Cursus: Timmer je Google-account dicht
Wellicht ken je het concept wel van het internetbankieren. Om in te loggen op de website van je bank heb je naast het gebruikelijke wachtwoord ook een extra code nodig uit een sms, mobiele app, Random Reader of E.dentifier. Steeds meer diensten gebruiken zo'n tweefactor-authenticatie. Vooral Google gaat daarin ver, wat niet gek is omdat steeds meer mensen hun gegevens aan Google toevertrouwen. In deze cursus leggen wij je het hoe en wat uit van tweefactor-authenticatie en hoe je dit voor jouw Google-account instelt.
In principe beveiligen alle webdiensten en programma’s hun toegang met een wachtwoord. Dat is handig, maar wachtwoorden hebben ook hun zwakheden. Ze zijn immers vaak gemakkelijk te raden en soms ook gewoon te onderscheppen, bijvoorbeeld als iemand over je schouder meekijkt terwijl je jouw wachtwoord intypt. Het probleem wordt nog groter als je hetzelfde wachtwoord op meerdere websites gebruikt.
Toch beveiligen we steeds grotere hoeveelheden persoonlijke gegevens enkel met een wachtwoord. Dat is een groot risico. Stel je bijvoorbeeld eens voor wat de gevolgen zijn als iemand in jouw Gmail-account binnendringt... Bij Google is de mogelijke schade nog groter omdat je met één wachtwoord in al je Google-diensten kan, waaronder ook Google Calendar, Google Drive enzovoort. Iemand die jouw Google-account steelt, is dus probleemloos in staat om je e-mails te lezen, je afspraken te bekijken en je documenten te downloaden. En hij kan zelfs e-mails in jouw naam sturen.
Dat risico is niet te verantwoorden. Een technologie die dat oplost, is tweefactor-authenticatie. Daarbij combineer je een klassiek wachtwoord met een tweede factor, die afhangt van iets waarover alleen jij beschikt. Voorbeelden zijn de Random Reader of E.dentifier van je bank die een uniek serienummer heeft, jouw smartphone die unieke codes in een mobiele app genereert of wanneer je een sms van de ondersteunde dienst ontvangt. Als iemand dan jouw wachtwoord onderschept, is dat niet voldoende om in jouw naam in te loggen, omdat de tweede factor ontbreekt.
Ook gameontwikkelaar Blizzard biedt extra beveiligingsmogelijkheden.
Google authenticatie in twee stappen
Google heeft al snel begrepen welke risico’s je neemt als je alleen een wachtwoord gebruikt. Daarom biedt het al enkele jaren de mogelijkheid aan om tweefactor-authenticatie voor je Google-account in te schakelen. De zoekmachinegigant noemt dat authenticatie in twee stappen (http://ct.link.ctw.nl/ats).
Google begeleidt je goed bij het instellen van tweefactor-authenticatie.
Wanneer je dan inlogt op een Google-site (zoals Gmail of Google Calendar), geef je eerst je wachtwoord in. Daarna vraagt Google je om een verificatiecode, die via een sms of spraakoproep op je telefoon wordt geleverd of die je in een mobiele app op je telefoon genereert. Zo'n code is slechts één keer geldig, dus iemand die over je schouder meekijkt, heeft er niets meer aan nadat je ermee ingelogd bent.
De manier waarop Google tweefactor-authenticatie geïmplementeerd heeft, is overigens heel flexibel, zodat er eigenlijk geen reden is om het niet in te schakelen: je kan altijd instellen dat de extra verificatiecode op de specifieke computer waarmee je inlogt, niet meer gevraagd wordt. Als vervolgens iemand vanaf een andere computer probeert in te loggen op je account, schiet de tweefactor-authenticatie in actie.
Tweefactor-authenticatie is in Google eenvoudig in te stellen.
Wat als je geen reservecodes of reservetelefoon hebt?
Stel dat je geen reservecodes meer hebt, geen reservetelefoon hebt ingesteld, je telefoon bent kwijtgeraakt en geen vertrouwde computer hebt ingesteld. Ben je dan de toegang tot je account volledig kwijt? Gelukkig niet: Google heeft aan deze situatie gedacht.
Als je op geen enkele manier meer toegang tot je account kan krijgen, klik je in het venster waar je de code moet opgeven op Heeft u uw telefoon niet bij u? waarna je Ik heb geen toegang tot mijn telefoons aanvinkt. Vul dan het formulier voor accountherstel in. De vragen gaan heel specifiek over jouw gebruik van Google-diensten, zoals wie je vaak via Gmail e-mailt en wanneer je jouw Google-account hebt aangemaakt, zodat Google hieruit kan afleiden of je de rechtmatige eigenaar van de account bent.
