niet echt qua argument: het gebeurt en dat is wat ik bedoel.

[Reactie gewijzigd door tyrunar op 6 oktober 2021 11:17]

Alleen maar goed. Mensen denken vaak dat tweestapeverificatie moeilijk is en heel tijdrovend. Dat is beide gewoon niet waar.
Of "te veel gedoe" zonder dat men zich er maar even in heeft verdiept.
Ik denk dat we dat in 2022 wel mogen verwachten. Er zijn de afgelopen jaren zoveel data breaches geweest waarbij credentials zijn buit gemaakt. Als je dat combineert met feit dat veel mensen hun wachtwoord hergebruiken, is 2FA de enige realistisch veilige authenticatie optie.
Prima beslissing. Alleen lees ik dat ze de afhankelijkheid van wachtwoorden willen terugdringen.
Dan kom je uiteindelijk uit bij het gebruik van biometrische gegevens ipv 2FA. Zelfde werkwijze als Microsoft van plan is: nieuws: Microsoft-accounts hoeven geen gekoppeld wachtwoord meer te hebben

[Reactie gewijzigd door tweaker2010 op 5 oktober 2021 17:33]

Dat is dus een doorn in mijn oog, ik gebruik gewoon wachtwoorden.

Ik zal wel weer eens in de minderheid zijn.

2fa en biometrische inlog methodes vind ik prima geen problemen mee (ik gebruik ze graag), ik ben gewoon geen fan van afschaffen van normale wachtwoord of deze volledig random maken.
Maar ieder zo z'n ding, 2fa gaan vooral mijn ouders leuk vinden |:(

[Reactie gewijzigd door Mizgala28 op 5 oktober 2021 17:39]

Als je biometrisch niet zou zien zitten, dan snap ik dat nog, maar als je biometrisch of een authenticator prima vindt, wat is dan de overweging om hier tegen te zijn?
Ik denk dat ik het verkeerd heb uitgelegd.

Gebruikersnaam/mail, dan wachtwoord invoeren en via (eventueel) app bevestigen of code overtypen (zoals met bijvoorbeeld steam) vind ik prima.

Vingerafdruk op mijn telefoon vind ik ook prima.

Echter inloggen met gebruikersnaam/mail en dan puur via een *app bevestigen vind ik minder fijn (vooral na mijn ervaring met een kapotte telefoon via welke alles ging...)

Vingerafdruk voor inloggen anders dan telefoon/pc zelf vind ik ook niet fijn.

Ongeveer dit, hopelijk komt het wat duidelijker over.

*ook al vind ik het minder fijn, gedwongen gebruik ik het vaak alsnog, omdat vaak een andere alternatieve inlog methode niet mogelijk is, en geen 2de laag voor zoiets belangrijks als Gmail minder slim is

[Reactie gewijzigd door Mizgala28 op 5 oktober 2021 18:01]

Om dat te ondervangen, gebruik ik een password manager met ingebouwde TOTP functionaliteit, die z'n gegevens kan syncen over meerdere apparaten. Voor een aantal kritieke accounts gebruik daarnaast een fysieke security key als fall-back. Op de apparaten die biometrisch te ontsluiten zijn, ontsluit de password manager ook biometrisch, of anders met een wachtwoord dat ik moet onthouden (daar vraagt ie sowieso om de zoveel tijd om ter controle).

Op die manier is het eigenlijk allemaal geautomatiseerd en maakt het voor mijn gebruikservaring nauwelijks uit of er wel of geen passwords gebruikt worden en of mijn telefoon het doet: zolang ik in elk geval nog 1 device heb waar die password manager op staat, heb ik geen probleem.
Je kan ook een app op een tweede of derde telefoon koppelen aan jouw account. Je kan herstelmogelijkheden invullen voor het geval dat je telefoon kapot is. Daarom wil Google dit alleen doen bij mensen waarbij ALLES is ingevoerd. Ook herstelmogelijkheden.
Ik denk dat Google van die "junk" accounts af wil. Met al die extra stappen wordt "even" een Gmail account aanmaken tijdrovender en dus minder interessant.

Begrijp wel dat het wel erg handig voor Google is als ze mijn mobiele nummer bemachtigen, al dan niet onder het motto "veiligheid".

