Google laat third-party apps niet meer met wachtwoord inloggen op account
Nog een aantal maanden en dan kunnen third-party apps zoals e-mailclients en back-upsoftware gebruikers niet meer door middel van alleen een gebruikersnaam en wachtwoord op hun Google-account laten inloggen, zo heeft Google aangekondigd. Dit moet de accounts van gebruikers beter beschermen. Vanaf 30 mei wordt deze inlogmethode niet meer ondersteund, zo laat het techbedrijf weten.
Third-party apps kunnen gebruikers vragen om via hun Google-account in te loggen. Op deze manier krijgt de app toegang tot het account van de gebruiker. Sommige apps doen dit door middel van alleen een gebruikersnaam en wachtwoord. "Via minder goed beveiligde apps kunnen hackers makkelijker toegang tot je account krijgen. Door logins via deze apps te blokkeren, kan je account beter worden beveiligd", stelt Google.
De optie voor "Toegang door minder goed beveiligde apps" staat standaard uitgeschakeld. Gebruikers kunnen die echter zelf inschakelen om apps zo alsnog toegang te geven. Vanaf 30 mei zal dat niet meer kunnen. "We doen dit om je account te beschermen", legt het techbedrijf uit. Dit kan grote gevolgen voor gebruikers hebben. Zo beschouwt Google elke app die van het IMAP-protocol gebruikmaakt als "minder goed beveiligd". Gebruikers kunnen deze apps straks nog steeds gebruiken, zolang er maar niet met alleen een gebruikersnaam en wachtwoord wordt ingelogd.
Reacties (20)
Google doet zijn uiterste best om alsmaar slechtere diensten te leveren. IMAP is niet onveilig, IMAP werkt gewoon en zorgt voor interoperabiliteit en dat is slecht voor Google want straks krijgt de gebruiker nog keuze.
Door Anoniem: Google doet zijn uiterste best om alsmaar slechtere diensten te leveren. IMAP is niet onveilig, IMAP werkt gewoon en zorgt voor interoperabiliteit en dat is slecht voor Google want straks krijgt de gebruiker nog keuze.
Je kan toch gewoon een app-password maken? Dat gaat met microsoft office365 ook goed.
Door Anoniem: Google doet zijn uiterste best om alsmaar slechtere diensten te leveren. IMAP is niet onveilig, IMAP werkt gewoon en zorgt voor interoperabiliteit en dat is slecht voor Google want straks krijgt de gebruiker nog keuze.
Het gaat niet om de onveiligheid van het protocol, het gaat om de onveiligheid van de inlogmethode.
Username/password is goed om een "mens" toegang te geven, het is niet geschikt om een app toegang te geven omdat credentials vaak opgeslagen worden, en het is nu net niet de bedoeling om een wachtwoord ergens op te slaan voor makkelijk gebruik.
Als je toch een app toegang wil geven, moet je dat niet met een username/wachtwoord doen, maar met een API token of iets soortelijk die uniek is voor iedere app.
Hierdoor kan je:
1. Verschillende apps uit elkaar houden en indien nodig individuele apps de toegang ontzeggen.
2. Per API token de nodige toegangsrechten inregelen. (Best volgens het "least privilege" principe.)
Je kan dus perfect IMAP gebruiken maar i.p.v. te authenticeren met een username en opgeslagen PW, gebruik je een unieke API token. En dat API token heeft enkel genoeg rechten om mail te lezen.
Als je app dan toch gehackt wordt of je verliest je smartphone, kan je die specifieke API token ongeldig maken heb je niet je username/pw weggegeven zodat die elders misbruikt kunnen worden.
De meeste IMAP servers ondersteunen authenticatie via OAUTH, hetgeen exact doet zoals hierboven beschreven.
