Google gaat 2 staps verificatie verplichten

Ik vind je verhaal wat lastig te volgen, maar je stelt

thuis [is] die 2 staps verificatie niet veiliger dan mijn laptop thuis, dus overbodig.

En

Omdat ik niet overal gevolgd wil worden.

Dan is mijn vraag, hoe wil jij dat Google weet dat jij "thuis" bent en geen 2FA nodig denkt te hebben?

Sowieso klinkt het een beetje als "de woninbouw komt een extra slot op mijn voordeur zetten, dat wil ik niet, want ik ga meestal door de achterdeur naar binnen".

Ik wil alleen google-gebruiker zijn op bijzondere momenten als het nodig is,

En als iemand anders nou eens google-gebruiker wil zijn, namens jou? Op een bijzonder moment natuurlijk, als ze graag iets duurs willen kopen, bijvoorbeeld?

Overigens maak ik uit je posthistorie op dat je gmail gebruikt. Dan ben je 24/7 google-gebruiker

[ Voor 6% gewijzigd door Dido op 27-10-2022 10:46 ]

Ik snap niet zo goed waarom je zo moeilijk doet.
Ik gebruik 2FA van Google al jaren.
Op vertrouwde apparaten vraagt ie vrijwel nooit om de 2FA.
Dat kan je zelf aangeven.
Je kan ook zelf je 2FA kiezen. SMS, "OK" op je telefoon, security key etc etc...

Google Authenticator werkt toch gewoon offline? Hoe moeten ze je daar mee volgen dan?

Bruin Poeper schreef op donderdag 27 oktober 2022 @ 10:26:
Omdat uiteindelijk ook bij Google je thuis ergens je wachtwoorden veilig moet opbergen is thuis uiteindelijk die 2 staps verificatie niet veiliger dan mijn laptop thuis, dus overbodig.

Natuurlijk is dat wel veiliger. Als het wachtwoord overhoopt bij iemand anders in bezit komt (bijvoorbeeld door malware op jouw PC) kunnen ze er niets mee als je 2FA hebt ingeschakeld. Zonder 2FA kunnen ze alles.

[ Voor 75% gewijzigd door Xander op 27-10-2022 10:49 ]

Xander schreef op donderdag 27 oktober 2022 @ 10:45:
Google Authenticator werkt toch gewoon offline? Hoe moeten ze je daar mee volgen dan?

Inderdaad, Google Authenticator is offline.
En nog mooier je hoeft niet eens Google Authenticator te gebruiken als je hier over twijfelt. Google Authenticator is een implementatie van de TOTP (RFC 6238) en HOTP (RFC 4226) standaarden. Andere applicaties die die standaarden ondersteunen werken ook prima, zoals bijvoorbeeld FreeOTP.
En ook een Yubikey icm Yubico Authenticator kan hier in voorzien.

[ Voor 10% gewijzigd door Ultraman op 27-10-2022 10:52 ]

Er is een uitstekend topic op Tweakers hiervoor:

Leven zonder Google, reclaim je privacy. Alternatieven.

Succes!

Bruin Poeper schreef op donderdag 27 oktober 2022 @ 10:58:
[...]

Misschien gebruik dat al zonder dat ik het weet?
https://support.google.co...=GENIE.Platform%3DAndroid

Daar staat "Vertrouwde computers toevoegen". Mijn laptop thuis zie ik als een vertrouwde computer.
Als ik Gmail wil checken staat daar mijn password kant en klaar, ik hoef alleen maar aan te klicken.
Zodra ik klaar ben met Gmail log ik weer uit.
Zo werkt het nu. Is dit al de tweestapsverificatie?

Nee, enkel een laag op de twee-staps-verificatie. Want wat nu als iemand vanuit Canada of de Filipijnen inlogt op je account via uitgelekt password? Dan zijn ze zo binnen. Met 2FA zal je een SMSje of notificatie krijgen met de vraag tot toegang. Ikzelf heb ook op haast alles 2FA staan met Google Authenticator. Zelfs mijn eigen site..

Betrouwbare apparaten zijn specifiek bedoeld om ervoor te zorgen dat je op die apparaten wordt lastiggevallen met 2FA. Ik raad aan om enkel apparaten te te gebruiken die bij je thuis staan of bij een familielid, en dus bij sterke voorkeur niet je laptop op telefoon. Als je die verliest....

[ Voor 19% gewijzigd door AW_Bos op 27-10-2022 11:04 ]

Bruin Poeper schreef op donderdag 27 oktober 2022 @ 10:58:
[...]

Misschien gebruik dat al zonder dat ik het weet?
https://support.google.co...=GENIE.Platform%3DAndroid

Daar staat "Vertrouwde computers toevoegen". Mijn laptop thuis zie ik als een vertrouwde computer.
Als ik Gmail wil checken staat daar mijn password kant en klaar, ik hoef alleen maar aan te klicken.
Zodra ik klaar ben met Gmail log ik weer uit.
Zo werkt het nu. Is dit al de tweestapsverificatie?

