Google lijkt te zijn begonnen met verplichting van tweetrapsauthenticatie

Google lijkt te zijn begonnen met het verplicht stellen van tweetrapsauthenticatie voor sommige gebruikers. Het bedrijf zei vorige maand al 2fa voor iedereen standaard in te schakelen en lijkt dat nu te gaan doen.

Google 2fa Volgens AndroidPolice zijn er verschillende gebruikers op Reddit die inmiddels aangeven dat Google tweetrapsverificatie heeft aangezet bij gebruikers die dat niet hadden. Het lijkt te gaan om gebruikers die 2fa in het verleden ooit uit hebben gezet of eerder hebben aangegeven dat niet te willen, om uiteenlopende redenen. Het bedrijf heeft gebruikers eerder al gewaarschuwd via e-mail dat 2fa automatisch zou worden ingeschakeld.

Gebruikers die worden overgezet moeten een van hun apparaten opgeven om 2fa in te schakelen. Op dat apparaat komt dan een prompt binnen waarmee ze kunnen bevestigen dat ze inloggen. Google verwijst daarnaast naar alternatieven zoals sms of een totp-app zoals Google Authenticator.

Google liet vorige maand al weten dat het voor het einde van het jaar tweetrapsverificatie zou instellen voor 150 miljoen accounts. Dat zijn accounts van gebruikers die relatief makkelijk naar 2fa over te zetten zijn, omdat ze bijvoorbeeld al een herstelmogelijkheid hebben ingesteld voor als gebruikers hun telefoon kwijtraken.

Reacties (120)

MossMan 4 november 2021 12:33

Ben best verbaast dat bijna iedereen hier dit een prima zaak vindt...

Ik ben internetter sinds decennia en ik ben hier helemaal niet blij mee want ik doe juist mijn best om alle extra info (telefoon nummer enz.) *niet* aan Google te overhandigen. En ze doen steeds hun best om zoveel mogelijk persoonlijk gegevens verplicht te innen. Telefoonnummer en alternatieve e-mail addressen onder het mom van "veiligheid"... Van land veranderen? Credit card nummer dan maar opgeven, anders niet (echt waar! Volgens hun woon ik nog steeds "in Frankrijk" en moet ik daarom trucjes uitvoeren om bepaalde locale Android apps via-via te installeren).

Ik blijf van mening dat ik recht heb om zelf te bepalen of ik allerlei extra info wil opgeven - als mijn account gehackt wordt is dat mijn verantwoordelijkheid.

[Reactie gewijzigd door MossMan op 22 juli 2024 23:47]

Plep @MossMan • 4 november 2021 17:03

Je hoeft alleen maar in de app akkoord te geven. Je hoeft geen extra informatie te geven (tenzij je de app verdenkt van het delen/stelen van informatie).

Daarnaast hoef je geen gmail account te hebben. Als privacy zo belangrijk is zou ik het helemaal buiten Google zoeken.

ejabberd @MossMan • 4 november 2021 23:54

Je kunt ook werken met totp of een hardwaresleutel voor 2fa.

dimitrivisser @MossMan • 4 november 2021 17:19

als mijn account gehackt wordt is dat mijn verantwoordelijkheid.

Dat is te makkelijk. Accounts worden gehackt om te spammen, phishing etc. Als jouw account gehackt wordt dan is dat zeker ook een probleem voor andere mensen.

karelvandongen @MossMan • 4 november 2021 17:57

Je denkt er dan ook aan om geen Microsoft of Facebook account te hebben, want hun zijn even erg met alles te koppelen, loggen en vaak verplichten om een account te hebben.

exorbitex @MossMan • 5 november 2021 10:04

Eens dat datahonger omwille van veiligheid een issue is.

Echter: als mijn account gehackt wordt is dat mijn verantwoordelijkheid.
Dit is wat kort door de bocht en als je hier wat langer over nadenkt heb je genoeg argumenten hiervoor paraat. Het zou mooi zijn als er keuzes worden geboden in de security die wordt aangeboden, default hoog.

GertJan2012 4 november 2021 10:03

Mooi initiatief. Daar zouden best wat bedrijven een voorbeeld aan kunnen nemen.

rijnsoft @GertJan2012 • 4 november 2021 10:09

Hoe iets beveiligd wordt moet afhangen van hoe belangrijk het is. Mijn Google account is verplicht voor sommige zaken, maar zou me gestolen kunnen worden. Ik gebruik het alleen voor Youtube. 2FA is voor mij dan ook erg overdreven. Er zijn natuurlijk talloze gebruikers van Google producten die het wel nodig hebben. Ik zou graag zelf de keuze blijven maken.

JeroenH @rijnsoft • 4 november 2021 10:12

Precies. Sowieso vrijwel alles bij mij wat met geld te maken heeft (bank, aandelen, crypto, enz) heeft MFA. Alleen mijn hypotheek niet. Looking at you, Aegon.

Paitor @JeroenH • 4 november 2021 10:45

Das wel vreemd van Aegon trouwens. Zowel mijn levensverzekering als mijn pensioen zitten achter DigiD?

JeroenH @Paitor • 4 november 2021 11:51

Ik denk (maar weet niet zeker) dat het voor dat soort zaken verplicht is, maar mijn hypotheek kan ik via de website en via de app inzien zonder MFA. Oh ja, ik kan ook extra aflossen, als iemand mij nou eens hackt en dat even doet dan zou dat fijn zijn

Senaxx @JeroenH • 4 november 2021 13:29

Je kan wonder je profiel bij Aegon wel instellen dat je een extra controle wilt voor inloggen via SMS. Ik moet dan ook bij elke inlog een sms authenticatie doen. Niet de veiligste methode maar beter dan niets.

