Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 82 reacties

Google heeft het mogelijk gemaakt om in te loggen zonder een wachtwoord in te typen. De inlogmethode, die werkt met een qr-code, is vooral bedoeld voor publieke computers, waarvan de gebruiker niet weet of er een keylogger op staat.

De methode vereist wel dat de gebruiker is ingelogd met zijn Google-account op een smartphone. Op een speciale inlogpagina, die op de pc geopend moet worden, genereert Google een qr-code. Door die op een smartphone te openen, krijgt de gebruiker de vraag of het oké is dat er via een pc op zijn account wordt ingelogd. Na toestemming maakt de qr-code plaats voor Gmail of iGoogle.

De inlogmethode is bedoeld voor publieke computers, waarbij de gebruiker er niet op wil vertrouwen dat de computer vrij is van keyloggers. De grootste drempel is dat gebruikers een smartphone met internetverbinding bij zich moeten hebben. Die internetverbinding is nodig om de gebruiker op afstand te laten inloggen en de toestemming door te geven.

Google waarschuwt op de pagina dat de dienst experimenteel is en dus op elk moment offline gehaald kan worden. Het is onduidelijk of de zoekgigant de inlogmethode in de toekomst als alternatief wil gebruiken voor inloggen met gebruikersnaam en wachtwoord.

Update: Google lijkt de pagina alweer offline te hebben gehaald.

Google: inloggen met qr-code Google: inloggen met qr-code Google: inloggen met qr-code
Moderatie-faq Wijzig weergave

Reacties (82)

Waarom niet je telefoon gebruiken als een soort Safeword/Token authenticatie middel. Zo'n zelfde principe wordt al gebruikt bij het authenticeren met internetbankieren.

Hierbij kan je dan kiezen om m.b.v. je telefoon een token te genereren welke ook bekend is bij Google. Heb je geen internet verbinding nodig?!
zoals tjibbedehaan hieronder al zegt kun je bij google ook al 'two factor authorisation' aanzetten.

Je krijgt dan na het invoeren van je ww een sms met een verificatiecode. Als je de pc waar je achter zit vertrouwd kan je aangeven dat deze code 30 dagen geldig is, voor alle andere pc's heb je dus telkens een unieke tweede code.
Sorry voor de mieren-n**kerij: "2-step authentication verification" }:O

[Reactie gewijzigd door bskibinski op 17 januari 2012 11:31]

Ook een goed idee, bepaalde games gebruiken dit concept ook al. En dit werkt goed. Gewoon allebei de opties bieden, de gebruiker bepaalt wat ze zelf willen.
Waarom niet? Omdat je dan nog steeds je wachtwoord aan het intikken bent op een apparaat die dit op (zou kunnen) slaa(n/t). Deze (nieuwe) methode zorgt er voor dat je helemaal je wachtwoord niet meer hoeft in te tikken waardoor deze ooik niet afgeluisterd kan worden.
SURFnet heeft vorig jaar al een systeem in open source beschikbaar gemaakt dat het mogelijk maakt om authenticatie op basis van QR codes te integreren als methode om in te loggen op sites, zie https://tiqr.org/

Dit werkt anders dan wat Google nu laat zien, het verandert je telefoon in feite in zo'n tokentje (wat je bv. ook bij veel banken hebt), maar laat je geen ingewikkelde codes overtikken want gebruikt hiervoor QR codes en - indien beschikbaar - de internetverbinding van je telefoon.

Het systeem van Google is een slimme manier om je sessie van je mobiele telefoon te gebruiken om een desktop sessie in te loggen (maar werkt alleen als je een internetverbinding hebt), het systeem van SURFnet is daarentegen en losstaand authenticatiemiddel volgens het "twee-factor" principe met als bijkomend voordeel dat het ook werkt als je geen internetverbinding op je telefoon hebt.
Leuk idee, maar als ik al internet op mijn mobiel heb, waar ik mijn Gmail kan lezen. Waarom zou ik dan in willen loggen op een publiek toegankelijk apparaat?
Het is bedoeld als een algemeen inlog methode, dus het is nu alleen voor je google meuk, maar in de toekomst, denk ik aan b.v.
- mmo's die aziaten vooral veel spelen in internet cafe's
- andere applicaties waar je moet inloggen
- betalingen die je wilt doen
Misschien om eventjes een mail te tikken die vrij lang is? Dan doe je dat net even iets makkelijker dan op een mobiel waar je veel fouten maakt.

