Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 41 reacties

Een update van de Google Authenticator-app voor iOS wist alle bestaande accounts. Tenzij gebruikers van de app de optie hebben ingeschakeld om authenticatiecodes per sms te ontvangen, kunnen ze na de update niet meer inloggen.

Dat de update van de Google Authenticator-app voor iOS bestaande accounts verwijdert, wordt door verschillende gebruikers op sociale media gemeld. Een test op de redactie van Tweakers wijst uit dat accounts in de Google Authenticator-app na de update inderdaad worden verwijderd. Gebruikers die geen backup-loginmogelijkheid hebben ingeschakeld, kunnen daardoor problemen krijgen met inloggen. Het is onduidelijk waardoor het probleem wordt veroorzaakt.

De Authenticator-app wordt gebruikt voor two-factor-authenticatie. Gebruikers die two-factor-authenticatie inschakelen, moeten bij het inloggen niet alleen een wachtwoord invoeren, maar nog een extra code, die door de app wordt gegenereerd. Dat gebeurt op basis van een pre-shared-key, die zowel op de server als in de app zijn opgeslagen. De Authenticator-app van Google wordt niet alleen door Google zelf gebruikt, maar ook door andere internetdiensten, waaronder Evernote en Dropbox.

Versie 2 van de app lijkt verder geen nieuwe functionaliteit te bevatten. De app is nu aangepast voor retinaschermen en het grotere scherm van de iPhone 5. Daarnaast is de interface verbeterd en zijn er 'kleine bugfixes' doorgevoerd, claimt Google.

Update, 12:01: Inmiddels lijkt de Authenticator-app te zijn verwijderd uit de App Store.

Google Authenticator oepsie

Moderatie-faq Wijzig weergave

Reacties (41)

Tip voor het geval dit vaker gebeurd, of je je telefoon verliest:
Maak van elke QR-code die je inscant even een screenshot, en print die uit. :)
Natuurlijk kun je ook de plaatjes op je PC opslaan, maar offline vind ik zelf wel net zo veilig.

Mochten ze weer nodig zijn dan heb je de boel zo weer ingesteld. Gewoon even de printjes 1 voor 1 inscannen en klaar. :)
Toevallig was ik ze nodig met de overstap naar een nieuwe telefoon, werkte perfect. 8-)

[Reactie gewijzigd door SmiGueL op 4 september 2013 11:35]

Zijn deze QR codes elke keer hetzelfde dan? Ik dacht dat deze wijzigde elke keer dat je een nieuwe authenticator aan Google / Dropbox ging toevoegen.
Tot nu toe namelijk altijd offline backup codes bewaard om bij zulk soort situaties alles weer op orde te kunnen krijgen.
Correct. De QR code veranderd niet totdat je heel 2FA zelf uit-en-aan zet. (Maar hiervoor moet je uiteraard ingelogd zijn. ;))

*Ik heb geen ervaring met het toevoegen van meerdere authenticators, maar ik neem aan dat je gewoon dezelfde QR-code met meerdere telefoons in kunt scannen en gebruiken.
Meerdere keren een QR code op 1 telefoon instellen kan iig wel, dan genereerd deze uiteraard gewoon dezelfde code. :P

[Reactie gewijzigd door SmiGueL op 4 september 2013 11:40]

Tenzij gebruikers van de app de optie hebben ingeschakeld om authenticatiecodes per sms te ontvangen, kunnen ze na de update niet meer inloggen.
Je kunt dus ook via SMS een code toegestuurd krijgen, in het geval van je Google account. Daarnaast adviseert Google ook om back-up codes te printen en die in je portemonee te doen.Dit werkt soortgelijk aan TAN-codes van ING/Postbank.

2FA werkt goed voor extra beveiliging, maar je voegt ook een extra point of failure toe. Het is dan misschien niet goed dat Google een verkeerde update heeft uitgebracht, maar het geeft ook maar weer aan dat het hebben van back-ups van essentieel belang is.

Hopelijk leren mensen hier (eindelijk) van. De hoeveelheid mensen die ik tegenkom met een corrupte HDD en geen/2 jaar oude back-ups is te groot.

[Reactie gewijzigd door Tomassie91 op 4 september 2013 11:28]

Inderdaad backups niet alleen van je bestanden maar ook van inloggegevens etc zijn belangrijk. Laatste nog iemand gehad waarbij de HDD het had begeven. Diegene had "gelukkig" backups gemaakt zei die. Echter bleek dat de backups op de pc waren gemaakt en waren weggeschreven naar een andere partitie van dezelfde HDD.
Nou dat was gelukkig snel te fixen, maar als je geen mobiel backup nummer hebt of losse codes dan ben je redelijk screwed :)
Leuk ook, dat IOS7 je apps automagisch update... Handig is most cases, maar in dit geval dus redelijk pijnlijk.
Dat automatisch updaten is dan ook een van de eerste dingen die ik uitgezet heb in iOS7. Ik zie graag per app de release-opmerkingen.

Maar goed, dit was geen sterke Google-actie, en volgens mij ook volstrekt onnodig. Vanmorgen ook aan het klooien geweest om al mijn accounts weer te koppelen.
De release notes worden ook bij automatische updates in iOS 7 nog getoond, van recent geupdate apps. Deze zijn terug te vinden in het bekende Updates scherm van de 'App Store' app. Mijn historie gaat momenteel t/m 22 augustus terug, en je kunt per update lezen dus ook als er meerdere updates van een app zijn geïnstalleerd.

