GOG laat gebruikers accounts via authenticatie-apps beveiligen

Gamewinkel GOG voegt bescherming via multifactorauthenticatieapps toe aan accounts. Het is vooralsnog alleen mogelijk authenticatie-apps te gebruiken en geen hardwaresleutels.

GOG kondigt dat aan op zijn forum. Voorheen was het alleen mogelijk GOG-accounts met 2fa via e-mail te beschermen.

Vooralsnog worden alleen totp- of Time-based One-Time Passwords ondersteund. Dat zijn authenticatie-apps zoals Google Authenticator of Authy. Hardwarematige 2fa zoals dat van Yubikeys wordt niet ondersteund, net als passkeys. GOG zegt dat gebruikers eerst e-mailauthenticatie uit moeten schakelen.

Vorig nieuwsartikel Volgend nieuwsartikel

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 19-05-2025 20:29
21 • submitter: TheVivaldi

19-05-2025 • 20:29

Submitter: TheVivaldi

Lees meer

Microsoft schrapt functies uit Authenticator-app, Edge neemt features over

Microsoft schrapt functies uit Authenticator-app, Edge neemt features over Nieuws van 5 mei 2025

Onderzoekers weten cryptografische sleutel van YubiKeys te achterhalen

Onderzoekers weten cryptografische sleutel van YubiKeys te achterhalen Nieuws van 4 september 2024

Bitwarden brengt authenticatorapp voor 2fa uit

Bitwarden brengt authenticatorapp voor 2fa uit Nieuws van 2 mei 2024

Authy stopt al op 19 maart met ondersteunen desktopapps, niet in augustus

Authy stopt al op 19 maart met ondersteunen desktopapps, niet in augustus Nieuws van 14 februari 2024

Microsoft Authenticator verplicht number matching bij Microsoft-diensten

Microsoft Authenticator verplicht number matching bij Microsoft-diensten Nieuws van 10 mei 2023

Google werkt aan e2e-versleuteling voor Authenticator-2fa-back-upcodes

Google werkt aan e2e-versleuteling voor Authenticator-2fa-back-upcodes Nieuws van 26 april 2023

Meer producten en artikelen

Beveiliging en antivirus Authenticatie tweetrapsauthenticatie

Reacties (21)

jurroen 19 mei 2025 21:53

Dit valt mij wel tegen hoor. GOG voegt nu dus TOTP toe - zo heel lastig is WebAuthn / FIDO2 niet. Toevallig vanmorgen nog een inplementatie opgeleverd.

Ben wel benieuwd hoe ze de TOTP implementatie gedaan hebben. Opvallend veel webservices doen dit stiekem nog via Google wat een enorm slechte manier is. Niet alleen heeft Google daarmee toegang tot de secret (wordt immers door hun gegenereerd) maar het geeft ook een afhankelijkheid van een derde partij.

En dat laatste, als bedrijf zijnde moet je dat niet willen.

Daniel Jackson @jurroen • 19 mei 2025 22:18

Dit heeft niet direct iets met Google te maken. Ja, je kunt uiteraard Google Authenticator gebruiken en de QR code daarmee scannen die je krijgt als je TOTP wilt inschakelen. Maar het is een openbare implementatie en je kunt de code ook scannen of het secret invoeren in elke andere TOTP software-oplossing naar eigen keuze. Zo heb ik zelf zojuist TOTP op GOG aangezet in mijn KeepassXC installatie op Windows. Dat werkt ook gelijk in Keepass2Android op mijn telefoon. Allemaal volkomen lokaal, er komt geen enkele externe partij bij kijken waarbij het in een cloud terecht komt.

jurroen @Daniel Jackson • 20 mei 2025 07:14

Ik denk dat je mj niet goed begreep. Mijn opmerking gaat over de andere kant, in dit geval GOG - de implementatie aan de serverkant.

Ik weet niet hoe GOG het gedaan heeft, maar een opvallend deel van de implementatie door websevices doen dit met Google. En dat is mijn punt. Het is prima zelf te doen en er zijn legio libraries die het goed en "lokaal" implementeren.

Als het secret (QR, manueel) door Google gegenereerd is maakt het niet uit hoe jij het opslaat en welke app je daargoor gebruikt.

Daniel Jackson @jurroen • 20 mei 2025 14:54

Dan ben ik benieuwd. Wat is de exacte Google dienst die voor andere externe partijen een secret kan genereren? Voor zover ik weet berust het secret puur op de output van een random number generator. Waarom zouden sites zo'n simpele taak uitbesteden aan Google?

Ace_010 @jurroen • 19 mei 2025 23:11

Hou het zoals het is. Werkt prima.

Die_ene_gast @jurroen • 20 mei 2025 11:23

Stuur je cv / bedrijfkaartje naar ze toe?

19 mei 2025 23:28

Of eventueel de App 2FAS van een NL’se Tweaker (TOTP)

NL was from the top of mind. Ben ik niet meer zeker van. Kan het ook zo snel niet meer vinden. Mark is the Founder

Speciaal voor die ene gast:
het is FOSS (free and open-source software)

[Reactie gewijzigd door NoUser op 20 mei 2025 20:32]

Anck @NoUser • 20 mei 2025 14:24

Je bedoelt hier denk ik Aegis (https://getaegis.app/, Android only). Voor zover ik weet is 2FAS niet door Nederlanders gemaakt, maar nog steeds OK. Beide zijn open source en geven je volledige controle over je secrets waardoor je geen last hebt van vendor lock-in.

Die_ene_gast @NoUser • 20 mei 2025 11:21

Daar had je wel even bij mogen vermelden dat die FLOSS is, dat is een grote plus.

mexicanburribo 19 mei 2025 20:44

A little late to the party, maar beter laat dan nooit i guess

John Doos @mexicanburribo • 19 mei 2025 21:37

Zijn er andere launchers die een third party authenticatie ondersteunen dan?

Voor zover ik weet doet Epic een sms, battlement een sms, Ubisoft Connect een mail,(tegenwoordig ook 3rd party authenticators zie ik net!) warhunder (binnen steam!) een eigen gaijin app, en steam heeft z’n eigen steam authenticator.

Late to the party, the early bird catches the worm zou je bedoelen. Ik wou dat ik alles in 1 authenticator app kon stoppen, met passkeys of toto maakt met dan niet eens zoveel uit.

NegativeFreak @John Doos • 19 mei 2025 22:03

Account van Epic kun je met een Authenticator van Google, Microsoft, LastPass of Authy beveiligen.
Link: https://www.epicgames.com...w-to-enable-it-a000084651

@NegativeFreak • 20 mei 2025 07:50

Dat is gewoon standaard TOTP, dus daarvoor kun je iedere authenticator app gebruiken.

SpoekGTi @John Doos • 20 mei 2025 07:24

Battle.net
Epic
Steam

Dus ja

@John Doos • 20 mei 2025 07:58

EA kun je ook via Google Authenticator doen, en Battle.net heeft zelfs een volledig aparte app waarbij je een melding op je smartphone moet goedkeuren.

Die_ene_gast @John Doos • 20 mei 2025 11:22

Ik heb een epic totp in mijn lijstje?

Tweaker36 19 mei 2025 21:07

Perfect, gelijk ingesteld.
Niks vervelender dan 2FA waarbij je zelf afhankelijk bent van een 3de partij en/of systeem voor het verkrijgen van je code.
Email is al onhandig, sms is helemaal irritant (niet dat GOG die laatste deed). Gewoon TOTP is mooi.

SuperDre @Tweaker36 • 19 mei 2025 23:48

Maar, maar je bent hier toch net zo afhankelijk van een 3rd party, want je hebt nog steeds een app hiervoor nodig. En eigenlijk is email dan toch helemaal noet zo vervelend want je telefoon zal maar eens kapot gaan...

Caelorum @SuperDre • 19 mei 2025 23:52

Je kan het ook zelf maken. Totp is een stabiele standaard.

Overigens zijn er ook apps, zoals veel wachtwoordmanagers, die de code kunnen synchroniseren over platformen heen. Dan maakt het dus niet uit of je telefoon stuk is.

Die_ene_gast @SuperDre • 20 mei 2025 11:24

Heel veel FLOSS apps, en die kan je backuppen.
Vergeet niet dat je email veel gevaarlijker is om kwijt te raken.

Savantis 20 mei 2025 11:46

Ik zit al een tijd te azen op een Yubikey of een ander soort hardwaresleutel. Tegenwoordig hoor je steeds vaker dat bepaalde diensten met 2FA zelfs dan nog omzeild worden. Helaas kost dat wat centjes, maar dan heb ik liever dat ze mij fysiek moeten overvallen om tot mijn diensten te komen

Helaas kom ik nou nog niet zoveel diensten tegen die hardware-based U2F toelaten. Vind ik uiteindelijk wel het fijnst om doormiddel van NFC ook 2FA operaties op de mobiel te kunnen doen.

Om te kunnen reageren moet je ingelogd zijn