Google 2-step authentication, paar onduidelijkheden

demichel schreef op woensdag 07 september 2016 @ 14:50:

[...]


Snap ik. OK, je wil inloggen op gmail, paswoord intikken en Google stuurt je een bericht met een 2de code.

Maar wat met de dozijnen diensten waarop je je met je gmail account aanmeld? Wat als deze er niet op voorzien zijn op 2FA te gebruiken?

De authenticatie gebeurt hier door Google, niet door die diensten zelf. 2FA wordt dus ook door Google afgehandeld.

Wat met het registreren van je Android telefoon op je gmail, zodat bijvoorbeeld je kalender e.d. gesynchroniseerd wordt?

Wat bedoel je hier precies mee?

OK, snap ik. Handig. Vraag me dan af hoe, tijdens het inloggen, Google weet dat de request van jouw telefoon komt. Wellicht heeft iedere smartphone een unique identifier, beetje zoals een MAC van een netwerkkaart??

Omdat de code naar jouw telefoonnummer gesmst of doorgebeld wordt. Je moet dan natuurlijk wel je telefoonnummer up-to-date houden in je Google-profiel. Wanneer je de Authenticator-app installeert moet je deze ook koppelen aan je Google-profiel.

Snap ik niet goed, als er geen Internet connectie is, waar ga je dan op inloggen? Wat kun je offline doen waarvoor je je Google account nodig heb (misschien héél erg domme vraag, maar kom...)

Misschien evidente vragen maar ik wil toch weten waar ik aan begin.

Je moet het zien als dat je op een PC wilt inloggen, en je telefoon als tweede factor gebruikt. Het kan zijn dat je telefoon offline is (geen bereik oid). De app kan dan nog wel een code genereren, omdat deze offline werkt.

demichel schreef op woensdag 07 september 2016 @ 14:50:

[...]


Snap ik. OK, je wil inloggen op gmail, paswoord intikken en Google stuurt je een bericht met een 2de code.

Maar wat met de dozijnen diensten waarop je je met je gmail account aanmeld? Wat als deze er niet op voorzien zijn op 2FA te gebruiken?

Wat met het registreren van je Android telefoon op je gmail, zodat bijvoorbeeld je kalender e.d. gesynchroniseerd wordt?

Hiervoor kun je speciale app wachtwoorden aanmaken, deze worden gegenereerd en zijn eenmalig in te vullen in plaats van je wachtwoord. Zo kun je je toch bij apps of andere diensten die de 2FA niet faciliteren aanmelden.

demichel schreef op woensdag 07 september 2016 @ 14:50:
Maar wat met de dozijnen diensten waarop je je met je gmail account aanmeld? Wat als deze er niet op voorzien zijn op 2FA te gebruiken?

Is volledig transparant. Google handelt de authenticatie af en het enige wat de andere dienst te horen krijgt is iets als "OK, deze gebruiker is ingelogd als <NAAM>". Voor de andere dienst maakt het niet uit hoe je precies bij Google inlogt.

Wat met het registreren van je Android telefoon op je gmail, zodat bijvoorbeeld je kalender e.d. gesynchroniseerd wordt?

Je vult in de app je Google gegevens in en als de app daarmee niet kan inloggen omdat er een tweede stap nodig is, dan wordt er een webpagina geopend met het Google login scherm en log je in net zoals je dat via een webbrowser zou doen.

OK, snap ik. Handig. Vraag me dan af hoe, tijdens het inloggen, Google weet dat de request van jouw telefoon komt. Wellicht heeft iedere smartphone een unique identifier, beetje zoals een MAC van een netwerkkaart??

Welke eigenschappen precies worden gebruikt, weet ik niet, maar als je genoeg eigenschappen bij elkaar pakt dan kun je met redelijke zekerheid zeggen dat de gebruiker dit apparaat eerder heeft gebruikt. Het is niet noodzakelijk om ieder apparaat met 100% zekerheid op unieke wijze te kunnen identificeren. Je moet namelijk nog steeds je username/password invullen. Dus als er een kans van 1 op 1.000.000 is dat een willekeurig ander apparaat wordt herkend als het jouwe, dan is dat geen probleem tenzij het toevallig zo is dat de eigenaar van dit apparaat jouw username/password weet.