Aan de andere kant... Gmail werkt goed. Storingen zijn zeldzaam. Draait op zo'n beetje elke smartphone, tablet, pc en smartwatch. Berg gratis opslagruimte.
Eindelijk, iemand die het begrijpt. Dit is juist goed nieuws. Uiteindelijk blijven de mensen die er echt gebruik van maken over en dat moet je ook hebben zo krijg je een premium dienst.

[Reactie gewijzigd door Anoniem: 702616 op 5 oktober 2021 21:04]

en hoe heb jij er last van al die accounts die geen 2FA hebben
En waar heb jij last van als ik geen 2FA gebruik
het is nonsens om dit bij de mensen door een strot te dauwen, mijn accounts op Google zijn
nodig voor mijn android telefoon, gebruik geen gmail , en dan moet er 2FA op echt niet

heb ook een aantal accounts die niet naar mij terug te herleiden zijn, wil ik graag zo houden met 2FA lever je privacy in, en dan nog wel bij Google echt een partij die je kunt vertrouwen
0Anoniem: 702616
@amigob26 oktober 2021 07:26
Dan zoek je een ander dienst, zo simpel is het.

Al die mensen die er geen gebruik van maken is junk en dat zorgt voor problemen.
Je telefoonnumer doorgeven aan google (sms) onder het mom van "cyber security". Jaja.. 😁

Voldoet niet aan mijn security

[Reactie gewijzigd door Jackie Moon op 5 oktober 2021 17:47]

Waar lees je dat je je telefoonnummer door moet geven? Volgens mij gaat het hier om Google Prompt.
Sterker nog, Google raadt Google Prompt aan in plaats van SMS omdat ze dat te onveilig vinden:
We recommend Google prompts instead of text message (SMS) verification codes to help you:

* Avoid phone number-based account hacking. Hackers may try to steal verification codes to help them break into your account. Google prompts help protect against this method of account hacking by sending them more securely to only your signed in devices.
* Get more info about sign-in attempts. To help you find suspicious activity, Google prompts give you info about the device, location, and time of the sign-in attempt.
* Block suspicious activity. If you didn’t try to sign in to your account, tap No on the notification to secure your account.

[Reactie gewijzigd door anandus op 5 oktober 2021 18:01]

Maar het kan alleen werken als je een extra recovery methode hebt ingesteld. Prompt of met een authticatie code is alleen effectief als er 2 factoren zijn om een account te resetten.

Dus kom je snel op een telefoon no..
  • Google Prompt
  • TOTP
Geen telefoonnummer nodig
Als tracking/privacy de reden is om geen telefoonnummer te willen invoeren, is Google Prompt natuurlijk absoluut geen alternatief. Daarvoor moet je namelijk ingelogd zijn met een Google account, en geef je dus alsnog je privacy weg.
Als privacy je ding is heb je sowieso geen Google account dus ook die 2 factor van Google niet ;)
Geen Google account hebben is niet altijd een keuze, bijv. voor zakelijk gebruik. Zie mijn reactie op Hatsjoe
Je realiseert je dat dit gaat om Google accounts zelf, toch? Oftewel, dit is voor mensen die al een Google account hebben. Ze dwingen je niet een nieuw account aan te maken. Het moment dat je een Google account hebt heeft Google niet een app als "Google Prompt" nodig om nog meer van je te weten te komen.

Ik vind dit een hele goede zet van Google. 2FA zou overal verplicht moeten worden. Dat zou zoveel gezeik online voorkomen.
Ik realiseer mij zeker dat het gaat om Google accounts. Maar realiseer jij je dan ook dat mensen niet altijd vrijwillig een Google account hebben? Een Google account hebben betekent tevens niet dat je daar 24/7 op bent ingelogd, of uberhaupt mee inlogt in een app van Google (kan ook voor browser only gebruik zijn, waarmee ze niet zomaar aan bepaalde data kunnen komen waar een app wel bij kan).

Denk bijvoorbeeld aan zakelijk gebruik van Google Meet of Google Cloud. Die gebruik ik enkel in de browser van mijn zakelijke laptop. Ik vindt het geen probleem dat account te beveiligen met 2FA, graag zelfs. Maar ik heb geen zakelijke telefoon (en gelukkig ook niet nodig). Ik ga dus NIET mijn privé nummer opgeven, of inloggen via een Google app op mijn verder compleet Google vrije privételefoon.

Nu heb ik dit account gelukkig wel voorzien van 2FA via TOTP (niet via de Google Authenticator app ;) ), maar eenvoudig was dat niet, die optie hadden de goed verstopt. Het was vrij duidelijk dat die optie niet de voorkeur van Google had.

