Google wil stoppen met sms-verificatiecode bij aanmaken Gmail-account

Google wil stoppen met het gebruiken van sms-verificatiecodes bij het aanmaken van een Gmail-account. In plaats daarvan zouden gebruikers een QR-code moeten scannen. Het bedrijf wil hier de komende maanden aan werken.

Het gebruiken van QR-codes moet de phishingrisico's beperken en maakt Google minder afhankelijk van providers, zegt het bedrijf tegen Forbes. Met dat laatste doelt het bedrijf op providers waarbij het 'makkelijk is' om de provider om de tuin te leiden en zo het telefoonnummer van een ander kapen. Criminelen kunnen dan met dat gekaapte telefoonnummer Gmail-accounts aanmaken op naam van een ander, zegt het bedrijf.

Google wil wel met verificatiecodes blijven werken, om er zeker van te zijn dat de gebruiker is wie hij of zij zegt en om misbruik tegen te gaan. In plaats van sms'jes, moet dat straks echter met een QR-code gebeuren die gebruikers moeten scannen bij het aanmaken van een nieuw account. Google geeft nog geen details over hoe dit in de praktijk gaat werken en wanneer dit voor gebruikers beschikbaar moet komen.

Reacties (43)

The Zep Man

Beveiliging en antivirus
Google

24 februari 2025 18:51

Titel:

Google wil stoppen met sms-verificatiecode bij aanmaken Gmail-account

Dit klopt niet. Google wil geen SMS meer toestaan voor authenticatie (inloggen). Voor een account aanmaken (registreren) zal Google nog steeds een telefoonnummer verifiëren. De eis van een bereikbaar telefoonnummer is een bewuste drempel in het registratieproces, en die gaat echt niet verdwijnen.

Het noemen van "QR-code" slaat op het gebruik van een ander apparaat met een camera om in te loggen waarop de gebruiker al is ingelogd met het betreffende account. Dat wordt nu al ondersteund.

[Reactie gewijzigd door The Zep Man op 24 februari 2025 18:58]

laurxp @The Zep Man • 24 februari 2025 19:01

Tegelijkertijd, uit het bronartikel:

“Over the next few months, we will be reimagining how we verify phone numbers,” Richendrfer told me; “Specifically, instead of entering your number and receiving a 6-digit code, you’ll see a QR code being displayed, which you need to scan with the camera app on your phone.”

én:

“Just like we want to move past passwords with the use of things like passkeys,” Gmail spokesperson Ross Richendrfer told me, “we want to move away from sending SMS messages for authentication.”

Het lijkt er op dat ze er zelf ook nog niet helemaal over uit zijn of ze het hebben over authenticatie, verificatie, of wellicht beide.

ADR3 @laurxp • 24 februari 2025 19:24

Ze willen dus het probleem uit dit filmpje (van veritasium) omzeilen. Het is een heel serieus probleem. Het is ook de reden waarom je smsjes kunt krijgen van de bank met daarin het echte telefoonnr van de bank (fraudedesk meestal). Criminelen onderscheppen dan je telefoonnr en verbinden die met een ander telnr door dan hetgeen waar je naar belt. Vervolgens krijg je een crimineel aan de lijn die met een hoop verzamelde informatie (bijv. adresgegevens, naam, banknr,) over jou die je om de tuin probeert te leiden.
YouTube: Exposing The Flaw In Our Phone System

theobe @ADR3 • 25 februari 2025 09:20

Het is ook de reden waarom je smsjes kunt krijgen van de bank met daarin het echte telefoonnr van de bank (fraudedesk meestal).

Dit is niet de reden waarom je (gespoofde) nummers als afzender te zien krijgt. De echte reden is dat er allerlei SMS aanbieders / brokers zijn die geen validatie uitvoeren op de naam of nummer van de afzender.

Criminelen onderscheppen dan je telefoonnr en verbinden die met een ander telnr door dan hetgeen waar je naar belt.

