Google: hersteltelefoonnummer voorkomt kapen van accounts
Eigenaren van een Google-account die een hersteltelefoonnummer toevoegen lopen een veel kleinere kans dat hun account wordt gekaapt, zo stelt Google aan de hand van onderzoek dat het met onderzoekers van de universiteiten van New York en San Diego uitvoerde.
Elke dag worden er honderdduizenden aanvallen tegen Google-gebruikers uitgevoerd. De meeste van deze aanvallen zijn afkomstig van bots die met wachtwoorden die bij andere websites zijn gestolen op een Google-account proberen in te loggen. Het andere deel van de aanvallen betreft algemene phishingaanvallen en gerichte aanvallen.
Door het toevoegen van een hersteltelefoonnummer aan het Google-account kunnen 100 procent van de aanvallen door bots, 99 procent van de "bulk" phishingaanvallen en 66 procent van de gerichte aanvallen worden gestopt, aldus Kurt Thoms van Google in een blogpost.
Zodra Google ziet dat een gebruiker vanaf een onbekende locatie of een nieuw apparaat inlogt vraagt het om aanvullende informatie. Het kan dan gaan om een herstelmailadres, telefoonnummer of laatste locatie waarvandaan is ingelogd. Wanneer de telefoon van de gebruiker als controle wordt gebruikt, blijkt dit veel meer bescherming te bieden.
Een sms-code die naar een hersteltelefoonnummer wordt gestuurd blokkeert namelijk 100 procent van de geautomatiseerde bots, 96 procent van de algemene phishingaanvallen en 76 procent van de gerichte aanvallen. Prompts op de telefoon waarmee de gebruiker een inlogpoging kan bevestigen, wat volgens Google een veiliger alternatief voor sms is, blokkeert zelfs 90 procent van de gerichte aanvallen.
Ondanks de beveiligingsvoordelen wil Google een hersteltelefoonnummer of e-mailadres niet voor gebruikers verplichten. Dit vergroot het risico dat men geen toegang tot het eigen account kan krijgen. Tijdens een experiment bleek 38 procent geen toegang tot hun telefoon te hebben op het moment dat Google de extra controle uitvoerde. 34 procent wist niet meer welk herstelmailadres ze hadden ingesteld. Wanneer gebruikers geen toegang tot hun telefoon hebben of de extra controle niet kunnen bevestigen, kunnen ze altijd vanaf een eerder gebruikt apparaat inloggen en zo toegang tot hun account krijgen, besluit Thoms.
Ik stop liever wat extra energie in het updaten van mijn devices en in een goed uniek wachtwoord. Dan dat ik de kans loop dat ik over twintig jaar opeens mezelf buitensluit.
Het opsturen van kopieën van paspoorten vind ik ook geen goed idee. En het bewijst niets behalve dat je zo'n sukkel bent dat je je echte paspoort inscant/fotografeert en opstuurt over het internet als je browser daarom vraagt.
Nee, 2FA maakt de zaak veiliger, Google wil natuurlijk zo veel mogelijk telefoonnummers (of niet Google e-mail adressen) hebben dat snap ik ook wel.
Een andere vorm van 2FA kan de zaak net zo veilig maken.
Gelukkig zijn er meer winkels met een gast account zo dat je geen account hoeft te maken.
Ze hebben je gegevens evengoed maar er kan minder snel misbruik van worden gemaakt.
.
Ik heb mijn mobiele nummer inmiddels al 30 jaar, dus dat kan heel goed ;-)
Dacht je echt dat Google geen optie heeft om het telefoonnummer aan te passen?
En als je je telefoon verliest waarmee je 2FA doet? Dan is een hersteltelefoonnummer toch handig om alsnog nog bij je account te komen. Ik gebruik daar mijn vaste nummer voor. (je mobiele nummer kan soms ook nog "tijdelijk" gekaapt worden)
Dacht je echt dat Google geen optie heeft om het telefoonnummer aan te passen?
Om je telefoonnummer te veranderen, moet je wel kunnen inloggen bij Google. Als je niet meer bij je (oude) telefoonnummer kan, heb je dan toch een probleem.
Anoniem 09:50
Nee, 2FA maakt de zaak veiliger, Google wil natuurlijk zo veel mogelijk telefoonnummers (of niet Google e-mail adressen) hebben dat snap ik ook wel.
Een andere vorm van 2FA kan de zaak net zo veilig maken.
Dat biedt Google ook aan bij instellingen. Je kan dan met een authenticator app werken. Zoals het excellente Authy: https://play.google.com/store/apps/details?id=com.authy.authy
Ik niet. Daarom ben ik blij dat Google me regelmatig vraagt of de ingevoerde gegevens nog wel kloppen.
Google is niet Facebook.
Google heeft mijn telefoonnummer nooit ergens anders voor gebruikt dan voor controles. En dat telefoonnummer duikt ook niet plotseling op in mijn contactgegevens bij vrienden of collegas.
Dan ga je er vanuit dat je tegelijk het noodnummer nodig hebt en dat het ook net is gewijzigd.
Als je daar bang voor bent, dan kun je OOK een e-mailadres opgeven EN een tweede noodtelefoonnummer.
Peter
Goh, heb je je hele leven hetzelfde account, of hetzelfde wachtwoord. Vrij irrelevante vraag. Wat wel relevant is, is de vraag voor welke andere zaken Google je telefoon nummer ook wil kunnen gebruiken.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