Snap ik niet goed, als er geen Internet connectie is, waar ga je dan op inloggen? Wat kun je offline doen waarvoor je je Google account nodig heb (misschien héél erg domme vraag, maar kom...)

Offline slaat enkel op de authenticator app. Die werkt door een combinatie van een geheime code en de huidige tijd (afgerond op halve minuten meestal) te combineren en door een cryptografische functie te halen waarna er een korte numerieke code uitkomt. De geheime code staat in de app opgeslagen en staat ook op de server van Google. Zo kan zowel de app als de server dezelfde berekening maken en, als het goed is, op hetzelfde antwoord uitkomen.

Je kunt hiermee bijvoorbeeld met een desktop inloggen op je account en gebruik maken van de extra beveiliging van de app op je smartphone, zonder dat de smartphone een internetverbinding nodig heeft (of uberhaubt een verbinding heeft met een netwerk).

demichel schreef op woensdag 07 september 2016 @ 15:14:
[...]


OK, snap ik, maar er je kunt het blijkbar instellen dat je dat niet iedere keer hoeft te doen. Dan vraag ik me af, nadat je de eerste keer succesvol de code ingetikt hebt (dat stuk snap ik), hoe weet Google de volgende keer dat het jouw telefoon is aangezien ze geen code meer doorsturen naar jouw telefoon?

Google houdt bij met welk apparaat je hebt ingelogd en als deze optie aanstaat, gaat Google er van uit dat als er op een later tijdstip met een apparaat dat zeer waarschijnlijk hetzelfde is wordt ingelogd, het nog steeds jouw apparaat is waardoor een extra verificatie niet nodig is.

Voorbeeld: Je logt met je desktop in op Gmail. Je krijg een verificatie-SMS en je vult de code in. Google registreert een aantal eigenschappen van je desktop, bijvoorbeeld de combinatie van OS, browser, geinstalleerde plugins, schermresolutie, enz... Eventueel kunnen zaken als IP adres ook mee worden genomen.

Bij een volgende inlog-poging worden deze zaken weer opgezocht en als er een match is met een eerder gebruikt apparaat, dan beslist het inlog-systeem dat SMS-verificatie niet nodig is. Zoals ik eerder in mijn post aangaf is het niet nodig dat jouw apparaat op 100% zekere wijze uniek geidentificeerd wordt. Zolang er genoeg identificatie-punten zijn waardoor het zeer onwaarschijnlijk is dat een willekeurig ander apparaat als die van jou wordt aangezien, is er niets aan de hand.

[ Voor 22% gewijzigd door Rannasha op 07-09-2016 15:22 ]

Rannasha schreef op woensdag 07 september 2016 @ 15:16:

Welke eigenschappen precies worden gebruikt, weet ik niet, maar als je genoeg eigenschappen bij elkaar pakt dan kun je met redelijke zekerheid zeggen dat de gebruiker dit apparaat eerder heeft gebruikt. Het is niet noodzakelijk om ieder apparaat met 100% zekerheid op unieke wijze te kunnen identificeren. Je moet namelijk nog steeds je username/password invullen. Dus als er een kans van 1 op 1.000.000 is dat een willekeurig ander apparaat wordt herkend als het jouwe, dan is dat geen probleem tenzij het toevallig zo is dat de eigenaar van dit apparaat jouw username/password weet.

Wordt gewoon opgeslagen in je cookies, als je je browsergegevens wist moet je weer met 2FA inloggen. Het is net als het vinkje voor 'wachtwoord onthouden'.

RobinL94 schreef op woensdag 07 september 2016 @ 15:21:
[...]


Wordt gewoon opgeslagen in je cookies, als je je browsergegevens wist moet je weer met 2FA inloggen. Het is net als het vinkje voor 'wachtwoord onthouden'.

Sommige websites die met 2FA systemen werken, gebruiken ook andere methodes dan cookies. Wijziging van IP-adres buiten een bepaald subnet kan ook een nieuwe verificatie triggeren.