Dit zit onder instellingen -> inloggegevens

bkor @rijnsoft • 4 november 2021 10:23

Mijn Google account is verplicht voor sommige zaken, maar zou me gestolen kunnen worden.

Totdat iemand je account overneemt en hiermee gelijk kan spammen. Hetzelfde: vaak genoeg gebruiken mensen ook Gmail. Zodra je Gmail hebt kan je vaak andere accounts overnemen (d.m.v. een wachtwoord vergeten email).

Ik zou graag zelf de keuze blijven maken.

Ik gebruik een wachtwoord manager. 2FA is soms onveiliger. Voorbeeld: gebruikt SMS en soms dat er zelfs voor dat je het wachtwoord kan resetten via SMS. Dan vertrouw ik liever op mijn wachtwoordmanager. Ook vermakelijk dat er nog genoeg sites het wachtwoord vreemd opslaan. Dit vanwege vreemde wachtwoordeisen: kort aantal maximum aantal karakters, alleen letters/cijfers toestaan, etc..

lenwar

Google
Beveiliging en antivirus

@bkor • 4 november 2021 10:43

Ja, maar dat is niet zijn schuld, dat de voor hem verplichte Google account altijd een Gmail-component heeft.

Ik heb ook een Google account, maar heb nog nooit één mail met Gmail verstuurd. Ik heb denk ik niet meer dan 5x in m’n leven op Gmail ingelogd. Niet principieel, maar ik gebruik het niet.

Ik ben persoonlijk ook niet echt een voorstander van overal 2fa. Moet je je voorstellen hoe achterlijk lang je tokenlijst wordt als je voor ieder account dat je hebt een token moet hebben. Dat wordt het niet handiger van om mee te werken.
(2fa specifiek voor een Google account vind ik trouwens wel een goed idee. Veel mensen hebben daar een creditcard en veel persoonlijke dingen in staan)

Ik heb persoonlijk Enpass als wachtwoordmanager en heb daar ook m’n TOTP tokens staan. Dan zit het in elk geval in één app/systeem en worden de tokens grotendeels automatisch ingevuld.
Dit brengt natuurlijk wel een extra risico mee als m’n wachtwoordmanager-database ‘gehacked’ wordt.

Ik ben meer een voorstander van wachtwoordloos werken, dmv FIDO2 en dergelijke systemen.

telenut @rijnsoft • 4 november 2021 10:19

daar beslist jij niet enkel in...
Als ik een maildienst zou opzetten zou het ook verplicht zijn. Kan geen enkele klant achteraf klagen dat ze mijn dienst gehacked hebben omdat iemand anders in zijn mailbox is geraakt.
Ben je ook zeker dat al die accounts ook effectief gebruikt worden, en niet éénmalig om wat spam te versturen.

mvrhrln @rijnsoft • 4 november 2021 16:10

Dat jij het maar voor bepaalde zaken gebruikt, weerhoudt een hacker/crimineel er niet van om jouw account voor andere zaken te gaan misbruiken eenmaal hij de credentials heeft bemachtigd.

Memori @rijnsoft • 4 november 2021 11:48

Hoezo krijgt zijn reactie 10x Off-topic / Irrelevant...? Het is toch on-topic en tevens heel gewoon dat je geen zin in 2FA hebt op een account die je gestolen kan worden?

De belangrijkste zaken heb ik zonder te scrollen of te zoeken mooi passend op één scherm in Google Authenticator. Lekker snel en handig. Daar hoeven van mij niet nog 5, 10, 20 diensten bij te komen. Dan gebruik ik die diensten liever niet.

rijnsoft @Memori • 4 november 2021 12:57

Mensen geven via een beoordeling hun mening over een reactie, en niet of de reactie relevant is of niet. Dat vind ik best begrijpelijk.

Google Authenticator is inderdaad een handige App. Het heeft ook nog als voordeel dat je je telefoonnummer niet af hoeft te geven. Het werkt op basis van tijd en de QR-code wordt lokaal opgeslagen.

Wachten... @GertJan2012 • 4 november 2021 10:14

Ik ben het ergens volledig met je eens, maar of het nu (zeker voor ouderen) allemaal heel makkelijk is, dat dan weer niet.

Ik krijg sommige mensen al echt met pijn en moeite naar een wachtwoord manager, laat staan een 2fa systeem. Het is al helemaal lastig vanwege het feit dat je een 2fa echt niet kwijt mag raken. Een ww kun je makkelijk resetten zolang je nog bij je email kan. Ben je je 2fa kwijt, dan ben je gewoon f*****

Ik vind het oprecht nog niet zo heel makkelijk om dit goed en duidelijk/simpel uit te leggen aan anderen

Wellicht hier wat tips delen met elkaar? Want belangrijk is het zeker.

Ik gebruik momenteel zelf bitwarden en Aegis als 2fa.

[Reactie gewijzigd door Wachten... op 22 juli 2024 23:47]

ShadLink @Wachten... • 4 november 2021 10:25

2FA kan je opvangen door meerdere vormen van 2FA te gebruiken.

1. Wachtwoordmanagers. Die hebben vaak 2FA ingebouwd en kunnen bv TOTP codes genereren.
2. Herstelcodes (icm. wachtwoordmanagers) kan je vaak in je wachtwoord database opslaan.
3. TOTP op meerdere devices.
4. Webauthn / fido2 devices gebruiken. Bv een Yubikey.

leuk_he @ShadLink • 4 november 2021 12:12

Ja, het is inderdaad belangrijk een BACKUP methode te hebben. zodat als je een device kwijt raakt (telefoons en laptop gaan gegarandeerd op een dag stuk) , je een tweede methode hebt om de 2FA te voltooien.