Nee dat is geen Tweestapsverificatie.

Twee staps verificatie is dat je naast je wachwoord nog een ander geheim moet invullen. Zoals bijvoorbeeld een code die per SMS is ontvangen of een Code via de Google Authenticator/Lastpass Authenticator/Microsoft Authenticator/etc/etc

Bruin Poeper schreef op donderdag 27 oktober 2022 @ 11:05:
[...]

Als ik nu mijn laptop aanmeld bij Authenticicator als "vertrouwde computer" dan zal ik een SMS'je krijgen en moet ik misschien een code doorgeven.
Is dan in het vervolg verkeer vanaf mijn laptop voldoende, zonder dat ik nog een telefoon nodig heb?

https://support.google.co...op-een-vertrouwd-apparaat

U wordt mogelijk gevraagd om in te loggen met verificatie in twee stappen, ook als u het selectievakje naast 'Niet meer vragen op deze computer' heeft aangevinkt. Dit komt meestal omdat cookies niet zijn ingeschakeld in uw browser, zoals Chrome of Firefox, of omdat in uw browser is ingesteld dat cookies na een bepaalde periode worden verwijderd.

Als u niet elke keer een code voor verificatie in twee stappen wilt opgeven of telkens uw beveiligingssleutel wilt gebruiken wanneer u inlogt, kunt u deze stappen proberen:

Bewerk de cookie-instellingen van uw browser. U kunt uw browser zo instellen dat cookies worden opgeslagen, of u kunt een uitzondering toevoegen voor de cookies van uw Google-account door [*.]google.com op te geven. Kies uw browser voor meer informatie over het bewerken van uw instellingen:
Google Chrome
Mozilla Firefox
Microsoft Internet Explorer
Schakel privé browsen uit. Incognitovensters kunnen geen cookies uit andere browsersessies op uw computer gebruiken. Open een normaal venster om in te loggen.
Vink het selectievakje 'Niet meer vragen op deze computer' aan voor elke afzonderlijke browser of computer die u gebruikt. Als u verschillende browsers of computers gebruikt om in te loggen, moet u op elke computer dit vakje aanvinken en in elke browser uw cookie-instellingen aanpassen.

-

[ Voor 99% gewijzigd door SgtElPotato op 23-05-2023 14:10 ]

Bruin Poeper schreef op donderdag 27 oktober 2022 @ 11:05:
[...]

Als ik nu mijn laptop aanmeld bij Authenticicator als "vertrouwde computer" dan zal ik een SMS'je krijgen en moet ik misschien een code doorgeven.
Is dan in het vervolg verkeer vanaf mijn laptop voldoende, zonder dat ik nog een telefoon nodig heb?
(Zo ja, dan zou Google mijn laptop permanent kunnen volgen... )

In mijn ervaring is het zo dat je 2FA vooral nodig hebt als je op nieuwe plekken inlogt, of op andere apparaten. Dus dat is 1 keer bevestigen. Daarna kun je gewoon inloggen. Het heeft echt niets met het volgen van je laptop te maken. Immers, je logt toch al in op dat moment, alleen zit er een extra beveiligingsstap op (volgens de protocollen die Ultraman al aanhaalde).

Dus je gaat hier alleen 'last' van hebben op het moment dat je een ander apparaat gebruikt, of op een andere plek zit. En dat is precies het idee, want als je wachtwoord achterhaalt wordt, en iemand anders logt er mee in, dan zal die die 2FA voor z'n snufferd krijgen, en dus niet kunnen inloggen.

Het heeft niets te maken met je kunnen volgen. Dat kunnen ze toch al wel als je inlogt, dus dat gaat echt geen verschil maken. Mocht je niet gevolgd willen worden, gebruik dan geen Google diensten (dus geen Gmail, geen Youtube, geen search, geen ads, helemaal niets). Maar 2FA heeft daar weinig mee van doen.

Als je niet het programma google autenticator wilt gebruiken (ik zie geen rede waarom niet, maar toch), dan kun je ook FreeOTP gebruiken. Doet het zelfde in basis.

Bruin Poeper schreef op donderdag 27 oktober 2022 @ 10:26:
Omdat uiteindelijk ook bij Google je thuis ergens je wachtwoorden veilig moet opbergen is thuis uiteindelijk die 2 staps verificatie niet veiliger dan mijn laptop thuis, dus overbodig.

Ik kan een lang verhaal houden, maar: onjuist.

Bruin Poeper schreef op donderdag 27 oktober 2022 @ 10:58:

Zo werkt het nu. Is dit al de tweestapsverificatie?

Heb je een TPM-chip, wordt die voor dit doel uitgelezen? Dan kan je stellen van wel. Betekent wel dat je niet meer kunt inloggen als je je laptop eens laat vallen.

Maar goed; installeer een authenticator op je laptop zelf en je bent er. Misschien zit er wel een in je password manager (die je zult hebben, elke applicatie / site / dienst / mailadres heeft natuurlijk een ander stevig wachtwoord).

