Dag mensen!

Een vraagje: is google authenticator gekoppeld aan een google-account, of werkt deze app op zichzelf?

Ik kan deze gebruiken voor een paar zaken, maar ik kan er precies geen account, herstelemailadres, etc aan koppelen?

Vriendelijke groet!

Die werkt zonder Google account.

De vraag is of je beslist aan de Google Authenticator moet om TOTP te kunnen gebruiken. Er zijn heel veel alternatieven die exact hetzelfde doen zonder dat je daarbij iets van Google gebruikt.

Zelf gebruik ik de LastPass authenticator, ook te gebruiken zonder account etc.

Uitleg (in het Engels):
https://security.stackexchange.com/questions/35157/how-does-google-authenticator-work

Uitleg (in het Nederlands):
https://www2.computerworld.nl/security/94244-zo-werkt-google-authenticator

Die werkt zonder Google account.

De vraag is of je beslist aan de Google Authenticator moet om TOTP te kunnen gebruiken. Er zijn heel veel alternatieven die exact hetzelfde doen zonder dat je daarbij iets van Google gebruikt.

Zelf gebruik ik de LastPass authenticator, ook te gebruiken zonder account etc.

LastPass spreekt me ook meer aan, ik merk dat er vaak op bepaalde websites enkel met Authy of Google Authenticator gewerkt wordt?

…ik merk dat er vaak op bepaalde websites enkel met Authy of Google Authenticator gewerkt wordt?

Wat ik wel vaak zie staan op websites is dat er gesproken wordt over het feit dat men Google Authenticator moet gebruiken. bla bla bla. Pak je gewoon een andere TOTP app dan werkt dat net zo goed.

Is een beetje hetzelfde als "We gebruiken hiervoor een bahco" in plaats van "We gebruiken hiervoor een verstelbare moersleutel".

Pak je gewoon een andere TOTP app dan werkt dat net zo goed.

Iets om over na te denken: aan zo'n 'andere TOTP app' vertrouw je dan wél je 'secret key' toe van de betreffende website of dienst waar je 2FA nodig hebt. Ik zie wel een aantal andere TOTP apps maar geen idee welk bedrijf(je..)  of persoon daarachter zit. Hoezeer je Google ook kunt wantrouwen op privacy of reclame gebied, ik zet mijn 2FA secret key of QR code niet in een app waarvan ik de achtergrond niet ken. Voor zoiets vertrouw ik Google juist wel als maker van de app. De app zelf staat inderdaad los van een Google account dus je privacy wordt er niet door gecompromitteerd.

Nog iets om rekening mee te houden: de TOTP RFC laat variaties toe in bijv. het aantal seconden dat een gegenereerd one-time-password geldig is, of in het gebruikte hashing algoritme. Je kan al enige jaren sites vinden die daar op inspelen en afwijken van de gebruikelijk defaults. Niet alle TOTP authenticator apps ondersteunen in dezelfde mate die flexibiliteit.

Een groot nadeel van Google Authenticator is dat als je andere telefoon krijgt/koopt je alles opnieuw mag instellen, want GA is gebonden aan je toestel. Authy bijvoorbeeld heeft dat probleem niet, maar dat kan gelijk ook een nadeel zijn, want waar worden je gegevens dan bewaard?

Trouwens ik gebruik zelf een hardware sleutel van Yubikey voor TOTP. Die hardware sleutel ondersteunt ook meer dan alleen TOTP, o.a. FIDO U2F waarbij je bv. met 1 vingertoets kan inloggen op je Dropbox. Zie deze video hoe gemakkelijk dit gaat.

Nog nooit van gehoor, noch nodig gehad, blijkbaar. Waarvoor wordt dit gebruikt?

Een groot nadeel van Google Authenticator is dat als je andere telefoon krijgt/koopt je alles opnieuw mag instellen, want GA is gebonden aan je toestel. Authy bijvoorbeeld heeft dat probleem niet, maar dat kan gelijk ook een nadeel zijn, want waar worden je gegevens dan bewaard?

De spijker op z'n kop: nee liever niet, dat een 2FA authenticatie ergens op een server bewaard wordt. Dan maar liever even alles opnieuw instellen. Yubikey werkt niet voor waar ik Google Authenticator gebruik ..

Er zijn inderdaad gemengde gevoelens bij deze manier van 2FA...
Ook vind ik het vies om te zien dat als je de GA-app opent, je zomaar codes kan zien.

Ik weet wel dat je met zo'n tijdelijke code niets bent zonder een wachtwoord.. maar toch.. het gevoel is er!

Maar aan de andere kant, een extra beveiliging is soms noodzakelijk, ik zou het mezelf niet vergeven als ik door geen 2FA in te schakelen bv. zwaar in de problemen zou komen!

 

Ook vind ik het vies om te zien dat als je de GA-app opent, je zomaar codes kan zien.

Je hebt volgens mij geen idee hoe dit soort dingen werken. Heb je een e-dentifier van je bank of iets dergelijks? Dan zie je toch ook code die je ergens anders moet invoeren.. Die codes zijn maar 30 seconden houdbaar, geen idee wat je daar 'vies' aan vindt. Als je ze niet zou zien kun je ze ook niet invoeren.

Je hebt volgens mij geen idee hoe dit soort dingen werken.

Ik vermoed dat hij niet op de links geklikt heeft die een direct antwoord op zijn vraag geven.