Aan de slag
Tweefactor-authenticatie voor je Google-account instellen is niet zo moeilijk. Log eerst op de normale manier in op je Google-account. Klik dan rechts bovenaan op het accounticoontje en daarna in het menu dat verschijnt, op Account. Klik nu in het linker tabblad op Beveiliging. Naast Verificatie in twee stappen klik je op Instellingen, en op de volgende pagina op Configuratie starten. Onmiddellijk daarna moet je nog eens je wachtwoord ingeven om te bevestigen dat jij het bent.
Kies de telefoon en de manier voor de beveiliging van je Google-account.
Je configureert nu je telefoon in vier stappen. In de eerste stap vul je jouw telefoonnummer in. Het is mogelijk dat je dat eerder al hebt ingevuld. Hier kies je ook of je de verificatiecodes met een sms (de standaardmanier) of een spraakoproep wilt ontvangen. Klik op Code verzenden. Je ontvangt dan op je telefoon een sms met de verificatiecode. Die vul je in het volgende venster op je computer in, waarna je op Verifiëren klikt.
Geef de verificatiecode op van de ontvangen sms om je telefoon te verifiëren.
Vertrouwde computer
In het volgende venster kan je opgeven dat je de huidige computer als vertrouwde computer wilt opgeven, wat standaard aangevinkt staat. Daardoor hoef je op die computer geen verificatiecodes in te geven om in te loggen, maar op andere pc’s wel.
Wanneer je de volgende keer op Google inlogt, ontvang je op je telefoon een sms met een verificatiecode. Op de computer krijg je de vraag om die code in te vullen. Alleen met de juiste code kan je inloggen. Vind je dit te omslachtig, dan vink je Niet meer vragen om codes op deze computer aan bij het opgeven van je verificatiecode.
Google bepaalt overigens met welke computer je inlogt aan de hand van cookies. Vink je aan dat deze computer te vertrouwen is, dan werkt dat alleen maar als je browser cookies voor Google-pagina's opslaat. Als je meerdere browsers op dezelfde computer gebruikt, moet je de computer in elke browser als vertrouwd aanvinken.
Aanmelden bij Google vereist nu een extra code.
Hoe wil je de code ontvangen?
Google biedt heel wat manieren aan om de verificatiecodes te ontvangen. De codes via sms ontvangen is de standaardmanier, maar misschien wil je dat liever niet. Het ontvangen van een sms is immers niet altijd gratis, en daarbij komt ook nog dat de berichten van een nummer uit Denemarken komen. Je kan echter ook andere redenen hebben om geen sms te willen. Misschien vertrouw je bijvoorbeeld je telefoon niet door alle verhalen over mobiele malware? Geen probleem, Google kan je ook op je vaste telefoon opbellen en de verificatiecode uitspreken.
App
Ook als je geen telefoonverbinding hebt, bijvoorbeeld als het gsm-bereik bij je thuis slecht is, zijn er oplossingen. Het zou immers niet handig zijn als je in die omstandigheden niet meer bij je account kunt. Google biedt daarom ook een app aan, Google Authenticator (http://ct.link.ctw.nl/gau), die je op Android (2.1 of hoger), iOS (5.0 of hoger) of BlackBerry (OS 4.5 of hoger) kunt installeren.
Ga in je Google-account naar de pagina met beveiligingsinstellingen en klik daar bij Verificatie in twee stappen op Instellingen. Kies naast Mobiele applicatie voor je mobiele platform. Installeer nu op je telefoon de app Google Authenticator. Start de app en druk op de knop Een account toevoegen. Je krijgt twee opties om je Google-account aan je telefoon te koppelen. De handigste is met een QR-code. Druk in Google Authenticator op de knop Een streepjescode scannen.
Richt de camera van je telefoon daarna op het computerscherm. Je krijgt nu in de app een eerste verificatiecode te zien. Geef die op je computer in het vakje na Code in en klik op Verifiëren en opslaan om je telefoon met je Google-account te koppelen.
Indien dat niet werkt, dan kan het zijn dat de tijd op je telefoon en op je computer niet gesynchroniseerd zijn, omdat de verificatiecodes slechts een beperkte tijd geldig zijn. Stel dan op je telefoon en computer de juiste tijd in en probeer het opnieuw.