Ik neem aan dat ze hiermee minimaal verificatie in 2 stappen bedoelen. Bijvoorbeeld wachtwoord en SMS, en voor de emailclient; OAuth2
01-03-2022, 17:57 door
Briolet
Door Anoniem: Google doet zijn uiterste best om alsmaar slechtere diensten te leveren. IMAP is niet onveilig, IMAP werkt gewoon en zorgt voor interoperabiliteit en dat is slecht voor Google want straks krijgt de gebruiker nog keuze.
Beter lezen. Er staat niet dat het IMAP protocol onveilig is, maar dat het gebruik minder veilig is. Het protocol ondersteunt b.v. geen 2FA authenticatie. Een 3e partij die het wachtwoord weet te achterhalen, kan daardoor bij jouw mail.
En wat te denken van van buggy mailcliënts die een wachtwoord kunnen lekken? DAn ik ook direct je gehele google account gecompromiteerd, omdat dat hetzelfde wachtwoord gebruikt.
Apple heeft dit risico al jaren geleden aangepakt door alleen hun eigen mailcliënts rechtstreekse toegang te geven tot een iCloud account. Wil je toch een 3th-party mailcliënt gebruiken, dan kan het wel, maar je moet een apart wachtwoord aanmaken voor die app zodat je hele iCloud account niet gecompromiteerd wordt bij een buggy mailcliënt.
Dan zullen zij binnenkort bij Gmail de 'html-versie' ook wel teniet doen. Toch net iets minder tracking mee mogelijk net als met een e-mailclient.
Terwijl Gmail, al jaren, online niet meer prettig is om te gebruiken. De 'html-versie' deed het nog wel leuk, al kun je daarmee niet meerdere e-mails in één keer verwijderen, je moet alles één voor één aanvinken.
Zij zoeken het maar uit bij Google. Onlangs ingesteld dat mijn mail automatisch doorgestuurd wordt (wel weer via een ander mailadres, Google hoeft mijn nieuwe niet te weten), voordat je een telefoonnummer moet gaan opgeven voordat je überhaupt kunt inloggen (voor jou eigen veiligheid natuurlijk hè!).
Alles wat je niet deelt met Google, is winst.
Terwijl Gmail, al jaren, online niet meer prettig is om te gebruiken. De 'html-versie' deed het nog wel leuk, al kun je daarmee niet meerdere e-mails in één keer verwijderen, je moet alles één voor één aanvinken.
Zij zoeken het maar uit bij Google. Onlangs ingesteld dat mijn mail automatisch doorgestuurd wordt (wel weer via een ander mailadres, Google hoeft mijn nieuwe niet te weten), voordat je een telefoonnummer moet gaan opgeven voordat je überhaupt kunt inloggen (voor jou eigen veiligheid natuurlijk hè!).
Alles wat je niet deelt met Google, is winst.
Door Briolet:
Beter lezen. Er staat niet dat het IMAP protocol onveilig is, maar dat het gebruik minder veilig is. Het protocol ondersteunt b.v. geen 2FA authenticatie. Een 3e partij die het wachtwoord weet te achterhalen, kan daardoor bij jouw mail.
Door Anoniem: Google doet zijn uiterste best om alsmaar slechtere diensten te leveren. IMAP is niet onveilig, IMAP werkt gewoon en zorgt voor interoperabiliteit en dat is slecht voor Google want straks krijgt de gebruiker nog keuze.
Beter lezen. Er staat niet dat het IMAP protocol onveilig is, maar dat het gebruik minder veilig is. Het protocol ondersteunt b.v. geen 2FA authenticatie. Een 3e partij die het wachtwoord weet te achterhalen, kan daardoor bij jouw mail.
Het scenario van een gebruiker die geen smartphone heeft, maar slechts een mobiele telefoon waarmee alleen maar getelefoneerd kan worden en SMS (koelkast).
Dus 2FA authenticatie (wachtwoord en SMS) word uitgesloten als inlogmiddel, althans dat maak ik hieruit op.
