Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Google gaat two-factor-authenticatie verplichten

Google wil alle gebruikers verplichten om two-factor-authenticatie te gebruiken, als onderdeel van een strategie om de beveiliging te verbeteren. Nu is dat nog optioneel. Wanneer de wijziging moet ingaan, is op dit moment nog niet bekend.

Het verplicht stellen van two-factor-authenticatie kwam aan de orde tijdens een presentatie van de nieuwe beveiligingsstrategie van Google op het hoofdkantoor van de zoekgigant in Mountain View. Bij two-factor-authenticatie heeft een gebruiker naast zijn wachtwoord een extra authenticatiemiddel. In de praktijk is dat doorgaans de telefoon van de gebruiker, waarop een tijdgebaseerde code wordt gegenereerd die moet worden opgegeven bij het inlogproces.

Wanneer de wijziging moet ingaan is niet bekend, maar dat zal ergens in de komende vijf jaar gebeuren. Het voornemen maakt namelijk onderdeel uit van een vijfjarenplan van Google om de beveiliging van gebruikers verder te versterken. In 2008 stelde Google ook al een dergelijk vijfjarenplan op, en in de afgelopen vijf jaar is onder meer ondersteuning voor two-factor-authenticatie toegevoegd.

De two-factor-authenticatie zou er wel iets anders uit kunnen gaan zien. Op dit moment wordt nog een code gegenereerd op basis van een bepaald algoritme, maar in de toekomst zou het zo kunnen zijn dat de gebruiker op zijn telefoon simpelweg op 'akkoord' moet drukken om een login vanaf een andere computer te bevestigen.

Google is verder van plan om het wachtwoord te vervangen door een ingewikkeldere 'authenticatiecode', maar onduidelijk is hoe dat er precies uit moet zien. Daarnaast wil Google dat gebruikers nog maar één keer op een apparaat hoeven in te loggen, waarna ze ingelogd blijven, zoals nu al het geval is op mobiele telefoons. Hoe de zoekgigant dat voor elkaar wil krijgen, is echter nog niet duidelijk: op dit moment bieden besturingssystemen daarvoor geen ondersteuning.

Verder heeft de zoekgigant een toekomst voor ogen waarbij mensen zich authenticeren met behulp van nfc, maar het bedrijf fantaseert ook al over gezichtsherkenning en vingerafdrukscanners. Daarnaast wil Google dat er standaarden komen om veiligere loginmethodes mogelijk te maken. Eind vorige maand werd bekend dat Google zich heeft aangesloten bij de Fast Identity Online Alliance, een organisatie die dergelijke standaarden wil opzetten.

Zo zou Googles two-factor-authenticatie er uit kunnen gaan zien.

Vorig nieuwsartikel Volgend nieuwsartikel

Door Joost Schellevis

Redacteur

Feedback • 10-05-2013 11:00 152

10-05-2013 • 11:00

152 Linkedin Google+

Lees meer

Update Google Authenticator-app voor iOS wist accounts - update Nieuws van 4 september 2013
LinkedIn introduceert two-factor-authenticatie Nieuws van 31 mei 2013
'Two-factor-authenticatie Twitter is eenvoudig te omzeilen' Nieuws van 27 mei 2013
Brute force-aanvallen op WordPress-sites verdrievoudigd Nieuws van 13 april 2013
Wordpress.com introduceert two-factor-authenticatie Nieuws van 8 april 2013
Betere beveiliging Apple ID werkt niet in Nederland Nieuws van 22 maart 2013
ING schakelt two-factor-authenticatie in bij inloggen Nieuws van 20 november 2012
Meer producten en artikelen
Netwerk en systeembeheer Google

Reacties (152)

-Moderatie-faq
-11520146+184+217+32Ongemodereerd42
Wijzig sortering
+21Crazyman1
10 mei 2013 11:48
Ik snap niet dat je hier echt tegen kan zijn.Ik begrijp enerzijds wel de frustratie dat je "steeds" je telefoon moet bij hebben, maar ik snap niet dat er mensen zijn die zeggen "wat als mijn telefoon leeg is?". Is dat ooit al voorgevallen bij iemand?

Daarnaast moet je geen GSM nummer opgeven, dat is enkel als je een "dumb phone" hebt. Want er is een app voor zowel Android, Apple als voor Blackberry apparaten (http://support.google.com...r.py?hl=nl&answer=1066447). En voor zover ik kan uitmaken uit de rechten van de Android app, heeft het geen machtiging tot het GSM nummer (althans niet via de app zelf) (https://play.google.com/s...zLmF1dGhlbnRpY2F0b3IyIl0.)

Ik gebruik de app zelf als sinds het in de Benelux beschikbaar is, ik vind het enorm handig. Je mag niet vergeten, zoals velen al aanhaalden, dat een e-mail account dezer dagen eigenlijk je privé leven op het internet is. Eens ze dat hebben, kunnen ze (bij de meesten toch) aan veel meer dingen aan dan enkel jouw mails. ik vind dus wel dat ze dit mogen pushen, en enkel als mensen er echt expliciet tegen zijn, het uit te zetten voor hun account.
+2kozue
@1Crazyman110 mei 2013 15:49
Ik snap niet dat je hier echt tegen kan zijn.
En ik snap niet dat iedereen braaf zomaar gratis z'n telefoon nummer aan een partij als Google overhandigt. Alles wat je op internet zet moet je beschouwen als publieke informatie. Je weet nooit met wie Google allemaal dealtjes heeft om informatie te delen. Als je hier op tweakers.net je telefoonnummer niet in een reactie zou willen zetten, moet je het ook niet aan google geven.

Soms ontkom je er niet aan. Whatsapp heeft ondertussen van iedereen het nummer al gekaapt, ook al gebruik je het niet. Iedere whatscrap gebruiker heeft tenslotte z'n telefoonboek al geupload. Maar soms kun je er wel iets aan doen, zoals bij Google. Ook Facebook is me veel te veel aan het pushen voor informatie (kreeg vandaag nog de vraag waar ik woon... gaat ze niks aan), maar Facebook is gelukkig niet belangrijk genoeg. Als die nog ietsje erger worden dump ik m'n account, dan krijgen ze helemaal niks meer, ook geen likes of reacties op posts van vrienden.

En die app? Die vertrouw ik nog minder dan het geven van een nummer. Je weet nooit wat ie op de achtergrond allemaal doet. Er was laatst nog zo'n bericht dat de gps continue aan zou blijven staan na een update in een google app. Ik weet precies waarom hoor. Iedere software bevat fouten maar bij Google is het altijd net iets dat met privacy te maken heeft.
"Oh sorry we wisten niet dat onze wagens wifi data loggen". Ze hebben ze toch zelf geprogrammeerd ofwat? "Oh sorry dat gps-gebruik is een bug". Yeah right, ze vinden het vast helemaal niet handig om 24/7 de lokatie van al hun gebruikers te weten.

Google en privacy.... zucht...
+1Alpha Bootis
@1Crazyman110 mei 2013 12:05
Er tegen is een groot woord maar het verplichten slaat gewoon nergens op.
Two Factor authenticatie om in te loggen op youtube, doe even normaal. :')
Als ik nou mijn mail enzo er had lopen was het een ander verhaal geweest maar zelfs dan is er niets op tegen de verantwoordelijkheid gewoon bij de user neer te leggen.

Als het aankomt op accountinbraken in dit soort diensten ben ik overigens banger voor de (amerikaanse) overheid die al mijn meuk gewoon kan opvragen dan één of andere chinees die mijn wachtwoord kraakt. En dat gevaar blijft actueel met two-factor authenticatie dus het draagt ook niet bij aan mijn gevoel van veiligheid.

Ik heb op erg veel computers mijn browser zodanig ingesteld dat hij geen history op slaat. Om verschillende redenen.
Dit betekend dat ik dus bij elke keer inloggen wat op mijn Phone moet doen. Dat is gewoon kut. App of niet.

[Reactie gewijzigd door Alpha Bootis op 10 mei 2013 12:08]

0tweakPiet
@1Crazyman110 mei 2013 17:00
Het gaat er ook niet om dat Google je telefoonnummer weet, de kans is groot dat die allang bekend is, Maar ze willen gebruikers profilen voor hun marketing doeleinden. Het mooie hiervan is, dat men twee of meer apparaten, met zekerheid, kan koppelen aan een zelfde persoon. En dus 'gekoppelde' informatie kan verzamelen.
Trouwens je hebt echt niet een telefoonnummer nodig om een stukje hardware als uniek te kunnen identificeren. Dat ook de reden voor een App.
Waar het voor veel mensen om gaat, ook bij mij, is dat de vrijheid van Internet langszaam maar zeker wordt opgeslokt door grote commerciele bedrijven. Natuurlijk kan je overstappen naar iets anders. Maar dat doen alleen die mensen die er verstand van hebben. Het merendeel is verslaaft aan de functionaliteit van Google en zal deze braaf blijven gebruiken.
En je kan wel zeggen dat de data en internet veilig moet zijn / blijven. Maar ik wil je er wel op wijzen dat die Nederlandse Google data van jouw op Amerikaanse servers staan, die met de Amerikaanse patriot act, vrij ingekeken kan worden. Dus de burger moet zich aanpassen, waarbij je geen zeggenschap hebt. En dat is ondemocratisch en riekt naar monopolisme.
+2Spheroid
10 mei 2013 11:34
Het verbeteren van de veiligheid van accounts is natuurlijk nobel, maar ik vraag me af in hoeverre hier niet ook andere motieven meespelen.

