Google verificatie in 2 stappen?

Ik ontving een email van Google, de inhoud luidde:

Binnenkort log je in met verificatie in 2 stappen

Nu aanzetten

Nadat je je wachtwoord hebt opgegeven, voer je een 2e stap uit op je telefoon. Houd je telefoon bij de hand als je inlogt.

Verificatie in 2 stappen wordt automatisch aangezet op 12 oktober. Als je wilt, kun je dit eerder aanzetten. Je account is er klaar voor.

Waarom verandert de manier waarop ik inlog?
Door bij het inloggen een 2e stap te gebruiken, wordt je account een stuk beter beveiligd.
Hoe je je account hiermee beschermt

Hoe werkt het?
Nadat je je wachtwoord hebt opgegeven, tik je op een Google-prompt op je telefoon of krijg je een inlogcode die je moet opgeven (je provider kan hiervoor kosten in rekening brengen).
Je telefoonnummer en herstelmailadres updaten

Je ontvangt deze e-mail om je te informeren over belangrijke wijzigingen in je Google-account en -services.

Uiteraard heb ik niet op "Nu aanzetten" geklikt, want ik weet niet of dit een spam is. Mijn dochter heeft ook een Google-account (frans) en die heeft helemaal niets ontvangen van Google. (Maar misschien heeft zij zich niet aangemeld voor nieuws over Google.)

Daarom mijn vraag: is dit spam of is het echt?

Iedere morgen moet ik twee keer inloggen bij Google, omdat ik een apart emailadres heb voor het forum. Ik heb namelijk geen zin in al die emails van Nlrs.fr in m'n gewone emailbox. Daarnaast log ik in voor de synchronisatie van Google Chrome met mijn normale emailadres. Moet ik dan twee keer een Google prompt aanklikken op mijn mobieltje en wat is een Google prompt?

En hoe verhoudt zich mijn Google rekening tot Thunderbird, dat ik gebruik voor m'n gewone email en dat ik heb verbonden met mijn gewone google-account?

_____________________________

☑️ Beste plaatser van dit bericht,

fijn dat je gebruik maakt van dit forum. Doe alsjeblieft mee met de discussie die volgt op je bericht! Reageer zelf op de reacties die anderen geven. Dat mag ook best een bedankje zijn.

_____________________________

Rubrieken,

Klik hieronder voor meer berichten in dezelfde rubriek.

20211006, Telecommunicatie

Overleden Reactie van Theodora Besse op 7 Oktober 2021 op 8.26: OK Arnoud, je hebt gelijk. En ik heb tijd zat. Maar de banken beschermen mij toch ook? Die hebben ook geen tweetrapsbescherming (Crédit Agricole heel af en toe wel). Waarom kan Google dat dan niet doen?

Reactie van Rob van der Meulen op 7 Oktober 2021 op 8.52: Theodora, ik vertel je niets nieuws met de mededeling dat de Franse bancaire wereld behoorlijk achterloopt op het terrein van de automatisering en internet bankieren. Een bericht uit 2019.

Reactie van Rob van der Meulen op 7 Oktober 2021 op 8.57: Theodora, nu geen tijd om uit te zoeken hoe dat uitpakt in de EU lidstaten, maar er waren in het verleden al achterstanden.....

Overleden Reactie van Theodora Besse op 7 Oktober 2021 op 9.05: Je vertelt me wél iets nieuws, Rob. Moet ik bij m'n FR bank (af en toe) in de app nog een extra wachtwoord invoeren, bij m'n NL bank (ING) hoeft dat nooit! Daar kan ik simpelweg inloggen met vijf cijfers. Lekker makkelijk, dat wel. En als je onderweg bent, hoe wil je dan de controle fysiek scheiden? Dat kan alleen met een extra wachtwoord op hetzelfde apparaat.

Reactie van Rob van der Meulen op 7 Oktober 2021 op 9.38: Theodora, wie het weet mag 't zeggen, ik deel je verbazing. In Nederland wil de ING het liefst dat alle klanten de smartphone app installeren, alles op één apparaat. Dat bovendien iets makkelijker "verdwijnt" dan een thuis geïnstalleerde desktop of laptop. Nederlands woord: gedogen, wanneer je er op aandringt krijg je nog een echte scanner thuis gestuurd. Aanvankelijk werd dat defacto geboycot door die bank.

Alles via internet, alles via apps terwijl ze in de vliegtuigbouw - vrij lang - het ontwerpprincipe eerbiedigden dat je een "single point of failure" toch vooral moest zien te voorkomen. Dan gaat het om één vliegtuig, nu danst bijna de hele wereldbevolking op één touw dat tussen aan aantal wolkenkrabbers is gespannen. Happy landing.

Reactie van Jako op 7 Oktober 2021 op 10.22: Het grootste probleem van het niet- activeren van 2FA is dat een eventuele hacker dat wel zal doen, maar dan niet met jouw telefoonnummer. Het gevolg is dat je definitief de toegang tot je eigen account kwijt bent. In geval van email zal de hacker vervolgens door gaan met aan dat mailadres gekoppelde interessante accounts om die ook over te nemen en, bijvoorbeeld, bestellingen te doen met aflevering naar een ander afleveradres of ophaalpunt.

Een alternatief voor de SMS is de Google authenticator app.

Net als bij banken kun je dan de app op je smartphone gebruiken als 2e factor van identificatie. Maar ook daar zitten risico's aan. Als die telefoon defect gaat kun je de app niet overzetten naar een nieuwe telefoon, en volgens de commentaren ben je ook dan definitief de toegang tot je Google- en andere accounts kwijt waar je gebruik van die app op ingesteld hebt staan. Google kun je niet bellen om e.e.a. uit te leggen.

Het grootste risico van het gebruik van SMS als 2FA is niet onderscheppen van sms'jes, maar "SIM-swapping".

Iemand anders belt uit jouw naam met een zielig verhaal naar je provider dat je simkaart kwijt is. Weggespoeld in de WC, net verhuisd, twee krijsende babies op de achtergrond, alleenstaande moeder etc. Als die helpdeskmedewerker in het verhaal trapt, dan stuurt die een nieuwe simkaart naar een ander adres en dan doet jouw telefoon het van de ene op het andere moment niet meer.

Als dat gebeurt, direct je provider bellen, niet afwachten. De provider kan dan de illegaal verkregen nieuwe simkaart meteen de- activeren en de oude weer activeren.

Voor de bank is jouw telefoon een 'geregistreerd apparaat'. Je kunt inloggen bij ING (en andere banken) om te zien welke apparaten van jou staan geregistreerd en niet- meer gebruikte apparaten verwijderen. Het is dus niet 'zo maar' een smartphone met de ING app, maar zeer specifiek die ene smartphone van jou die toegang kan krijgen tot jouw gegevens. Het feit dat die telefoon is ontgrendeld bewijst al dat jij het bent, gebruik van een pincode, vingerafdruk of irisscan kan dat nogmaals bevestigen bij het openen van de app of ter bevestiging van een transactie.

Van Franse banken heb ik geen hoge pet op, ik gebruik dan ook geen app van mijn Franse bank. Alleen al het feit dat die werkt op de zwaar verouderde versie Android 4 wekt mijn wantrouwen op. Je kunt niet veilig werken op een onveilig OS.

Overleden Reactie van Theodora Besse op 7 Oktober 2021 op 13.40: Jako, ik heb maar even gegoogeld, dat gaat sneller. Een doorsnee bankmedewerker zal ook het antwoord op mijn vraag niet weten. Op deze website van Google playstore zie je dat voor de app van CA Android 7.0.12 wordt gebruikt, bijgewerkt op 5 oktober 2021.

Nu is dat ook niet bepaald de laatste versie, want ik heb op mijn telefoon al Android 11 (na update), maar het is niet zo'n achterlijke versie als waarvan jij de FR banken beticht.

Waarom zouden FR banken voor hun apps niet steeds de (voor)laatste versie van Android gebruiken? Kennelijk was dit nog pas geleden bijgewerkt. Waarom dan niet meteen Android 10 of 11?

Reactie van Jako op 7 Oktober 2021 op 15.54: @Theodora, er zijn meer banken in Frankrijk dan alleen jouw bank. Het is wellicht verbazingwekkend, maar ik heb een andere bank dan jij en de app van mijn bank draait al vanaf android 4.

Na het volgen van je link blijkt overigens dat dit slechts de betaal app van CA betreft en dat deze app versie 7.0.12 is hetgeen uiteraard geen enkele relatie heeft met de Android versie die de app minimaal nodig heeft om op te kunnen draaien.

Kennelijk durft CA zelfs niet te vermelden vanaf welke Android versie hun App werkt, of die werkt gewoon op elke Android versie hetgeen totaal onverantwoord zou zijn.

Oftewel: Quod Erat Demonstrandum.

De reden waarom banken hun apps laten achterlopen is tweeledig.

1-ze lopen zelf achter

2-veel klanten lopen achter en die willen ze toch bedienen.

Overleden Reactie van Theodora Besse op 7 Oktober 2021 op 16.45: Natuurlijk weet ik goed dat er meerdere banken zijn. Ik ben notabene zelf net van bank veranderd. Dat had nog heel wat voeten in de aarde, ondanks het feit dat ik het via de Loi Macron speelde.

Het is toch zo dat wanneer je gebruik maakt van de middelen die de banken ter beschikking stellen, zij opdraaien voor de schade die je eventueel mocht lijden? Daar ga ik tenminste van uit. Ze snijden zichzelf in de vingers. Ik gebruik die app altijd voor al mijn transacties! Net als iedereen die bij die bank is.

Reactie van Robert T op 7 Oktober 2021 op 18.12: Links of rechts om is het beste en verstandigste wat men kunt doen is het internet en je apps max beveiligen. Dat betekent gewoon dus zeker de 2 stappen verificatie en vervolgens regelmatig minimaal eens per jaar je wachtwoorden verversen. Geen wachtwoorden dubbel gebruiken voor essentiële contacten zoals verderop benoemd..

Als u dat niet doet zou zo maar kunnen zijn dat banken en anderen maar beperkte aansprakelijkheid nemen i.v.m. schade voortkomende uit "beperkte veiligheid maatregelen" genomen door de klant.

Verder beslist en never never de dezelfde werkwoorden gebruiken voor de bank, Digi D en je Frans Connect en Amelie ect ect.

Het denken en aannemen "zal mij niet overkomen" houdt een valse belofte in naar je zelf.

Wees verstandig en gewon doen en dan hopen dat de ellende van een hack ons bespaart blijft. Risico is er altijd maar wel fijn als men er alles aan doet om veilig op het www te participeren.