-

Maar ik denk dat het kan worden samengevat als. Het is een goed idee (en voor veel organisaties al lang min of meer wettelijk verplicht), dus bezwaar is kansloos. Google gaat dit doen, punt. Dan resteert: doen of niet doen en geen toegang meer krijgen.

2FA is gewoon ontzettend handig.
Juist om te voorkomen dat iemand zomaar kan inloggen op jouw gegevens.

Het kan idd vervelend zijn als je elke keer dit krijgt op je eigen werkplek.
Je kan er dan zelf voor kiezen of je dit wilt of niet. Maar als je laptop gestolen wordt, of je laat hem unlocked ergens achter. Dan loop je dus een risico.

Zelf heb ik overal 2FA aan staan.
Maar ik vertrouw idd mijn eigen werkplek.
Die lock ik verder. En kan ik remote ook wipen etc.

Google hoef je geen TOTP te gebruiken. Ik gebruik gewoon de pop-up op mijn telefoon.
Maar voor andere zaken gebruik ik de Microsoft Authenticator app.
Ik zou de google authenticator niet adviseren. Die heeft geen Backup mogelijkheid (volgens mij nog steeds niet).
Dus als je telefoon stuk gaat heb je dan een uitdaging.

Microsoft Authenticator en Authy bv hebben dat wel.

Bruin Poeper schreef op donderdag 27 oktober 2022 @ 12:23:
2FA heeft m.i. meer nadelen dan voordelen voorzover je in een priveomgeving opereert.

Ja, zolang elke hacker die bij jouw gegevens wil ook via jouw prive-omgeving opereert.

Maar ik vermoed dat de meesten dat nou typisch niet doen

Bruin Poeper schreef op donderdag 27 oktober 2022 @ 12:23:
[...]
Dat is m.i. een nadeel van die "beveiliging". Daar is wel weer een andere beveilingsoplossing voor, met weer het oorspronkelijke risico. Hahaha.

Nee, je wilt voor jouw situatie nog steeds gewoon MFA gebruiken via een app of desnoods 06 / sms. Of twee yubikeys of zo, als je wilt.

Uiteindelijk bij mij (en waarschijnlijk bij jou ook) zit alles achter een simpele 4 cijferige pincode op ons mobieltje.

Nee natuurlijk niet. Biometrie en passphrase. Idem voor de app zelf.

Maar ook bij pincode: dat is vergeleken met alleen password bizar veel veiliger. De hacker zit in bv. China, die kan niet je telefoon jatten.

2FA heeft m.i. meer nadelen dan voordelen voorzover je in een priveomgeving opereert.

MFA app kost nul moeite (log in, zie foon popup, klik op ok), levert een hele grote drempel voor alle 'gewone' hackers. Amper nadeel, nul privacy-impact, veel voordeel.

Vergeet alleen niet je MFA-codes te backuppen (offline en buitenhuis om zowel gijzelvirussen als verlies bij brand te voorkomen), zoals je ook je data en je passwordkluis zult hebben gebackupt.

Als je bang bent voor gerichte aanvallen door mensen die de moeite neemt fysiek naar je toe te komen, dan wordt het een heel ander verhaal. En heb je nog heel veel meer o.a. MFA nodig. Maar inderdaad: een man met honkbalknuppel zal het niet tegenhouden. MI5 ook niet. Maar daar doe je het niet voor. Je doet het voor de vele scriptkiddies, cryptomalwareclubs, ander dergelijk volk.

Maar nogmaals: alternatief is naar een andere dienstverlener stappen. Of misschien beter zelf een mailserver en -domein opzetten, het zou me niet verbazen als ook anderen beetje bij beetje MFA verplichten. Zoals bijv. nu Microsoft de basic authentication aan het uitschakelen is.

Bruin Poeper schreef op donderdag 27 oktober 2022 @ 12:39:
[...]

Die zitten op mijn telefoon hierarchisch onder de PINcode.
Hebben als meerwaarde gemak. Hoe meer inlogmogelijkheden des te onveiliger.

Maar je hoeft die niet te gebruiken natuurlijk.
Als je denkt dat de pincode niet veilig is, dan zet je alleen je fingerprint aan bijv.

Bruin Poeper schreef op donderdag 27 oktober 2022 @ 12:55:
[...]

Ik zei dat die op mijn telefoon hiërarchisch onder PINcode zitten.
Bijvoorbeeld: als ik Samsung weer eens een update geeft moet ik herstarten en 2x PINcode geven.

Voor gezichtsherkenning en fingerprint instellen moet ik PINcode geven.

Omdat je dat zelf zo hebt ingesteld.

Stel in plaats van de PINcode een (goed) password in en het zit niet meer onder de PINcode.

Bruin Poeper schreef op donderdag 27 oktober 2022 @ 13:05:
Nee. Het is de standaard zoals mij de telefoon is verkocht.
Ipv te regelen dat je verplicht een goed password*) gebruikt tuigen ze die hopeloze 2FA op.