Dat houd dus in, dat ik geen e-mail client zoals Thunderbird meer kan gebruiken voor een gmail account
Door waterlelie:
Het scenario van een gebruiker die geen smartphone heeft, maar slechts een mobiele telefoon waarmee alleen maar getelefoneerd kan worden en SMS (koelkast).
Dus 2FA authenticatie (wachtwoord en SMS) word uitgesloten als inlogmiddel, althans dat maak ik hieruit op.
Dat houd dus in, dat ik geen e-mail client zoals Thunderbird meer kan gebruiken voor een gmail account
Door Briolet:
Beter lezen. Er staat niet dat het IMAP protocol onveilig is, maar dat het gebruik minder veilig is. Het protocol ondersteunt b.v. geen 2FA authenticatie. Een 3e partij die het wachtwoord weet te achterhalen, kan daardoor bij jouw mail.
Door Anoniem: Google doet zijn uiterste best om alsmaar slechtere diensten te leveren. IMAP is niet onveilig, IMAP werkt gewoon en zorgt voor interoperabiliteit en dat is slecht voor Google want straks krijgt de gebruiker nog keuze.
Beter lezen. Er staat niet dat het IMAP protocol onveilig is, maar dat het gebruik minder veilig is. Het protocol ondersteunt b.v. geen 2FA authenticatie. Een 3e partij die het wachtwoord weet te achterhalen, kan daardoor bij jouw mail.
Het scenario van een gebruiker die geen smartphone heeft, maar slechts een mobiele telefoon waarmee alleen maar getelefoneerd kan worden en SMS (koelkast).
Dus 2FA authenticatie (wachtwoord en SMS) word uitgesloten als inlogmiddel, althans dat maak ik hieruit op.
Dat houd dus in, dat ik geen e-mail client zoals Thunderbird meer kan gebruiken voor een gmail account
Dat zie je verkeerd. Het heeft namelijk niets met multifactor authentication te maken.
Enkel mensen kunnen MFA doen, apps niet.
Dit gaat over hoe apps zichzelf kunnen authenticeren en dat is weldra niet meer mogelijk door je eigen username + password op te geven en op te slaan in de applicatie zelf , maar door een "moderne" (10+ jaar oud) manier van werken af te dwingen met bijvoorbeeld access tokens.
Dus als ik het goed gebruik kun je straks je gmail niet meer lezen in Outlook, Apple Mail, Thunderbird en dus alleen nog maar via de website? Kreeg laatst wel een melding dat ik m'n app wachtwoorden in moest trekken want dat zou onveilig zijn. Terwijl ze dat eerder juist adviseerden omdat het veiliger is?!
01-03-2022, 20:31 door
waterlelie
Door Anoniem:
Dat zie je verkeerd. Het heeft namelijk niets met multifactor authentication te maken.
Enkel mensen kunnen MFA doen, apps niet.
Dit gaat over hoe apps zichzelf kunnen authenticeren en dat is weldra niet meer mogelijk door je eigen username + password op te geven en op te slaan in de applicatie zelf , maar door een "moderne" (10+ jaar oud) manier van werken af te dwingen met bijvoorbeeld access tokens.
Door waterlelie:
Het scenario van een gebruiker die geen smartphone heeft, maar slechts een mobiele telefoon waarmee alleen maar getelefoneerd kan worden en SMS (koelkast).
Dus 2FA authenticatie (wachtwoord en SMS) word uitgesloten als inlogmiddel, althans dat maak ik hieruit op.
Dat houd dus in, dat ik geen e-mail client zoals Thunderbird meer kan gebruiken voor een gmail account
Door Briolet:
Beter lezen. Er staat niet dat het IMAP protocol onveilig is, maar dat het gebruik minder veilig is. Het protocol ondersteunt b.v. geen 2FA authenticatie. Een 3e partij die het wachtwoord weet te achterhalen, kan daardoor bij jouw mail.
Door Anoniem: Google doet zijn uiterste best om alsmaar slechtere diensten te leveren. IMAP is niet onveilig, IMAP werkt gewoon en zorgt voor interoperabiliteit en dat is slecht voor Google want straks krijgt de gebruiker nog keuze.