Ik ben het helemaal met je eens dat 2FA verplicht zou moeten zijn, maar niet via een manier waarbij je dus extra privé gegevens moet opgeven of een mogelijke tracking app moet installeren.
Straks heb je dus wel een zakelijke telefoon nodig en is het de zaak van jouw werkgever om die te verstrekken. Of hij kiest er voor geen gebruik meer te maken van google diensten.
Mijn werkgever zal mij best een telefoon verstrekken als ik die echt nodig heb, dat zal het probleem niet zijn. Maar daar heb ik zelf absoluut geen behoefte aan.

Google kan ook gewoon 2FA aanbieden via privacyvriendelijke methodes. TOTP is wat dat betreft een prima voorbeeld, dus zolang die ondersteund wordt vindt ik het prima. Maar de weg om TOTP in te stellen was dermate verstopt dat het mij niet zou verbazen als ze die een keer gaan uitfaseren.
daarom gebruik ik FIDO + TOTP
Net gegoogled '"tweetraps authenticatie google" waar je wel degelijk een telefoonnummer moet invoeren. Dit is de huidige authenticatie. Ik kan me namelijk ook herinneren dat google mij om een telnr vroeg (niet ingevuld/ overgeslagen).

Maw, dan heb je meer info als mij. Als jouw info klopt, dan prima. Staat ook niks in het tweakers artikel.

Edit: Lees ik het nou goed? "We recommend Google prompts instead of text message"
Nou, daar begint het geklooi al (bv ouderen)

[Reactie gewijzigd door Jackie Moon op 5 oktober 2021 18:23]

Als je altijd met 'ouderen' rekening moet houden kan je alle technologie gewoon stoppen natuurlijk.
Als je dingen 'verplicht' maakt moet je met iedereen rekening houden.
"Als je dingen 'verplicht' maakt moet je met iedereen rekening houden."
Hoezo? Het is een bedrijf toch? Als ze morgen besluiten hun diensten enkel aan IJslanders aan te bieden, mogen ze dat toch ook (contracten daargelaten).
Verkeerd voorbeeld. Er zijn ook genoeg digibeten in IJsland.
Originele stelling klopt nog steeds, "Als je dingen 'verplicht' maakt, moet je met iedereen rekening houden." Hoe groot of klein je afzetmarkt ook is.
Definieer "oudere" mijn "stokoude" moeder van 72 heeft gewoon een actuele Android telefoon en Actuele Android Tablet, Android TV én Windows pc en heeft al even bij me nagevraagd of dat Windows 11 de moeite waard is.

Dus dan hebben we het zeker over bejaardentehuis mensen?
Onze bejaarde, Chromebookende ouders, die het liefst simpele telefoontjes uit het stenen tijdperk gebruiken, zullen hier ook bijzonder blij mee zijn.
Ze zullen wel moeten. Wachtwoorden zijn al jaren niet meer veilig. Tenminste, niet zoals mensen ze gebruiken, 1 password voor meerdere websites want 'mijn accounts zijn toch niet interessant om te hacken'. Vast niet, maar als het gebeurt en je bent je e-mailadres kwijt, dan is dat wel serieus vervelend.

Ik begrijp eigenlijk niet dat er nog zoveel diensten zijn waarbij 2fa NIET verplicht is. We moeten gewoon af van het idee dat een wachtwoord dat je zelf kunt onthouden, veilig genoeg is voor aanloggen op een online dienst. Of je verzint een serieus ingewikkeld (random, voldoende lang) password, OF je gebruikt 2FA.