Goed dat je de SMS methode niet noemt, want het is bekend dat het overnemen van een telefoonnummer vaak genoeg gedemonstreerd is.

ari @ShadLink • 4 november 2021 14:16

Vijfde manier: print de letterlijke QR-code om te koppelen en gooi die in een kluis. Zo lang het papier niet vergaat kun je dan in de toekomst een ander apparaat koppelen.

GertMenkel

Google
Beveiliging en antivirus

@Wachten... • 4 november 2021 10:29

De 2FA van Google kan ook met een Android-telefoon of een iPhone die ingelogd is op de Google app. Dan krijg je een prompt ("probeer je in te loggen? Ja/Nee") en verder geen codes.

SMS instellen als backup voor atechnische mensen is ook wel zo handig, voor het geval dat de telefoon kapot gaat. Google zal standaard geen SMS sturen tot je klikt op "overige opties" dus die workflow hoef je alleen maar uit te leggen aan mensen zonder (enigszins recente) smartphone.

Persoonlijk gebruik ik authy (heel onveilig, I know) om te voorkomen dat ik mijn 2FA kwijtraak. Bitwarden heeft in de betaalde variant (of als je hem zelf host) ook de optie om TOTP te doen. Vernietigt het hele punt van 2FA natuurlijk compleet, maar het is een optie.

Als laatste zou je nog een fysieke security key kunnen aanraden. In mijn ervaring zijn fysieke dingen die je in de PC stopt makkelijker uit te leggen dan software. Dit kost je helaas wel geld natuurlijk, helemaal als je er een wilt die ook op telefoons werkt.

[Reactie gewijzigd door GertMenkel op 22 juli 2024 23:47]

Velvus

@GertMenkel • 4 november 2021 13:01

SMS instellen als backup voor atechnische mensen is ook wel zo handig, voor het geval dat de telefoon kapot gaat. Google zal standaard geen SMS sturen tot je klikt op "overige opties" dus die workflow hoef je alleen maar uit te leggen aan mensen zonder (enigszins recente) smartphone.

Maar indien je de SMS optie uberhaupt hebt naast een OTP, kan iemand daar dan toch gewoon misbruik van maken? Volgens mij kan je de SMS optie bij het in gebruik nemen van een OTP dan het beste verwijderen.

Persoonlijk gebruik ik authy (heel onveilig, I know) om te voorkomen dat ik mijn 2FA kwijtraak. Bitwarden heeft in de betaalde variant (of als je hem zelf host) ook de optie om TOTP te doen. Vernietigt het hele punt van 2FA natuurlijk compleet, maar het is een optie.

Wat is er zo onveilig aan Authy? Je OTP in Bitwarden stoppen vernietigd m.i. het hele punt van 2FA zeker niet. Dat vereist zo veel meer moeite en stappen om te zetten als hacker dat het echt een stuk veiliger is dan enkel een password. Bovendien is het erg handig. Natuurlijk is het niet de allerbeste optie in term van veiligheid.

[Reactie gewijzigd door Velvus op 22 juli 2024 23:47]

GertMenkel

Google
Beveiliging en antivirus

@Velvus • 4 november 2021 13:05

Maar indien je de SMS optie uberhaupt hebt naast een OTP, kan iemand daar dan toch gewoon misbruik van maken? Volgens mij kan je de SMS optie bij het in gebruik nemen van een OTP dan het beste verwijderen.

Voor absolute veiligheid: inderdaad. Voor de "gewone" persoon die eigenlijk toch al geen 2FA wil, is SMS nog steeds een goede optie om als backup te houden. Het is een van de slechtste tweede factoren, maar het is nog wel een tweede factor en veiliger dan alleen een wachtwoord.

Wat is er zo onveilig aan Authy?

Het idee van TOTP is dat je een fysiek apparaat moet hebben (de drie mogelijke factoren zijn iets dat je weet, iets dat je hebt en iets dat je bent, waar het wachtwoord iets is wat je weet en je TOTP-apparaat iets is dat je hebt). Authy synct dat en maakt backups naar de cloud, waardoor het "iets dat je hebt" verandert in "iets dat je weet", namelijk je wachtwoord. Daarmee is het eigenlijk geen serieuze tweede factor meer zodra je multi-device inschakelt.

Authy is wel "beschermd" met een SMS om je apparaat te valideren, maar dat maakt de beveiliging van het TOTP-mechanisme natuurlijk een stuk minder/bijna niet meer effectief voor serieuze beveiliging. Ik heb nog geen fysieke key (ooooit koop ik er een) dus om niet al mijn accounts kwijt te raken als mijn telefoon kapot gaat, zit ik momenteel nog wel even bij Authy.

Velvus

@GertMenkel • 4 november 2021 13:39

Het idee van TOTP is dat je een fysiek apparaat moet hebben (de drie mogelijke factoren zijn iets dat je weet, iets dat je hebt en iets dat je bent, waar het wachtwoord iets is wat je weet en je TOTP-apparaat iets is dat je hebt). Authy synct dat en maakt backups naar de cloud, waardoor het "iets dat je hebt" verandert in "iets dat je weet", namelijk je wachtwoord. Daarmee is het eigenlijk geen serieuze tweede factor meer zodra je multi-device inschakelt.

Ja Authy doet voor het gebruikersgemak wat concessies maar stellen dat het daarmee bijna niks meer waard is gaat echt veels te ver. Authy backed up naar de cloud, ja, maar je kunt niet zomaar bij die backup en inderdaad dan moet je ook nog beschikken over je backup password. Overigens kun je ook in Authy instellen dat je jouw 2FA enkel kunt gebruiken op jouw telefoon/device. Dat maakt het nog moeilijker om je 2FA's te stelen. (Authy -> Settings -> Devices -> Allow Mulyi-device -> Off).

hlps1 @GertMenkel • 4 november 2021 13:11

Persoonlijk gebruik ik authy (heel onveilig, I know) om te voorkomen dat ik mijn 2FA kwijtraak.