Beter lezen. Er staat niet dat het IMAP protocol onveilig is, maar dat het gebruik minder veilig is. Het protocol ondersteunt b.v. geen 2FA authenticatie. Een 3e partij die het wachtwoord weet te achterhalen, kan daardoor bij jouw mail.
Het scenario van een gebruiker die geen smartphone heeft, maar slechts een mobiele telefoon waarmee alleen maar getelefoneerd kan worden en SMS (koelkast).
Dus 2FA authenticatie (wachtwoord en SMS) word uitgesloten als inlogmiddel, althans dat maak ik hieruit op.
Dat houd dus in, dat ik geen e-mail client zoals Thunderbird meer kan gebruiken voor een gmail account
Dat zie je verkeerd. Het heeft namelijk niets met multifactor authentication te maken.
Enkel mensen kunnen MFA doen, apps niet.
Dit gaat over hoe apps zichzelf kunnen authenticeren en dat is weldra niet meer mogelijk door je eigen username + password op te geven en op te slaan in de applicatie zelf , maar door een "moderne" (10+ jaar oud) manier van werken af te dwingen met bijvoorbeeld access tokens.
Ok Lijkt mij duidelijk, dus geen probleem voor gebruikers die 2FA alleen op de computer gebruiken..
Wanneer dit ook gaat gelden voor het lezen van mijn mail via Outlook en soortgelijken, ga ik andere oplossingen kiezen. Ik wil mijn mail lezen in een echt mail pakket en niet in een dedicated client of via HTML. Door een echte mail client te gebruiken, kan ik het @ adres lezen i.p.v. de meegegeven naam. En ik kan de mail header lezen. Op die manier is fishing veel makkelijker te herkennen, dan met alleen "Rabobank", "ABN-AMRO", "ING" e.d. Kijk je naar het @-adres zie je dan soms dingen staan als "ABN-AMRO@mailer.dwqunee.br" of soortgelijk. Door dit soort controles heb je tenminste al een waarschuwing, voor je het bericht leest.
Dus tot zover het veiliger maken van je omgeving.
Dus tot zover het veiliger maken van je omgeving.
Door Briolet:
Beter lezen. Er staat niet dat het IMAP protocol onveilig is, maar dat het gebruik minder veilig is. Het protocol ondersteunt b.v. geen 2FA authenticatie. Een 3e partij die het wachtwoord weet te achterhalen, kan daardoor bij jouw mail.
En wat te denken van van buggy mailcliënts die een wachtwoord kunnen lekken? DAn ik ook direct je gehele google account gecompromiteerd, omdat dat hetzelfde wachtwoord gebruikt.
Apple heeft dit risico al jaren geleden aangepakt door alleen hun eigen mailcliënts rechtstreekse toegang te geven tot een iCloud account. Wil je toch een 3th-party mailcliënt gebruiken, dan kan het wel, maar je moet een apart wachtwoord aanmaken voor die app zodat je hele iCloud account niet gecompromiteerd wordt bij een buggy mailcliënt.
Door Anoniem: Google doet zijn uiterste best om alsmaar slechtere diensten te leveren. IMAP is niet onveilig, IMAP werkt gewoon en zorgt voor interoperabiliteit en dat is slecht voor Google want straks krijgt de gebruiker nog keuze.
Beter lezen. Er staat niet dat het IMAP protocol onveilig is, maar dat het gebruik minder veilig is. Het protocol ondersteunt b.v. geen 2FA authenticatie. Een 3e partij die het wachtwoord weet te achterhalen, kan daardoor bij jouw mail.
En wat te denken van van buggy mailcliënts die een wachtwoord kunnen lekken? DAn ik ook direct je gehele google account gecompromiteerd, omdat dat hetzelfde wachtwoord gebruikt.