Ik ben het wel met je eens, de manier waarop 2FA nu wordt aangeboden maakt het voor digibeten bepaald niet makkelijk. Maar dat komt vooral doordat iedereen het op z'n eigen manier doet. Via SMS, via een app/online, via een offline authenticator. Als alle diensten het op dezelfde manier zouden implementeren, dan zou het al een heel stuk makkelijker zijn om aan te leren.
Het is niet zomaar redelijk om te stellen dat een wachtwoord onveilig is als dat pas het geval is als aan voorwaarden is voldaan, terwijl je niet weet of men er aan voldoet. Andere zul je omgekeerd ook moeten stellen dat men wachtwoorden prima kan blijven gebruiken omdat het gebruiksvriendelijker is dan gebruikers dwingen iets te gebruiken wat ze niet aan kunnen. Je gaat geen ingewikkeld slot aan gebruikers opdringen omdat je die ongevraagd wil beschermen.
doen we met vaccinaties toch ook? :-)
Sommige moet je dwingen om ongevraagd beschermd te worden...
Die tweetrapsverificatie via SMS is op zich prima, maar ik kreeg mijn codes via een nummer dat iedereen bestempelt als phishing ( +44 78730 77777). Voorheen kreeg ik het gewoon met 'Marktplaats' als vermelding. Zo schep je natuurlijk ook weer verwarring, zeker voor mensen die het allemaal wat moeillijker vinden (ouderen/digibeten).
Buiten dat is authenticatie via SMS kennelijk ook niet veilig. Mijn PayPal account is eerder dit jaar gehackt terwijl SMS-authenticatie voor alle onderdelen aanstond. Toen ik ze boos opbelde, gaven ze dat doodleuk toe en zeiden ze dat je beter met een authenticatie-app kunt werken. Lekker dan.
Beveiliging is in zekere zin altijd veilig genoeg. Maak je iets veiliger, dan zorgt die reputatie van veiliger-dan-voorheen er voor dat mensen het intensiever gaan gebruiken, zodat de pay-off groter is in geval van een hack. Mensen dwingen om mee te doen met evoluties in beveiligingsparadigma is dan goed voor de bottom line van Google, maar je internet-accounts worden er op termijn niet veiliger door, want de evolutionaire selectiedruk op de digitale criminaliteit verhoogt eveneens.
Voor bepaalde diensten snap ik 2fa zeker. Maar ik hoef het echt niet voor alles te hebben. Genoeg websites waar ik maar eenmalig iets nodig heb en waar geen creditcard gegevens opgeslagen zijn. Waarom zou ik daar nou een 2fa voor activeren? Ook bijvoorbeeld Tweakers waar ik nog nooit hardware aangeboden of gekocht heb. Even hulp nodig op een forum. Of bij Netflix waar je een email krijgt als iemand inlogt. Als ze dit hacken is het misschien niet leuk maar problematisch is het dus ook niet. Wel moet je zorgen dat je email wachtwoord en de wachtwoorden andere sites niet gelijk zijn.

En uiteindelijk moet het ook nog zonder problemen zijn. Ik gebruik me PayPal account bijna nooit. Nu had ik het nodig en blijkt dat ze vanuit de overheid verplicht werden extra te beveiligingen. Maar de sms berichten komen bij mij niet binnen. PayPal legt het bij T-mobile want hun systeem werkt bij andere wel + alles is goed met mijn account. En T-mobile legt het weer bij PayPal omdat ik wel andere sms berichten binnen krijg. Ondertussen zit ik dus dat ik geen betaling kan doen wat ik zonder 2fa wel had kunnen doen. Natuurlijk is het wel goed dat het bij PayPal nu wel moet omdat het toch om geld gaat. Maar ik zit nu nog steeds met de problemen die ik had kunnen omzeilen door 2fa uit te kunnen zetten. Ook heb ik wel gehad dat bepaalde mails met codes, bevestiging links of wachtwoord vergeten emails bijvoorbeeld pas laat binnen komen of helemaal niet. Dus ik ben zelf nog niet echt compleet fan van 2fa met zulke problemen die je tegen kan komen.
Als je iets veilig wil houden moet je het niet aan Google doorgeven. Daar helpt geen verbeterde authenticatie aan. Ze weten daardoor alleen heel zeker dat het van jouw is.
Helaas pindakaas, niet alles hoeft altijd leuk voor iedereen te zijn ;)
Grote kans dat ze die al hebben, misschien omdat jij een Android smartphone hebt. Of iemand anders met jou 06 nummer in hun contacten lijst ;)
Ik heb tweefactor authenticatie aanstaan, en dat gaat via een app op mijn mobiel (authenticator). je mag zelf kiezen welke authenticator.