Het gebruik van mobiele nummers, zeker in combinatie met GPS-gegevens van telefoons, maakt hele slimme gerichte marketing mogelijk. Marketeers noemen dat netjes location-based-incentives. In de praktijk komt het er bijvoorbeeld op neer dat kinderen die op websites toestemming geven voor het gebruik van mobiele nummers en GPS-data, sms'jes krijgen of ze geen zin hebben in een Big Mac als ze in de buurt van een McDonalds zijn. Zie bijv. hier.

Natuurlijk zullen er in ieder geval voor de vorm vinkjes ingebouwd worden waarmee men aan kan geven dat het tel. nr. niet voor andere doeleinden gebruikt kan worden. Echter, niet iedereen zal die dingen aanvinken en zo verkrijgt Google dus misschien gratis wel een heleboel informatie die ze in de advertentiemarkt goed te gelde kunnen maken.

[Reactie gewijzigd door Spheroid op 10 mei 2013 11:38]

0dropdeath
@Spheroid10 mei 2013 11:41
Maar hoe erg is het als je een advertentie krijgt van iets waar je op naar zoek bent of in de buurt er van bent aangezien je altijd nog zelf de persoon bent die de keuze maakt om het wel of niet te doen.
+1kozue
@dropdeath10 mei 2013 15:35
Omdat ik, en met mij een hoop anderen, steeds meer advertentie-moe beginnen te worden. Er zijn al genoeg dingen die de aandacht vragen iedere dag. Ik vind het ronduit irritant om iedere keer lastig te worden gevallen om onzin (want meer dan onzin zijn advertenties niet). Ik heb niet voor niets een nee/nee sticker op de deur, en iedere partij die er alsnog iets in durft te gooien zal ik nooit meer iets van kopen.

Kijk eens rond op straat. Overal om je heen hangt al genoeg troep. Troep die gelukkig geen geluid maakt of beweegt. Zelfs de gemeente werkt er aan mee door o.a. reclameborden op lantaarnpalen te verhuren. Als m'n telefoon iedere minuut af zou gaan met de vraag of ik geïnteresseerd ben in de zooi die de winkel waar ik langs loop verkoopt, zou ik dat ding wegdoen. Op het internet is het ook niet meer uit te houden zonder adblocker. Als ik het internet bij anderen zie vraag ik me echt af hoe ze door de bomen het bos nog kunnen zien. Het lijkt wel iedere dag erger te worden.

Ik geef helemaal niemand mijn nummer, behalve mensen die ik ken, tenzij er een goede reden voor is. Zeker Google niet. Ik installeer ook geen apps met advertenties. Mijn computer en telefoon zijn geen gratis reclamezuil. Als ze er op willen adverteren gaan ze *mij* maar betalen.

En ja, nu zullen er wel weer mensen over me heen vallen dat een hoop diensten betaald worden uit reclame, en dan heb je helemaal gelijk, maar dan moeten ze wel de mogelijkheid geven om te betalen voor de dienst zonder reclame, tracking en andere onzin. Google doet dit niet, die verzamelen van iedereen die z'n gegevens af wil staan.

Komt nog bij dat er een groot verschil is tussen reclame terwijl je iets gebruikt (bv een banner in een site of app, of een blok op tv), en reclame die je lastigvalt terwijl je met andere dingen bezig bent. Het eerste is een stuk minder irritant, het 2de kan ik echt niet tegen. En het is juist van het 2de soort waar je hier mee te maken gaat krijgen. De stap van authenticatie smsjes naar spam smsjes is niet zo heel groot.
+2martin_v_z
10 mei 2013 11:23
Op zich kan ik mij wel voorstellen dat er voordelen zijn bij het gebruik van dit systeem. Inloggen met een account dat niet van jou is zal een stuk lastiger worden, en misschien helpt het om het lastiger te maken voor men die een ban hebben gekregen een nieuw account aan te maken op Google services.

Maar tot nu toe heb ik elke keer die vraag om mijn telefoonnummer weggeklikt. In de afgelopen jaren is al meerdere malen een dienst waar ik een account had aangevallen en is mijn privé email adres op een lijst gekomen die gepubliceerd was op internet. Nu krijg ik regelmatig spam en phishing emails in die mail box. Een nieuwe mail account aanmaken indien de spam echt uit de hand gaat lopen is vrij gemakkelijk, maar ik wil liever niet mijn telefoonnummer moeten wijzigen als die dienst ooit gehacked gaat worden.
+2TERW_DAN
10 mei 2013 11:58
Als dit daadwerkelijk verplicht wordt dan denk ik niet dat ik überhaupt nog in ga loggen bij googlediensten. Ik gebruik er al bijzonder weinig. Ik heb een gmailaccount, dat eigenlijk alleen aangemaakt is om een domein te registreren, en heel af en toe log ik nog wel eens in op youtube. Maar om daar Google mijn telefoonnummer voor te gaan geven gaat me echt heel veel te ver. Ze weten al genoeg van me, mijn telefoonnummer hoeven ze echt niet te hebben.

Ik kan me voorstellen dat mensen die veel van Googlediensten gebruik maken dit handig vinden, maar het enige dat ik ervan gebruik vind ik eigenlijk ook maar heel onbelangrijk. Als ik morgen m'n Googleaccount niet meer kan gebruiken en daardoor niet meer bij m'n Gmail zou kunnien komen dan denk ik niet dat ik daar ook maar 1 seconde om wakker lig.

Dit soort fratsen irriteert me alleen maar als gebruiker. Dan staat dat wel leuk onder de noemer van 'veiligheid', maar als je hun diensten amper gebruikt, is dat helemaal niet zo'n issue.
Als ik iets wil gebruiken wil ik gewoon inloggen. Niet moeilijk doen om eerst weer een SMSje te ontvangen en die code in te rammelen (want zo heel veilig vind ik dat nu ook weer niet).
+2Ibex
10 mei 2013 12:20
Prima initiatief in mijn ogen, en ik gebruik het al een lange tijd voor alle accounts waar het door de beheerder is toegelaten. Een simpele app maakt het zeer eenvoudig om deze codes te genereren en het vormt een solide extra beveiligings laag. Bovendien maakt Google gebruik van http://en.wikipedia.org/w...e-time_Password_Algorithm, waardoor men gerust tal van andere programma's kan gebruiken om het token te genereren indien men het door Google aangeboden programma niet zou vertrouwen. In de andere richting gebruikt Dropbox bijvoorbeeld hetzelfde algoritme, waardoor je de Google Authenticator ook voor dropbox kan gebruiken.

Ik stel dit ook bij zo veel mogelijk kennissen in, samen met een korte introductie en demonstratie. En voor de weinig overhead die dit vraagt (op elke nieuwe computer en anders eens elke 30 dagen), kan ik hen nagenoeg garanderen dat zelfs al zouden anderen hun wachtwoord te weten komen, dat hun email toch nog beschermd is. En ik heb nog niet veel negatieve reacties ontvangen.

Ik snap eigenlijk moeilijk dat sommige mensen die totaal niet willen. Zeker omdat vele websites een single sign on beschikbaar stellen met Google, en bovendien veel password recovery mechanismen via mail werken. Iemand die toegang heeft tot je mail heeft vaak ook toegang tot tal van andere websites.

Ook bij facebook heb ik two factor authentication ingesteld.
+1Zayl
10 mei 2013 11:03
Nou lekker dan... Moet ik straks elke keer als ik in log mijn telefoon bij de hand hebben. Heb ik echt een hekel aan en is niet echt gebruiksvriendelijk...
+2Toenk
@Zayl10 mei 2013 11:05
Niet helemaal waar. Je kan bij het inloggen aanvinken dat je een vertrouwde computer gebruikt, waarna het nog maar 1 keer per maand hoeft. Als je dan eens op een andere computer zit bij een vreemde heb je doorgaans je telefoon toch wel in je zak.

Of dat zo blijft wanneer ze de hele beveiliging gaan veranderen/verbeteren weet ik natuurlijk niet, maar zo werkt het nu in ieder geval.

Ik gebruik deze beveiliging nu al +- een jaar, nadat ik gehackt ben geweest. Ben er érg over te spreken, en de SMSjes met de code komen doorgaans binnen een paar seconden aan. Amper extra moeite en een hele boel veiliger.