Mag ik vragen waarom je Authy onveilig vindt?
Ik gebruik ook Authy als backup naast de Microsoft Authenticator.

darkjeric

@GertMenkel • 6 november 2021 11:03

Vernietigt het hele punt van 2FA natuurlijk compleet, maar het is een optie.

Bwa, ja en nee zou ik zeggen. Je afzonderlijke log-ins zijn nog steeds beveiligd met een 2e factor bovenop je wachtwoord, wat het nog steeds veel moeilijker maakt om ze te "kraken" via de website zelf. Alleen is er nu inderdaad 1 plaats waar beiden gevonden kunnen worden, namelijk je wachtwoord-database.

Daar zijn ook weer veilige oplossingen voor te bedenken: Om te beginnen zet je best een externe 2FA aan voor je wachtwoord-database, zodat die alvast veel moeilijker binnen te komen is. Als je daarbovenop je wachtwoorden ook nog van een "salt" voorziet, een klein stukje dat je aan elk van je gegenereerde wachtwoorden toevoegt maar dat je wachtwoordmanager niet weet, kunnen ze zelfs met toegang tot je wachtwoord-database EN je TOTP-codes niet veel beginnen.

!GN!T!ON @Wachten... • 4 november 2021 10:41

In geval van Google:
genereer backup codes voor als je 2 factor inschakeld, Mocht er ooit nog iets echt mis gaan dan kan je inloggen met een van de 10 backup codes (dit zijn eenmaal geldige wachtwoorden) en de 2-factor instellingen aanpassen zodat deze werkt op de nieuwe telefoon.

In het algemeen gebruik een authenticator app als authy. authy kan syncen/backup maken zodat als telefoon kwijt is je een backup kan terugzetten op de nieuwe telefoon, dan kan je zo verder.

En als laatste, je kan (bij google i.i.g.) meerdere devices koppelen, dus je kan ook nog je oude telefoon toevoegen en deze in la leggen als 3de backup.

Voor ouderen is dit verder m.i. juist goed, want die zijn vaak het meest kwetsbaar voor aanvallen die 2-fa zou kunnen voorkomen.

[Yellow] @!GN!T!ON • 4 november 2021 13:11

En als je die backup codes dan bij je wachtwoorden bewaart heb je een mooie achterdeur voor MFA...
Bewaar ze op een andere plek of, nog beter, gebruik een authenticator app (ik gebruik zelf https://strongboxsafe.com/)

!GN!T!ON @[Yellow] • 4 november 2021 15:38

natuurlijk doe je dat niet, die print je uit en leg je thuis in de kluis. MFA app had ik al genoemd als je verder had gelezen. Ik verder zeker gebruik maken van de backup codes, naast google prompt, of een authenticator app (of een yubikey, of alle 4 vier, wat je wil)

[Reactie gewijzigd door !GN!T!ON op 22 juli 2024 23:47]

[Yellow] @!GN!T!ON • 5 november 2021 12:19

@ignition Was niet voor jou bedoeld!
Was meer een algemene reactie op het aanbieden van manieren om MFA te omzeilen.
Er staan namelijk nergens in die instructies hoe je met die codes om moet gaan. Meeste mensen (lees: niet beveligingsexperts, en dat zijn er nogal wat!) zullen deze op hun computer opslaan aangezien nergens gemeld wordt dat je dat beter niet kunt doen.

[Reactie gewijzigd door [Yellow] op 22 juli 2024 23:47]

gaskabouter @Wachten... • 4 november 2021 10:43

Heb je helemaal gelijk maar vaak is het toch een kwestie van willen en niet van kunnen. Urgentiebesef ontbreekt vaak, zeker bij jongeren en dan is dit wel een goeie zet.

Ge Someone @Wachten... • 4 november 2021 13:25

Zelf kan ik er prima mee omgaan. Het was vooral een heel gedoe om die Multi Factor Authentications over te zetten naar een nieuwe telefoon. Als je het oude en nieuwe device bij de hand hebt, is het te doen.

BeosBeing @Wachten... • 5 november 2021 20:58

Het is al helemaal lastig vanwege het feit dat je een 2fa echt niet kwijt mag raken. Een ww kun je makkelijk resetten zolang je nog bij je email kan. Ben je je 2fa kwijt, dan ben je gewoon f*****

En dat heb ik dus al diverse keren gehad. Een smartphone is hiervoor volgens mij volkomen ongeschikt.
Op de eerste na, een Samsung Galaxy Gio, slecht toestel maar echt kapot toen die stopte met werken, zijn al mijn toestellen plotseling uitgevallen. Ik heb achtereenvolgens gehad
2) Acer Liquid Z630. Hierbij had de accu zoveel speling in de behuizing dat deze uitval simpelweg omdat de batterij verschoof en de electronica geen electriciteit meer kreeg. De contacten van de electronica en die van de accu maakten geen contact. Toen ik dat ontdekte heb ik dat opgelost met reepjes karton. Een aantal maanden later startte hij toch niet meer op.
3) Wileyfox Swift 2X, na een systeemupdate triggerde het alarm een crash en bootloop. Vervolgens duurde het van 6h tot ~16h voordat de accu leeg was. Daarna terug opladen, waarna het toestel weer werkte. Alarm niet meer gebruikt, maar .... in de loop der tijd kwam het vastlopen met bootloop ook op andere momenten. Op een gegeven moment starte toestel helemaal niet meer. Na twee maanden laten leeglopen, deed hij het weer, ongeveer een maand tot de volgende crash.
4) LG G6, na het wegbrengen van dochter naar school plotseling verdwenen.
5) Nokia 8. Camera app wilde niet starten, bij herstarten kwam hij in een bootloop.

