Is de gebruiker wel klaar voor two-factor authenticatie van Google?

Vanmorgen verscheen op Tweakers.net een artikel over Google die de two-factor authenticatie verplicht wil stellen voor alle gebruikers. Nu is deze manier van authenticeren nog optioneel. De vraag die bij mij gelijk opkwam was is de gemiddelde gebruiker wel klaar voor een dergelijke stap?

Natuurlijk is de two-factor authenticatie een goed hulpmiddel om de beveiliging van je Google account te verbeteren. Zelf ben ik er dan ook een fervent gebruiker van. Toch vraag ik mij af of de gemiddelde gebruiker er klaar voor is. In dit artikel zet ik uiteen wat de two-factor authenticatie is en wat het zou kunnen betekenen voor de gemiddelde gebruiker.

Wachtwoord als authenticatiemiddel

Net als bij bijna alle andere online diensten dien je je bij Google aan te melden middels een wachtwoord. Je bedenkt zelf een wachtwoord en vult deze keer op keer opnieuw in als je moet aanloggen. De dienst waarvoor je het wachtwoord bedenkt stelt vaak eisen hieraan zoals het verplichte aantal karakters, de aanwezigheid van hoofdletters, cijfers en/of speciale tekens.

Een combinatie van gebruikersnaam en wachtwoord is een relatief veilige manier om jezelf te authenticeren, tenzij het wachtwoord een statisch gegeven is. We kennen inmiddels de gegevenslekken van het afgelopen jaar van diensten als  LinkedIN, Evernote en recenter Scribd.

Bij deze aanvallen hebben de aanvallers de (gecodeerde) gegevens van een groot deel van de gebruikers bemachtigd. Hierdoor zijn zij in staat om door middel van een zgn Brute Force aanval deze gegevens te decoderen en zodoende dus jouw gegevens kan inzien en daardoor weer toegang kan verkrijgen tot diverse andere diensten waar je eenzelfde combinatie van gebruikersnaam en/of e-mailadres en wachtwoord gebruikt.

De houdbaarheidstermijn van een wachtwoord is dan ook kort, diverse instituten adviseren om het wachtwoord regelmatig te veranderen en geen verwijzingen te gebruiken naar gemakkelijk achterhaalbare feiten (zoals de naam van je huisdier die je vervolgens maandelijks via Facebook bekend maakt van oh fluffy speelt zo graag in de wei!).

Two-factor authenticatie

Om het bovenstaande probleem op te lossen kan de two-factor authenticatie worden ingezet. Een bekend systeem zoals je die ook hebt bij internetbankieren, je logt in met je rekeningnummer/pasnummer, steekt de pas in de kaartlezer, toetst je pincode in (wachtwoord) en je krijgt een code terug die je op de website moet invullen om op je bankrekening te komen.

Google kent een dergelijk systeem ook, waarbij gebruik wordt gemaakt van de combinatie Google-account en wachtwoord en je via een speciale app (Google Authenticator) een code terugkrijgt die jou toegang geeft tot je Google-account.

Zelf gebruik ik deze manier van authenticatie al een jaar, en het werkt eigenlijk best goed. Het heeft  nog twee backup systemen voor het geval je je telefoon niet bij de hand hebt danwel verloren bent;

  • Een serie van backup codes die je éénmalig kunt gebruiken
  • Een backup telefoonnummer waarnaar een SMS kan worden gestuurd

Een nadeel van deze manier van werken is overigens wel dat elke applicatie welke gebruik maakt van Google diensten zoals je mailapp op de telefoon, ipad, maar ook de synchronisatie van inhoud van Chrome maken gebruik van een apart gegenereerd wachtwoord. Dit vergt best wat onderhoud.

Alles is hackbaar

Natuurlijk is ook deze manier van authenticatie hackbaar, zoals een onderzoeker afgelopen januari aantoonde. De praktische haalbaarheid van deze methode was overigens niet heel waarschijnlijk, maar theoretisch bleek er dus wel degelijk een gat in de beveiliging te zitten.

Toch is het nét een stapje moeilijker voor een hacker om jouw gegevens te bemachtigen op deze manier, doordat deze niet alleen de combinatie gebruikersnaam/wachtwoord moet kennen, maar ook de beschikking moet hebben over een lijst met codes. De belangrijkste vraag is echter hoe gebruiksvriendelijk en bruikbaar is deze manier van authenticatie voor de gemiddelde gebruiker?

De gemiddelde gebruiker

Het belangrijkste argument om het wél in te stellen is natuurlijk dat op je Google account behoorlijk veel privacy-gevoelige data beschikbaar is, als natuurlijk je veel services gebruikt. Zelf gebruik ik GMail, Google Calendar, Google Drive en Google Chrome uitvoerig, waar ik verschillende privé zaken op registreer. Hierdoor vind ik het erg belangrijk om de beveiliging van dit account goed op orde te hebben.

Uiteraard zijn er ook redenen te bedenken om het niet te doen, zo is de eerste drempel  dat je moet beschikken over een smartphone met internetverbinding, om de codes überhaupt te kunnen ontvangen.  Daarnaast moet je voor elke applicatie die toegang nodig heeft tot je Google account een wachtwoord genereren en dat elke keer als je de accountgegevens opnieuw moet instellen (tja soms gaat er wel eens wat fout in de synchronisatie..). Echt praktisch is het niet, ‘effe snel’ inloggen is er niet bij, je hebt altijd de beschikking nodig over óf de telefoon óf een backup code.

Conclusie

Persoonlijk vind ik het een goed middel om de beveiliging van mijn gegevens te verhogen, natuurlijk is het niet het ei van Columbus, maar gooit in ieder geval drempels op die moeilijker te halen zijn. Wil je je huidige beveiligingsinstellingen van je Google Account inzien of wijzigen, ga dan naar https://www.google.com/account .