[Reactie gewijzigd door Toenk op 10 mei 2013 11:06]

+2Caeruleus
@Toenk10 mei 2013 11:32
Op vertrouwde computers hoef je tegenwoordig niet meer iedere maand opnieuw een code in te typen. Dit is nu eenmalig
+1Orian
@Toenk10 mei 2013 11:29
Volgens mij hoef je zelfs tegenwoordig nooit meer (dus ook niet meer 1 keer per maand) die code in te geven nadat je toestemming hebt gegeven. Tenminste, toen ik two-step authentication aanzette enkele maanden geleden stond dat er niet meer, en ik heb ook nooit die vraag gekregen. Toen ik het een jaar geleden (tijdelijk) inschakelde stond het er nog wel. Omdat ik destijds nog geen smartphone had heb ik het toen weer uitgeschakeld (vandaar dat ik het enkele maanden geleden opnieuw inschakelde).
+1SMGGM
@Toenk10 mei 2013 11:32
Idem hier. Gebruik het ook al een jaar ofzo en eens je het door hebt is het best wel eenvoudig te gebruiken.
Je hebt verder ook backup wachtwoorden (voor moest je telefoon verloren gaan) en email clients of services die toegang willen op je Google account die gebruiken applicatiewachtwoorden (een door Google gegenereerd wachtwoord, dus niet je eigen wachtwoord). Voor je smartphone of emailclient maak dus je applicatiewachtwoorden aan en moest je laptop of GSM gestolen worden wis je gewoon de toegang door het applicatiewachtwoord te wissen zonder dat je al je wachtwoorden in gevaar komen. Uiteraard is het doel dat je voor elk ding afzonderlijk een applicatiewachtwoord aanmaakt.

Met dat applicatiewachtwoord kan je overigens niet aanloggen op Gmail ofzo maar zijn enkel bedoeld voor sync, pop3 enz. Aanmelden op Gmail vereist immers het random wachtwoord dat door de app voor je smartphone wordt gegenereerd.
0Zenomyscus
@Toenk10 mei 2013 13:17
Als je dan eens op een andere computer zit bij een vreemde heb je doorgaans je telefoon toch wel in je zak.
De meeste tweakers waarschijnlijk wel. Maar mijn ouders bijvoorbeeld niet.

Persoonlijk gebruik ik de two-factor-authenticatie al enige tijd voor onder andere Gmail. Ik vind het erg fijn, maar ik heb dan ook altijd mijn telefoon bij me. Ik weet niet of het slim is het te gaan verplichten voor iedereen. De meeste van mijn vrienden vinden het maar onzin als ik inlog op hun PC en eerst een smscode moet invoeren. Bovendien is het toestaan van applicaties en devices niet geheel triviaal. Toen ik het destijds wilde gebruiken moest ik eerst mijn telefoon toevoegen als geaccepteerd apparaat voordat ik hem kon gebruiken (dan krijg je een eenmalige code die je invoert).
+2AndrewBourgeois
@Zayl10 mei 2013 11:47
Google gebruikt hiervoor (momenteel) TOTP (Time-Based One-Time Password Algorithm) aka RFC 6238.

Hiervoor heb je echt geen telefoon nodig. 't is niet zo makkelijk als de Google Authenticator app te gebruiken maar er zijn alternatieven genoeg indien je de gegenereerde codes op je desktop wilt zien:

- https://5apps.com/apps/4fd87e80c439344a17000003
- https://code.google.com/p/winauth/
- https://code.google.com/p/gauth4win/
- https://github.com/rdgreen/LCGoogleApps
+1Egrimm
@Zayl10 mei 2013 11:04
"We doen het om de veiligheid"

Ik ben niet zo van het paranoide doen over Google, maar ik vind het meer klinken als "we willen graag de telefoonnummers van de mensen die ze nog niet gegeven hebben" :(

Ik ben ook niet bang dat Google m'n gegevens misbruikt, maar ook ik heb geen zin om m'n telefoon te moeten pakken als ik wil inloggen. Kan toch zelf wel beslissen of ik die extra veiligheid wil of dat m'n mail me gestolen kan worden?

[Reactie gewijzigd door Egrimm op 10 mei 2013 11:05]

+2Proxx
@Egrimm10 mei 2013 11:09
je kunt ook gewoon backup code afdrukken (soort tan codes)
dus je hoeft niet perse je telefoon er bij te pakken. :P
0himlims_
@Proxx10 mei 2013 12:08
tan-codes :X laat me niet lachen, wat een amateuristisch fiasco
+1slaapkop
@himlims_10 mei 2013 12:18
dat is anders niet veel verschil met wat google nu voorstelt. transactie authenticatie via je mobiele telefoon. die papieren lijstjes is natuurlijk een ander geval.
ach, als het echt te onvriendelijk wordt concurreert een bedrijf zich vanzelf uit de markt of biedt ruimte voor nieuwkomers
+1freaky
@slaapkop10 mei 2013 12:27
Het huidige systeem is zo lek als een mandje door de reserve codes en ASP's (voor apparaten die niet met 2 factor overweg kunnen).

Zo heb ik dus 10 reserve codes voor als de telefoon het niet doet (en alle andere TOTP opties - kan zo de security code in een andere generator stampen en verder gaan...) en voor minstens 8 apparaten ASP's.

Laten die ASP's nu minder veilig zijn dan mijn eigen wachtwoorden en dus niet de TOTP code vereisen. Behalve mijn wachtwoord + TOTP code zijn er dus 8 codes die allen minder veilig (complex) zijn dan mijn wachtwoord die toegang geven zonder de TOTP code. Plus dat mijn wachtwoord + 10 vaste codes ook toegang geven.

Bij voorbaat kansloos dus. Snap dat ze iets moeten met die oude apparaten (bijv. m'n televisie e.d.) die geen 2 factor ondersteunen, maar op deze manier is het onzin natuurlijk. ASP's zijn inmiddels wel zo afgeschermd dat je de account gegevens er niet mee kan wijzigen overigens - dat was voor half februari nog wel anders btw.

[Reactie gewijzigd door freaky op 10 mei 2013 12:28]

+3Orian
@freaky10 mei 2013 14:41
Je gaat hier wat mij betreft wel erg kort door de bocht op een aantal punten.

Ten eerste: ja, ASP's (nooit geweten dat die dingen zo heten?) kunnen inderdaad zwakker zijn dan je eigen wachtwoord. Maar, belangrijk voordeel eraan is dat ze maar eenmalig ingevoerd hoeven te worden. Mijn telefoon heeft een ASP. Ik heb dit eenmalig ingevoerd, en sindsdoen hoeft dit niet meer. De kans dat dit onderschept wordt is dus zeer gering. Mijn gewone wachtwoord voer ik op verschillende pc's, waar ik lang niet altijd de controle over heb (bijv. op de universiteit, in een internetcafé, bij vrienden) in. De kans dat hier een keylogger op staat is relatief groot, en de kans dat mijn eigen wachtwoord wordt onderschept is dus ook relatief groot. Uiteraard, er kan ook een keylogger op mijn eigen telefoon, tv, etc. staan, maar die kans is kleiner (immers, mijn wachtwoord voer ik in een maand wel 20 keer op verschillende vreemde computers in, de ASP maar eenmaal op een bekende).

Uiteraard is er het risico dat ze een ASP bruteforcen. Maar over het algemeen worden emailadressen niet gehackt door bruteforcen (google zal het snel doorhebben als ik duizenden pogingen achter elkaar doe en me blokkeren, eventueel tijdelijk). Het gaat meestal via keyloggers of domme mensen die op vreemde websites inloggen. En hey! Laat daar two-step id nou net tegen helpen!
Daarnaast kun je met een ASP niet inloggen op de webmail. Oftewel, je kunt hoogstens een telefoon, of email client instellen. Daarmee kun je verder niets op mijn account veranderen qua persoonlijke gegevens. Vervolgens zie ik een melding in gmail dat er van een vreemde locatie is ingelogd en verander gauw mijn password.

De 10 'vaste codes' zijn allen maar eenmaal bruikbaar. Dus je kunt inloggen, maar zodra je uitlogt kun je er met die vaste code niet meer in. Maar dan denk je natuurlijk: ze veranderen gewoon mijn wachtwoord. Maar dan dien je opnieuw in te loggen (bij het veranderen van je wachtwoord moet je inloggen met je oude wachtwoord). En wat is er dan het geval op een vreemde pc? Je moet een two-step id ingeven! Oftewel, je moet weer gaan bruteforcen om één van de andere 10 (nu nog 9 dus) codes te pakken te krijgen.
Dan heb ik het nog niet eens over het feit dat het bruteforcen van 1 wachtwoord nog altijd makkelijker is dan het bruteforcen van 1 wachtwoord + een (vast) two step id.

[Reactie gewijzigd door Orian op 10 mei 2013 14:55]

+2Henrikop
@Orian10 mei 2013 22:23
Brute forcen kan alleen maar met de hash. Je kunt niet zomaar op de Google site brute forcen. Na een paar pogingen ben je al buitengesloten.

Bruto forcen kan meestal alleen offline en als je iets om tegen te brute forcen hebt.

Net als een pincode. Die kun je ook niet brute forcen tenzij je de hash geskimmed hebt.