Apple heeft dit risico al jaren geleden aangepakt door alleen hun eigen mailcliënts rechtstreekse toegang te geven tot een iCloud account. Wil je toch een 3th-party mailcliënt gebruiken, dan kan het wel, maar je moet een apart wachtwoord aanmaken voor die app zodat je hele iCloud account niet gecompromiteerd wordt bij een buggy mailcliënt.
Misschien moet je zelf beter lezen:
Zo beschouwt Google elke app die van het IMAP-protocol gebruikmaakt als "minder goed beveiligd"
En Google heeft nogal een reputatie als het gaat om het langzaam vermoorden van zijn eigen applicaties en open standaarden. Ze willen je dwingen in hun vreselijke walled gardens te leven (zodat ze de GUI elke week kunnen veranderen ).
Voor je zegt dat men geen Google producten hoeft te gebruiken, daar zorgen ze zelf wel voor.
Door Anoniem: Dus als ik het goed gebruik kun je straks je gmail niet meer lezen in Outlook, Apple Mail, Thunderbird en dus alleen nog maar via de website? Kreeg laatst wel een melding dat ik m'n app wachtwoorden in moest trekken want dat zou onveilig zijn. Terwijl ze dat eerder juist adviseerden omdat het veiliger is?!
Beetje raar dit. Meerdere applicaties gebruiken voor het lezen van een e-mailtje. Als je G-Mail hebt, dan heb je Outlook niet nodig en vice versa.
Door Anoniem: Dus als ik het goed gebruik kun je straks je gmail niet meer lezen in Outlook, Apple Mail, Thunderbird en dus alleen nog maar via de website?
Gebruik voor Thunderbird/Gmail OAUTH2 (open authentication version 2). In de Engelstalige Thunderbird: Tools/ Account Settings/Server Settings, dan in vakje Authentication method pijltje omlaag naar Oauth2. Dit zet de inkomende mail server. Doe hetzelfde voor de uitgaande mail (SMTP) server.Door Anoniem:
Beetje raar dit. Meerdere applicaties gebruiken voor het lezen van een e-mailtje. Als je G-Mail hebt, dan heb je Outlook niet nodig en vice versa.
Onderzoek eens het verschil tussen webmail en een mailclient. Denk dat je het dan niet meer raar vindt.Door Anoniem: Dus als ik het goed gebruik kun je straks je gmail niet meer lezen in Outlook, Apple Mail, Thunderbird en dus alleen nog maar via de website? Kreeg laatst wel een melding dat ik m'n app wachtwoorden in moest trekken want dat zou onveilig zijn. Terwijl ze dat eerder juist adviseerden omdat het veiliger is?!
Beetje raar dit. Meerdere applicaties gebruiken voor het lezen van een e-mailtje. Als je G-Mail hebt, dan heb je Outlook niet nodig en vice versa.
In het roze kadertje zie ik niet specifiek IMAP staan. Google account wordt vermeld, dus ook toegang tot bv google drive via 'minder veilige methode' kan straks niet meer voor m'n verschillende device backupjes?
Door Anoniem: In het roze kadertje zie ik niet specifiek IMAP staan. Google account wordt vermeld, dus ook toegang tot bv google drive via 'minder veilige methode' kan straks niet meer voor m'n verschillende device backupjes?
Als je een app blijft gebruiken die niet op een hedendaagse manier van authenticatie wil overschakelen, dan kan je inderdaad niet meer aan je backupjes.
Misschien moet je je dan wel eens beginnen af te vragen waarom die app, en het bedrijf erachter, kost wat kost jouw inloggegevens wil hebben.
Deze heeft die app namelijk helemaal niet nodig, en voor securityredenen (dit is toch security.nl, niet?) is het een absoluut slecht idee om je username/wachtwoord in te geven in een app.
Dat wordt al 10 jaar lang afgeraden en er zij al 10 jaar lang alternatieven.
Door Anoniem: treft dit je als je Gmail onder Outlook hebt draaien?
ja
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