Op zich vind ik het automatisch updaten erg prettig. Minder micro-management. Dit soort fouten zijn echter slecht voor het vertrouwen.
Het is ook niet bepaald slim om een beveiliging als deze aan te zetten zonder backup telefoonnummer of codes.
Je kunt je afvragen of je dat van de gemiddelde consument mag verwachten.
Van de gemiddelde consument die dit aanzet wel.
Ja, dat moet je zelfs verwachten.
Inderdaad, ik vraag me af wat deze mensen doen als ze hun telefoon verliezen of als deze de geest geeft?

Ik heb altijd ergens op een veilige plaats een papiertje liggen met back-up codes
Heb geen iPhone maar heb voor de zekerheid automatisch updaten maar uitgezet voor Google Authenticator op m'n Android telefoon.
Wordt door 2 verschillende dev teams gemaakt vermoedt ik. Dezelfde "goals", maar niet dezelfde bugs :)
Het zijn ook 2 totaal verschillende OSsen, dus dat is logisch :)
Je kunt bij google ook tien 'printbare' codes aanvragen. Deze zijn altijd te gebruiken (allen wel eenmalig). Uiteraard haalt dit de beveiliging van je two-step wel iets omlaag (immers, er zijn 10 codes die met een beetje computerkracht wel te kraken zijn), maar als je die ergens bewaard kun je er altijd in.

Voor dropbox kan dit ook, alleen krijg je maar één code die vrij lang is. Volgens mij ook maar eenmalig te gebruiken.
Je bewering over de veiligheid van die printbare codes mag je wel even toelichten. Waarop baseer je dat het 'iets' minder veilig is? Volgens mij is het zo veilig als dat jij met die codes omgaat. Vervolgens zeg je dat er maar een 'beetje computerkracht' nodig nodig is om eenmalig bruikbare random nummers te kraken. Als het zo makkelijk is, dan klopt je eerdere bewering niet 8)7 maar op basis waarvan denk je überhaupt dat het makkelijk te kraken zou zijn?
Deze codes zijn minder veilig omdat ze "altijd" bestaan (zolang ze nog niet gebruikt werden), in tegenstelling tot de tijdsgebonden codes die door de authenticator app gegenereerd worden.
Verder draag je die codes typisch ergens bij je persoonlijke bezittingen en die kunnen in verkeerde handen vallen door verlies of diefstal. Dat kan met je telefoon natuurlijk ook gebeuren, maar die kan je wel locken waardoor de app veiliger is dan een papiertje.
Thanks Billy, dat is inderdaad wat ik bedoelde. Aangezien de normale 'code' die je van google krijgt elke 20 (?) seconden verandert is die vrij moeilijk te kraken via een brute force actie (het is niet mogelijk om in 20 seconden alle mogelijkheden na te gaan). Als er echter 10 codes van 6 cijfers zijn (wat 1000000 mogelijkheden zijn) heb je dus gemiddeld na 500000 keer proberen een code (en dan op de 1500000 weer). Ik heb geen idee wat realistisch is, maar laten we zeggen dat een computer er 5 per seconde doet. Dan heb je slechts 100000 seconden (i.e. iets meer dan een dag) nodig om de eerste 500000 te doen. Als je er dus in wilt lukt dat over het algemeen wel dan. Vergeet ook niet dat dit met een gewone computer is. Met een leuk botnet gaat dit natuurlijk nog veel sneller.
Natuurlijk, gelukkig heb je dan nog je gewone wachtwoord. Je bent dus niet zomaar gehackt. Maar dit is juist een extra beveiliging, die helaas dan wat minder veilig is.

[Reactie gewijzigd door Orian op 4 september 2013 17:19]

Zie dat Authy ook voor Android is: https://play.google.com/s...etails?id=com.authy.authy
Alleen gebruik ik nu al Google Authenticator. Kun je dan makkelijk overstappen naar Authy? Of moet je eerst alle 2FV uitzetten en daarna weer met Authy aanzetten?
Op iOS ging het overzetten naar Authy redelijk gemakkelijk. Gewoon even bij de 2FV instellingen kiever voor het (opnieuw) syncen met Google Authenticator (zorg in ieder geval dat je die QR code te zien krijgt). Kwestie van Authy opstarten, code scannen, en Google Authenticator deleten.
Ik verbaasde mij er vanochtend ook al over. Tevens ben ik wel blij dat ze eindelijk iPhone 5 support hebben. Ziet er een stuk fijner uit.
AWS gebruikt het ook, kreeg al een email waarin ze aanraden om niet te updaten. Best slordig dit.
Slordig. Het is dat ik het vanochtend las op Twitter, anders had ik nu niet bij m'n Google account en Dropbox gekund, want de backupcodes liggen thuis. Een extra reden om straks met iOS7 de automatische app updates uit te zetten.
Zelf had ik ook dit probleem. Gelukkig heb ik op mijn reguliere PC het vinkje "deze computer ingelogd laten" aanstaan en kon via die route weer snel de authenticator instellen.

Heb me echt enorm verbaasd dat zo'n enorme bug/issue door de lui van Google over het hoofd is gezien. Zelfs bij de meest basic upgrade-test loop je hier toch direct tegen aan?
Dit lijkt me toch wel iets wat je test voordat je hem released ... mogelijk een iOS versie / app versie combinatie die de boel verziekt of is het bij iedere versie van iOS? (en dus ook phone)?

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True