BTW Two factor is de bom. Ik gebruik het nu zelfs bij mijn Live account sinds kort. Ja, het is wat meer werk, maar ik voel me er een stuk lekkerder bij. Het is als je fiets net wat beter op slot zetten dan je buurman. Perfect is het niet, maar je kans om gehackt te worden is een stuk kleiner.

[Reactie gewijzigd door Henrikop op 10 mei 2013 22:24]

+1Joop Visstick
@Orian10 mei 2013 19:33
[quote]
De 10 'vaste codes' zijn allen maar eenmaal bruikbaar.
[/qoute]

Volgens mij kan je ze gewoon opnieuw gebruiken hoor, mijn Thunderbird op mijn PC en op mijn laptop gebruiken dezefde code, terwijl ik mijn PC laatst opnieuw heb geïnstaleerd, de code haalde ik uit de Thunderbird van mijn laptop.

En dan nog Thunderbird logt iedere keer dat hij mail ophaalt opnieuw in en ik heb nog nooit een nieuwe "vaste" code hoeven invullen. Ook niet na Thunderbird / mijn PC opnieuw opgestart te hebben.
+1Orian
@Joop Visstick10 mei 2013 20:06
De 'vaste codes' zijn de codes die je ook met je telefoon kunt aanmaken. Dit zijn niet de codes die je bijvoorbeeld gebruikt om bij thunderbird in te loggen. Die kun je inderdaad vaker (oneindig?) gebruiken. Maar daar kun je weer niet mee inloggen op de webclient.
+1hostname
@Egrimm10 mei 2013 11:13
Ik ben niet zo van het paranoide doen over Google, maar ik vind het meer klinken als "we willen graag de telefoonnummers van de mensen die ze nog niet gegeven hebben" :(
Voor de two-factor authenticatie bij Google hoef je geen telefoonnummer op te geven, alleen maar een app te installeren :)
+1Egrimm
@hostname10 mei 2013 11:15
Tja dan zou ik wel een smartphone moeten hebben... dus waarschijnlijk ben ik aangewezen op de SMS methode.

Ik vind het maar overdreven voor een webmail... dat het bij internetbankieren moet kan ik me voorstellen.
0rmd
@Egrimm10 mei 2013 11:22
Precies, ik heb ook geen smartphone...

"He who sacrifices freedom for security deserves neither. "

- Benjamin Franklin
+2MathijsR
@rmd10 mei 2013 11:55
Precies, ik heb ook geen smartphone...

"He who sacrifices freedom for security deserves neither. "

- Benjamin Franklin
Je weet dat Franklin het over een andere veiligheid dan de veiligheid van je eigendommen en al helemaal over een andere vrijheid dan je vrijheid om geen extra code in hoeven te vullen om in te loggen?

Veiligheid <-> Vrijheid gaat over dat de staat je vrijheid inperkt om de algehele veiligheid te waarborgen, tenminste, zo brengen ze dat. Dus bijvoorbeeld continu in de gaten gehouden worden door cctv camera's overal op staat. Het is meer een op privacy gerichte uitspraak.

De orginele uitspraak, die jij gebruikt is een vereenvoudigde versie die beter op een truttig tegeltje staat ;) ,geeft dat al wat beter aan:
They who can give up essential liberty to obtain a little temporary safety, deserve neither liberty nor safety.
Anyway.. terug ontopic. Ik gebruikte two-factor-auth al op m'n laptop voor LastPass. Persoonlijk vind ik het een kleine hel op aarde om altijd m'n telefoon klaar te hebben liggen voor die extra code. Het biedt wel een goede extra beveiliging, maar nu alles met idioot moeilijk wachtwoorden achter LastPass zit met een een hele hoop tekens (random met cijfers en speciale tekens) wachtwoord voel ik me al een stuk veiliger over m'n wachtwoorden. Dat wachtwoord was een bitch om uit m'n hoofd te leren, maar daardoor is de rest een stuk veiliger. Lijkt me persoonlijk beveiliging genoeg.

Belangrijkste is eigenlijk dat mensen niet overal hetzelfde wachtwoord voor gebruiken, want vaak is het toch een email + ww combinatie die dan vaak op andere sites/email accounts ook geprobeerd worden. Dit schijnt een veel gebruikte manier te zijn om MMORPG accounts te hacken. Op externe game fora gebruiken mensen dezelfde account + ww combo in hun MMORPG, alleen zijn die bij lange na niet zo goed beveiligd als de MMORPG databases zelf, geen salting over de wachtwoorden e.d. Die worden "gehackt" (SQL injection beveiliging is er vaak al niet eens) en zo komen ze aan de accounts die dan spontaan gehackt worden. Heb er zo even geen bron meer van.

Voor deze mensen is een extra beveiligingslaag wel goed, want zonder die 2e code kom je nergens. Ben het er alleen niet mee eens dat het verplicht wordt. Doe een opt-out situatie voor "power-users" die hun beveiliging wat beter op orde hebben. Zolang het een default setting is zullen al veel mensen er aan meewerken, mits er ook duidelijk verteld wordt waarom het goed voor ze is. Dat weet Google zelf maar al te goed:

http://www.nytimes.com/20...t-online-or-not.html?_r=0

edit: thx freaky.. dat was stom genoeg niet bij me opgekomen toen ik dit typte 8)7

[Reactie gewijzigd door MathijsR op 10 mei 2013 12:36]

+2pvbouwel
@MathijsR10 mei 2013 12:59
met idioot moeilijk wachtwoorden achter LastPass zit met een een hele hoop tekens (random met cijfers en speciale tekens) wachtwoord voel ik me al een stuk veiliger over m'n wachtwoorden. .... Lijkt me persoonlijk beveiliging genoeg.
Het grootste voordeel van 2-factor-auth is mijns inziens dat je ( indien nodig) kan inloggen vanaf een PC waarover je geen 100% controle hebt en dus niet weet of deze veilig is. Zo vertrouw ik PCs van andere mensen niet omdat de meeste mensen geen security experts zijn.

Het kan misschien wel zijn dat je wachtwoord veilig gekozen (of gegenereerd) is maar zorg dat je hierdoor geen vals veiligheidsgevoel hebt. Want als je het 1 keer ingeeft op een geïnfecteerd systeem kan het immers al gelogd zijn en dan is de sterkte van dat wachtwoord plots 0.

Mogelijks log jij nooit aan op andere computers dan die van uzelf en dan is uw aanpak volgens mij inderdaad veilig.

Zelf gebruik ik de 2-factor-auth van Google en ben ik daar zeer tevreden over. Ik ben een fervente gebruiker van de Google diensten en toch heb ik minder dan 10 keer mijn smartphone erbij moeten nemen. Wanneer je immers inlogt met 2-factor-auth kan je een cookie laten plaatsen die ervoor zorgt dat je deze extra code niet meer moet invoeren. (Dit doe je dan op je eigen machine die je 100% vertrouwd).

Ik zou het een gewaagde stap vinden indien ze dit inderdaad doorvoeren maar ik denk dat het de veiligheid wel effectief ten goede zal komen. Heel veel mensen hebben te weinig notie van security (wat je hen niet kan kwalijk nemen) en ik vind dat je als dienst-aanbieder wel effectief keuzes moogt nemen in hun plaats. Want die mensen brengen niet enkel hun eigen account in gevaar maar ook dat van mensen die hen vertrouwen want reken maar dat hun account vervolgens gebruikt gaat worden om spam/phishing-mails te verspreiden.

De opt-out mogelijkheid vind ik ook wel goed indien ze gepaard gaat met allerlei irritante waarschuwingsvensters.
0MathijsR
@pvbouwel10 mei 2013 14:55
Services als LastPass hebben inderdaad hier wel wat op gevonden in de vorm van one-time-passwords. Dus moet je dan toch echt bij je wachtwoorden op een vreemde PC dan kan je die gebruiken zonder dat je hoofdwachtwoord in gevaar komt. Overigens zijn m'n passwords inderdaad random generated, niet altijd even handig maarja, moet toch wat.

Daarentegen log ik inderdaad vrijwel nooit op vreemde PCs in nee. Wat dat betreft vertrouw ik nog meer m'n eigen mobiel met internet bankieren app (wat alleen 5-cijferige PIN code beveiliging heeft na een vrij uitvoerige activatieprocedure) dan een openbare PC met potentieel 300 keylogger en dergelijke erop. Combineer dit met Ceberus op de achtergrond waarmee remote je telefoon leeggehaald kan worden via een webinterface mocht hij kwijt raken/gejat worden lijkt me dit beter dan shared PCs.

Conclusie is eigenlijk dat veiligheid altijd het gemak in de weg komt te staan.
0freaky
@MathijsR10 mei 2013 12:34
Psst, het is niet handig om te gaan lopen roepen hoe lang je wachtwoord precies is. Maakt brute-forcen aanzienlijk makkelijker.
+1Stevie-P
@freaky10 mei 2013 13:29
Uh, nee. Brute-forcen betekent alle mogelijkheden afgaan. Om praktische redenen begin je met het kortst mogelijke wachtwoord en telkens verhoog je de lengte met 1 tot je het juiste wachtwoord hebt gevonden. Daardoor zal bijna altijd het meeste werk liggen in de laatste stap van het brute-forcen.