Wanneer je nu in het vervolg op je Google-account inlogt, wordt je om een verificatiecode gevraagd. Open dan de Google Authenticator-app op je telefoon die een nieuwe code genereert. Vervolgens geef je deze code op je computer in.
Scan de QR-code met je telefoon om Google Authenticator met je account te koppelen.
Ook Facebook heeft tweefactor-authenticatie ingevoerd, daar heet de functie Aanmeldgoedkeuringen. Klik op het radertje rechtsboven, op Accountinstellingen en dan op Beveiliging. Activeer Aanmeldgoedkeuringen door ernaast op Bewerken te klikken. Vink het vakje aan, waarna je uitleg krijgt over de werking. Klik op Aan de slag om je telefoon voor tweefactor-authenticatie in te stellen. Dat kan onder andere met de Facebook-app.
Klik op je computer op Doorgaan. Volg dan de instructies op: druk op de menuknop van de Facebook-app op je telefoon en daarna op Codegenerator, waarna je voor Activeren kiest. Klik op je computerscherm op Doorgaan en vul dan de code in die in de Facebook-app verschijnt.
Als je jouw telefoonnummer toevoegt, kan je ook kiezen dat de beveiligingscode via sms verstuurd wordt. De beveiligingscode wordt overigens alleen gevraagd als je van een onbekend apparaat op Facebook inlogt.
Ook in Facebook kan je jouw account met een extra factor beveiligen.
Reservetelefoon
Uiteraard biedt Google ook oplossingen voor omstandigheden waarin je jouw telefoon verloren of ergens vergeten bent. Je kan reservetelefoons toevoegen, zodat Google in die omstandigheden de verificatiecode naar een andere telefoon kan sturen. Ga daarvoor naar de pagina met instellingen van de tweefactor-authenticatie en klik bij Reservetelefoons op Een telefoonnummer toevoegen. Geef nu dat telefoonnummer in en kies een methode: sms of telefoon. Klik tot slot op Opslaan.
Als je een reservetelefoon toegevoegd hebt en je primaire telefoon niet beschikbaar is, vul je jouw gebruikersnaam en wachtwoord in het loginvenster van Google in en log je in. Google stuurt nu een verificatiecode naar je primaire telefoon, maar die heb je niet bij de hand.
Klik daarom onderaan op Heeft u uw telefoon niet bij?. Je krijgt nu meerdere opties. Eén ervan stuurt de code naar je reservetelefoon, waarna je met die code kunt inloggen. Als je meerdere reservetelefoons hebt toegevoegd, kies je welke ervan je wilt gebruiken.
Als je telefoon niet beschikbaar is, kies je voor een reservecode of reservetelefoonnummer bij het inloggen.
Reservecodes
Daarnaast is het ook mogelijk om een lijst met reservecodes te genereren voor omstandigheden waarin je geen toegang hebt tot je eigen telefoon of een andere vertrouwde telefoon. Ga daarvoor in de instellingen van tweefactor-authenticatie naar Afdrukbare back-upcodes en klik op Back-upcodes weergeven. Download de lijst of druk het af. Wanneer Google je om een verificatiecode vraagt, geef je een code uit je lijst in. Daarna streep je de code op je lijst door, want een code is slechts eenmaal geldig. Als de tien codes opgebruikt zijn, klik je op Nieuwe codes genereren.
Met een lijst reservecodes kan je ook nog inloggen als al je telefoons gestolen worden.
Applicatiespecifieke wachtwoorden
Je hebt het misschien al gemerkt: zodra je tweefactor-authenticatie instelde, kreeg je een waarschuwing van Google dat bepaalde toepassingen niet meer bereikbaar zijn. Je mobiele apps hebben geen toegang meer tot je Google-account, omdat ze geen tweefactor-authenticatie ondersteunen.
Voorbeelden van apps zijn Gmail en Google Agenda op Android-versies 2.3 en lager. Ook niet-browsertoepassingen die toegang tot je account vereisen, zoals Outlook, Thunderbird of Apple Mail waarmee je jouw e-mail leest, Picasa Desktop waarmee je jouw foto’s organiseert of Pidgin om te chatten via Google Talk krijgen geen toegang meer tot je Google-account.