Dit is niet wat veritasium aantoont in het filmpje. Zij tonen aan dat ze gesprekken en smsjes naar een specifiek getargetted mobiel nummer kunnen onderscheppen, door via SS7 signalering het home-netwerk kunnen laten "denken" dat het nummer aan het roamen is. Als je namelijk aan het roamen bent, krijg je een tijdelijk nummer van de operator waar je aan het roamen bent.
Het is dus niet zo dat een uitgaand gesprek omgeleid wordt zodat je de fraudeur/aanvaller aan de lijn krijgt. Het werkt namelijk alleen met mobiele nummers en ook nog eens voor een korte periode. Want als het toestel zich weer laat "horen" dmv een herregistratie / verbinding maakt met een andere paal, zelf een gesprek start, dan overschrijft dat de valse roamingregistratie.

Wat dit filmpje aantoont is dat je voor korte tijd gesprekken en sms-jes kunt afvangen. Om de relevantie met dit nieuwsbericht te schetsen: Wanneer je als aanvaller het emailadres en mobiele nummer van een persoon weet, zou je dus dmv misbruik in het SS7 protocol de SMS verificatiecode kunnen afvangen om zo als aanvaller je toegang te verschaffen tot de betreffende mailbox/google photos of andere diensten waarbij het google account gebruikt wordt om in te loggen (OIDC).

Tweeks @The Zep Man • 24 februari 2025 19:23

Een maandje geleden kon ik nog Gmail adressen aanmaken zonder telefoonnummer (wat me toen verbaasde overigens). In het verleden meen ik me te herinneren dat ik dit niet kon.

Er werd wel gevraagd of je dit voor extra veiligheid wilde instellen, maar gewoon te skippen.

Dat is wel gek dan

R4gnax @Tweeks • 24 februari 2025 20:16

Klopt. Heb ik een paar maanden geleden ook gehad toen ik een nieuwe tablet voor mijn ouders aan het opzetten was, die gratis apps uit de Play store willen kunnen installeren voor bijv. casual gaming, maar verder niet van plan zijn om gebruik te maken van die account voor email, betalingen, etc.

Dus kon gewoon een semi-throwaway zijn.

En daarna het gesodemieter om expliciet allerlei apps zoals Google's Photos app weer te gaan ontkoppelen, omdat Google op het moment dat er een Google account is, 'behulpzaam' je herinnert (lees: dwingt) om in te loggen zodra je hun apps start, waarna ze meteen beginnen data over te pompen als 'backup'. Je moet inloggen en je data delen om aan te geven dat je niet wilt inloggen en je data niet wilt delen...

Die_ene_gast @Tweeks • 25 februari 2025 12:02

Dat is bijzonder, want ik wilde laatst een throw away maar dat ging van geen kant.

GertMenkel

Google
Beveiliging en antivirus

@The Zep Man • 24 februari 2025 18:55

Dat is wel een belangrijk detail. Ze halen dus SMS 2FA weg, maar vereisen nog wel een telefoonnummer. Vond het al wat vreemd, want een QR-code zegt lang niet zoveel als een telefoonnummer.

Ik ben wel benieuwd wat die QR-code gaat interpreteren dan, op Android kun je "log in met Google" nog wel triggeren maar op iOS wordt dat al lastiger.

riffey#4 @The Zep Man • 24 februari 2025 22:18

De eis van een bereikbaar telefoonnummer is een bewuste drempel in het registratieproces, en die gaat echt niet verdwijnen.

Wel als je even in Albanië gaat "wonen""

tom.cx 24 februari 2025 18:19

Ik weet nou niet of qr-codes een goed alternatief is. Ik zie nu al phishing voorbij komen, 'scan de qr-code om te je gmail-account aan te houden'.

adje123 @tom.cx • 24 februari 2025 18:43

Ik zag op linkedin een filmpje voorbij komen van A4-tjes die door een stad waren geplakt met de tekst "hij is vreemdgegaan en dit is zijn straf" iets in die strekking.
Om de straf te zien kon je een QR code scannen. Mensen scanden massaal......, uiteindelijk ging het om reclame van een bedrijf.

Triblade_8472 @adje123 • 24 februari 2025 19:08

Ik kan die niet vinden, heb je een linkje? Klinkt interessant!

Alvast bedankt.

adje123 @Triblade_8472 • 24 februari 2025 19:10

Het is linkedin....., zoeken is geen optie.

supersnathan94 @adje123 • 24 februari 2025 20:10

Ohja. Mooi is dat he? Zie je iets interessants. Moet je er meteen wat mee doen, want na 5 minuten vind je het al jiet meer terug.