Even een simpel voorbeeld van het bruteforcen van een wachtwoord van 5 tekens lang met als toegestane tekens: a-z A-Z 0-9. (Ik ga er even vanuit dat het wachtwoord wordt gevonden na het proberen van de helft van de mogelijkheden.)

Wanneer we weten dat het wachtwoord 5 tekens lang is:
0.5 * 62^5 = 458.066.416

Wanneer we dit niet weten:
62^1 + 62^2 + 62^3 + 62^4 + 0.5 * 62^5 = 473.084.986

Ik noem dit geen aanzienlijk verschil.

Dit is natuurlijk een gemiddelde, het kan best zijn dat de eerste poging van lengte 5 het correcte wachtwoord is. In dat geval scheelt het heel veel rekentijd, één poging vs 62^1+62^2+62^3+62^4+1.

Ik probeer mensen overigens niet te overtuigen dat het een goed idee is de lengte van je wachtwoorden te plaatsen. Ik vond het gewoon leuk om mijn gedachten hierover te delen.

Bij het kraken van wachtwoorden is het gebruiken van een dictionary attack heel gebruikelijk, en in dat geval maakt het weten van de lengte wel een groot verschil!
+1vdvoort
@rmd10 mei 2013 11:37
Altijd actueel zon quote uit de goeie oude tijd... Google probeert hier mee te gaan met de nieuwste veiligheidseisen en probeert het daarnaast zo makkelijk mogelijk te maken maar als je geen innovatie wil, blijf dan lekker weg van de google diensten .
0Aionicus
@vdvoort10 mei 2013 14:18
welke innovatie ? ze verplichten mij tot het opgeven van mijn mobiel , hell no.

het is een stap terug in mijn ogen als het verplicht wordt.

Zelfde als dat facebook nu elke keer blijft vragen of je je "profiel" compleet maakt en een telefoonnummer add.

gewoon vieze truukjes om info van gebruikers te krijgen, het heeft niets met innovatie te maken.

P.s ik heb +- 16 wachtwoorden , ben nog nooit gehacked in wat voor manier dan ook . Het is veilig genoeg zolang je maar beetje weet wat je doet.
+1505261
@Aionicus10 mei 2013 15:38
Yep. Keep on dreaming.

Het is gewoon een schande dat anno 2013 een mens een hele rits aan wachtwoorden moet kennen. Je hebt pin code van bankpasje, digid, creditcard codes, 30 tot 50 wachtwoorden, inlognamen etc. In 20 jaar IT revolutie is daar geen enkele verbetering in gekomen. Sterker nog, het is gigantisch verslechterd !

Mocht deze techniek van Google werken, dan ben ik daar een voorstander van. Want Google is al meerdere malen een aanjager geweest van innovatieve zaken.

Ik heb al eerder gezegd dat ik een fervent voorstander ben van OpenID. Deze techniek versoepelt het wachtwoorden en inlogverhaal op websites enorm. Toch stokt het op de een of andere manier. Zelfs tweakers.net, die de beste website van 2012 award heeft ontvangen doet er niet aan mee. Schandalig.

[Reactie gewijzigd door 505261 op 10 mei 2013 15:46]

+2Aionicus
@50526111 mei 2013 04:19
mwah keep on dreaming gerard?

ooit van keepass , lastpass gehoord ? 1 masterpassword wat niemand kan kraken als je die uit je hoofd weet, voor de rest zorgen die programma's ervoor dat trojans niet je gegevens kunnen uitlezen wanneer je inlogt via het programma, al je wachtwoorden in 1 lijst, niemand die erbij kan (20+ chars is best makkelijk te onthouden als ww als je iets logisch pakt voor jezelf , bv geboortestad+datum+je eerste vriendinnetjes naam) gooi er nog 3 uitroeptekens aan op het einde en je bent zo goed als maar kan veilig.

OpenID is bij lange na niet goed genoeg voor mijn optiek.
Het is ook niet schandalig dat tweakers er niet aan meedoet, aangezien maar een hele kleine groep openID gebruikt. De nadelen van openID zijn ook nog niet aan het licht waardoor het gewoon nog steeds een niet goed onderzocht systeem is.

Als je klaagt over verschillende wachtwoorden dan moet je gewoon leren googlen en die programma's gebruiken. in de 20 jaar van IT revolutie is het alleen maar belangrijker geworden dat je niet voor alles zelfde wachtwoord gebruikt en daarbij is het gebruik van 1 systeem zoals OpenID gewoon een ramp , als iemand die zou kraken dan ben je meteen supergoed de pineut, met een programma als lastpass achter bv een portable truecrypt container op een usb stick en niemand die ooit in je gegevens kan komen.

Zoals ik al zei ik ben nooit gehacked , nooit heeft iemand 1 van mijn ww's geraden en ik ga ook al deze 20 jaar van IT revolutie mee.

Deze bedrijven zitten uiteindelijk er om winst te maken / informatie te verzamelen / verkopen aan derden. Two factor authentication is zinloos tenzij ze het gewoon met twee wachtwoorden doen.

Nuff said

p.s lekker bijdehand van je met je keep on dreaming

[Reactie gewijzigd door Aionicus op 11 mei 2013 04:19]

0505261
@Aionicus11 mei 2013 13:11
Dat keep on dreaming was inderdaad niet bijster slim dat geef ik toe.

Maar de strekking van mijn verhaal, daar sta ik nog steeds achter.

En ja, natuurlijk ken en gebruik ik keypass. Maar het is toch te gek dat we dit soort software nodig hebben?

Met OpenID heeft een website alleen een linkje naar een OpenID host voor authenticatie. Dus behalve op de OpenID host wordt nergens jouw wachtwoord en inlognaam opgeslagen. Dit vind ik veel veiliger dan dat op iedere site een gebruiksnaam / wachtwoord combinatie is opgeslagen.

En om terug te komen op keypass. Weet jij of dit veilig is? Ik niet. En toch stop ik er tientallen geheime dingen in.
0RoelRoel
@Aionicus10 mei 2013 15:57
Wat denk je dat Google precies met je telefoonnummer wil dan behalve gebruiken voor authentificatie in 2 stappen?
+3Aionicus
@RielN11 mei 2013 04:20
Je gaat immers akkoord met hun voorwaarden dus ja je informatie word opgeslagen , doorgestuurd , gekoppelt . Net als met facebook is je data gewoon niet 100% veilig .
+1miklas
@vdvoort10 mei 2013 11:48
Tot, zoals hier het geval, je instelling/bedrijf/... beslist om gebruik te maken van de gmail client. Kan ik beter ook direct mijn baan opzeggen?

Ik heb helemaal niets tegen two-factor authorisatie (zeker niet voor bepaalde diensten zoals mijn mails en "cloud" documenten), maar ik blijf erbij dat je dit een keuze van de gebruiker moet maken. Wijs de gebruiker op de mogelijke gevaren en laat hem kiezen of hij dit al dan niet wil.
+1i-chat
@miklas10 mei 2013 16:00
maar waarom moet mijn veiligheid afhangen van jouw (on)wil om je account degelijk te beveiligen, het internet is immers een keten van aaneengesloten netwerken, en van een keten weten we allemaal dat ie maar zo sterk is als de zwakste schakel.

dus als jouw bedrijf je geplicht stelt 2factor auth te gebruiken, zullen ze je ook instaat moeten stellen om in te loggen, dikke kans dat er dus kastjes gaan komen dit dit mogelijk maken zonder je smartphone nodig te hebben. volgens mij zijn die er zelfs al....

dit werkt dan straks waarschijnlijk het zelfde als een random reader van bijv de rabobank.
+1freaky
@vdvoort10 mei 2013 12:31
Franklin zei: They who can give up essential liberty to obtain a little temporary safety, deserve neither liberty nor safety.

En is daar correct IMHO. De toevoegingen essential en temporary veranderen het verhaal nogal.

Anyways je hebt niet per se een smartphone nodig. Alles wat voldoet aan de OATH TOTP algoritmes voldoet. Ook zat apps voor op de PC...
+1Proxy
@vdvoort11 mei 2013 08:31
Het heeft niets te maken met innovatie. Het maakt de boel alleen maar gebruikersonvriendelijker.
+1Rafe
@Egrimm10 mei 2013 11:28
Ik vind het maar overdreven voor een webmail
Je vergeet dat Google veel meer aanbiedt. Stel je voor dat je een bedrijf draait en gekozen hebt voor App Engine als cloudinfra heeft het een stuk meer impact... of Ad Words-campgnes.
+1Egrimm
@Rafe10 mei 2013 11:35
Dat was ik niet vergeten. Maar stel nou dat ik al die extra dingen niet gebruik, dan vind ik het ook niet nodig om deze extra veiligheid te gebruiken. Ik denk dat 95% van de Gmail gebruikers nog nooit van deze dingen gehoord heeft.
0Athalon1951
@Egrimm10 mei 2013 14:14
Daar heb je gelijk in, zelf heb ik nog nooit van die dingen gehoord, ondanks dat ik al vanaf 1992 op het toenmalige internet zat. IK gebruik ze niet dus heeft het totaal geen interesse om het te weten wat het is, wat je kunt doen etc. En zo zijn er miljoenen gebruikers met mij. IK heb net eens op mijn Google Dashbord gekeken wat er staat, laat het nu niets wezen alleen een paar you tube filmpjes die ik gezien heb vaneen amerikaaanse videoblogger. Als je nagaat dat ik dus al jaren Chrome draai, kun je zien dat ik nooit en te nimmer op Google kom,eens in het jaar om alle mail te deleten, want gebruik het meer als dumpadres voor de rotzooi die je krijgt, dus ik zie totaal niet waarom ik starks verplicht een 2 way Auth moet doen, mede door het geval dat ik geen mobiel meer gebruik of in bezit heb sinds 9 jaar. Mijn hoofdmail is gewoon die ik van de ISP heb gekregen en daar doe ik verder alles mee, zonder nare reclame's etc etc.

[Reactie gewijzigd door Athalon1951 op 10 mei 2013 14:15]

+1Walance
@Egrimm10 mei 2013 11:33
Waarom is dat overdreven? Wanneer gmail je hoofd-email is, zal daar erg veel persoonlijke informatie in staan. Denk aan gebruikersnamen en/of wachtwoorden van website's, sollicitaties, persoonlijke communicatie met je familie/vrienden, etc. Grote kans dat die persoon dan ook wel ergens je adres en telefoonnummer kan vinden (via bevestigingen van online aanbestedingen bijvoorbeeld).

Wanneer iemand toegang krijgt tot jouw e-mailadres, krijgt hij ook toegang tot al je accounts op alle website's (want hij kan dan overal simpelweg de "wachtwoord vergeten" optie gebruiken en via dat jouw wachtwoorden veranderen), wil je dat dat gebeurt? Ik vind het dus helemaal niet overdreven.

[Reactie gewijzigd door Walance op 10 mei 2013 11:37]

+1Egrimm
@Walance10 mei 2013 11:45
Nogmaals: als je dat belangrijk vindt dan kun je deze beveiliging gebruiken. Het gaat mij erom dat het lang niet altijd nodig is om een e-mail account zo te beveiligen. Op mijn telefoon staat ook geen pincode, ondanks dat andere mensen wel gevoelige informatie op hun telefoon opslaan.

Helaas is dit wel een onhandigheidje dat net niet de drempel bereikt om naar een andere mailprovider te gaan.. waarschijnlijk.
0Walance
@Egrimm10 mei 2013 11:57
Daar heb je gelijk in, maar het probleem is (denk ik) dat veel mensen niet weten van de 2-factor-authenticatie of dat ze gewoon te lui zijn om het in te stellen. Vervolgens gaan ze wel zeuren wanneer hun account gestolen wordt. Dit wil Google waarschijnlijk voorkomen.
0Rivanni
@Walance10 mei 2013 16:13
M.
Daar heb je gelijk in, maar het probleem is (denk ik) dat veel mensen niet weten van de 2-factor-authenticatie of dat ze gewoon te lui zijn om het in te stellen. Vervolgens gaan ze wel zeuren wanneer hun account gestolen wordt. Dit wil Google waarschijnlijk voorkomen.
ensen gaan nu zeuren over deze verplichte invoering. Zeuren blijven we toch wel.
Laat Google gewoon de mensen goed informeren en dan de keuze aan de gebruiker over laten. Raakt iemand zijn gegevens kwijt of wordt hun account gestolen dan pech voor diegene
+1sHELL
@Egrimm10 mei 2013 11:43
"voor een webmail"

Ja, voor jou alleen de webmail. Bij mij zit ook de calender, drive, contacts, maps, youtube en weet ik veel achter. 2 step verification heb ik dus ook meteen van af dag 1 aangezet.

En Microsoft is het zelfde van plan.

-offtopic-

@rmd Welke vrijheid heb je dan verkregen door geen smartphone te hebben?
0sypie
@sHELL10 mei 2013 16:56
De vrijheid die ik heb door géén smartphone te hebben: ik hoef niet iedere dag mijn lader op te zoeken, ik hoef niet om de 5 minuten op mijn telefoon te kijken omdat het ding weer piept/trilt/zoemt/whatever, ik hoef mij niet druk te maken om apps die ik nooit gemist heb, ik hoef me niet druk te maken over het laten vallen van mijn toestel, ik hoef met niet druk te maken om diefstal van mijn toestel, ik hoef me niet druk te maken op twitter/facebook/4square/whatsapp/drawsomething/*.app om bij te blijven met mensen die ik niet ken, ik heb een beperkte informatiestroom waardoor ik mij gedurende mijn dagen met voor mij nuttigere dingen bezig kan houden...

Hoeveel redenen wel je hebben voor een beetje vrijheid?
0gday
@sypie12 mei 2013 22:03
Tja, dat is natuurlijk selectief je argumenten kiezen. Vrijheid is ook direct 112 kunnen bellen in geval van nood zonder op iemand te hoeven wachten die wél een telefoon heeft of een ANWB-praatpaal op te zoeken. Vrijheid is ook zónder enige voorbereiding (stadsgidsen en kaarten kopen) naar een vreemde stad gaan en daar meteen je weg vinden met je telefoon en alle leuke dingen en bezienswaardigheden vinden.

Wellicht sprak men 50 jaar geleden ook zo over de auto. "Nee, geef mij maar een fiets! Ik wil me niet druk maken over een auto waar ik steeds benzine in moet doen!" Vervolgens was de actieradius van die mensen natuurlijk helemaal niets vergeleken met degenen die wél een auto namen en daardoor de vrijheid hadden om grotere afstanden af te leggen.
+1bastiaansmit199
@Egrimm10 mei 2013 12:25
Ik snap dat jullie het overdreven vinden maar een "ongelukje" zit in een klein hoekje!
Ik dacht ook altijd mijn account wordt niet gehacked maar dus wel.
Had een prima antivirus oplossing met firewall en zelfs nog extra anti spyware geinstalleerd en dan nog hebben ze weten binnen te komen op mijn pc en mijn wachtwoorden te pakken hebben kunnen krijgen.
En was niet aan het downloaden geweest van cracks of andere illegale software!

Het kan dus wel gebeuren dat je account wordt gehackd! Ik vind het dus niet zo gek dat google met deze actie komt. Waarschijnlijk hebben ze er al langer ervaring mee.

Overigens heb ik via de optie van google zelf mijn account terug kunnen krijgen! Als je inlogt nadat je wachtword is gewijzigd dan staat er "klik hier als je dit niet hebt gedaan" en kwam er vrijwel direct achter omdat mijn android toestel een melding gaf kan niet meer synchroniseren!

Maar misschien is het beter als google nog een andere methode verzind dan alleen een telefoon! Overigens heb ik er zelf geen problemen mee is toch weer wat veiliger.
En ja als er zo veel android telefoons zijn dan is het voor google niet zo moeilijk om die stap te zetten.

[Reactie gewijzigd door bastiaansmit199 op 10 mei 2013 12:28]

0Rivanni
@bastiaansmit19910 mei 2013 16:17
Je schrijft dat je je pc compleet beveiligd hebt en er geen rare dingen op gedaan hebt maar is dat ook het geval met je Android toestel? Je hoeft maar één keer je wachtwoord in een bepaalde app te hebben ingevoerd en wie weet waar dat wachtwoord belandt.
0RoestVrijStaal
@hostname10 mei 2013 12:09
Raad eens welke rechten die app nodig heeft.

Voorlopig ziet het 'toestemmingen'-lijstje nog vrij onschuldig uit. Ondanks dat ik "accounts op het apparaat gebruiken", "accounts maken en wachtwoorden instellen" en "accounts op het apparaat vinden" bedenkelijk vind.

Maar met een update van die app kan door Google gemakkelijk meerdere rechten worden afgedwongen.
0Orian
@RoestVrijStaal10 mei 2013 12:19
In ieder geval op android heeft google toch al vrijwel overal toegang toe, dus of één app van hun die toegang nou heeft of niet, ze weten het toch wel...
0kozue
@Orian10 mei 2013 14:06
En wat nou als je geen android hebt?
Op mijn iPhone komt niks van Google. Niet omdat ik iets tegen Google heb, ik gebruik hun desktop services regelmatig, maar omdat ik niet wil dat 1 bedrijf alles over mij weet. Beter om dat te verspreiden. Zo weet Apple wat ik op de telefoon doe en Google wat ik op internet uitspook, maar niemand weet beiden.
+1Fjerpje
@Egrimm10 mei 2013 12:38
Nou, dan stappen we toch lekker massaal af van Google en gaan we wat anders gebruiken? Ik bedoel het is niet verplicht om Google te gebruiken en er zijn genoeg alternatieven.
+1RoestVrijStaal
@Fjerpje10 mei 2013 15:29
Dan moeten we eerst de alternatieven weten/vinden die dezelfde functionaliteiten en resultaten bieden.

Ik zie Microsoft, Apple en Yahoo binnenkort al hetzelfde doen. Dan blijven er niet bar zoveel alternatieven over.

[Reactie gewijzigd door RoestVrijStaal op 10 mei 2013 15:42]

0Fjerpje
@RoestVrijStaal12 mei 2013 13:23
Dan gooi je zelf een pceetje neer met exchange en dergelijke...
+1MWP
@Egrimm10 mei 2013 13:20
Die 2-step authenticatie gaat "gewoon" via je google account. Tenzij je de app op je telefoon toestemming geeft om het telefoonnummer uit te lezen, krijgt Google niet je telefoonnummer.

Daarnaast lijkt me dat je de app ook op een tablet of iPod kunt installeren: die heeft niet eens een telefoonnummer :)

Uit de presentatie maak ik trouwens op dat er staat "Default enabled". Dat impliceert volgens mij dat we het ook kunnen uitschakelen -- Wat ik best een fijne gedachte vindt.
+1maniak
@Zayl10 mei 2013 11:05
Heb je een beter idee? Ik gebruik de 2-factor auth al een tijdje en is niet heel erg vervelend. Af en toe vraagt ie om een code. We leven nou eenmaal in een wereld dat oplossingen, zoals deze, nou eenmaal een must zijn.
+1Grrrrrene

@Zayl10 mei 2013 11:05
Ik heb 2-factor inlog al ingeschakeld en eigenlijk heb je het alleen nodig als je op een nieuwe computer inlogt. Op mijn eigen PC hoef ik nooit mijn telefoon erbij te pakken.
+1YopY
@Zayl10 mei 2013 11:07
Da's waar, maar een extra inlogstap (op OK drukken op je telefoon die veel mensen altijd bij zich hebben) heeft de voorkeur over een gehacked account voor de meesten. Maar het is nog even afwachten hoe Google dit aanpakt; voor hetzelfde geld blijft het een optie die standaard aan staat maar die je uit kunt zetten. Immers, niet iedere gebruiker heeft een smartphone.
+1Twilkie
@Zayl10 mei 2013 11:07
Duidelijk dat je nog nooit two-factor authentication gebruikt hebt.
Je kan een device (gedurende een langere tijd) als trusted zetten.
Je zou dan enkel je telefoon moeten nemen als je op iemand anders laptop wilt inloggen, hetgeen me ook logisch lijkt.
Voor je telefoon en je GSM kan je trouwens ook application pasword aanmaken.
Paswoorden van 20 karakters lang speciaal voor één app.
Deze kan je dan nog eens revoke'n via de webinterface als je wenst dat ze niet langer toegang hebben.
+1B3U5
@Zayl10 mei 2013 11:09
Natuurlijk hoef je niet elke keer je telefoon erbij te pakken, dat moet alleen de eerste keer. Vervolgens heb je gewoon een sessie cookie met een voorgedefinieerde lifetime. Net als dat je nu automatisch in google wordt ingelogd vanaf je eigen pc. Nu is het ook al dat je extra security vragen krijgt wanneer je vanaf een niet eerder gebruikte pc inlogt, daar komt dat een 2-FA bij.

Je hebt ook niet perse een smartphone nodig voor een OTP generator, je kan ook gewoon een smsje of een telefoongesprek krijgen met een computer die je code opleest (in je eigen taal).

Ik zeg: goede zaak. Immers, hoeveel (gegenereerde) wachtwoorden heb jij in je gmail box rondslingeren?
+1Blaise
@Zayl10 mei 2013 11:10
Alleen de eerste keer dat je inlogt op een "vreemd" device. Daarna wordt je device herkend en hoef je alleen maar je wachtwoord in te vullen, zoals normaal.

Als je geen telefoon hebt kan je ook een lijst printen met codes, vergelijkbaar met de TAN codes op papier van ING. En als je daar ook geen zin in hebt, je kan ook een uniek wachtwoord voor een bepaalde device of client (bijvoorbeeld een gesyncte kalender die de API gebruikt) aanmaken.

Ik maak nu al enige tijd gebruik van two-factor authenticatie. In het begin was het wat werk met opzetten van client-wachtwoorden en intypen van codes, maar nu al mijn eigen devices zijn herkend hoef ik alleen nog maar mijn wachtwoord in te vullen en merk ik er dus niks meer van, maar geniet ik dus wel van de extra veiligheid.
0grafgever
@Zayl10 mei 2013 12:35
Het hoeft sowiso niet elke keer, enkel wanneer je op een nieuwe pc inlogged waar je nog niet eerder vandaan hebt ingelogged. Althans zo begrijp ik het, en zo is het ook als het momenteel werkt (ik gebruik al 2-staps verificatie namelijk). Moet zeggen dat ik het erg fijn vind, geen chinese hackers meer die proberen op mijn gmail in te loggen.
0BRAINLESS01
@Zayl10 mei 2013 13:32
Waarschijnlijk log je maar 1 keer in op je pc en laat je hem daarna gewoon ingelogd staan? In de meeste situaties lijkt me dat voldoende.
0OCTiMod
@Zayl10 mei 2013 13:39
Je kan bij het invoeren van de gegenereerde code aanvinken dat je de computer voor 30 dagen wil onthouden.
Dus eigenlijk hoef je dan maar eens in de 30 dagen in te loggen met je telefoon bij de hand.
0teek2
@Zayl10 mei 2013 19:54
Alleen de eerste keer op een apparaat.
Het vervelendste zijn de eenmalige wachtwoorden voor al je apparaten maar goed als t loopt dan loopt t. Wat mij betreft weegt het makkelijk op tegen de nadelen en potentiele gevolgen van een hack:
http://www.wired.com/gadg...amazon-mat-honan-hacking/
Eerste zin:
"In the space of one hour, my entire digital life was destroyed."
0Douweegbertje
@Zayl10 mei 2013 11:11
Precies, en het heeft een super groot neven effect.
Ten eerste heeft een groot gedeelte van de mensen hier geen zin in, ten tweede zou bijvoorbeeld mijn oma of zelfs mijn vader dit amper snappen (en ja, mijn oma is best actief op het internet, alleen hou het wel simpel!).

Maar wat ik wil aangeven is dat een 2 factor helemaal niets gaat helpen na verloop van tijd.
Je zult het probleem moeten aanpakken, en niet dingen 'lastiger' maken. Zodra grotere partijen overgaan op een 2 factor worden de virussen alleen maar erger en krachtiger. Het is gewoon een kwestie van tijd totdat er spyware komt die even je auth code uitleest.

Malware op smartphones gebeurt al veel, omdat het zo dood simpel is, nu word dit met een factoor 100 erger.

Het is gewoon tijd dat mensen hun zaakje op orde hebben omtrent beveiliging van hun computer / telefoon. Iedereen misbruikt dat ding maar (even tweakers daar gelaten) en ze hebben geen benul wat ze doen. Als dat niet is opgelost, kun je van alles implementeren maar dat zal maar beperkt nut hebben. Kijk zelf maar eens welk percentage van alle PC's geïnfecteerd is, je schrikt namelijk!
0Orian
@Douweegbertje10 mei 2013 11:32
Tja, ik kan mijn eigen zaakjes wel op orde hebben, maar ik moet toch wel eens ergens anders inloggen. Op vakantie in een internet-café, op de universiteit (wie zegt me dat een students geen (fysieke) keylogger heeft geïnstalleerd, bij een vriend etc. Zelfs als ze nu mijn wachtwoord te pakken krijgen kunnen ze er niets mee, omdat ze die andere code (die elke 30 (?) sec. veranderen weten te achterhalen. En dat is toch een stuk moeilijker.
+1gnu
@Douweegbertje10 mei 2013 11:26
Tenzij je root toegang hebt is het niet mogelijk voor spyware om de auth code uit te lezen.

Daarnaast is het idee van zulke authenticatie methodes dat het niet mogelijk is om permanent toegang te krijgen. Ik kan je makkelijk een token geven, 115793, zonder dat ik bang hoef te zijn dat je daar iets mee kan.Als je je tokens via de SMS ontvangt ben je al een stuk kwetsbaarder aangezien elke app toegang tot je SMS kan vragen.

Mensen begrijpen niet goed hoe groot het risico is van een e-mail account dat "gekraakt" wordt, je verliest werkelijk ALLES. Al je online accounts kunnen hun wachtwoord laten resetten en die ben je dan ook ineens kwijt, iemand leest al je mail en stuurt een paar flink gemene mailtjes (bekentenissen van vreemdgaan bijvoorbeeld) en je hele leven kan kapot gaan.
0kozue
@gnu10 mei 2013 14:17
Als je relatie zo zwak is dat het kapot kan gaan door een mailtje dan was het toch al niks waard. En sowieso heb je geen toegang nodig tot iemand's account om mail namens die persoon te sturen. Mail is makkelijk te faken.