Met 2FA zal je dus altijd een reservetoestel bij de hand moeten hebben, en 2FA op beide toestellen aktief.

Frappuccino @GertJan2012 • 4 november 2021 10:45

Hoe gaat dat dan als je je google mail in je outlook desktop app bekijkt?

SmokingCrop @Frappuccino • 4 november 2021 12:57

Ofwel ondersteunt de app dat je kan inloggen via gmail (aparte popup) of het is via een app-wachtwoord die je moet aanmaken.

P_Tingen @GertJan2012 • 4 november 2021 14:44

Vrouw en dochter hebben ook deze mail ontvangen, zie: https://i.imgur.com/zSjBezn.png
Zelf had ik tweetrapsauthenticatie al aan staan, daar vind ik mijn mail iets te belangrijk voor 😬

AmigaWolf @GertJan2012 • 4 november 2021 19:26

Mooi initiatief. Daar zouden best wat bedrijven een voorbeeld aan kunnen nemen.

Natuurlijk, niks op Google is veilig, omdat zij ALLES wat je op hun diensten doe zien en gebruiken en door verkopen, en dat is algemeen bekend, dus vind dit daar niet zo belangrijk.

Enigste wat ik van hun gebruik nog is YouTube op Browsers via VPN, (en Cookie AutoDelete, en NoScript, en uBlock Origin, en Privacy Badger, en Malwarebytes Browser Guard), en Playstore, en alles op me smartphone verwijdert of geblokkeerd heb van Google en andere, alleen die ik gebruik draait er op.

Daoka @GertJan2012 • 5 november 2021 04:27

Ik heb toch wel een situatie waar het toch niet zo mooi is. Bij PayPal is het tegenwoordig ook verplicht (ook bij betalingen). Het probleem is alleen dat ik geen sms van hun ontvang. Met andere woorden ik kan dus me PayPal account niet gebruiken meer om te betalen. Ik ben al in contact geweest met maar PayPal hun zeggen dat het niet bij hun ligt want andere ontvangen wel berichten. Me telefoonnummer opnieuw toevoegen lukt niet want de sms ter bevestiging dat je de telefoonnummer goed heb ingevuld krijg ik niet binnen. Door hun me telefoonnummer invullen en laten bevestigen loste het ook niet op. Simkaart in een nieuwe telefoon gestopt. En nog steeds werkt het niet dus het ligt niet aan de telefoon. En me telefoonnummer was wel goed want tijdens inloggen kan je ook gebeld worden door PayPal en dat werkte wel

Dus moest ik contact opnemen met Tmobile. Die zegt dat het niet aan hun ligt want ik ontvang wel andere sms berichten en ze blokkeren PayPal niet. Met andere woorden werkt alles overal goed maar kan ik toch door 2fa dus geen betalingen doen via PayPal meer.

En op zich vind ik het wel goed dat iets met geldzaken (dus ook google account met gekoppelde creditcards) 2fa heeft hoor. Maar het kunnen uitzetten tot het probleem is opgelost zou ook fijn kunnen zijn. Dan kan ik tenminste er wel gebruik van maken.

Hann1BaL 4 november 2021 10:06

Mijn ouders meldden mij hetzelfde en zitten al in de stress. Op zich een goed initiatief, maar niet voor iedereen eenvoudig. Zelf had ik het al lang ingesteld.

Wivern @Hann1BaL • 4 november 2021 10:08

Mijn vrouw hetzelfde... ik zag de paniek in haar ogen toen ze dat bericht van Google kreeg.

JeroenH @Wivern • 4 november 2021 10:10

Wacht maar tot het een tijdje in gebruik is, en dan gaat ineens de telefoon stuk/is hij kwijt. Dan is de paniek niet te overzien.

Maak daar een plan voor.

defixje @JeroenH • 4 november 2021 10:16

Daar heb je toch gewoon Authy voor? Kan je op elk device gebruiken zonder verlies van je 2FA codes. Snap niet waarom Google Authenticator dat niet heeft.

Precies wat jij zegt, als je telefoon kapot is dan ben je de sjaak als je niet je codes opgeslagen heb. Heb ik via de harde weg van geleerd en sinds dien zit alles in Auhty bij mij

wica @defixje • 4 november 2021 10:24

Als je het niet ingesteld hebt, vraagt Google om een telefoon nummer en bied niet de optie om zoiets als google authenticator/Authy te gebruiken.
Dit is een actie die de gebruiker zelf moet ondernemen, als die er van weet.

defixje @wica • 4 november 2021 10:26

Ah thanks, dus niet net als GitHub bijvoorbeeld met codes die je ergens opgeslagen moet hebben ?

wica @defixje • 4 november 2021 10:30

Als je authenticator/Authy krijg je backup codes, deze zou ik zeer zeker ergens veilig op slaan.
Ooit in de toekomst, kan het je redding zijn

defixje @wica • 4 november 2021 10:34

Ja dat heb ik via de harde manier geleerd ja

kon niet meer bij mijn repo's in BitBucket, gelukkig hebben die git command waarmee je ook codes op kan vragen als je een pc heb met een bij hun geregistreerde public key heb

Bruin Poeper @defixje • 4 november 2021 10:42

Daar heb je toch gewoon Authy voor? Kan je op elk device gebruiken zonder verlies van je 2FA codes. Snap niet waarom Google Authenticator dat niet heeft.