SMS is veel onveiliger en raad ik je daarom af. SMS kan namelijk (als ze jou targetten) worden afgepakt door bij jouw telefoonprovider via social engineering jouw account over te nemen. Daar zijn voorbeelden van.
Vroeger stond dat nummer gewoon in een gratis boek. Die je thuisgestuurd kreeg.
En vroeger bestonden hackers alleen in films :)
Het is mooi dat ze het doen, alleen hun implementatie is kut. Ik heb er toevallig vandaag nog mee te maken gehad. Als je 2FA aan wilt zetten (of straks: moet zetten) kan dat alleen maar dmv telefoonnummer, security device (Yubikey oid) of met een prompt op een smartphone waar je bent ingelogd. Dus niet via TOTP met de Google Authenticator bijvoorbeeld. Die kan je wel gebruiken, slechts nadat je een van de eerste drie opties hebt ingesteld (en ingesteld houdt volgens mij). Best naar als je geen zin hebt in je telefoonnummer aan Google geven, geen security device hebt en ook geen zin hebt om die account op je telefoon in te stellen met de daarbij behorende sync van je contacten, kalender e.d. die default ingeschakeld staat en pas na het inloggen (en waarschijnlijk deels syncen) uitgeschakeld kan worden. Plus dat ik die specifieke account helemaal niet op m'n telefoon wil hebben, nergens voor nodig.

[Reactie gewijzigd door DataGhost op 5 oktober 2021 17:47]

Aan al wie zich zorgen maakt dat over het feit dat 2FA op termijn verplicht gaat worden, en dat het niet via TOTP (meer) gaat kunnen... even ernstig nou: als je belang hecht aan dat soort zaken en je gebruikt Google/Apple/Facebook/Microsoft-diensten meer dan professioneel strikt noodzakelijk is, dan ben je toch ergens een masochist? Google-producten zijn populair bij gesofisticeerde gebruikers omdat ze, in tegenstelling tot wat ze doorgaans beweren, meer belang hechten aan de perceptie van efficiëntie (en daar is Google soms heel goed in) en normaliteit dan aan het vermijden van ecosystem lock-in.

Daarnaast worden de kleine en/of gedecentraliseerde alternatieven in de praktijk bijna uitsluitend gebruikt door mensen voor wie gefedereerde tech een identiteit/hobby/beroep is. Ik herinner me nog al die artikeltjes in 2013 over hoe we na de Snowden-onthullingen allemaal onze eigen e-mail-servers op VPSen zouden gaan draaien en PGP-versleuteling zouden gaan gebruiken om de grote jongens van ons af te schudden... we weten allemaal hoe dat in de praktijk verlopen is.

De enige aanpakt die op termijn loont is je zo veel mogelijk onafhankelijk maken van Google/Apple/Facebook/Microsoft-diensten, en een lijst bijhouden van de "verliezen" en plan B's voor wanneer ze eisen beginnen stellen "voor de veiligheid, weetuwel" waarin je niet wil meegaan. Een kwestie van wanneer, niet of.
Vermoedelijk gaat het om accounts waarbij de herstelmogelijkheden al volledig ingevuld zijn.
Haal het 'vermoedelijk' maar weg. Er staat letterlijk in het artikel van Google dat het om accounts gaat waar de benodigde gegevens al ingevuld zijn. Alleen voor YouTube creators gaat er een verplichting gelden.
By the end of 2021, we plan to auto-enroll an additional 150 million Google users in 2SV and require 2 million YouTube creators to turn it on.

We also recognize that today’s 2SV options aren’t suitable for everyone, so we are working on technologies that provide a convenient, secure authentication experience and reduce the reliance on passwords in the long-term. Right now we are auto-enrolling Google accounts that have the proper backup mechanisms in place to make a seamless transition to 2SV.
Gelukkig biedt Google veel zaken als 2e factor. Meestal is het een gekend apparaat of een al ingelogd en gekoppeld account. Dus hoef je toch maar 1 actie te ondernemen: gebruikersnaam en wachtwoord.

Met 5 android apparaten om mij heen een keer inloggen bij google waar mfa voor nodig is en alle 5 beginnen ze te piepen :-) Dat is dan wel weer makkelijk, ik kan om het even welk apparaat pakken om met 1 of 2 klikken door te gaan.

Tot vorige week. Op het belangrijkste toestel piept ze sinds kort niet mee en kan ik ook niet eenvoudig met het slotje doorklikken. Weet iemand welke instelling dat is? Het moet ergens bij de meldingen van 1 van de applicaties zijn. Daar bel en melding aan zetten. Maar welke?

Op dit item kan niet meer gereageerd worden.


Nintendo Switch (OLED model) Apple iPhone SE (2022) LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S22 Garmin fēnix 7 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2022 Hosting door True