Maar je bent nu 2 dingen door elkaar aan het halen.
1. de beveiliging op je telefoon, die blijkbaar enkel met een pincode kan om overal bij te komen

2. de beveiliging van je Google account, waarbij 2FA verplicht wordt.

Als je instelt dat je 2FA app gewoon acher een password of vingerafdruk zit, dan heb je al meer nodig dan enkel je pincode, en zit je op meedere factoren voor inloggen, en is het daarmee dus al een stuk veiliger.

Bruin Poeper schreef op donderdag 27 oktober 2022 @ 13:05:
[...]

Nee. Het is de standaard zoals mij de telefoon is verkocht.

Onzin. Er zit hooguit standaard een PINcode op de SIM-kaart. De beveiliging van het toestel heb je zelf ingesteld. Er zijn dus betere opties dan een PIN.

Ipv te regelen dat je verplicht een goed password*) gebruikt

Aha, dus je bent wel voorstander dat je wordt verplicht om een betere beveiliging te gebruiken? Zo lang het maar geen 2FA is die daadwerkelijk veel toevoegt.

Je hebt zelf nog een keuze voor gemak en veiligheid.
Zo kan Microsoft authenticator ook gewoon werken op je lockscreen.
Lekker makkelijk. Maar niet zo handig als je telefoon gejat wordt

Ik verplicht dus de unlock van de telefoon en de unlock van de auth app.

zelfde geld bv ook met een PW manager.
handig om zo snel in te loggen bij de AH of bol.
Maar die gaat na 10 sec gewoon weer op lock. Vind je dat vervelend? Laat je hem lekker unlocked staan tot de eeuwigheid.

ik persoonlijk snap het punt wat je wilt maken niet echt.

Bruin Poeper schreef op donderdag 27 oktober 2022 @ 12:39:
[...]
Die zitten op mijn telefoon hierarchisch onder de PINcode.
Hebben als meerwaarde gemak. Hoe meer inlogmogelijkheden des te onveiliger.

Je focust op de verkeerde dingen.

Kort en simpel: account + MFA of geen account. Dat is je eigen keuze. Meer is er niet te zeggen.

DarkSide schreef op donderdag 27 oktober 2022 @ 13:14:

ik persoonlijk snap het punt wat je wilt maken niet echt.

Er is geen punt

2FA is gewoon veiliger dan 1FA dat is een punt.

Ander is dat het zelfde als zeggen een deur zonder slot is net zo veilig als een deur met slot, immers als hij dicht zit kun je er toch ook niet zomaar doorheen.

Nou is er vast vanalles aan te merken op mijn vergelijking maar dat veranderd niets aan het punt dat een extra laag beveiliging altijd beter is.

Bruin Poeper schreef op donderdag 27 oktober 2022 @ 13:48:
[...]

En ik zeg: een keten is zo sterk als zijn zwakste schakel. Een 4 cijferige PINcode... of misschien is er een nog zwakkere.

Maar je gaat compleet voorbij aan het feit dat iemand dan al wel bij jouw telefoon moet kunnen. Dat lukt niet vanuit India. Op je Google account inloggen wèl.

Plus dat je dus de keuze kunt maken om die zwakke schakel die je maar blijft noemen weg te nemen.

Bruin Poeper schreef op donderdag 27 oktober 2022 @ 13:48:
[...]

En ik zeg: een keten is zo sterk als zijn zwakste schakel. Een 4 cijferige PINcode... of misschien is er een nog zwakkere.

En ik zeg een hacker of iemand van buiten af heeft je mobieltje niet, daar is 2FA voor.

Daarnaast als je een telefoon hebt met een beetje recent OS blokkeert deze na een X aantal foutieve inlog pogingen. 4 cijfers is 10k aan combinaties. Als je 4 zo zwak vind stel je er 6 in, heb je een miljoen combi's.

Je bent nu gewoon redenen aan het verzinnen waarom je geen 2FA wilt gebruiken die er eigenlijk niets mee te maken hebben. Wat is je volgende punt, dat je mobieltje ook gejat kan worden en je het dus beter maar niet kan gebruiken?

Alles is uiteindelijk te kraken, punt is alleen zoveel mogelijk zwakke schakels weg te nemen zodat het niet de moeite meer is en/of omdat een anders wel zo dom is geen 2FA in ge stellen zodat ze daar liever tijd insteken

[ Voor 16% gewijzigd door sapphire op 27-10-2022 13:57 ]

Dan heb je het niet goed begrepen

Bruin Poeper schreef op donderdag 27 oktober 2022 @ 13:57:
[...]

Nee, dat is niet mijn eigen keuze. Het wordt me opgedrongen.
Ik heb al jaren geleden gekozen voor gmail zonder MFA. Juist om verlost te zijn van mail van mijn internetprovider en Microsoft. Ik wil al die diensten juist ontkoppeld houden. Dat lijkt MIJ veiliger.

Dat is een aanname.

Maar volgens mij heb je je keuze al gemaakt en heb je een voor je.