Precies wat jij zegt, als je telefoon kapot is dan ben je de sjaak als je niet je codes opgeslagen heb. Heb ik via de harde weg van geleerd en sinds dien zit alles in Auhty bij mij

Dan heb je dus naast je telefoon (als je die kwijtraakt zoals @defixje) nóg een reserve device nodig. Of ben ik een beetje dom?

[Reactie gewijzigd door Bruin Poeper op 22 juli 2024 23:47]

Sluuut @JeroenH • 4 november 2021 10:36

Met G-mail is dat vrij makkelijk op te lossen door een recovery e-mail adres op te geven van b.v. een familie-lid.

Ik ben overigens wel tegen afgedwongen MFA op e-mail. Stel je wilt (om wat voor reden dan ook) een anonieme e-mail account hebben, en MFA word afgedwonngen, dan moet je dus een MFA app installeren, gebruiken, mogelijk registreren op je 06, met andere woorden, je bent gemakkelijker traceerbaar op een e-mail adres.

[Reactie gewijzigd door Sluuut op 22 juli 2024 23:47]

dimdek @Sluuut • 4 november 2021 11:55

Volgens mij hebben we de reden gevonden waar het Google allemaal om te doen is😄

N8w8 @Sluuut • 4 november 2021 14:22

"Google verwijst daarnaast naar alternatieven zoals sms of een totp-app zoals Google Authenticator."
Als die 2e factor gewoon TOTP is, dan hoeft de app daarvoor alleen maar de tijd en het geheim te weten, daarmee een OTP te berekenen, en die dan weer en aan jou te tonen, meer niet.
Dan weet jij de OTP, en die geef jij dan zelf door aan het email login gebeuren.

Die app zelf hoeft dus niks te maken te hebben met email/telefoons.
Hell je kan t desnoods zelf uitrekenen met pen en papier (al moet je wel op tijd klaar zijn, dus moet je je login actie mss vooraf plannen).
Er valt weinig meer aan te traceren dan aan een normaal wachtwoord, dus als je zo'n anonieme dienst bij login toch al het wachtwoord geeft, kan je net zo goed ook een OTP geven.

En ja ik begrijp dat Google Authenticator erg populair is voor OTPs, men die vaak op hun telefoon zet, en die ook meer doet dan alleen OTPs berekenen. Geen ervaring mee, maar als dat tot traceerbaarheid leidt, lijkt me dat niet aan de OTPs liggen, maar aan wat de app nog meer doet.
Laatst kon ik iig nog bij Google inloggen met een gewone TOTP app die niks anders doet en niks met mijn telefoon te maken heeft.

Keypunchie @JeroenH • 4 november 2021 10:29

Ik heb het recovery-adres voor mijn ouders.

xyp @JeroenH • 4 november 2021 12:46

Ik heb Google MFA ingesteld, en na het ingeven van mijn paswoord krijg ik een hele reeks opties om in te loggen:
- via SMS
- via Android device (zowel een online als offline device)
- via Webauthn (YubiKey)
- via Google Authenticator
- via backup codes
- via recovery email (van m'n werkgever, waar ook MFA aan staat, en waar ik bij eventuele problemen rechtstreeks bij de supportgroep kan binnenlopen)

Dus geen paniek als ik m'n GSM verlies... :-)

Katsunami @Wivern • 4 november 2021 10:37

Dat betekent eigenlijk dat mensen tegenwoordig veel te veel afhankelijk zijn van techniek waar ze niets van begrijpen. Je moet tegenwoordig bijna een IT-er zijn om een normaal leven te kunnen leiden.

Ik begin er aan te twijfelen of dat wel zo'n goede situatie is. Dat oudere mensen dingen niet meer kunnen bijhouden kan ik inkomen, maar als jongere mensen helemaal in de stress schieten en hun halve leven in elkaar flikkert (geen e-mail, whatsapp, internet, whatever...) omdat Bedrijf X ergens op de wereld iets besluit, dan is de afhankelijkheid voor mijn gevoel te groot.

[Reactie gewijzigd door Katsunami op 22 juli 2024 23:47]

BeosBeing @Katsunami • 5 november 2021 21:09

Dat betekent eigenlijk dat mensen tegenwoordig veel te veel afhankelijk zijn van techniek ...

Klopt

...maar als jongere mensen helemaal in de stress schieten en hun halve leven in elkaar flikkert (geen e-mail, whatsapp, internet, whatever...) omdat Bedrijf X ergens op de wereld iets besluit, dan is de afhankelijkheid voor mijn gevoel te groot.

Whatsapp en e-mail valt nog mee, maar je kunt ook niet meer bij je bankrekening (Ideal-transactie bevestigen via app, pasje ingeruild voor smartphone-NFC), creditcard (betaling bevestigen via de app), PayPal (2FA via app) enzovoorts.

oef! @Hann1BaL • 4 november 2021 10:12

Daarom heb ik die functie voor mijn ouders jaren geleden al ingeschakeld en het uitgelegd. Het is beter als mensen zo snel mogelijk aan zaken als 2FA wennen.

TheMak @oef! • 4 november 2021 10:21

Hoe kan ik het mijn ouders uitleggen, mijn moeder heeft een simpele andriod telefoon, en een Albert Heijn simkaart er in. Met als idee dat ze er niet van afhankelijk is. Als ze de telefoon kwijtraakt geeft ze gewoon een nieuw telefoonnummer door aan iedereen. Ze doet er ook geen bankzaken en dergelijke op.