TheVivaldi @supersnathan94 • 25 februari 2025 10:04

Zelfde op Reddit.

dehardstyler @TheVivaldi • 25 februari 2025 10:52

Op Reddit heb je toch gewoon je historie?

TheVivaldi @dehardstyler • 25 februari 2025 11:54

Maar niet alles wat je aanklikt staat daar in. Bij mij in elk geval niet.

GertMenkel

Google
Beveiliging en antivirus

@tom.cx • 24 februari 2025 18:57

Momenteel moet je een code van je telefoon intypen, straks moet je een QR-code scannen. Beide zijn even makkelijk phishbaar als je de loginpagina van Google kopieert en mensen overtuigt hun wachtwoord in te vullen.

Wellicht dat de QR-code naar een applicatie wijst die nog een bevestiging vraagt dat je daadwerkelijk probeert in te loggen. Ik denk niet dat de code blind wordt geaccepteerd zodra je een URL bezoekt.

roelboel 24 februari 2025 18:22

Dit verbaast me. We weten ondertussen allemaal dat Google een advertentiebedrijf is dat producten ontwerpt om nog meer data van mensen op te slurpen. Een telefoonnummer is weer een extra datapunt, en voor gewone sterveling als ik een behoorlijk uniek identificerend ding.

catfish @roelboel • 24 februari 2025 18:33

Aangezien zowat iedereen een Android smartphone heeft of een iPhone met een Google app, hebben ze die nummers al. Je maakt je nodeloos zorgen.

pete4live @roelboel • 24 februari 2025 18:37

Niet alles wat Google doet hoeft direct gekoppeld te worden aan het wel of niet verzamelen van data.

Google voert regelmatig ook gewoon wijzigingen door in het belang van de gebruiker. Google heeft er namelijk niets aan als gebruikers gehackt worden of als er teveel bots gebruik maken van de servers.

GertMenkel

Google
Beveiliging en antivirus

@roelboel • 24 februari 2025 18:38

Naam + telefoonnummer kun je gratis van de servers van WhatsApp scrapen, daar heeft Google die informatie echt niet voor nodig.

Telefoonnummers zijn lastig te krijgen zonder daarvoor te betalen, in diverse EU-landen zelfs onmogelijk zonder je legitimatiebewijs ergens een keer tevoorschijn te halen. Dat maakt het vereisen van een nummer een makkelijke manier om massaal spamaccounts aanmaken enigszins tegen te gaan. Zelfs al kost het een euro of een half uur per nummer, zet het een rem op het maken van een account.

Een telefoonnummer is niet uniek identificerend. Een vaste lijn wordt vaak door twee of meer mensen gedeeld, en doet het prima bij het aanmaken van accounts online (al is het krijgen van die codes soms een beetje omslachtig). Ook mobiele telefoonnummers worden nog wel eens door meerdere mensen gedeeld, dus als je nummers als primary key opslaat voor accountverificatie zit je als ontwikkelaar goed verkeerd en verdien je de vage helpdeskklachten om half tien 's avonds van klanten die zich ineens niet kunnen registeren.

[Reactie gewijzigd door GertMenkel op 24 februari 2025 18:38]

lenwar

Google
Beveiliging en antivirus

@roelboel • 24 februari 2025 21:24

Je denkt toch niet dat de advertentietak het ook maar wat kan schelen 'wie' iemand is. (als in welke natuurlijke persoon). Ze maken profielen. Dat is dus gewoon profiel 345673489765348976: Persoon die zich identificeert als man, van tussen de 30 en 35, hobbies: duiken, kantklossen, wonend in een twee-onder-een-kap-woning in zuid-west Gelderland, 2 kinderen, 1 partner, 1-ex., enz.

laurxp @roelboel • 24 februari 2025 18:38

Ze zeggen niet dat ze telefoonnummer bevestiging de deur uit doen, hè? Ik vermoed dat ze van plan zijn om over te stappen naar een verplichte smartphone-app die de controle doet, en op die manier je telefoonnummer kan bevestigen.

Oon

24 februari 2025 18:17

Goeie zaak. Er is inmiddels wel bewezen dat met of zonder medewerking van de provider het érg makkelijk is om volledige controle te krijgen over de SMSjes en telefoongesprekken van en naar een telefoonnummer. Net als e-mail is het gewoon absoluut onveilig en niet te vertrouwen als optie voor multifactor authenticatie.

nieuwveen @Oon • 24 februari 2025 22:23

Maar zijn er echt gevallen bekend van sim swapping? Op tweakers lees je hier eigenlijk nooit iets over. En tegenwoordig kan je dit ook bij je provider beveiligen met een extra wachtwoord.

Oon

@nieuwveen • 25 februari 2025 13:30

Het is niet alleen sim swapping, er zijn zoveel attack vectors die volledig uit de controle van jezelf en zelfs je provider liggen. Provider is één ingang, maar niet de enige.

Triblade_8472 24 februari 2025 19:09

Dus een plugin die QR codes kan vervangen met spam zijn beter dan een veilig smsje?

Ik durf te wedden dat een SMS onderscheppen een berg duurder, ingewikkelder is en lokaal uitgevoerd moet worden, dan een QR code vervangen/hacken/aanpassen.

FairPCsPlease 24 februari 2025 21:58

Hoe moet dat dan voor mensen die één apparaat hebben waarop ze een Gmail-account aan willen maken en geen ander apparaat daarnaast waarmee je een camera kan richten op je eerste apparaat? Of het enige apparaat met camera dat je hebt juist degene is waar je de QR-code op opvangt? Spiegeltje gebruiken?

revengeyo 24 februari 2025 18:57

Simkaartjes zijn overal makkelijk te verkrijgen, ook online en ook gratis.
Het is een hele kleine moeite voor een potentiële fraudeur om een simkaartje in een telefoon te doen om een SMS te ontvangen.
Bovendien zijn er ook online SMS diensten te vinden, en dan heb je dus helemaal geen fysieke simkaart meer nodig.
Een SMS verificatie is dus een hele kleine beveiliging van Google

PhaeTom @revengeyo • 24 februari 2025 20:43

Ik begrijp jouw verhaal niet zo goed. Volgens jou is het allemaal een kleine moeite, hele kleine beveiliging, maar het is toch niet zó makkelijk voor een fraudeur om mijn nummer te kapen bij een grote provider? Dan moet hij toch eerst zichzelf al voor zien te doen als mijzelf, zodat de provider hem een nieuwe simkaart stuurt voor mijn nummer, of mijn nummer naar zijn SIM porteert? Wat wil je nu eigenlijk zeggen?

revengeyo @PhaeTom • 25 februari 2025 00:10

Nou er staat voor het aanmaken van een Google account heb je een telefoonnummer nodig. En dat klopt.

Patrick1995 @revengeyo • 25 februari 2025 01:38

Het hangt er vanaf wat je doel is. Het is een kleine moeite om één extra nummer te nemen. Maar als je nep Google reviews wilt plaatsen en 1.000 accounts nodig hebt, is het een ander verhaal. Dan heb je 1.000 telefoonnummers nodig en dan is het een hele klus.

-jacQues- 24 februari 2025 18:35

Een QR-code scannen? Dus dan kun je geen Gmail account meer aanmaken op je mobiel, lĳkt me?

Waarom niet gewoon Google authenticator als optie bieden?

R4gnax @-jacQues- • 24 februari 2025 20:11

Andere vraag die daarbij aansluit:
Wat als je reeds op een desktop een Google account gebruikt en geen smartphone hebt?

SirBlade @R4gnax • 25 februari 2025 07:39

Die groep is klein genoeg om commercieel verwaarloosbaar te zijn. Vooral als je bedenkt dat die groep voornamelijk uit hoogbejaarden en privacyfanaten bestaat.

Santford T.net PowerMod @-jacQues- • 24 februari 2025 18:42

Een Gmail-account is eigenlijk een volwaardig Google-account, en om de authenticator te gebruiken moet je eerst zijn ingelogd met een Google-account.

Het doel van de QR-code scan of SMS-verificatie bij registratie is dat je geen account kunt aanmaken op iemand anders zijn naam.