Ben benieuwd hoe lang dit stand houdt. Lijkt me wel een goede dienst, en ook wel veilig. QR code is niet aan je account gekoppeld, maar aan de sessie van de telefoon die wel ingelogd is met wachtwoord. Veilig genoeg dunkt me.
Maar als je bang bent voor keyloggers, ga je dan een email typen op die pc?
Daarnaast lijkt het mij vrij omslachtig om met die QR code te gaan scannen, zeker bij spiegelende schermen kan het nogal wat proberen zijn.
Eenvoudiger lijkt mij dat je een tijdelijke inlogcode kunt genereren die maar 1 maal te gebruiken is.
Eenvoudiger lijkt mij dat je een tijdelijke inlogcode kunt genereren die maar 1 maal te gebruiken is.
Dat is in feite ook wat er gebeurd. (Afgezien van het feit dat er remote wordt ingelogd) Alleen om het zo veilig mogelijk te houden is een lang "password" veiliger dan een korte versie. Om nu te voorkomen dat je die lange, complexe strings over moet gaan typen presenteren ze die via een QR-code. Geniaal toch ! _/-\o_

[Reactie gewijzigd door T-men op 17 januari 2012 17:33]

fysieke toetsenborden ftw!
Om een e-mail te typen? Om andere Google diensten te gebruiken?
ik dacht precies hetzelfde, email lezen op de telefoon is dan veel sneller. denk trouwens dat de meeste mensen zich niet erg druk maken om dingen zo als keyloggers, en dat deze dienst dan dus ook niet erg veel gebruikt gaat worden.
Je kan het ook gebruiken als je bijvoorbeeld op de desktop op je werk in wilt loggen. Nou is dat meestal wel veilig, maar aan de andere kant heb je natuurlijk geen idee wat het systeembeheer laat draaien op jouw machine. Er zijn wel bedrijven bekend die met keyloggers werken om te kijken wat hun werknemers doen. Misschien heb je liever niet dat die je google password kennen.
Om hoge telefoonrekeningen te voorkomen in het buitenland? Internetten op je mobiel kan in sommige landen vrij duur worden.
Omdat je soms toch wat meer snelheid wilt?

Mijn 3G is vaak retetraag
Omdat aan een PC meestal een 19" of groter hangt. Best wel handig om prentjes op te kijken in je mail, grote spreadsheets open te doen, lange emails te tikken...
Om een lange mail te typen die je niet bij elkaar wilt swypen? :P
Te helpen tegen keylogger, oké.
Maar wat als iemand even lekker snel een kopie/foto maakt van je qr code.

Dat lijkt me toch wel veel makkelijker.
Dat maakt niet uit, want de QR-code is eenmalig. Het principe lijkt erg op een 'wachtwoord vergeten' procedure. Jij geeft je username op en vervolgens krijg je een email met daarin een unieke link. Met die link kun je vervolgens je wachtwoord veranderen.

Nu krijg je geen link toegestuurd, maar krijg je een QR-code op het beeldscherm te zien. Die QR-code scan je met je mobiele telefoon. Op de telefoon bevestig je de login. De page op de computer zal waarschijnlijk periodiek controleren of de toegang is bevestigd.

Een erg simpel systeem. En het is dus niet alleen voor mail, maar voor alle services welke Google aanbied waaronder Google Docs. En die bewerk je toch een stuk gemakkelijker op een computer, dan op je telefoon.

Overigens moet je na het uitloggen, niet vergeten om de tijdelijke internet bestanden en cookies te verwijderen. Anderen kunnen dan misschien niet inloggen, maar in die tijdelijke bestanden (browser cache) staat natuurlijk genoeg vertrouwelijke informatie..
Ik neem aan dat deze maar één keer werkt, of niet meer werkt zodra je de app sluit.
Het is volgensmij zo dat die andere persoon niks aan de QR code heeft als hij op ZIJN telefoon niet is ingelogd met jouw gegevens... Je gebruikt de sessie op je eigen telefoon om in te loggen.
Inderdaad, je moet al geauthenticeerd zijn op je eigen telefoon voordat het scannen van de code werkt. Het is in feite een methode om de invoer van je telefoon, wat betrouwbaar is, te gebruiken om het invoeren van gegevens op een onbetrouwbare machine te vervangen.
Je kan het heel simpel zien als je gebruikersnaam en wachtwoord invoeren op je telefoon om op je computer in te kunnen loggen. Ze zijn nog steeds nodig, alleen nu voer je ze in op je telefoon (of ben je daar al ingelogd).
Hoe helpt het tegen een keylogger? Het omzeilt puur en alleen problemen bij het inloggen. Als ik me niet comfortabel zou voelen bij het inloggen, zal ik bijvoorbeeld ook liever geen mailtjes typen op die computer... Dan klooi ik liever via m'n mobieltje.

Oftewel goed idee, maar uiteindelijk beperkt bruikbaar lijkt me?
Volgens mij zijn de meeste keyloggers uit op je wachtwoord en niet zozeer op wat je voor de rest aan het typen bent. Ik heb het wel eens gezien dat er een Yahoo of Hotmail account gekraakt was en dan werd het alleen misbruikt voor spam en niet voor afpersing van de eigenaar van het emailadres.
Dit was ook het eerste wat ik dacht, wanneer ik een pc niet vertrouw, blijf ik van die pc af.
En inloggen op sites via andere pc's doen wij zeer zeker nergens.
Dan heeft men alleen nog maar een URL en die moet dan ook nog geopend worden met een mobiel apparaat wat al ingelogd is bij Google. Met een kopietje van die code bereik je dus niet zo veel :)
Dat maakt niet uit, je moet immers ingelogd zijn op google met je smartphone. Als iemand een foto maakt van die qr code, who cares, ze zijn toch niet ingelogd op jou account met hun telefoon. ;)

Wordt een ander verhaal als ze je smartphone afjatten, maar in dat geval zijn ze ook al binnen :)
Je moet reeds ingelogd zijn op je gsm om die qr code te kunnen laten valideren.

Iemand anders heeft er dus niets aan.
Het lijkt me logisch dat zo'n QR code, net als de codes die je bijvoorbeeld van de ING toegestuurd krijgt bij internetbankieren, alleen voor de huidige sessie geldig zijn.
Dat maakt nogsteeds niks uit. Je moet op je mobiel ingelogd zijn en met dat account log je dan vervolgens in op de pc (na scannen & goedkeuring). Dus als iemand snel de qr code scant met zijn mobiel, zal er dus met zijn account worden ingelogd op de pc.
Leg is uit wat ik met jouw QR kan terwijl jij hem moet scannen op JOUW telefoon die al ingelogd is in JOUW gmail/google account? Wat kan ik dan op MIJN telefoon met JOUW QR :)

[Reactie gewijzigd door watercoolertje op 17 januari 2012 11:03]

Dat lijkt wel heel snel weer offline gehaald te zijn. Ik krijg nu:
While we have concluded this particular experiment, we constantly experiment with new and more secure authentication mechanisms.

Stay tuned for something even better!
Klopt, zie ook de opmerking van Dirk Balfanz op z'n google+ pagina:
Looks like people have found the page for an experiment we've been running for phone-based authentication.

Folks - it's just that - an experiment - and will likely go away at some point. We always work on improving authentication, and try out different things every now and then. We're working on something that I believe is even better, and when that's ready for a public trial we'll let you know.

I'll label that experimental page appropriately when I get a chance so people don't start depending on an unsupported feature...

[Reactie gewijzigd door MAZZA op 17 januari 2012 13:02]

Ik hoop dat ze dit experiment wel doorzetten. Eventueel ook als mogelijkheid voor two factor authentication. Daar hebben ze nu al wel een tool voor maar dat systeem werkt niet optimaal, dan zal dit toch een stuk fijner werken. Simpelweg gebruikersnaam en wachtwoord invoeren en als check nog op een geauthenticeerde telefoon een code genereren waar een aparte (pin)code voor nodig is.
Ik ook, ik vind het een erg goed idee dat je kan inloggen zonder handelingen te doen op een vreemde computer waar je hoegenaamd geen controle over hebt, en daarom alles kan onderscheppen wat je aan wachtwoorden in geeft. Beetje het idee dat ook gebruikt wordt voor verificatie van betalings transacties van banken, maar dan nog beter omdat je de bevestiging op de phone zelf kan doen.

Ik zie het voordeel wel, niet alleen uit het punt van veiligheid maar ook gemak. Alleen is weer de vraag hoe kwetsbaar je bent als je je telefoon kwijt raakt op het moment dat je ingelogd bent. En zo blijft er altijd wel weer wat.

Ik verwacht dat er op den duur wel systemen gaan komen die nog unieker de persoon kunnen herkennen. Dan weet de phone gewoon wie hem in handen heeft en geeft alleen authenticatie als de juiste persoon hem bedient.

Meer en meer zal in de toekomst her accent gaan verschuiven van mensen die apparaten bedienen naar apparaten die de mens lezen. Siri is daar ook een mooi voorbeeld van. De mens omarmt het apparaat en brengt het tot leven. Het wordt een metgezel. Nu is het nog een heel jong kindje die je moet voeren, bij de hand de hand nemen en weinig zelfstandig kan doen. Op den duur zal het een echte gezel van de mens worden die praat en terugpraat en inleeft in een mens die zelf het inlevingsvermogen aan het verliezen is, omdat hij zo met zichzelf bezig is en bediend wil worden.

[Reactie gewijzigd door Magalaan op 17 januari 2012 13:44]

Ik vraag me af of je uberhaubt wel in moet loggen op een apparaat dat je niet vertrouwd.
Als je al bang bent dat er een keylogger op staat, waarom zou je dan niet bang zijn dat er een progje op staat dat uit jouw naam spam gaat versturen zodra je, al dan niet op afstand, bent ingelogd ?

Maar ook, als je al een telefoon met internet hebt en je vertrouwt de machine niet... gebruik dan gewoon je telefoon ! 8-)

Hoewel ik nog wat haken en ogen zie vindt ik het wel een buitengewoon vernieuwend idee. :Y) Het is een extra horde die de mmallware moet nemen en al die hordes samen maken het steeds iets veiliger.
Spam is veel minder erg dan een keylogger.
Spam is hinderlijk maar niet schadelijk, word door degelijke diensten en programma's goed gefiltert, kan je account niet meer gebruiken als je uitgelogt bent en je achterhaald de bron vrij snel met deze manier (mail verzonden op dat tijdstip? ah, dan zat ik op die PC).

Met een keylogger weet men uw adres en paswoord. Met 2-step verification word ook al veel onheil vermeden voor je gmail account maar met die gegevens zou je ook op andere diensten kunnen proberen inloggen. Veel mensen gebruiken hetzelfde paswoord voor verschillende dienten.

En waarom op een vreemde PC werken ipv op je telefoon?
Er zijn redenen genoeg: Als je een formele mail wil opstellen naar je baas of een paginalang dagboek van je reis naar vrienden en familie bijvoorbeeld heb je denkik liever een groot scherm + keyboard.
Volgens mij gebruikt microsoft dit ook al. Je kunt bij hotmail een wachtwoord gebruiken wat éénmalig geldig is, zodat je die kan gebruiken op een pc die je niet helemaal vertrouwd.

http://explore.live.com/w...n-in-single-use-code-faq?

Interessant om te zien dat Google dit dus nu ook doet.
Uhm het is helemaal niet hetzelfde, enige wat ze gemeen hebben dat het een beviliging is waar je je telefoon bij gebruikt, maar wel degelijk op een andere manier!

Ook Google heeft al lang zoiets als jij nu uitlegd, maar dan wel met je wachtwoor dmaa rin combinatie met een code die maar 1 keer te gebruiken is.

[Reactie gewijzigd door watercoolertje op 17 januari 2012 11:06]

Bij google log je op je telefoon de untrusted pc in. Je logd op de pc niet in, je bent er opeens ingelogged nadat je het hebt goedgekeurd met je telefoon. De qr-code is eigenlijk alleen een identificatie welke machine je in wil loggen, voor het geval er recent meerdere machines hebben willen inloggen.

Ze zouden ook het ip-adres (inclusief geolocatie) en tijdstip kunnen weergeven op je telefoon waar je dan kunt aanklikken dat je dat apparaat wil inloggen. Of, omdat ip-adres wel erg technisch is) een willekeurig plaatje -bijvoorbeeld van een koe- en dat je dan zowel op je telefoon als op de pc afbeelden. "welk plaatje zie je nu op de pc?"
Alleen zie je dan ook alle 'hackpogingen' van machines die toch maar zo'n request hebben gedaan.
Hiervoor heeft Google toch 2-step verification? Dit gebruik ik al tijden: je logt gewoon in met je wachtwoord, en als je op een onbekende machine zit vraagt Google nog om een extra code die elke 30 seconden verandert. Die code haal je uit de Google Authenticator app op je telefoon.
Dat helpt je natuurlijk niet tegen een keylogger. Immers, de volgende keer dat je op diezelfde PC inlogt denkt Google dat het een betrouwbare PC is, en vraagt niet meer om die 2-step verification.