Je kan beter een eigen server hosten met je eigen email adres en domein. Want dat staat thuis en is dus veiliger. ./sarcasme

Bruin Poeper schreef op donderdag 27 oktober 2022 @ 14:03:
[...]

Ik wil het (liever) niet. En dat gaat jou verder niets aan. Sorry!

Het wordt me steeds meer duidelijk dat 2FA niet voor privé is.
Eerder voor instanties en bedrijven om zich tegen hun personeel te beschermen. Daar zitten de zwakheden.

Dank je medemens die op grote schaal mailboxen geautomatiseerd is gaan hacken. Dat jouw prive Google account data bevat die wereldwijd gelezen mag worden, is alleen geen realiteit voor veel mensen. Veel mensen willen dat goed beschermd hebben en Google heeft daar een goede oplossing voor.

Bruin Poeper schreef op donderdag 27 oktober 2022 @ 13:57:
[...]

Nee, dat is niet mijn eigen keuze. Het wordt me opgedrongen.
Ik heb al jaren geleden gekozen voor gmail zonder MFA. Juist om verlost te zijn van mail van mijn internetprovider en Microsoft. Ik wil al die diensten juist ontkoppeld houden. Dat lijkt MIJ veiliger.

Je wilt geen 2FA in verband met de veiligheid? Nou ja je kan gewoon stoppen met Gmail, dat is een keuze en volgens mij kun je ook nog steeds met imap en pop3 bij de mail.

Bruin Poeper schreef op donderdag 27 oktober 2022 @ 14:03:
[...]

Ik wil het (liever) niet. En dat gaat jou verder niets aan. Sorry!

Het wordt me steeds meer duidelijk dat 2FA niet voor privé is.
Eerder voor instanties en bedrijven om zich tegen hun personeel te beschermen. Daar zitten de zwakheden.

Prima dat je dat niet wilt, dat is dan je eigen keuze . Alleen ben je redenen aan het verzinnen waarom het minder veilig zou zijn en die zijn er simpelweg niet. Hooguit iets minder gebruiksvriendelijk, en met de nadruk op iets want ik heb 2FA wel aanstaan en krijg zelden een melding daarvan terwijl ik Gmail gewoon open heb staan op mijn vertrouwde desktop.

Net zoals dat Google de keuze maakt hun klanten beter te beschermen door het wel te verplichten, verplicht niemand jou gebruik te blijven maken van hun gratis dienst als het je niet zint. Heel vervelend maar je doet er praktisch weinig tegen.

Je kan voor een paar euro per maand je eigen mailserver (laten) hosten, ben je af van Google, 2FA en heb je alles ontkoppeld

Bruin Poeper schreef op donderdag 27 oktober 2022 @ 14:03:
[...]
Het wordt me steeds meer duidelijk dat 2FA niet voor privé is.
Eerder voor instanties en bedrijven om zich tegen hun personeel te beschermen. Daar zitten de zwakheden.

Ik gebruik 2FA vaker prive dan voor m'n werk... Ik vind het zelfs juist vervelend dat Google (voor zover ik weet) niet ver genoeg gaat, en m'n wachtwoord niet kan uitzetten (ik heb voo rm'n microsoft account geen wachtwoord meer).

Marzman schreef op donderdag 27 oktober 2022 @ 14:07:
[...]volgens mij kun je ook nog steeds met imap en pop3 bij de mail.

Nou. Voorlopig dan. Bij Microsoft wordt dat al uitgeschakeld. Omdat het niet veilig is.

Bruin Poeper schreef op donderdag 27 oktober 2022 @ 14:03:
Het wordt me steeds meer duidelijk dat 2FA niet voor privé is.

2FA is er juist wel voor privé.
Veel mensen gebruiken een wachtwoord dat of te simpel is, of ergens een keer gelekt is en in een database staat.
Daar wil je juist een 2e stap toevoegen. Waarschijnlijk ziet Google het teveel gebeuren dat het fout gaat, dus verplichten ze nu 2FA.

Binnen bedrijven heb je vaak policies die sterke wachtwoorden en 2FA afdwingen, privé heb je dat minder, alleen zet Google een stap de goede richting in, door het wel verplicht te maken.

Bruin Poeper schreef op donderdag 27 oktober 2022 @ 13:57:
[...]

Nee, dat is niet mijn eigen keuze. Het wordt me opgedrongen.
Ik heb al jaren geleden gekozen voor gmail zonder MFA. Juist om verlost te zijn van mail van mijn internetprovider en Microsoft. Ik wil al die diensten juist ontkoppeld houden. Dat lijkt MIJ veiliger.

Je vindt het veiliger dat iemand, overal ter wereld, een gokje kan wagen (of een ingecalculeerde gok dmv een uitgelekt ww-bestand) en succesvol in kan loggen ipv dat jij daarvan een melding krijgt en dit eerst moet goedkeuren?

In het eerste geval is de kans dat er gevoelige informatie op straat komt te liggen groter dan in het tweede geval. Maar goed, doe wat je wilt. Ik ga er persoonlijk wel van uit dat ieder account zonder 2FA vroeg of laat de sjaak is.