Overigens zijn wachtwoorden in mailtjes niet alleen een probleem als je account gehacked wordt. Die mailtjes gaan sowieso al in plain text het internet over. Je moet altijd je wachtwoord veranderen na het ontvangen van zo'n mailtje, en dan staat er geen geldig wachtwoord meer in je mailbox.
+1EnigmaNL
10 mei 2013 11:05
Nou, lekker is dat. Ik zit hier niet op te wachten. Veiligheid is belangrijk, dat begrijp ik ook wel maar dit is gewoon vervelend.
+1Toenk
@EnigmaNL10 mei 2013 11:10
Nee, is het niet. Gewoon wennen. Het is normaal dat mensen niet blij zijn wanneer er iets wat ze al jaren gewend zijn ineens geforceerd verandert, maar accepteer het gewoon.

Het is veiliger, kost niks (alleen minimaal beetje extra moeite), en ik denk dat de andere mail-providers (bijv. microsoft met hotmail/outlook/live mail) heel hard achter Google aan gaan rennen zodra google straks bekend staat als de veiligste, en dan moet straks iedereen hetzelfde. En dan weet ik zeker dat ik het liever van Google heb, want dat is tenminste altijd gebruiksvriendelijk en goed. Microsoft daarentegen..
+1EnigmaNL
@Toenk10 mei 2013 11:19
Omdat ik op veel verschillende computers werk. Daarnaast vind ik het waardeloos dat je zonder je telefoon gelijk geen toegang meer kunt krijgen.

Ook vind ik dat je de keuze aan de klant moet laten.
+1Orian
@EnigmaNL10 mei 2013 11:33
'Veel verschillende computers'. Zelfs als dit er 10 zijn, is het slechts een kwestie van 10 keer aanvinken 'niet meer vragen op deze pc' nadat je de code hebt ingevoerd. Ondertussen ben je voor alle miljarden computers op deze wereld beschermd, omdat daar niet ingelogd kan worden, zelfs niet als ze je wachtwoord hebben.
+2EnigmaNL
@Orian10 mei 2013 11:39
Dat zou best kunnen, maar wat als ik mijn telefoon vergeet (wat wel eens gebeurd) of als hij leeg is en ik heb geen lader (wat ook wel eens gebeurd)? Dan kan ik dus niet bij mijn mail.

Ik vind dat Google mij zelf de keuze moet laten houden over mijn account.
0Pikkemans
@EnigmaNL10 mei 2013 11:57
Je kan een secundair nummer opgeven en een lijst met codes uitprinten. Dat lijstje bewaar je bijvoorbeeld in je portemonnee en je kan nog steeds altijd en overal inloggen. Portemonnee kwijt? Gewoon nieuwe backup codes laten genereren en het is weer veilig.
0Seal64
@Toenk10 mei 2013 13:10
Ja, dat is het wel. Ik zit er niet op te wachten dat Google mijn mobiele nummer heeft en als ze dit inderdaad door gaan voeren, dan ga ik wel bij de concurrentie kijken wat die te bieden hebben. Ik vertrouw mijn eigen overheid al niet met mijn persoonlijke informatie, laat staan een partij die erom bekend staat te handelen in persoonsgegevens.
0cody2k
@Seal6410 mei 2013 16:50
het staat je toch vrij over te stappen naar een (mail)provider waar je geen nummer moet opgeven en waar ze dan meestal ook niet in staat zijn je paswoord (+ data) voor jou te recoveren ?

en als je denkt dat zonder je mobiel nr in te voeren je hierdoor "veilig" zit dan heb je het mis.

er zijn alternatieven genoeg tenzij je specifieke features wil...
gmx, lavabit, facebook 8)7 ,...

geloof me of niet.
een mail adres migreren is nu eenmaal een PITA als je het grondig wil doen.
+1H92!
@EnigmaNL10 mei 2013 11:11
Hoezo vervelend? Ooit is geprobeerd? In het begin is het even wennen, maar geeft je wel een fijn gevoel "mijn account is moeilijker te hacken". Ik heb, zoals hierboven vermeld, mijn eigen computers vertrouwd gezet waardoor ik eens in de 30 dagen hoef in te vullen. Tenzij je elke dag op 10 verschillende openbare computers moet inloggen, kan dit wel lastig worden. Verder krijg je app-specifieke wachtwoorden, dus mocht iets geen toegang meer willen geven, revoke je deze ipv je accountwachtwoord te veranderen.
0MadEgg

@H92!10 mei 2013 21:15
Het is een extra stap waar ik niet op zit te wachten. Ik gebruik mijn Google account sporadisch en blijf per definitie niet bij Google (en vele andere op privacy-gevoelige info azende instellingen) ingelogd. Dit verplicht stellen betekent dus dat ik als ik bij Google in wil loggen, ik zeer veel moeite moet doen om dat te bereiken: ik heb geen smartphone en ben ook zeker niet van plan Google mijn telefoonnummer te geven. Ik heb een uniek wachtwoord voor (oa) Google wat ik nergens anders gebruik, en daarmee is mijn account wat mij betreft meer dan veilig genoeg. Waarom zou me dit dan opgedrongen moeten worden? Dan sluit ik mijn account wel...
+1Lisadr
10 mei 2013 11:12
Google begint steeds agressiever te worden in het verzamelen van gegevens.

De afgelopen jaar zijn ze Google+ gaan pushen. Je moet nu Google+ hebben voor een aantal diensten, zoals app reviews en je krijgt automatisch een Google+ account.

Vervolgens is de zoekmachine aangepast zodat je slechtere resultaten krijgt als je niet ingelogd bent.

En nu willen ze dit verpicht gaan stellen! Google hoeft mijn telefoonnummer niet te weten en ik wil niet altijd en overal ingelogd zijn bij Google.
0Egrimm
@Lisadr10 mei 2013 11:17
Vervolgens is de zoekmachine aangepast zodat je slechtere resultaten krijgt als je niet ingelogd bent.
Heb je hier een bron van? Die andere dingen geloof ik wel, maar hier ben ik wel (oprecht) benieuwd naar.
+1kozue
@Egrimm10 mei 2013 14:43
Het is wel een feit dat Google z'n resultaten aanpast aan degene die in is gelogd. Dat is omdat ze door jouw zoekopdrachten leren wat jij wel en niet wilt zien, en je van dienst willen zijn met betere resultaten. Daar vind ik op zich helemaal niks op tegen. Iedereen heeft tenslotte andere voorkeuren. Ik kan me voorstellen dat als je jouw resultaten gewend ben, en dan ergens zoekt waar je niet bent ingelogd, het raar vind om niet hetzelfde te vinden als voorheen, en dan kan het lijken alsof ze het expres doen. Maar volgens mij is het juist andersom: je resultaten worden niet slechter als je uitlogt, ze worden beter als je inlogt. ;)

Verder ben ik het wel met hem eens. Google krijgt mijn telefoonnummer niet, hoe hard ze ook zeuren. Net zoals F*c*book een keer moet kappen met zeuren om mijn email wachtwoord, mijn telefoonnummer en waar ik woon. Als ze gaan verplichten dat je een telefoonnummer op moet geven zeg ik gewoon mijn account op. Hun diensten zijn voor mij niet onmisbaar ofzo.
+1rob6115
10 mei 2013 11:07
Ik vind het goed nieuws! Vooral dat je alleen akkoord hoeft te klikken op je mobiel. Ik gebruik nu ook al die code wat je op je mobiel krijgt.
Voor mij is gmail toch het belangrijkste account wat ik heb, hier regel ik bijna alles op, hoe veiliger hoebeter .

En het is ook zo dat je maar 1 malig met je mobiel moet inloggen per pc, zo veel werk is dit ook weer niet ;)
+1Rick2910
10 mei 2013 11:07
Positief dat Google zich hard maakt voor de toekomst van wachtwoorden, aangezien die de langste tijd wel hebben gehad (ze zijn statisch, niet bestand tegen meerdere vormen van aanvallen of onderschepping enz). Aan de andere kant hoop ik wel dat Google inziet dat zij slechts één van de diensten zijn die een klant gebruikt. Kijk naar Facebook Home, niet echt een succes omdat mensen niet _altijd_ met Facebook bezig willen zijn. Hier lees ik al dat Google wil dat mensen nooit meer uitloggen; hoe obvious wil je total data mining verpakken :-). Onder het mom van veiligheid, hoe krijgen ze het verzonnen.
Maar zoals gezegd, alles hangt af van de implementatie. Ik denk dat Google ook wel in heeft gezien dat (bijvoorbeeld) het verplicht opgeven van een 06-nummer bij het registreren van diensten (zoals Google Analytics) eerder klanten wegjaagt dan dat deze het zien als positieven bijdrage aan de veiligheid.
De moderne internet gebruiker vertrouwt online bedrijven maar matig, en bij elk extra stukje data wat zo'n bedrijf van je wil daalt dat vertrouwen verder, net zolang tot de gebruiker daadwerkelijk afhaakt en op zoek gaat naar een alternatief (Outlook.com adverteert al openlijk tegen Gmail om zulke redenen).
1 2 3 4 5

Op dit item kan niet meer gereageerd worden.

Apple iPhone XS HTC U12+ dual sim LG W7 Google Pixel 3 XL OnePlus 6 Battlefield V Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True