Google heeft daarvoor wel een oplossing, maar die is wat teleurstellend: applicatiespecifieke wachtwoorden. Ga daarvoor naar de instellingen van tweefactor-authenticatie en klik op Applicatiespecifieke wachtwoorden beheren. Geef nu onder aan de pagina een naam in waarmee je het wachtwoord wilt onderscheiden, bijvoorbeeld de naam van de toepassing of het toestel, zoals ‘Picasa op laptop’ of ‘Android-telefoon’. Klik daarna op Wachtwoord genereren, waarna je een specifieke code te zien krijgt. Geef die code nu in de desbetreffende toepassing als wachtwoord in (de spaties zijn niet belangrijk) en laat het wachtwoord onthouden, want je krijgt het niet meer te zien nadat je op Gereed geklikt hebt.
Google waarschuwt dat je toepassingen gebruikt die geen tweefactor-authenticatie ondersteunen.
Creëer voor elke toepassing die geen tweefactor-authenticatie ondersteunt een applicatiespecifiek wachtwoord.
Dropbox
Dropbox biedt ook tweefactor-authenticatie aan. Log in je Dropbox-account in, klik rechts bovenaan op het pijltje naast je accountnaam en daarna op Settings. Ga naar het tabblad Security en klik naast Two-step verification, die standaard op Disabled staat, op Change. Volg daarna de instructies.
Standaard stelt Dropbox voor om je verificatiecodes via sms te sturen, maar je kan ook kiezen voor een mobiele app die de codes genereert. Handig is dat Dropbox meerdere apps ondersteunt, waaronder Google Authenticator. Scan de QR-code die Dropbox toont met je telefoon om het Dropbox-account met je telefoon te koppelen.
Je kan overigens ook een reservetelefoonnummer ingeven waarnaar Dropbox een beveiligingscode stuurt als je de telefoon met je app kwijt bent. Bovendien toont Dropbox je een ‘emergency backup code’ van 16 cijfers die je ergens veilig moet opslaan: hiermee krijg je toegang tot je account als je jouw telefoon verliest.
Tweefactor-authenticatie voor Dropbox werkt ook met de Google Authenticator-app.
Wachtwoordenbos
Voor elke toepassing of apparaat moet je zo’n applicatiespecifiek wachtwoord aanmaken. Als je dan een apparaat kwijtraakt, trek je heel eenvoudig het bijbehorende applicatiespecifieke wachtwoord in op dezelfde pagina als waar je het wachtwoord hebt aangemaakt. Daarna is het wachtwoord niet meer geldig. Iemand die bijvoorbeeld je Android-telefoon gestolen heeft, kan dan niet meer bij je account.
Waarom noemen we deze oplossing dan teleurstellend? Heel eenvoudig: de naam is misleidend. De applicatiespecifieke wachtwoorden zijn namelijk helemaal niet applicatiespecifiek: iemand die zo’n wachtwoord onderschept heeft, bijvoorbeeld door het uit je Android-telefoon uit te lezen, krijgt met dit wachtwoord niet alleen toegang tot het Gmail- en Google Agenda-account waarvoor je jouw Android-telefoon gebruikte, maar tot iedere Google-dienst op elk apparaat.
Het enige voordeel dat applicatiespecifieke wachtwoorden bieden boven de gewone wachtwoorden is dat je ze eenvoudig selectief kunt intrekken, zodat je niet plotseling op al je apparaten het wachtwoord moet veranderen. Kortom, applicatiespecifieke wachtwoorden zoals Google ze aanbiedt, zijn nodig als je toepassingen wilt gebruiken die geen tweefactor-authenticatie ondersteunen, maar je moet wel hun beperkingen beseffen.
Tweefactor-authenticatie uitschakelen
We hopen dat we je in deze cursus overtuigd hebben van het nut van tweefactor-authenticatie, maar misschien vind je het na een tijdje uitproberen maar niets. Gelukkig is de optie eenvoudig uit te schakelen. Open de instellingenpagina van tweefactor-authenticatie in je Google-account en klik bovenaan op Authenticatie in twee stappen uitschakelen. Bevestig nog eens door op Uitschakelen te klikken.
Vanaf nu volstaat je vertrouwde wachtwoord weer om op je Google-account in te loggen. En als je applicatiespecifieke wachtwoorden had ingesteld voor programma’s die niet overweg konden met tweefactor-authenticatie, dan hebben die nu eigenlijk geen zin meer. Je kan ze dan maar beter allemaal intrekken op de pagina Applicaties en sites autoriseren van de instellingen van je Google-account. Vergeet dan niet op alle toepassingen waarvoor je deze wachtwoorden gebruikte, je vertrouwde wachtwoord opnieuw in te stellen.
Toch niet tevreden over tweefactor-authenticatie? Je kunt het eenvoudig uitschakelen.