MFA is daar nog steeds nodig, alleen niet zo vaak. Maar inderdaad, op vertrouwde apparaten is het veel minder nodig. Met ook daar de gedachte dat men dat device fysiek moet jatten

eric.1 schreef op donderdag 27 oktober 2022 @ 15:00:
[...]
Je vindt het veiliger dat iemand, overal ter wereld, een gokje kan wagen (of een ingecalculeerde gok dmv een uitgelekt ww-bestand)

Of doet aan password spraying. Of of of etc

Bruin Poeper schreef op donderdag 27 oktober 2022 @ 13:48:
[...]
En ik zeg: een keten is zo sterk als zijn zwakste schakel. Een 4 cijferige PINcode... of misschien is er een nog zwakkere.

Een keten is inderdaad zo sterk als zijn zwakste schakel.

Echter is de pincode dat hier niet. Een potentiele hacker heeft namelijk niks aan jouw pincode.

Hij moet eerst een wachtwoord hebben om in te loggen. Identiek aan de huidige situatie. Tot zover geen verandering in veiligheid.

Vervolgens, in de huidige situatie, is die persoon binnen.

In de nieuwe situatie moet de hacker dan toegang hebben tot jouw telefoon én jouw pincode van die telefoon weten. En dat allemaal zonder dat jij het door hebt.

Die pincode is misschien de zwakste schakel, maar hij zit niet in serie in de ketting. Maar parallel aan het hebben van het toestel en het weten van het wachtwoord. Pas als alle 3 de schakels doorgeknipt zijn is de ketting los.


Overigens kan een google/microsoft/wiedanook niks meer of minder tracker als je MFA aanzet of uitzet.
En als je bang bent voor het koppelen van je telefoonnummer oid, zijn er talloze andere (ook onafhankelijke) MFA authenticators.


Dat MFA wordt geforceerd is overigens niet gek. Slecht beveiligde accounts zijn voor hunzelf ook een risico. Mensen die infilteren in hun systemen zijn allereerste slechte reclame. Daarnaast kan het verstrekkende gevolgen hebben voor hun klanten (die niet perse de kennis hebben om de risico's in te schatten of te verkleinen). En ze lopen risico dat hun services gebruikt worden voor allerlei duistere zaakjes.

Bruin Poeper schreef op donderdag 27 oktober 2022 @ 15:21:
[...]
Maar Google wil 2FA in de toekomst verplicht stellen. Er bestaan dan geen veilige/vertrouwde apparaten meer.
Als ik die boodschap letterlijk neem kan straks 2FA niet meer uitgezet worden en zal ik altijd een 2e apparaat (telefoon) bij mijn laptop moeten gebruiken.

Ik heb natuurlijk geen glazen bol, maar ik vraag me af of "veilige apparaten" gaan verdwijnen. Dat zou immers een erg grote impact hebben op de gebruiksvriendelijkheid terwijl het weinig veiligheid toevoegt aan het systeem.

Juist het extra verifiëren bij een onbekende locatie of apparaat is wat de veiligheid zo vergroot. MFA verplichten zorgt voor het laatste. Dat kan prima icm "veilige apparaten"

[ Voor 19% gewijzigd door timberleek op 27-10-2022 15:30 ]

Bruin Poeper schreef op donderdag 27 oktober 2022 @ 15:21:
Of misschien kan een gezicht of fingerprint ook goed zijn? Mijn laptop heeft geen fingerprint lezer.
Voorzover ik weet ook geen gezichtsherkenning op de camera, maar misschien zit dat toch ergens in Windows?

Het idee achter MFA is dat je een combinatie hebt van;
- iets dat je weet (je wachtwoord)
- iets dat je hebt (je telefoon)
- iets dat je bent (vingerafdruk).

Je wachtwoord is bijna altijd de eerste stap. Daar voeg je een 2e optie aan toe. Google biedt een scala aan opties. Ik kan bijvoorbeeld inloggen door een authenticatiecode op m'n telefoon of password manager te genereren. Maar ik heb ook mijn Yubikey gekoppeld, en ook mijn privételefoon die een pushmessage krijgt.

Dus je hebt niet per se een extra apparaat nodig. Als jij je notebook gebruikt om een TOTP tool op te draaien werkt dat ook gewoon. Het gaat erom dat anderen niet zomaar je account inkunnen. Maar je hebt legio opties om er zelf in te kunnen. Kijk eens in de settings van je Google account.

Bruin Poeper schreef op donderdag 27 oktober 2022 @ 15:21:
[...]

Tot nu toe ben jij de meest behulpzame. Dank.

Dat uitzetten van 2FA voor vertrouwde computers kan nu nog. Een 2e stap overslaan op veilige apparaten
Maar Google wil 2FA in de toekomst verplicht stellen. Er bestaan dan geen veilige/vertrouwde apparaten meer.
Als ik die boodschap letterlijk neem kan straks 2FA niet meer uitgezet worden en zal ik altijd een 2e apparaat (telefoon) bij mijn laptop moeten gebruiken.