!GN!T!ON @TheMak • 4 november 2021 10:33

genereer backup codes voor haar als je 2 factor inschakeld op haar telefoon, of met google prompt of met een authenticator app als authy. authy kan syncen zodat als telefoon kwijt je een backup kan terugzetten op de nieuwe telefoon, dan kan je zo verder.

Mocht er ooit nog iets echt mis gaan dan kan je inloggen met een van de 20 backup codes (dit zijn eenmaal geldige wachtwoorden) en de 2-factor instellingen aanpassen zodat deze werkt op de nieuwe telefoon.

[Reactie gewijzigd door !GN!T!ON op 22 juli 2024 23:47]

dimdek @TheMak • 4 november 2021 12:02

Sluit het Google account! Apps die je moeder misschien gebruikt haal je binnen met F-droid of Aurora. Voor een paar euro per jaar heb je bij een hostingprovider (bijvoorbeeld Strato) een eigen domein met e-mail waar je zelf de baas over bent. En ook nog makkelijker te beheren dan Google, dat bij elke inlog op een nieuw device alles blokkeert.

Anomnomnomymous @dimdek • 5 november 2021 00:45

Maar hoe is de spam-blokkering op dat soort eigen domein e-mail inboxen?
Ik heb zelf meerdere domein namen, maar moet er niet aan denken om weer terug te gaan naar dagelijks spam e-mails te moeten verwijderen.

dimdek @Anomnomnomymous • 5 november 2021 10:13

Mijn ervaring is met Strato. Ik krijg zelden spam, want hun filters zijn prima op orde. Het is ook nuttig op op internet.nl/mail je settings na te kijken en eventueel te (laten) aanpassen.
Een ander voordeel is dat je mailboxen kunt aanmaken voor communicatie met bijvoorbeeld je bank. Als je dat adres alleen daarvoor gebruikt is de kans dat er spam op binnenkomt minimaal (bijvoorbeeld ing@domein.nl). Als het wel misbruikt wordt verander je je mailadres weer.

geeMc @oef! • 4 november 2021 10:40

Nou, ik zit er anders niet op te wachten hoor. Mijn ouders vinden een wachtwoord al lastig genoeg, laat staan dat ze het concept en de uitvoering van 2FA gaan begrijpen. Begrijp me niet verkeerd, ik ben helemaal voor 2FA en gebruik het zelf ook overal voor, maar het is gewoon niet weggelegd voor veel mensen.

21jaaj

4 november 2021 10:14

Ik en enkele familieleden hebben het ook al gekregen. Op zich prima, maar de toon van het bericht vind ik wat vreemd: 'Binnenkort log je in met verificatie in 2 stappen' als kop. Ik denk dat 'Binnenkort wordt tweestapsverificatie verplicht, stel het nu vast in' of iets in die trend wat vriendelijker en duidelijker was geweest.

Katsunami @21jaaj • 4 november 2021 10:48

'Binnenkort log je in met verificatie in 2 stappen'

Die toon zie je al veel langer. In plaats van "Wij gaan dit doen", is de toon "Jij gaat dat doen." Dat zie je ook heel vaak in vacatures en ik heb er een schurfthekel aan.

- "Jij kunt in teamverband werken, maar je bent ook in staat om projecten zelfstandig op te pakken."
- "Jij bent bekend met de allerlaatste ontwikkeltechnieken."
- "Jij hebt sterke communicatieve vaardigheden in woord en geschrift."
- "Jij spreekt vloeiend Nederlands, Engels en Duits, en basisniveau Frans en Spaans."

Men zegt niet meer "Wij zijn op zoek naar...", maar "Jij hebt....". Men legt hun wensen neer als verantwoordelijkheid bij jou. Google doet dat nu ook:

"Binnenkort log je in met tweetrapsverificatie."

Dat is een actie waarvan men vereist dat jij die gaat ondernemen. Laat maar effe hangen dat die actie noodzakelijk is vanwege een wijziging aan _hun_ kant; nee, Google wijzigt, en jij danst naar hun pijpen. De "normale" manier, van "vroeger", zou zijn:

"Onze inlogmethode gaat binnenkort wijzigen. Vanwege het invoeren van een betere beveiliging aan onze kant is uw huidige inlogmethode vanaf <datum> niet meer te gebruiken. Deze methode kan niet overweg met onze nieuwe beveiliging. Lees hieronder hoe u kunt inloggen op uw account met een nieuwe inlogmehtode."

[Reactie gewijzigd door Katsunami op 22 juli 2024 23:47]

JeroenH @Katsunami • 4 november 2021 11:53

100% agree. Beetje "Ikea-manier" van communiceren. Als ik die stijl tegenkom voel ik me altijd een stuk minder serieus genomen.

dimdek @Katsunami • 4 november 2021 12:09

Helemaal gelijk, mensen worden steeds 'slaafser' gemaakt. Onze overheid, banken, verzekeringsmaatschappijen en tegenwoordig ook winkels kunnen er oom wat van als ze zeggen: 'INSTALLER DE APP'. Er blindelings vanuitgaan dat je een apparaat hebt waar de app op werkt, je een account hebt waarmee je de app kunt downloaden en je van plan bent om extra persoonsgegevens met ze te delen.

21jaaj

@Katsunami • 4 november 2021 14:27

"Onze inlogmethode gaat binnenkort wijzigen. Vanwege het invoeren van een betere beveiliging aan onze kant is uw huidige inlogmethode vanaf <datum> niet meer te gebruiken. Deze methode kan niet overweg met onze nieuwe beveiliging. Lees hieronder hoe u kunt inloggen op uw account met een nieuwe inlogmehtode."