En aangezien je wachtwoord afgeluisterd is, kan een aanvaller dus je wachtwoord de tweede keer gewoon gebruiken om in te loggen. One-time passwords zoals dit zijn dan een betere oplossing die goed met de 2-step verification gecombineerd kunnen worden.
Natuurlijk helpt dat wel tegen een keylogger, tenzij die keylogger is geïnstalleerd op een van je eigen PC's.

Op het moment dat je die code invult vraagt google namelijk: "Remember this computer for 30 days?". Op een publieke PC vink je dit natuurlijk niet aan, en moet je gewoon elke keer een nieuwe code invoeren. Als je echt paranoia bent kun je dit ook op je eigen PC's doen natuurlijk.
En wie zegt dat de keylogger niet zelf dat vinkje op de achtergrond zet? Onderschat de keyloggers niet!
Dan log je toch uit als je klaar bent? Volgende keer heb je dan gewoon weer alle info nodig.
Je wachtwoord is nog steeds compromised, je merkt het alleen niet meteen.
Dat werkt ook alleen als je voor je Google account een ander wachtwoord hebt als alle andere diensten, en dat is meestal niet zo.
Dit werkt wel tegen keyloggers:
2-step authentication moet je elke 30 dagen (ook op vertrouwde computers) invoeren. Daarbij krijg je die optie aangeboden, of je het überhaupt wel voor 30 dagen wil "opslaan". Als je dat niet doet, en je sluit de sessie op de betreffende computer, dan vraagt hij de volgende keer dus gewoon weer je authenticatie code.

Maar je moet dan idd niet zo stom zijn om het vinkje aan te zetten dat hij het voor 30 dagen onthoud.

Ik kan je mijn wachtwoord geven, en tenzij je toegang hebt tot mijn persoonlijke computer/smartphone, kom jij er niet in.

-edit: is al beantwoord.

[Reactie gewijzigd door bskibinski op 17 januari 2012 11:28]

Als je internet verbinding hebt op je mobiel, wat heb je dan aan email bekijken op een andere computer?

Of bedoelen ze ivm de hoge kosten voor mobiel internet? Je moet alsnog erop, dus ik zelf zie zo 1,2,3 niet de voordeel hiervan.

Tenzij ze zo instellen dat je met die code 2 á 3 uur de tijd hebt om op een andere pc in te loggen. Du dat je thuis die code opvraagt en dat je later ergens anders waar je geen betrouwbare internet hebt, toch je email kan checken.
Je hebt ook google docs en zo. En dat is op de meeste telefoons niet echt wat je wilt draaien, maar op een desktop.

Goed idee van Google! Dit kan wel eens een grote toekomst hebben.
Het experiment is hier al verlopen, er staat dat het een succes blijkt en dat ze verder gaan met dit soort dingen. Jammer, had het graag uitgeprobeerd! Al is het inloggen nu wel gemakkelijker, je hoef alleen maar iemand zijn telefoon te jatten, en met dat ding in te loggen.
Als je de telefoon hebt, kun je Gmail toch al in. Dus makkelijker wordt het er niet van, alleen telefoon stelen is al genoeg.
Dit is eigenlijk juist beter voor de beveiliging. Je bent namelijk van het keylogger gedoe af.

Maar keyloggers kun je ook wel omheen, bij het invoeren van de mail/wachtwoord typ je eerst het laatste deel, klik je met de muis en typ je dan het eerste deel (zo simpel als dit is ook niet erg handig, maar met moeilijke combinaties kan de keylogger alleen zien uit welke tekens het wachtwoord bestaat).
Leuk idee, maar er zijn een hoop keyloggers die ook automatisch screenshots maken.

Edit: Laat maar, ik snap het al. :P

[Reactie gewijzigd door ShakerNL op 17 januari 2012 10:57]

Dan moet je alsnog via je smartphone toestemming geven

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True