Of misschien kan een gezicht of fingerprint ook goed zijn? Mijn laptop heeft geen fingerprint lezer.
Voorzover ik weet ook geen gezichtsherkenning op de camera, maar misschien zit dat toch ergens in Windows?

Ik ben het overigens wel gewoon eens met de rest van de comments. 2FA is een stuk veiliger. Ik baal er juist altijd van als ik ergens een account moet aanmaken en die site/platform heeft (nog) geen 2FA. Eens in de zoveel tijd een 6-cijferige code van mijn telefoon overtypen is nou niet echt een belemmering, maar wel een stuk veiliger. Zelfs als je geen pin-beveiliging op je telefoon heb is het veiliger want iemand heeft dan niet genoeg aan je gebruikersnaam+wachtwoord maar heeft ook je fysieke device nodig en de meeste 'hackers' gaan niet zo ver dat ze je van je telefoon gaan beroven. Als je wel zo'n belangrijk hack-doel ben dan maakt het sowieso niet zoveel uit hoe je je account beveiligd.

Er is, uiteraard, een relevante xckd:

Bruin Poeper schreef op donderdag 27 oktober 2022 @ 15:41:
[...]

Jij doet alsof het gevaar voor prive van ver weg komt.
Maar de meeste criminaliteit vindt plaats in relationele sfeer. "Vrienden", hulpjes, servicelui, familie, kennissen, toevallige bezoekers die bij jou thuis komen.
Hebben ze je PINcode, dan ben je nat, want die laptop staat voor hun neus. Bij mij staan alle wachtwoorden in Firefox.

Je gooit nu alle criminaliteit op 1 hoop.
Fysieke daden moeten altijd lokaal gebeuren, dus gebeuren vaak door een lokaal persoon.

Inbreken in een mailbox kan iemand vanaf de andere kant van de wereld doen met 1000 tegelijk. Waarom zouden ze in je huis inbreken om bij je mail te komen? Dan kunnen ze beter je tv jatten.


En die relatie en andere bezoekers die bij je inbreken hoeven anders niet eens jouw pincode te weten. Zoals je al zegt, het wachtwoord staat gewoon in firefox.
Met MFA moeten ze je laptop hebben, én je telefoon, én de pincode van je telefoon.

edit: telefoon + pincode is overigens 1 optie. Er zijn andere MFA methodes dan via de telefoon.

[ Voor 4% gewijzigd door timberleek op 27-10-2022 15:45 ]

Bruin Poeper schreef op donderdag 27 oktober 2022 @ 15:41:
[...]

Jij doet alsof het gevaar voor prive van ver weg komt.
Maar de meeste criminaliteit vindt plaats in relationele sfeer. "Vrienden", hulpjes, servicelui, familie, kennissen, toevallige bezoekers die bij jou thuis komen.
Hebben ze je PINcode, dan ben je nat, want die laptop staat voor hun neus. Bij mij staan alle wachtwoorden in Firefox.

Ik weet niet of het zo is dat de meeste criminaliteit daar vandaan komt, is ook niet zo heel relevant. Daarmee is de andere criminaliteit niet ineens uitgewist natuurlijk.
Genoeg manieren om accounts te misbruiken als jouw credentials toevallig ergens lekken. En daar zitten gewoon botjes achter die dat doen, dat gaat echt niet iemand met de hand doen. Dus dat is gewoon heel veel proberen tot ze iets raak hebben. En vroeg of laat maak je dat vanzelf een keer mee. Dus dat gevaar is zeker wel aanwezig, ook al is het wellicht op andere plekken groter.

Bruin Poeper schreef op donderdag 27 oktober 2022 @ 15:41:
[...]

Jij doet alsof het gevaar voor prive van ver weg komt.
Maar de meeste criminaliteit vindt plaats in relationele sfeer. "Vrienden", hulpjes, servicelui, familie, kennissen, toevallige bezoekers die bij jou thuis komen.
Hebben ze je PINcode, dan ben je nat, want die laptop staat voor hun neus. Bij mij staan alle wachtwoorden in Firefox.

Ze hebben bij mij vaker geprobeerd in te loggen in China en India dan vanuit de provincie Groningen. En ik woon in die laatste....

Bruin Poeper schreef op donderdag 27 oktober 2022 @ 15:41:
[...]

Jij doet alsof het gevaar voor prive van ver weg komt.
Maar de meeste criminaliteit vindt plaats in relationele sfeer. "Vrienden", hulpjes, servicelui, familie, kennissen, toevallige bezoekers die bij jou thuis komen.
Hebben ze je PINcode, dan ben je nat, want die laptop staat voor hun neus. Bij mij staan alle wachtwoorden in Firefox.

Tot je op een verkeerd linkje klikt, of dat er een breach is in 1 van de sites waar je een inlog account hebt.
Dan is de hacker zo bij je binnen ( digitaal ) met de ergste gevolgen van dien.

Maar goed, schrijf jij je wachtwoorden maar op een briefje want dat is volgens jou zo lekker veilig

Aanvullende vraag. Bij een vereniging met diverse accounts en één hersteltelefoonnummer en één herstelaccount, hebben verschillende mensen toegang tot die accounts. Voor zover ik me herinner hebben die de eerste keer altijd met een code via dat herstelnummer toestemming gekregen. Voor die mensen verandert er toch niets meer? Oftewel, het gaat toch enkel en alleen om de eerste keer toegang te krijgen zodat het apparaat waarmee ingelogd werd herkend wordt? En niet iedere keer dat je weer wilt inloggen. Dat zou een drama zijn bij meerdere gebruikers op verschillende locaties.

[ Voor 13% gewijzigd door Bennodora op 29-10-2022 11:20 ]

Bennodora schreef op zaterdag 29 oktober 2022 @ 11:12:
Oftewel, het gaat toch enkel en alleen om de eerste keer toegang te krijgen zodat het apparaat waarmee ingelogd werd herkend wordt?

Ja, in de regel wel. Het kan zijn dat je nog een keer 2FA moet invullen op het moment dat je een tijd niet bent ingelogd, je op een andere locatie zit (dus ander netwerk), of soms bij sommige acties die je doet (al heb ik die tot dusver alleen gezien in de Google admin).

En niet iedere keer dat je weer wilt inloggen. Dat zou een drama zijn bij meerdere gebruikers op verschillende locaties.

Je kunt voor iedere gebruiker natuurlijk 2FA instellen. Dat zou ik sowieso op voorhand doen, dan weet je zeker dat iedereen overal bij kan.

TERW_DAN schreef op zaterdag 29 oktober 2022 @ 14:16:
Je kunt voor iedere gebruiker natuurlijk 2FA instellen. Dat zou ik sowieso op voorhand doen, dan weet je zeker dat iedereen overal bij kan.

...en kun je juist iets intrekken als er 1 iemand niet meer bij mag, zonder dat je iedereen moet informeren bij een aanpassing.

Bastiaan schreef op zaterdag 29 oktober 2022 @ 15:01:
[...]

...en kun je juist iets intrekken als er 1 iemand niet meer bij mag, zonder dat je iedereen moet informeren bij een aanpassing.

Dat ook. Het maakt je usermanagement mogelijk (hoewel gedeelde accounts daar nooit ideaal voor zijn. Meerdere methodes zorgt er ook voor dat als 1 iemand loopt te prutsen (al dan niet bewust) dat je dan niet gelijk buitengesloten bent.

Gewoon ingelogd blijven is het makkelijkst.
Of 2FA gebruiken met een Yubikey die je standaard in je computer hebt zitten. Hoef je alleen die even aan te tikken.
Of je mail in een mailclient hengelen, daarin hoef ik nooit 2FA aan te zetten na de eerste inlog.

Kijk met de developer console (F12 in Firefox) welke worden gezet met welke inhoud. Dan kan je gericht whitelisten. Ik denk dat je daar niet op random sites kunt vertrouwen. Bijv. omdat die achter kunnen lopen bij de werkelijkheid.

Al moet ik zeggen: als je Google cookies toestaat dan heb je de grootste privacy-inbreuk al wel te pakken en kan je net zo goed alle cookies toestaan. Of iets als Pihole gebruiken

Bruin Poeper schreef op donderdag 1 december 2022 @ 19:00:
Wat is de oplossing?

Niet uitloggen, dan hoef je nooit meer je wachtwoord in te voeren.

Damn. Multi-factor authenticatie voegt heel veel veiligheid toe. En of je het nu met TOTP of WebAuthn/FIDO2 doet maakt niet uit, het geeft Google geen extra inzichten.

Op plekken waar WebAuthn/FIDO2 geen optie is en je dus bent aangewezen op TOTP: ik kan Aegis Authenticator van harte aanbevelen.

De essentie - los van MFA klopt natuurlijk wel. Google is een f*cking monster en JIJ bent het product. Maar, dat los je niet op door tekeer te gaan tegen beveiligingsmaatregelen, die juist goed zijn, maar door te switchen naar privacyvriendelijke alternatieven. De link naar een topic hierover op t forum is al gegeven.

'nuff said.

Bruin Poeper schreef op donderdag 1 december 2022 @ 23:00:
P.S.: ik heb de gewoonte om vaak handmatig "Recente geschiedenis wissen" te kiezen, en dan gaan ook "Cookies" weg. Naar nu blijkt óók die van accounts.google.com. De uitzondering die ik had ingesteld bij afsluiten gaat dan niet op. Dan moet ik alsnog weer mbv telefoon inloggen.

Maar als je browser al zo staat ingesteld dat hij die dingen weggooit, waarom doe je het dan nog eens handmatig? Dat voelt een beetje dubbelop.
Dus dat zou ik dan gewoon niet meer doen. Of je moet accepteren dat met afwijkend gedrag er ook wat ongemakken aan vast zitten, waardoor je vaker met 2FA in zult moeten loggen.