Dit is een beter voorbeeld dan wat ik gaf. Waar ik me vooral aan stoorde was inderdaad het 'feitelijke': Dit doe je binnenkort, deal with it.

lenwar

Google
Beveiliging en antivirus

@21jaaj • 4 november 2021 10:34

Vind je dat vriendelijker klinken? Als je termen als ‘tweetrapsverificatie’ gebruikt zal Buurman Kees denken: ‘waar hebben ze het over’. Het woordje ‘verplicht’ blijken we in Nederland ook allergisch voor.

Ik denk dat deze ‘feit-melding’ minder weerstand zal opleveren.

lilmonkey

@21jaaj • 4 november 2021 10:35

Ik denk dat "verplicht" in de titel voor een hoop mensen juist onvriendelijker overkomt.

Justin0017 4 november 2021 10:05

MFA zou de standaard moeten zijn. Microsoft pakt het nog beter aan met de passwordless functie (enkel authenticatie via je telefoon waar je een code en biometrische verificatie doet).

AMD and INTEL @Justin0017 • 4 november 2021 10:12

Juist niet beter, dan zijn we weer terug naar een stap en hoeft je telefoon maar gehacked te worden.

Hann1BaL @AMD and INTEL • 4 november 2021 10:30

Dat is niet correct.
"Stap" is ook niet het juiste woord, maar "Trap" is het wel.
Het is 2 traps authenticatie.

Welke opties heb je:
Iets wat je hebt (geregistreerd device, SMS message naar mobiel nummer (onveilige optie met SIM spoofing))
Iets wat je weet (wachtwoord, PIN)
Iets wat je bent (Biometrisch: vingerafdruk, gezichtsherkenning)

Doordat je je telefoon hebt geregistreerd is deze gevalideerd van jouw. Een hacker moet dat device bezitten = trap 1
Doordat je je device moet unlocken (biometrisch of met PIN) heb je trap 2 te pakken.

[Reactie gewijzigd door Hann1BaL op 22 juli 2024 23:47]

Hann1BaL @Justin0017 • 4 november 2021 10:11

Behalve dat MS die optie niet biedt om in te loggen op computers. Dat blijft een groot gemis, hoewel Windows Hello dat dan deels wel weer opvangt. Ik zou graag met notificatie op mijn Apple Watch inloggen op mijn computer.

Justin0017 @Hann1BaL • 4 november 2021 10:24

Deze optie verwacht ik nog wel binnenkort

Hann1BaL @Justin0017 • 4 november 2021 10:28

Het is wel offtopic, maar die optie komt er niet (op korte termijn) aldus Microsoft. Het heeft op de roadmap gestaan, maar is er weer af, omdat MS inzet op Windows Hello

SinergyX 4 november 2021 10:11

Zo lang je 'trusted devices' kan instellen (wat inmiddels bij veel met authenticator kan), niet zo'n probleem. Alleen staat mijn authenticator inmiddels op 41 entries, waar ik er een aantal ook simpelweg niet van naam kan/mag wijzigen (zoals ubisoft die gewoon <username> heet).

Alleen hoe zit nu precies het verschil tussen de 'mag deze inloggen' en de 'genereer een code' principes? Beide werken vanuit dezelfde authenticator, maar vallen ze onder dezelfde 2FA noemer?

defixje @SinergyX • 4 november 2021 10:28

"Genereer een code" heet eigenlijk One Time Password (OTP) en is wel een manier van 2FA ja

Nyarlathotep 4 november 2021 10:17

Het is bij mij nog niet gelukt; foutmelding bij mijn telefoonnummer (die er al lang staat ingevuld).

madcon @Nyarlathotep • 4 november 2021 10:27

Dat had ik gisteren ook een aantal keer achter elkaar. Op een gegeven moment lukte het wel.

3raser @Nyarlathotep • 4 november 2021 10:49

Krijg je ook de melding dat het verzoek niet kan worden uitgevoerd? Misschien is het dankzij de verplichting erg druk met het inschakelen van 2FA en is het een tijdelijke fout.

jurjen_g 4 november 2021 10:08

Mijn schoonmoeder kreeg eergisteren deze melding inderdaad, wordt aangezet per 9 november. Dus ook in Nederland wordt dit nu uitgerold

mvrhrln @jurjen_g • 4 november 2021 16:12

ah ok, dan verwacht ik een dezer dagen een telefoontje van mijn moeder

topio2 4 november 2021 19:11

De 1e paar reacties en je bent al weer misselijk. De goedgelovigheid is destructief en pure gemakzucht. Iedereen weet inmiddels dat zelfs het don't do Evil van Google pure evil was en dat had je vanaf dag 1 al moeten weten.

De non-kritische goedgelovige houding is al lang verantwoordelijk voor heel wat ellende in data verzameling, maar ook daarbuiten.

Veiligheid begint bij jezelf, nergens anders. Het stupide vertrouwen op anderen heeft ons hier gebracht.

Ongelooflijk.

plasticmorals 4 november 2021 19:55

2FA verplichten voor een enkel email adres en een youtube account heeft helemaal niets te maken met veiligheid. Iedereen snapt dat dat overdreven is. Het wordt dan ook enkel gedaan om meer persoonsgegevens van je te verzamelen. Oftewel je telefoonnummer of IMEI. Daarnaast kunnen mensen gedwongen worden om cookies te gebruiken omdat ze geen rompslomp willen. Dit alles om het makkelijker te maken mensen online te identificeren en te profileren, en daardoor te sturen middels afwijkende zoekresultaten, shadow banning, manipulerende advertenties en andere gereedschappen om te social engineeren. Nogmaals, informatie verzameling is alles waar dit om draait.

Op dit item kan niet meer gereageerd worden.

Google lijkt te zijn begonnen met verplichting van tweetrapsauthenticatie

Lees meer

Reacties (120)

Sorteer op:

Weergave: