Sinds verplichte tweestapsverificatie 50 procent minder gehackte Google-accounts

Volgens Google is het aantal gecompromitteerde accounts met de helft afgenomen sinds de techgigant tweestapsverificatie heeft ingeschakeld voor 150 miljoen accounts. Google onderstreept hiermee zijn beslissing om tweestapsverificatie te verplichten.

Google deelt de resultaten van zijn nieuwe inlogbeleid op de internationale dag voor veiliger internet. Deze dag wordt jaarlijks gebruikt om aandacht te vragen voor veilig en verantwoord internetten. Volgens Google is sinds het verplicht invoeren van tweestapsverificatie het aantal gehackte accounts met 50 procent afgenomen.

In mei vorig jaar besloot Google om tweestapsverificatie voor 150 miljoen accounts verplicht te maken. Net als voor 2 miljoen YouTubers. Daardoor konden gebruikers niet langer met enkel een wachtwoord inloggen, maar moest een inlogpoging ook worden goedgekeurd op bijvoorbeeld een smartphone.

Google wil in de toekomst nog verder gaan. Het bedrijf ziet een toekomst voor zich zonder wachtwoorden. Google is daar niet de enige in. Ook Microsoft heeft vorig jaar stappen gezet naar accounts die niet langer worden beveiligd met een wachtwoord.

Reacties (103)

Salvatron 8 februari 2022 20:43

en dan gaat je telefoon kapot en dan kun je niet meer inloggen

Strebor

@Salvatron • 8 februari 2022 23:15

Tegenwoordig kun je diverse 2FA systemen gewoon back-uppen/restoren/syncen.

Genoeg mensen die 2FA ook op hun iPad hebben, puur als backup. Sommige scannen de QR code zowel met hun smartphone als met hun iPad bij het aanmaken. Anderen gebruiken 2FA systemen die tussen meerdere devices secure kunnen syncen (hoe veilig dat gaat laten we even buiten beschouwing).

unreal0 @Strebor • 9 februari 2022 10:07

Ik vind dat een cloud back-up van 2FA de norm moet worden, je kan zonder je accounts kwijtraken na een telefoon reset. Heb lastige gevallen meegemaakt, de leek houdt hier geen rekening mee.

[Reactie gewijzigd door unreal0 op 22 juli 2024 17:49]

MartijnHavinga @unreal0 • 9 februari 2022 11:27

En hoe beveilig je die cloud back-up dan?

Polydeukes @unreal0 • 9 februari 2022 15:13

Het is daarom ook niet voor niks dat je bij het instellen van MFA/2FA altijd back-up codes moet downloaden en op een veilige plek opslaan. Als je dat niet doet, loop je wat mij betreft bewust het risico om buitengesloten te worden van je eigen accounts.

mohf @Polydeukes • 9 februari 2022 21:24

Dus met je wachtwoord + backup code kan je alsnog in elke account... Wat heeft 2FA dan nog voor nut? Kan je net zo goed mensen met 2 wachtwoorden laten inloggen

Polydeukes @mohf • 10 februari 2022 09:02

Nee, de back-up codes zijn uniek voor ieder account. En zonder wachtwoord heb je niks aan de back-up codes. Back-up codes zijn daarnaast maar 1x te gebruiken, in tegenstelling tot een wachtwoord wat een langere levensduur heeft.

mohf @Polydeukes • 10 februari 2022 13:12

Volgens mij begrijp je mijn punt niet.
De combinatie van je wachtwoord EN de backup code van 2FA, is genoeg om volledige controle te krijgen op je 2FA account. Normaal gesproken moet die backup code in een authenticator app en schrijf je die ergens veilig op, maar als je die code + je daadwerkelijke wachtwoord lekt, dan ben je alsnog de sjaak.

Denk hierbij aan die wachtwoord managers die zowel je wachtwoord als je 2FA code opslaan voor meer "gemak". Je kan je afvragen of je dan niet net zo goed 2FA kan uitschakelen.
2FA is alleen veilig als het goed toegepast wordt.

Polydeukes @mohf • 10 februari 2022 17:32

Niemand zegt dat MFA waterdicht is. Maar het verkleint de kans op ongeoorloofde toegang enorm (daar gaat het hele artikel tenslotte over)

De combinatie van je wachtwoord EN de backup code van 2FA, is genoeg om volledige controle te krijgen op je 2FA account.

Een mes op je keel ook, dus wat is je punt? Niks is 100% veilig. De kans dat een aanvaller ZOWEL je wachtwoord ALS je backup codes te pakken krijgt is natuurlijk bijzonder klein. En MFA is dus veel veiliger dan ALLEEN een wachtwoord. Vooral voor mensen die overal hetzelfde wachtwoord gebruiken.

Phontana @Salvatron • 9 februari 2022 09:04

Daarom moet je meestal bij het instellen van 2FA iets als recovery codes downloaden en op een veilige plek bewaren, of een recovery emailadres invullen, zodat als je geen toegang meer hebt tot je telefoon je alsnog je account kunt herstellen.

cranebird @Salvatron • 9 februari 2022 09:34

Authy is je vriend, dan. Daarmee kun je ook vanaf je Apple watch of iPad autoriseren. En de accounts die je toevoegt worden onderling gesynct. En er zijn vast meer apps die dit zo doen.

Jeroenzer @Salvatron • 9 februari 2022 11:23

daarom als ik een 2stap kan doen via mail of via sms kies ik daarvoor.

dakathefox @Salvatron • 9 februari 2022 11:59

In de meeste gevallen heb je meerdere manieren waarop 2FA toegepast wordt. Bijvoorbeeld middels een Authenticator of SMS. Maar ook in de vorm van backupcodes die eenmalig getoond worden en die je vervolgens moet uitprinten.

En ik ben ook weleens beiden kwijtgeraakt, bijv. bij Linkedin. In dat geval moest ik met de billen spreekwoordelijk bloot, waarna ik alsnog toegang kreeg.

JonnyTheG @Salvatron • 9 februari 2022 12:58

De Google Authenticator vind ik dan ook nog eens de slechtste die er is. Daar kan je idd wel naar je codes fluiten als je telefoon stuk gaat.
Ikzelf gebruik Bitwarden in combi met Vaultwarden. Mijn vrouw heeft dat ook. Dan delen we login gegevens en daarbij dus ook de 2fa. Super geregeld bij bitwarden. Mooie is namelijk ook dat als je op een site inlogt waarvan de gegevens in bitwarden staan hij gelijk je 2fa code kopieert zodat je die gelijk kan plakken. Gewoon super snel, sneller kan ik niet bedenken dat je de code klaar hebt staan.

Mayonaise @JonnyTheG • 9 februari 2022 20:20

Ik vermoed dat de premium versie van Bitwarden een 2FA heeft?

Ik zit momenteel op de free, maar dan kan ik gelijk authy eruit gooien.

JonnyTheG @Mayonaise • 10 februari 2022 09:13

Klopt inderdaad. Ik ga nooit meer terug naar een ander. Behalve dan voor mijn Microsoft accounts.

rickertsnaak @Salvatron • 9 februari 2022 15:26

Je hebt meerdere opties beschikbaar: recovery codes, e-mailadres(sen), naast de sms-code en pop-up check (werkt trouwens ook op andere Google devices). En je hebt natuurlijk ook een Authenticator app.

Genoeg opties qua back-up dus om niet aan één methode te zitten.

2FA is enorm belangrijk voor dit soort accounts, icm e-mail,Google Pay, etc. Snap niet dat het voor sommige zo'n ding is, het is zo gepiept. Het gaan om je eigen security en die van anderen. Het is inmiddels 2022 en met de wetenschap van nu lijkt het mij een no-brainer.

RAAF12 @Salvatron • 9 februari 2022 00:56

Daarom een backup telefoon klaar hebben liggen. Eventueel een oudje die werkt meestal nog prima.

blackdiablo @RAAF12 • 9 februari 2022 10:39

ik vind het niet echt normaal dat ze de consument forceren een 2e telefoon te hebben of aan te schaffen omdat google zo nodig 2fa wil hebben.

Strebor

@blackdiablo • 9 februari 2022 10:42

Google wil dat niet. Een extra beschermlaag is gewoon nodig.

Polderviking

@Strebor • 9 februari 2022 11:32

2FA is een mooie terugval maar wat toch vooral anders moet is het wachtwoordbeleid bij jan doorsnee.

Ik heb ook overal dubbele mechanismen hoor, begrijp me niet verkeerd. Meestal in de vorm van een TOTP token.
Maar het begint toch echt met unieke sterke wachtwoorden voor alles.

Veruit de meeste ellende komt gewoon omdat de database van website y uitlekt en dat wachtwoord gewoon op nog 23 andere plekken gebruikt wordt en educatie op dit vlak door mensen naar bijvoorbeeld een wachtwoordmanager te leiden, of wat überhaupt een sterk wachtwoord is, vind amper plaats.

[Reactie gewijzigd door Polderviking op 22 juli 2024 17:49]

Polydeukes @blackdiablo • 9 februari 2022 15:17

Dat is helemaal niet nodig. Bij het instellen van MFA/2FA moet je back-up codes downloaden. Daarmee kun je altijd, ook zonder telefoon, inloggen. Je kunt er zelf voor kiezen deze codes veilig op te slaan of zelfs te printen en ergens te fysiek te bewaren.

Herko_ter_Horst

8 februari 2022 20:26

Ik vind 50% reductie nog behoorlijk aan de lage kant eigenlijk. Waarom is dit niet richting de 100%?

Strebor

@Herko_ter_Horst • 8 februari 2022 20:29

Want voor heel veel Google accounts is 2FA nog niet vereist.

Edit:
Zoals anderen aangeven. 50% van de gebruikers met 2FA worden alsnog gehacked. Wow...

Dat zet je te denken, dat de Google 2FA methode, die een popup notificatie vanuit de Gmail app op je smartphone tovert, te veel false positives veroorzaakt. Als iemand jouw wachtwoord weet te achterhalen en op het web inlogt op jouw Google account, dan krijg je een popup op je smartphone. Grote kans als je net met je smartphone bezig bent, dat je in een reflex op de popup drukt, en de indringer vervolgens meteen binnen is.

Een extra stap, om zeker te weten dat het de bedoeling is van de account eigenaar dat er wordt ingelogd, lijkt me duidelijk nodig.

Edit 2:
Zoals @jmmk zegt: MFA zorgt voor een hack reductie van 50% onder de gebruikers met MFA.

Dat is bemoedigend, maar er is nog werk aan de winkel om ervoor te zorgen dat het verder vermindert. Nietsvermoedende smartphone gebruikers zouden nooit toestemming moeten geven voor een inlogpoging elders.

[Reactie gewijzigd door Strebor op 22 juli 2024 17:49]

Qwerty-273 @Strebor • 8 februari 2022 20:36

Google heeft het met de 50% reductie specifiek alleen over de accounts waar ze de tweede factor hebben verplicht.

Since last year’s initiative, we’ve successfully auto-enabled 2SV for over 150 million people, and we've also required it for over 2 million of our YouTube creators. As a result of this effort, we have seen a 50% decrease in accounts being compromised among those users.

Wellicht klikt de eindgebruiker nog steeds op een approve melding op de telefoon? Of een deel van de inbrekers heeft toegang tot de tweede factor (bijvoorbeeld de dader is bekende uit de omgeving van het slachtoffer).

moonlander @Qwerty-273 • 8 februari 2022 23:09

Het is ook zo makkelijk om op de knop: ja te drukken. Dat zou wat mij betreft echt wel wat moeilijker gemaakt kunnen worden. Bijvoorbeeld door een zin over te typen, en dan ook random elke keer zodat het niet automatisch gebeurt. Bijvoorbeeld Knab app. Als ik Ideal transactie doe moet ik 2 keer pincode invoeren. Soms gebeurt dat zo automatisch dat ik het overzicht niet eens gezien heb waarvoor ik betaal. Hier zouden ze je het bedrag nog een keer in laten typen wat je wilt overmaken.

De Vliegmieren @moonlander • 9 februari 2022 04:39

Microsoft doet dit al met AzureMFA, waar ik gevraagd wordt een getal onder de hondert over te typen van het scherm. Dus niet langer drie knoppen met 1/3e kans dat je 'goed gokt', maar nu slechts 1% kans dat je de push mfa van iemand anders per ongeluk goedkeurt.

Qlimaxxx @De Vliegmieren • 9 februari 2022 07:48

Dat is niet MFA, maar alleen bij passwordless login. Als je alleen MFA aan hebt staan is het alleen een kwestie van goedkeuren en eventueel biometrische/pin verificatie.

Microsoft heeft tenminste wel een aparte app voor deze pushberichten. Ondanks dat Google met Google Authenticator een van de meest gebruikte MFA apps heeft, mist deze veel functionaliteit. Geen backup, geen biometrische beveiliging, geen pushberichten.

Ironisch genoeg gebruikt Google dan weer Gmail voor de notificaties. En dat terwijl Gmail al genoeg meldingen genereert, dus zijn gebruikers sneller geneigd zonder te lezen op goedkeuren te klikken.

[Reactie gewijzigd door Qlimaxxx op 22 juli 2024 17:49]

De Vliegmieren @Qlimaxxx • 9 februari 2022 10:15

Dat kan wel degelijk voor MFA dienen: als ik bijvoorbeeld inlog op de azure gebruikersportal om mijn authenticatie methodes te beheren, dan vraagt Microsoft Authenticator (bezit factor) om de 2-cijferige code gevolgd door een biometrische authenticatie = MFA

[Reactie gewijzigd door De Vliegmieren op 22 juli 2024 17:49]

Qlimaxxx @De Vliegmieren • 10 februari 2022 09:58

Ik denk dat je het over hetzelfde hebt als Laurens hieronder. In dat geval moet ik toegeven dat wat ik zei incorrect was. Microsoft weet dat dan weer wel lekker goed te verstoppen.

laurens0619 @Qlimaxxx • 9 februari 2022 20:20

Ja/nee
Deze feature is sinds afg november in public preview

Werd ook tijd! Hotmail was beter beveiligd met mfa dan azure

Qlimaxxx @laurens0619 • 10 februari 2022 09:56

I stand corrected. Vind het ook vreemd dat Azure soms achterloopt op Microsoft voor consumenten. Soms zijn features die ingebakken zitten bij een MS account, best wel prijzige upgrades voor M365 of Azure AD. Dan is security ineens optioneel en geld binnenharken de primaire focus, althans zo lijkt het.

[Reactie gewijzigd door Qlimaxxx op 22 juli 2024 17:49]

laurens0619 @Qlimaxxx • 10 februari 2022 10:04

Klopt maar in dit geval was zelfs een prijzige upgrade niet eens een optie.
Dat MFA liep gewoon bizar achter op consumer mfa maar ook bv OKTA:
- Geen geolocatie met info vanaf waar de 1st factor login plaatsvond
- Beperkte logging in Azure AD over de 2e factor
- Wel push maar niet die extra veiligheid met 1 van de 3 getallen kiezen zoals hotmail die al had

Persoonlijk vind ik het jammer dat ze nu gekomen zijn met alleen een optie met vrije text invoer bij de push. Ja wel veilig maar eigenlijk zijn we dan terug bij af en is het weer OTP:P
Had er dan 6 kleurtjes/getallen van gemaakt waar je op het juiste object moet kiezen. Ik denk dat mensen sowieso minder snel drukken als ze daar iets moeten kiezen en ook al doen ze het, dan moeten ze maar net goed gokken.

"Security at the expense of usability comes at the expense of security"
Dat gaat hier ook op. Dit kan weer weerstand/shadow it veroorzaken en ben je netto minder veilig

theredone51 @moonlander • 8 februari 2022 23:51

Zo hebben ze hier in BE, voor sommige websites, als je inlogt met 'It's me' (soort Digi-D 2FA) dat je buiten je vingerafdruk / code ook nog moet opgeven welk symbool (driehoek, cirkel, etc.) er op de website te zien is.

Wel geen idee waarom die sites dat niet gewoon allemaal doen

Polydeukes @theredone51 • 9 februari 2022 15:22

Inderdaad, mogelijkheden genoeg. Zoals digi-d: eerst een QR-scannen, dan zie je heel groot in beeld bij welke dienst je inlogt, en daarna nog een keer bevestigen met een pincode van 5 cijfers. Werkt uitstekend en ik vind het gebruiksvriendelijk.

Gropah @moonlander • 9 februari 2022 08:14

Alsjeblieft niet zeg. Je wilt het gebruikers gemakkelijk maken. Zinnen overtypen op een telefoon is gewoon knuddige voor de gebruikerservaring. Als je iets van variatie in wil brengen zodat het geen automatisme word zou ik eerder knoppen gaan verschuiven zodat de accept knop nooit op dezelfde plek zit, of wellicht een simpel sommetje introduceren waarbij het goede antwoord de accept knop is oid.

P_Tingen @moonlander • 9 februari 2022 08:20

Wat een gedoe, we hebben daar allang de TOTP standaard voor; vier of zescijferige code naar de telefoon sturen en die in laten tikken.

Polderviking

@moonlander • 9 februari 2022 11:43

Dat is gewoon een operationele consequentie van "google prompt". (die popup op je telefoon)

Als je daar aan gaat trekken door mensen ook zinnen te laten overtypen kan je net zo goed gewoon terugvallen op TOTP.
Het hele punt van Google Prompt is dat dit een 2 factor mechanisme is met zo min mogelijk "gedoe", en ik snap die invalshoek wel gezien er heel veel mensen afhaken als er ook maar het minste ongemak bij komt kijken.

Binnen dat google prompt wordt ook heel bewust gevraagd of jij op dit moment probeert in te loggen.
Iedereen kan wel eens misklikken enzo dus ik snap het ergens wel maar als je rucksichtslos op JA klikt terwijl jij niks aan het doen bent en dan gaan er geen alarmbellen af dan moet je gewoon denk ik maar helemaal van internet af blijven hoor.
Het houd een keer ergens op.

[Reactie gewijzigd door Polderviking op 22 juli 2024 17:49]

S-1-5-7 @Qwerty-273 • 8 februari 2022 21:43

Wellicht klikt de eindgebruiker nog steeds op een approve melding op de telefoon?

Dat zou goed kunnen. Men denkt nog te vaak met MFA alles te hebben afgedekt, terwijl vele gebruikers de melding goedkeuren ook al zijn ze op dat moment niet bezig om ergens in te loggen.

Er zijn zelf beheerders die zich daar schuldig aan maken...

geek: Tweaker ontdekte admingegevens Azure-ontwikkelomgeving Belastingdienst ...
Een inlogpoging leerde SchizoDuckie dat het geldige gegevens waren, maar het account was beveiligd met meerfactorauthenticatie. Tot zijn verbazing werd de inlogpoging echter bevestigd door de eigenaar van het account

azortje @S-1-5-7 • 8 februari 2022 21:53

Lijkt misschien vreemd, maar in mijn ervaring loopt een keychain ook niet altijd lekker waardoor outlook op mijn mac of windows laptop soms constant loopt te vragen om opnieuw mijn gegevens in te voeren.

Al die applicaties die constant op de achtergrond proberen te authenticeren kan er dus toe lijden dat je een 2fa request niet enkel met een inlogpoging door een persoon associeerd.

SubSpace

@azortje • 9 februari 2022 09:24

Klopt, ik krijg ook regelmatig onverwacht push-notificaties die ik dan weliswaar negeer, maar achteraf blijkt er dan spontaan een authenticatiedialoog op m'n werklaptop open te staan 🙁

Sowieso word ik gek van Microsoft-accounts, ondanks dat ik aangeef ingelogd te willen blijven, log ik 5 keer per dag opnieuw in op Teams of Outlook.

Spektaculair @Qwerty-273 • 9 februari 2022 11:11

Dit is voor mij de reden dat ik liever een app gebruik zonder push notificaties, waarbij ik zelf de code moet overtypen. Iets minder gemak maar geen risico dat ik per ongeluk iets goedkeur.

Zelf ben ik uitgekomen bij de open source app Aegis Authenticator. Die app kan je met vingerafdruk beveiligen en je kan een versleutelde back up maken van de sleutels voor het geval je je telefoon kwijt raakt. Dan moet je alleen niet het wachtwoord vergeten om de backup te ontsleutelen.

WittiW @Qwerty-273 • 8 februari 2022 21:27

Precies wat je zegt. Mens blijft een zwakke schakel. Hoe kan je in godsnaam een plotsteling 2 fma verificatie toestaan als je zelf uit je neus aan het peuteren bent?

Wel, bij het bedrijf waar ik nu een beetje mee werk, was de score van het middelmanagement 75% op het moment dat ze dachten dat het iets met de COO te maken had...

Marve79 @WittiW • 8 februari 2022 21:38

Soms is het ook te makkelijk. Je zit te browsen en je krijgt ineens een melding die je snel weg wil drukken.

lethalnl @Marve79 • 8 februari 2022 22:22

echt een stukje muscle memory, vooral als je heel vaak die MFA te zien krijgt kan ik me voorstellen dat het automatisch gaat.

jmmk @Strebor • 9 februari 2022 01:53

50% reductie van de hacks bij 2FA betekent niet dat 50% van de gebruikers met 2FA alsnog worden gehackt...

RuddyMysterious @jmmk • 9 februari 2022 12:50

Wat wilt het dan wél zeggen, als het dát niet wilt zeggen?

Polydeukes @RuddyMysterious • 9 februari 2022 15:26

Stel, puur hypothetisch:
Vóór de introductie van MFA werd 4% van alle accounts sucsesvol gehackt.
Sinds de introductie van MFA is dit met 50% teruggebracht van 4 naar 2%.
In absolute aantallen gaat het dan om enorm veel accounts die dus niet meer gehackt worden.

[Reactie gewijzigd door Polydeukes op 22 juli 2024 17:49]

RuddyMysterious @Polydeukes • 9 februari 2022 20:17

Och juist, ik dacht dat jmmk bedoelde dat als MFA accounts voor 50% minder gehackt werden, dat daarom die resterende 50% niet per se gehackt werd.

kodak

Networking en security

@Strebor • 8 februari 2022 20:37

Alleen lijkt het percentage te gaan om de gebruikers die overgestapt zijn op 2FA, niet op alle gebruikers.

Since last year’s initiative, we’ve successfully auto-enabled 2SV for over 150 million people, and we've also required it for over 2 million of our YouTube creators. As a result of this effort, we have seen a 50% decrease in accounts being compromised among those users.

Among those gaat niet spontaan over een grotere groep dan eerder het onderwerp was.

Iblies @kodak • 9 februari 2022 11:18

Inderdaad.

Wat er dus wordt gezegd is dat de helft van de aanvallen nog wel lukt wat je te denken geeft.

De oplossing is niet zaligmakend. En voor de doorsnee burger zal het weinig uitmaken,
het antwoord dat ik graag zou zien wie en waarom. Is er een correlatie tussen de mensen waarbij het nog steeds blijkbaar lukt. Is het de techniek die optimaal is.

Als bedrijf of overheid geeft 50% mij meer vragen dan antwoorden.

Herko_ter_Horst

@Strebor • 8 februari 2022 20:33

Ah ja, goed punt, het is voor "maar" 150 miljoen accounts verplicht gemaakt.

logix147 @Strebor • 9 februari 2022 00:29

Is het niet zo dat je altijd 2 x moet tikken?
Als ik met MS inlog bijv dan moet ik op de push tikken en daarna op “ja” of het getal.
Bij DUO moet ik dat ook.

Google gebruik ik niet vaak genoeg om de UI precies te herinneren..

Fairy @Strebor • 9 februari 2022 09:40

Wat nog steeds mist is een 2weg verificatie. Als ik op mijn Microsoft account inlog moet ik ook goedkeuren, maar in een onoplettend moment kan ik inderdaad op goedkeuren drukken terwijl ik in het bos een wandelingetje aan het maken ben.

Ik zou liever zien dat mijn telefoon een code laat zien (al is het maar 3 letters/cijfers) die ik dan weer moet invullen op de computer, dan kan ik nooit per ongeluk akkoord geven, want de info van je telefoon moet weer ingebracht worden op de site en dat is vrijwel onmogelijk als het een hacker is aan de andere kant van de wereld die geen contact met mij heeft.

[Reactie gewijzigd door Fairy op 22 juli 2024 17:49]

Paul van Druten @Fairy • 9 februari 2022 11:12

Per ongeluk kunje bij Android voorkomen als je insteld dat je telefoon geen gevoelige notificaties mag tonen in het aanmeldscherm...

Fairy @Paul van Druten • 9 februari 2022 11:20

Je kan niet van alle gebruikers verlangen dat ze dit soort dingen zelf gaan instellen laat staan er op toezien.
Alleen al het feit dat MFA gebruikt wordt is voor ons al een flinke belasting omdat ondanks alle uitleg gebruikers massaal naar ICT gaan bellen omdat een groot deel persoonlijk geholpen willen worden bij het instellen in plaats van de instructie te lezen. Gebruikers......

Paul van Druten @Herko_ter_Horst • 9 februari 2022 11:10

Precies mijn gedachte 99% zou ik verwachten of idd 100%

terabyte 8 februari 2022 20:23

prima, 2FA, maar geef /altijd/ de optie om TOTP te gebruiken zonder ooit een telefoonnummer te vereisen
Ik geef niet graag mijn telefoonnummer aan een big-tech advertentiebedrijf.

(Deze comment is niet specifiek op Google gericht)

adam76 @terabyte • 8 februari 2022 20:31

Ja kan toch ook gewoon google authenticator gebruiken of een yubikey. Ik gebruik ook een combo van beide.

DataGhost

@adam76 • 9 februari 2022 00:03

Je moet eerst een telefoonnummer opgeven of met je Google-account inloggen op een smartphone voordat je uberhaupt de authenticator (a.k.a. gewoon TOTP) kan kiezen als 2FA-optie. Wil je die eerste twee dingen niet doen, blijft er niks anders over dan geen 2FA gebruiken. Heel irritant. Ik heb bijvoorbeeld een bedrijfsaccount waar ik geen telefoonnummer aan wil koppelen en er ook weinig voor voel om die op een van m'n smartphones toe te voegen, geef me gewoon TOTP als primaire keuze. (Deze comment is wel specifiek op Google gericht, maar er zullen ongetwijfeld meer bedrijven zijn met een dergelijk trieste implementatie)

Polderviking

@DataGhost • 9 februari 2022 11:53

Google eerste keuze is sowieso die "Google Prompt" service van ze (pop up op je smartphone) en niet het veiligere TOTP. (veiliger omdat je expliciet een code moet opzoeken en invoeren in plaats van gewoon op OK moet klikken)
TOTP kan je alleen maar als backup toevoegen voor zover ik kan zien en dus niet als primair mechanisme.

[Reactie gewijzigd door Polderviking op 22 juli 2024 17:49]

Sp3ci3s8472 @adam76 • 8 februari 2022 22:41

Dan draag ik gelijk wat beters aan dan google authenticator (niet beter dan een yubikey waarschijnlijk). AndOTP een opensource authenticator app die ook te beveiligen is met een pin.

Polderviking

@Sp3ci3s8472 • 9 februari 2022 12:13

Ik gebruik zelf Aegis, dat ziet er m.i. net iets gelikter uit, maar is verder meer van hetzelfde.
Staat ook in F Droid.

Step5 @Polderviking • 9 februari 2022 23:12

ah tnx, mooie tip

Alxndr

@terabyte • 9 februari 2022 01:13

Te makkelijk. Met voorwaarden is gewoon afgedekt dat je nummer enkel voor 2fa gebruikt wordt. Heb jij ooit van iemand gehoord die van grote bedrijven als Google spam telefoontjes of sms'jes krijgt? Ik niet ...

[Yellow] @Alxndr • 9 februari 2022 10:55

Het gaat er niet over dat Google je wellicht spam gaat sturen. Het gaat erover dat een telefoonnummer herleidbaar is naar echte personen en bijbehorende gegevens. Dat ik een account bij Google heb waarmee ze kunnen zien waar mijn interesses liggen is tot daar aan toe. Maar als ze dat ook nog kunnen herleiden naar mijn woonadres of andere zaken dan wordt het een ander verhaal. Uiteraard een persoonlijke mening.

Alxndr

@[Yellow] • 9 februari 2022 11:57

Zoals ik het zie moet je kiezen tussen twee kwaden: of je geeft Google ed je telefoonnummer zodat je gegeven in je accounts beter beschermd zijn tegen (onbekende/kwaadwillende) derden, of je stelt jezelf meer bloot aan die derden met alle risico's van dien...

De beste en enige manier om je privacy te beschermen is gewoon door offline te blijven, want jezelf 100% beschermen is een illusie. Vroeger of later lekt er door je eigen slordigheid (een misklikje hier of daar) of slordigheid/nalatigheid van een ander altijd wat uit. Sowieso is voor grote reuzen als Google, Meta AIB etc alles herleidbaar. Zij hebben op basis van je zoek- en surfgedrag, cookies en trackingpixels veel personlijker informatie dan die paar cijfertjes van je telefoonnummer.

Frame164 @Alxndr • 9 februari 2022 08:11

Dat ja. Ik snap eerlijk gezegd niet waar de paranoia rondom telefoonnummers vandaan komt. Nog niet zo lang geleden werden NAW gegevens incl. Telefoonnummers huis aan huis verspreid. Echte spammers hebben ook geen individuele nummers nodig: die spammen gewoon hele nummerreeksen.

lighting_ @terabyte • 8 februari 2022 20:37

Heb je een android. Den hebben ze het al

Dream_ON @lighting_ • 8 februari 2022 20:47

Je kunt toch meerdere accounts hebben?

lighting_ @Dream_ON • 8 februari 2022 21:18

Klopt. Neemt niet weg dat ze wel via omwegen achter komen wie jij bent. Denk aan de adressen boek van je bekenden in Android. Whatsapp, LinkedIn etc.

loki504 @Dream_ON • 9 februari 2022 06:26

Ze linken alles aan elkaar wat los en vast zit. Zo durf ik met bijna zekerheid te zeggen dat FaceBook je telefoonnummer heeft met je naam.
Puur uit het telefoonboek van andere gebruikers van Whatsapp.

Verwijderd @terabyte • 8 februari 2022 23:11

Exact dat ja! 👍

freycinet 8 februari 2022 21:19

In principe voorstander van 2FA, maar onlangs toch een flinke domper: Was weekje in een buitenland. Kon met geen mogelijkheid roaming aan de praat krijgen. (vml verouderde SIM kaart) ---> niet meer bellen, geen SMS ---> kon niet meer inloggen om wat essentiele documenten uit gmail te halen.... en had natuurlijk de reserve-codes niet bij me want die liggen in de kluis... tja... 2FA...

jongetje

@freycinet • 8 februari 2022 21:25

En er was nergens wifi om je telefoon mee te verbinden? Je kunt het ook overdrijven, als die documenten zo belangrijk zijn dan had je die toch op papier mee kunnen nemen.

freycinet @jongetje • 8 februari 2022 21:38

Laptop aan WiFi, inloggen Gmail met 2FA code via SMS. laatste werkte dus niet...
Klopt dat je documenten op papier kan meenemen, maar met papier sjouwen ben ik in 1999 gestopt.
Dat iets robuusts als SMS niet zou werken had ik nooit verwacht en ook niet eerder meegemaakt.
(Smartphone heeft geheel ander gmail-account voor de minder serieuze zaken.)

Strebor

@freycinet • 8 februari 2022 23:25

En ook daarom (naast alle security issues) is een authenticator app zoals die van Google een veel beter idee dan SMS. Een authenticator app heeft geen verbinding nodig op je smartphone. Je back-up codes kun je in een secure vault op je smartphone en/of ipad opslaan.

Verwijderd @freycinet • 8 februari 2022 23:10

De oplossing voor dit probleem is Authenticator die maken elke 30 seconden een nieuwe 2FA code voor je en dat werkt ook 100% offline. Groot voordeel vind ik persoonlijk ook dat het veel sneller is ik heb altijd gelijk de code in beeld ipv wachten tot dat smsje een keer aankomt.

De Vliegmieren @Verwijderd • 10 februari 2022 12:36

OATH OTP is vatbaar voor man-in-the-middle aanvallen. Je kan veel beter FIDO2 gebruiken, maar dat moet wel via de browser van het apparaat waarmee je verbinding maakt (dus in-band).

[Reactie gewijzigd door De Vliegmieren op 22 juli 2024 17:49]

Robbedem @freycinet • 9 februari 2022 07:21

Overlaatst kreeg ik geen SMS van Google. (geen idee wat het probleem was)
Maar ik heb gewoon offline kunnen bevestigen voor 2FA. (via code die op je GSM staat)

Qwerty-273 8 februari 2022 20:26

Het grootste probleem met zulke grote organisaties en de kleine consument is dat je uiteindelijk komt op een punt dat je jezelf moet gaan identificeren bij elk account. Want hoe kan men anders verifieren wie je claimt te zijn op het moment dat de tweede factor kapot is (smartphone/token). Op dit moment ben je dan vaak de pineut en heb je weinig leverage om door te dringen bij support als kleine consument (met een „gratis” account)

david-v

@Qwerty-273 • 8 februari 2022 20:35

Je hebt back-up codes én je zou eventueel ook het telefoonnummer van je partner (als je die vertrouwd

) kunnen toevoegen. De meeste mensen denken hier echter niet aan, maar dit staat wel enigszins los van grote/kleine bedrijven. Beveiliging moet op orde zijn en dat betekent dat je als consument ook een verantwoordelijkheid hebt om aan te tonen dat jij de eigenaar bent van de account, anders wordt het wel heel makkelijk om een account over te nemen.

Ik zou het bijvoorbeeld niet waarderen als een dergelijke partij met mijn postcode en geboortedatum genoegen neemt als verificatie.

thedicemaster @david-v • 8 februari 2022 21:15

die backup codes krijg je niet vanzelf.
veel mensen zullen denk ik niet van de backup codes weten tot de Google website gaat vragen om die codes omdat je niet kan inloggen.

dimdek 8 februari 2022 20:32

Het belang van Google is natuurlijk dat er zoveel mogelijk apparaten met elkaar in verband worden gebracht. Zo krijgen ze een nog nauwkeuriger profiel van de gebruikers. Verder willen ze het liefst dat andere partijen ook gebruik maken van hun tweestapsverificatiesystemen. Dan krijgen ze nog meer data binnen. Ik denk dus dat de resultaten niet helemaal representatief zijn, maar door de marketingafdeling zijn opgesteld. Zo hebben ze straks nog beter in de hand wanneer je je device moet afdanken en een nieuwe moet gaan kopen. Je kunt ook nergens meer naartoe zonder je telefoon al was het alleen voor de tweestapsverificatie.
Zo is het ook gegaan met Recaptcha dat er nu voor zorgt dat ik een heleboel sites niet meer kan bezoeken omdat ik de Google domeinen blokkeer.

Bender @dimdek • 9 februari 2022 00:01

Leuke theorie, maar hoe krijgen ze dan meer data dankzij 2fa?

En dat websites recpatcha gebruiken is niet de schuld van Google... Waarschijnlijk krijg je overigens hcaptcha en dat is niet eens van Google....

biglia 8 februari 2022 20:45

Onlangs werd bekende vlogger Gio gehackt. Hij had naar eigen zeggen 2FA toch ingeschakeld. Hoe hebben ze zijn account overgenomen? Heeft hij een verkeerd programma geïnstalleerd en heeft dat programma vervolgens zijn cookies doorgestuurd? Is het zo eenvoudig?

Taro Moderator General Chat / Wonen & Mobiliteit @biglia • 8 februari 2022 23:00

Een 2FA code per SMS laten versturen en zijn telefoonnummer aan een andere SIM-kaart gekoppeld?

Daarom wordt het ook afgeraden om een 2FA code per SMS te laten versturen, doe dit altijd met een lokale app. Iemand met toegang tot tooling van een provider kan aan SIM-swapping doen. Vermoed dat het deze optie is geweest.

sypie @biglia • 8 februari 2022 21:05

Of hij klikt net als een sysadmin bij de belastingdienst (was het toch?) op OK op de telefoon zonder verder na te denken of hij wel daadwerkelijk inlogt op dat moment.

Full_hyperion 8 februari 2022 20:28

Ik vind 50 procent minder gehackte accounts eigenlijk nog wel erg weinig. Ik had een grotere impact verwacht.
Daarnaast mist de andere kant van de medaille in dit artikel: hoeveel last hebben deze gebruikers gehad van 2FA, bijvoorbeeld door niet meer bereikbare accounts.
Door dit lage percentage, en gebrek aan tegengeluid, is het een beetje non-nieuws wat mij betreft.

Begrijp me niet verkeerd, ik ben groot voorstander van 2FA, maar zonder verdere gegevens betekent dit bericht niet zo veel, en is het vooral een excuus om 2FA verplicht te maken.

slijkie 8 februari 2022 20:40

Ook erg fijn dat Tweakers TOTP 2FA hebben, nu nog support voor de hardware keys.

Ben afgelopen tijd begonnen met overschakelen naar de hardware sleutel, Yubikey in mijn geval, de solokey is ook een leuke optie. Iets wat je gewoon altijd aan je sleutelbos hebt hangen, een 2e in de kluis. De kans dat ik fysiek ‘gegrepen’ wordt door iemand is zoveel kleiner dan digitaal. Plus als iemand het fysiek op je gemunt heeft maakt het ook niet veel meer uit.

Tevens de snelheid van de TOTP met een desktop app en een hardware key. Mocht je dus een USB dock hebben bij je toetsenbord of usb poorten in je toetsenbord zelf. Heb je veel sneller de 2FA code dan je telefoon te moeten pakken, unlocken, app vinden, scrollen en de dienst vinden en overtikken.

Al met al, zie ik zelf erg veel potentie in hardware sleutels voor de toekomst. Het fysiek bij je dagen ervan.

JonnyTheG @slijkie • 9 februari 2022 13:11

Een nog snellere en makkelijkere optie is als je de TOTP codes opslaat bij je inloggegevens in Bitwarden Premium of Bitwarden met Vaultwarden.
Dan word de TOTP code namelijk naar je klembord gekopieerd zodra je inlogt. Je hoeft hem dan alleen nog maar te plakken. Dat werkt ook op je mobiel. En je kan het ook nog eens delen.

gaskabouter 8 februari 2022 20:45

Oma dus net een nieuwe telefoon gekocht.... Kost me uren alles in te stellen. Zo'n briefje met haar "wachtwoorden"....

Het probleem is dat het allemaal wel veiliger kan maar niet vanzelf makkelijker. En de toekomst zal digitaal zijn maar dat betekent dat ook mensen die daar niet zelf voor kiezen, geen affiniteit, negatieve leercurve ga zo maar door, wel het internet opgaan voor Facebook en hetzelfde wachtwoord kiezen voor de bank en DigiD.

Er moet dus echt aandacht komen om het op een eenvoudige manier veilig te maken dus ik ben wel blij dat Google en Microsoft hierin investeert. Of dat ook de partijen zijn waar we het van moeten hebben is dan weer een ander punt

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (103)

Sorteer op:

Weergave: