Google introduceert beschermingsprogramma voor gevoelige accounts

Google heeft een zogenaamd Advanced Protection Program geïntroduceerd, waarmee gevoelige accounts van bijvoorbeeld politici of journalisten beter beschermd kunnen worden. Tweakers sprak daarnaast met Stephan Somogyi over beveiliging en privacy bij Google.

google advanced protectionGoogle schrijft dat alle gebruikers met een persoonlijk Gmail-account zich voor het programma kunnen aanmelden. Dat bestaat momenteel uit drie aanvullende beschermingsmaatregelen. Zo vereist het programma het gebruik van twee hardwaresleutels voor beveiliging van het account die dienst doen als een vorm van tweetrapsauthenticatie. Die moeten gebruikers aanschaffen. Google verwijst gebruikers op het moment van schrijven via de Nederlandstalige pagina door naar Amazon voor een aanschaf, maar die levert de bluetoothsleutel niet naar de Benelux.

Daarnaast schermt het programma de Gmail- en Drive-bestanden af van niet vertrouwde apps van derden. Ook kunnen gebruikers alleen nog de Chrome-browser voor apps als Gmail of Photos gebruiken en krijgen standaard iOS-apps geen toegang meer tot Gmail, de agenda en contacten op het mobiele besturingssysteem. De laatste maatregel bestaat uit een uitgebreidere procedure voor accountherstel, waarbij Google om meer details vraagt.

Tweakers sprak met Google-medewerker Stephan Somogyi, die werkzaam is binnen het team voor beveiliging en privacy, over het programma toen er alleen nog geruchten bekend waren. Somogyi wilde destijds niet inhoudelijk ingaan op de geruchten, maar zei: “We kunnen altijd dingen beter doen en niet alles is ook daadwerkelijk geschikt voor al onze gebruikers. Sommigen lopen meer risico dan anderen. We moeten uitzoeken op welke plaatsen we dingen makkelijker kunnen maken.”

Datzelfde zou gelden op het gebied van de waarschuwingen die Google aan al zijn gebruikers toont. “Je moet ervoor oppassen dat mensen geen waarschuwingsmoeheid ontwikkelen. Er is nog steeds een bedroevend groot aantal personen dat onze waarschuwingen negeert.” Daarmee doelt hij bijvoorbeeld op meldingen van Safe Browsing, waaraan hij zelf heeft meegewerkt. Dat moet gebruikers voornamelijk beschermen tegen kwaadaardige websites en phishing. Somogyi: “Je ziet dat tegenwoordig bijna alle veelvoorkomende aanvallen bestaan uit social engineering.”

Dat zou komen doordat criminelen er steeds op uit zijn om hun winst te maximaliseren en de gebruikers zelf nog altijd de zwakste schakel zijn. “Social engineering is een erg vaag en grijs gebied, waardoor we steeds nieuwe oplossingen moeten bedenken. Dat is een doorlopend proces waarbij we gebruikers betere beslissingen willen laten nemen zonder al te beschermend over te komen. Bovendien kunnen opvattingen in de loop van de tijd veranderen, kijk maar naar de oude NIST-richtlijnen over wachtwoorden of naar de beslissing om auto-updates in Chrome door te voeren, wat destijds als ketterij werd gezien.”

Op de vraag hoe Google omgaat met via phishing gekaapte Chrome-extensies zegt Somogyi: “Op het moment dat we vaststellen dat zoiets gebeurt moeten we kijken of we ons kunnen aanpassen. We willen bijvoorbeeld geen verandering doorvoeren waarmee we ontwikkelaars te veel beperken. Aan de andere kant is een krachtige api natuurlijk wel een tweesnijdend zwaard. Ik denk niet dat we het ooit volledig zullen perfectioneren, omdat het een afweging blijft”.

Ook sprak Tweakers Somogyi over Googles relatie tot privacy. Het bedrijf besteedt in zijn communicatie veel aandacht aan de beveiliging van zijn producten, maar brengt bijvoorbeeld geen echte privacyproducten uit. Het werkte wel aan een extensie voor end-to-endencryptie voor e-mail, maar maakte die aan het begin van het jaar opensource en stelde dat het niet meer om een Google-project ging. De Google-medewerker antwoordt daarop dat het in dat geval net zo goed om een beveiligingsproduct kan gaan en dat volgens hem privacy niet bestaat zonder beveiliging.

“Een mogelijke verklaring is dat Google heel slecht is in privacymarketing”, vervolgt hij. “Ik zou willen dat het net zo eenvoudig was om privacytechnieken uit te leggen als uitleg geven over beveiligingsmaatregelen. Onze gebruikers zouden ervan uit moeten kunnen gaan dat we net als op beveiligingsgebied ons best doen voor privacy.” Op de vraag of Google het nodige vertrouwen van gebruikers mist om privacyproducten aan te bieden, zei Somogyi alleen: “Het zou niet goed voelen om nu privacy met een enkel product te pushen. We proberen privacy in al onze producten op te nemen in plaats van een enkel product aan te bieden.”

Door Sander van Voorst

Nieuwsredacteur

Feedback • 17-10-2017 12:3072

17-10-2017 • 12:30

72 Linkedin Whatsapp

Lees meer

Google laat iOS-gebruikers iPhone gebruiken als beveiligingssleutel
Google laat iOS-gebruikers iPhone gebruiken als beveiligingssleutel Nieuws van 15 januari 2020
Google waarschuwt politici VS voor hackpogingen op persoonlijke Gmail-accounts
Google waarschuwt politici VS voor hackpogingen op persoonlijke Gmail-accounts Nieuws van 21 september 2018
Experts willen meer openheid over veiligheid Google-beveiligingssleutels
Experts willen meer openheid over veiligheid Google-beveiligingssleutels Nieuws van 2 september 2018
Google geeft G Suite-beheerders waarschuwingsoptie bij aanvallen door overheden
Google geeft G Suite-beheerders waarschuwingsoptie bij aanvallen door overheden Nieuws van 2 augustus 2018
Google breidt Advanced Protection-programma uit naar standaard iOS-apps
Google breidt Advanced Protection-programma uit naar standaard iOS-apps Nieuws van 4 mei 2018
Google voegt melding voor tweetrapsauthenticatie toe aan Gmail voor iOS
Google voegt melding voor tweetrapsauthenticatie toe aan Gmail voor iOS Nieuws van 18 april 2018
Reddit introduceert tweetrapsauthenticatie voor accounts
Reddit introduceert tweetrapsauthenticatie voor accounts Nieuws van 25 januari 2018
Google: minder dan tien procent Gmail-gebruikers heeft tweetrapsauthenticatie
Google: minder dan tien procent Gmail-gebruikers heeft tweetrapsauthenticatie Nieuws van 18 januari 2018
Reclame Code Commissie: Google informeert niet goed met 'Uw gegevens, u beslist'
Reclame Code Commissie: Google informeert niet goed met 'Uw gegevens, u beslist' Nieuws van 21 december 2017
'Kans op toegang tot account door phishing is groter dan bij uitgelekte logins'
'Kans op toegang tot account door phishing is groter dan bij uitgelekte logins' Nieuws van 10 november 2017
Google Chrome gaat ongewenste redirects blokkeren
Google Chrome gaat ongewenste redirects blokkeren Nieuws van 8 november 2017
Google test Gmail-app voor iOS met ondersteuning voor mail van andere accounts
Google test Gmail-app voor iOS met ondersteuning voor mail van andere accounts Nieuws van 18 oktober 2017
Chrome-extensie voor ontwikkelaars bevatte kortstondig kwaadaardige code
Chrome-extensie voor ontwikkelaars bevatte kortstondig kwaadaardige code Nieuws van 3 augustus 2017
Google neemt aanvullende maatregel tegen phishing door webapps
Google neemt aanvullende maatregel tegen phishing door webapps Nieuws van 19 juli 2017
Google begint met uitfasering van sms bij tweetrapsauthenticatie
Google begint met uitfasering van sms bij tweetrapsauthenticatie Nieuws van 14 juli 2017
Google voegt Safe Browsing toe aan in-app-browser op Android
Google voegt Safe Browsing toe aan in-app-browser op Android Nieuws van 23 juni 2017
Google voert Gmail-wijzigingen door voor spamdetectie en voorkomen phishing
Google voert Gmail-wijzigingen door voor spamdetectie en voorkomen phishing Nieuws van 1 juni 2017
Google neemt maatregelen nadat phishing veel Gmail-gebruikers treft
Google neemt maatregelen nadat phishing veel Gmail-gebruikers treft Nieuws van 4 mei 2017
Google brengt Chrome-update uit die 'onzichtbare' phishingaanval voorkomt
Google brengt Chrome-update uit die 'onzichtbare' phishingaanval voorkomt Nieuws van 20 april 2017
Meer producten en artikelen
Privacy Netwerk en systeembeheer Google Gmail Security

IT-banen

Meer vacatures

Reacties (73)

-Moderatie-faq
73
71
46
5
1
12
Wijzig sortering
CH4OS
17 oktober 2017 12:34
Het is de verantwoordelijkheid van de politica of journalist om zuinig te zijn op zijn of haar informatie. Dan hoor je dat sowieso niet te parkeren in een Google-account.

En zou dus ergens nu ook de bekende discriminatie-kaart kunnen trekken. ;) Waarom journalisten en politica wel?

[Reactie gewijzigd door CH4OS op 17 oktober 2017 12:42]

Anonymoussaurus
@CH4OS17 oktober 2017 12:44
De gebruiker heeft geen keus, want natuurlijk willen ze hun account wel beveiligen, maar het probleem is, is dat ze de waarschuwing negeren. Staat zelfs in het artikel:
Datzelfde zou gelden op het gebied van de waarschuwingen die Google aan al zijn gebruikers toont. “Je moet ervoor oppassen dat mensen geen waarschuwingsmoeheid ontwikkelen. Er is nog steeds een bedroevend groot aantal personen dat onze waarschuwingen negeert.” Daarmee doelt hij bijvoorbeeld op meldingen van Safe Browsing, waaraan hij zelf heeft meegewerkt. Dat moet gebruikers voornamelijk beschermen tegen kwaadaardige websites en phishing. Somogyi: “Je ziet dat tegenwoordig bijna alle veelvoorkomende aanvallen bestaan uit social engineering.”
Ze leggen hier uit waarom ze dit doen:
Dat zou komen doordat criminelen er steeds op uit zijn om hun winst te maximaliseren en de gebruikers zelf nog altijd de zwakste schakel zijn. “Social engineering is een erg vaag en grijs gebied, waardoor we steeds nieuwe oplossingen moeten bedenken. Dat is een doorlopend proces waarbij we gebruikers betere beslissingen willen laten nemen zonder al te beschermend over te komen. Bovendien kunnen opvattingen in de loop van de tijd veranderen, kijk maar naar de oude NIST-richtlijnen over wachtwoorden of naar de beslissing om auto-updates in Chrome door te voeren, wat destijds als ketterij werd gezien.”

[Reactie gewijzigd door Anonymoussaurus op 17 oktober 2017 12:45]

CH4OS
@Anonymoussaurus17 oktober 2017 15:03
De gebruiker heeft geen keus, want natuurlijk willen ze hun account wel beveiligen, maar het probleem is, is dat ze de waarschuwing negeren.
De gebruiker heeft geen keus? Sorry, maar politica willen vaak bewust emailberichten laten doorsturen naar hun privé GMail-adres (weet ik uit eigen ervaring), zodat ze maar 1 adres hoeven bij te houden op hun mobiele apparaat. Dáár wrikt wat mij betreft de schoen al. Google haakt er op in, door een speciaal beschermingsprogramma aan te bieden voor die accounts. Het beleid zou dus eigenlijk voor de partij (van die politica) of bedrijf (waar de journalist werkt) moeten zijn dat dit soort dingen niet toegestaan zijn. Op deze wijze krijgen anderen (zoals de Amerikaanse overheid) ook toegang tot de gevoelige informatie en kan mij voorstellen dat je dat niet altijd wilt. ;)

Dus hoe dit een 'fout' is geen idee, maar dit is een bewuste veiligheidsissue, als je het mij vraagt, waar Google nu aan gaat meewerken, omdat die partijen of bedrijven geen zin hebben om hun (beleids)probleem op te lossen.

Overigens is het al eens fout gegaan in het verleden, zie bijvoorbeeld nieuws: Minister Kamp kreeg mail van ambtenaren op privé-Gmail-account - update, waarbij minister Kamp ook trapte in een phishing mail en er 20 documenten naar zijn privé Gmail waren gelekt, waaronder 1 staatsgeheim. Maar minister Kamp blijft zijn privé Gmail account voor werk gebruiken, met o.a. als onderbouwing dat het hele kabinet Gmail gebruikt voor zakelijke stukken al betreurde hij de onzorgvuldigheid wel, omdat hij niet wist dat de e-mail dienst ongeschikt is hiervoor.

[Reactie gewijzigd door CH4OS op 17 oktober 2017 17:58]

The Zep Man
@Anonymoussaurus17 oktober 2017 12:55
Dat gebruikers foutmeldingen negeren is logisch. Het is niet een onderdeel van een gebruiker's denk- en werkproces om foutmeldingen te lezen en daarop in te gaan. Sterker nog, het volgen van de melding zou ervoor zorgen dat de gebruiker niet meer kan doen wat hij wilt doen. Hij kiest dus voor het alternatief.

De oplossing? Geen verbinding toestaan en accepteren dat (goede) beveiliging onveilige processen kan hinderen. Een site niet bereikbaar via HTTPS? Dan is het gewoon niet bereikbaar. Daar hoef je geen speciale foutmelding voor te geven. De site is niet bereikbaar, en dat vertel je aan de gebruiker. Site eigenaren passen snel genoeg hun site aan als ze nog bezoekers willen.

Beveiliging werkt niet als het te afhankelijk is van de gebruiker. De tijd van de gebruiker is het meest kostbare in beveiliging, en daar moet spaarzaam mee omgegaan worden om vermoeidheid te voorkomen.

[Reactie gewijzigd door The Zep Man op 17 oktober 2017 12:55]

SpiceWorm
@The Zep Man17 oktober 2017 13:07
De meeste safe browsing meldingen zijn onterecht in mijn ervaring, dus reken maar, afhankelijk van de site / doel van het bezoek, ik deze foutmelding regelmatig negeer.

Super a-relaxed als een browser weigert te verbinden met een http site, die browser komt er dan bij mij niet meer in. Qua flash-blokkeren is het een ander verhaal maar http heeft gewoon nog een functie.
The Zep Man
@SpiceWorm17 oktober 2017 13:41
Super a-relaxed als een browser weigert te verbinden met een http site, die browser komt er dan bij mij niet meer in. Qua flash-blokkeren is het een ander verhaal maar http heeft gewoon nog een functie.
HTTP heeft gewoon nog een functie omdat browsers het ondersteunen, waardoor sommige siteboeren te lui zijn om SSL/TLS te implementeren.

Chrome zal waarschijnlijk ooit eerste zijn die geen HTTP verbindingen meer over Internet toestaat of het in ieder geval sterk ontmoedigd. De andere browsers zullen snel genoeg volgen.
alexiooo
@The Zep Man17 oktober 2017 14:52
HTTP heeft zeker nog nut voor bijvoorbeeld lokale testservers. Natuurlijk kan je dan altijd self-signen, maar wat voor nut heeft het om verkeer wat je eigen netwerk niet verlaat te beveiligen.

Verder weigert Chrome ook al langer bepaalde functies (o.a. service workers) aan websites zonder HTTPS.
Anonymoussaurus
@The Zep Man17 oktober 2017 13:02
Dat is dus ook wat ik tegen CH4OS zeg, toch? :) Maar ach, ik denk dat je mijn mening toelicht.

Ben het helemaal met je eens, en zie het ook in m'n vrienden- en kennissenkring. Ze laten al die meldingen gewoon lekker staan (ook die standaard Google-melding op google.nl, over die voorwaarde etc). Nu is het natuurlijk niet de verantwoordelijkheid van de gebruiker, maar op deze manier zorg je er wel voor dat dingen door je strot worden geduwd, en misschien is dat wel nodig bij gebruikers.

Dat kan één van de maatregelen zijn, maar dan zit je alweer gauw tegen internetcensuur aan waarbij Google bepaalt wat jij wel en niet mag. Het gevolg is dan dat iedereen moord en brand gaat schreeuwen over hoe Google alles voor jou aan het bepalen is.

[Reactie gewijzigd door Anonymoussaurus op 17 oktober 2017 13:08]

The Zep Man
@Anonymoussaurus17 oktober 2017 13:46
Dat is dus ook wat ik tegen CH4OS zeg, toch? :) Maar ach, ik denk dat je mijn mening toelicht.
Klopt. Het was een toelichting. Ik denk dat onze meningen overeenkomen.
Dat kan één van de maatregelen zijn, maar dan zit je alweer gauw tegen internetcensuur aan waarbij Google bepaalt wat jij wel en niet mag.
Google zet HTTP-only sites al lager in hun zoekresultaten.
Het gevolg is dan dat iedereen moord en brand gaat schreeuwen over hoe Google alles voor jou aan het bepalen is.
Dat doet men nu al, en dat wordt evengoed geaccepteerd want ze komen ermee weg.

Voor een SSL/TLS certificaat hoeft men niet meer te betalen dankzij Let's Encrypt. Andere certificaatboeren zullen in de toekomst wel volgen om DV certificaten gratis te maken. Ze verdienen er anders niets mee, terwijl een CA met het uitgeven van gratis DV certificaten de legitimiteit om een root CA in de browsers te hebben behoudt, om zo te voorkomen dat ze overbodig worden.

Het zal voor wrijving zorgen, maar het zijn de site eigenaren (zeker de commerciële) die snel genoeg bij zullen springen om toch maar SSL/TLS te gaan ondersteunen.

[Reactie gewijzigd door The Zep Man op 17 oktober 2017 14:25]

xiphoid
@CH4OS17 oktober 2017 13:08
Ik heb echt liever dat ze google mail gebruiken dan hun waardeloze ISP of echt nooit bijgewerkte netwerk mail server ..

Iets vaker dan dat ik wil zit ik bij kleine gemeente enzo met mail server bij een ISP/host/lokaal en het admin wachtwoord voor het beheer is altijd 1x gereset, .. en meeste logins zijn niet nodig want de mail wordt plain-text opgeslagen in archief voor 10 jaar op servers die dus 10 jaar niet een update krijgen.

Het is serieus triest in heel heel heel veel gevallen.
CH4OS
@xiphoid17 oktober 2017 13:51
Beste lijkt me nog altijd de servers van de werkgever of van de partij ervoor te gebruiken. Er zijn genoeg politica, iig op plaatselijk en nationaal niveau, die de mail van hun partij altijd laten doorsturen naar Gmail, omdat ze dan 1 mailbox hoeven bij te houden, namelijk alleen de privé mailbox. Vandaar dat ik vind dat de beveiliging van de informatie aan de persoon zelf is en niet aan Google. Dat Google dit nu biedt is dus enkel een workaround voor het werkelijke probleem van de luie politica of journalist.

[Reactie gewijzigd door CH4OS op 17 oktober 2017 16:42]

MsG
@CH4OS17 oktober 2017 16:35
Want de servers van een relatief kleine werkgever voor onze overheid zal beter beveiligd zijn dat het grote Google? Als ik kijk naar het track-record van de overheid, die bovendien veel diensten moet uitbesteden aan uurtje-factuurtje-marktpartijen, heb ik toch echt liever dat men bij Gmail zit. Microsoft heeft succesvol aangevochten dat de Amerikaanse inlichtingendiensten niet zondermeer bij data mogen die in het buitenland zijn opgeslagen. Indien je dat alsnog niet vertrouwd zie ik niet in wat een lokale webdienst veiliger zou maken dan een Google waarbij veel meer op het spel staat wat betreft vertrouwen omtrent de maildienst.
CH4OS
@MsG17 oktober 2017 16:42
Want de servers van een relatief kleine werkgever voor onze overheid zal beter beveiligd zijn dat het grote Google?
Ik mag hopen dat een overheid, zoals van een ministerie, geen kleine server omgeving heeft voor de e-mail omgeving. En los van dat, mag ik wel hopen dat men een security policy heeft en zakelijke e-mails (zoals bij een politieke partij) zoveel als mogelijk binnenshuis blijven eni niet doorgestuurd mógen worden naar privé e-mailadressen waar dan ook.
Als ik kijk naar het track-record van de overheid, die bovendien veel diensten moet uitbesteden aan uurtje-factuurtje-marktpartijen, heb ik toch echt liever dat men bij Gmail zit.
Een grote overheidsomgeving zoals een ministerie van Economische zaken heeft allicht project medewerkers ingehuurd voor projecten en heeft eigen beheerders in dienst voor een de eigen bestaande ICT omgeving. Dat laten doen of stallen bij Google / Alphabet moet je ook echt geen voorstander van willen zijn. Om het minste of geringste kan de Amerikaanse overheid namelijk servers in beslag nemen, ook bij Google en alle data die daarop staat inzien. Maar goed, als jij liever staatsgeheimen deelt met anderen, prima hoor. ;)
Microsoft heeft succesvol aangevochten dat de Amerikaanse inlichtingendiensten niet zondermeer bij data mogen die in het buitenland zijn opgeslagen.
Waar Microsoft ook best moeite voor heeft moeten doen; O.a. zijn de servers eigendom van een apart dochterbedrijf in het land waar die servers in een datacenter staan en dergelijken. Google heeft dat (zover bij mij bekend) niet en kan de Amerikaanse overheid dus 'gewoon' beslag op de data leggen wanneer zij dat nodig achten.
MsG
@CH4OS17 oktober 2017 16:47
Je hoopt de hele tijd dingen omtrent de voorzieningen bij de overheid, maar het is enkel gebouwd op aannames. Noem eens inhoudelijke redenen waarom een in-house server voor de Tweede Kamer inherent veiliger is? Die mis ik compleet in al je reacties. Je lijkt vooral in te spelen op de typische Google-angst hier. Als er daadwerkelijk zoveel mogelijk is vanuit de inlichtingendiensten is ook echt die lokale Tweede Kamer-server niet veilig en hiermee de digitale staatsgeheimen vermoedelijk ook niet. De kans dat de expertise bij die detacheerder die dat regelt (bijna alles is een openbare aanbesteding, waarbij de goedkoopste toko vaak wint) beter is dan een van de marktleiders van webprotocollen en beveiligingen acht ik zelf in elk geval zeer gering.

[Reactie gewijzigd door MsG op 17 oktober 2017 16:48]

batjes
@MsG17 oktober 2017 19:12
Het gaat niet eens zo zeer om veiligheid. Je wilt vertrouwlijke overheidsinformatie toch niet in handen van een buitenlands bedrijf hebben?!?!

Onze overheid kan best een veilig email omgeving inhouse opzetten.
MsG
@batjes17 oktober 2017 19:18
En hoe wordt dan wèl gewaarborgd dat het in enkel Nederlandse handen blijft? Inderdaad, dat kunnen we helemaal niet waarborgen.
batjes
@MsG17 oktober 2017 19:22
Dat is met beheer over je eigen systemen en netwerk een stuk makkelijker te controleren en waarborgen, dan de boel bij default maar bij gmail te hosten.

Als een Google of MS bereidt zou zijn een zelfde soort setup hier in Nederland neer te zetten zoals ze in Duitsland gedaan hebben, zou al schelen.

Maar zoals nu, dat alles maar doorgestuurd wordt naar prive email adressen... zo verschikkelijk fout.
CH4OS
@MsG17 oktober 2017 16:54
Je hoopt de hele tijd dingen omtrent de voorzieningen bij de overheid, maar het is enkel gebouwd op aannames.
Ik heb zelf jarenlang bij een gemeente gewerkt. De berichtgeving van minister Kamp uit een eerdere post van mij, verbaasde mij dan ook totaal niets.
Noem eens inhoudelijke redenen waarom een in-house server voor de Tweede Kamer inherent veiliger is?
Je verward nu beveiliging met beveiligingsbeleid. Als men bewuster omgaat met informatie te delen via e-mail, zou dat echt al een hoop schelen. Maar ja, het is nu eenmaal makkelijker om iemand een e-mail te sturen met bestand er kant en klaar in, dan een verwijzing naar waar het bestand op het netwerk te vinden is. ;) Jezelf naar binnen hacken kan altijd, of dat via e-mail of het bestandssysteem is, dat maakt natuurlijk niets uit, maar kan wel voorkomen worden, als mensen meer gaan nadenken over wát zij wel (of niet) versturen via bijvoorbeeld e-mail.
Je lijkt vooral in te spelen op de typische Google-angst hier.
Dan haal je overduidelijk dingen door elkaar. Ik heb het namelijk nergens over een Google angst. De Wet in Amerika geeft een overheid namelijk toegang tot data als er verdenking is van verschillende vormen van strafbare feiten, ik mag hopen dat ik die ook niet uit hoef te schrijven voor je. :)
Als er daadwerkelijk zoveel mogelijk is vanuit de inlichtingendiensten is ook echt die lokale Tweede Kamer-server niet veilig. De kans dat de expertise bij die detacheerder die dat regelt (bijna alles is een openbare aanbesteding, waarbij de goedkoopste toko vaak wint) beter is dan een van de marktleiders van webprotocollen en beveiligingen acht ik zelf in elk geval zeer gering.
Daarom is bewustwording van informatiebeveiliging ook zo belangrijk, maar helaas denken velen daar liever te makkelijk over. Waarom moet alles via e-mail verzonden worden? Gelukkig is het tegenwoordig tussen de mailservers via TLS versleuteld, maar wat er allemaal op de servers zelf gebeurd na het ontvangen is totaal onduidelijk, maar nogmaals, als jij liever staatsgeheimen aan een dergelijke server toevertrouwd waar je totaal geen zeggenschap laat staan beheer over hebt, moet je dat helemaal zelf weten.

[Reactie gewijzigd door CH4OS op 17 oktober 2017 16:56]

MsG
@CH4OS17 oktober 2017 17:01
als jij liever staatsgeheimen aan een dergelijke server toevertrouwd waar je totaal geen zeggenschap laat staan beheer over hebt, moet je dat helemaal zelf weten.
Als er dus inderdaad geen fundamenteel verschil is, en het net zo onveilig blijft, mis ik het verschil.

Ik heb even bij een lokale gemeente gezeten, en kortweg is mijn samenvatting omtrent de publieke sector "men doet maar wat". Zolang men op IT-gebied nog het verstand heeft van een fruitvlieg, lopen er dagelijks duizenden zwakke schakels rond en zal een eventuele cloud- of inhouse-beheer afweging nog wel de minste zorg zijn. Ik mag hopen dat de Amerikaanse overheid en inlichtingendiensten niet van een dusdanig laag niveau zijn dat een in-house door Capgemini geleverd servertje een daadwerkelijke bottleneck zou zijn in het vergaren van informatie die de Amerikanen eventueel over ons zou willen hebben.
Anoniem: 855731
@CH4OS17 oktober 2017 13:24
In sommige landen zijn de alternatieven in handen van de overheid. Dan is gmail (en varianten) de enige optie.
CH4OS
@Anoniem: 85573117 oktober 2017 13:53
De Amerikaanse overheid kan zichzelf ook prima toegang verschaffen tot de servers van Google, hebben zij (helaas) al genoeg middelen voor en kunnen dus zonder medeweten van de politica zomaar staatsgeheimen bekend worden in Amerika. Vind ik althans geen fijne gedachte.

[Reactie gewijzigd door CH4OS op 17 oktober 2017 13:54]

dakathefox
@CH4OS17 oktober 2017 14:02
En jij denkt dat de Amerikaanse overheid dat niet kan bij je eigen Plesk servertje of je account bij Hostgator?
CH4OS
@dakathefox17 oktober 2017 16:59
En jij denkt dat de Amerikaanse overheid dat niet kan bij je eigen Plesk servertje of je account bij Hostgator?
Ik mag hopen dat overheidsinstellingen en journalistieke bedrijven wel iets meer hebben staan dan een Plesk-servertje of accountje bij Hostgator voor hun e-mail omgeving in een datacenter in Nederland of inpandig eigen rackspace. ;)

[Reactie gewijzigd door CH4OS op 17 oktober 2017 17:00]

dakathefox
@CH4OS17 oktober 2017 17:01
Vaak staat er een Microsoft Exchange omgeving, ingericht door Henk van de afdeling IT. Dat geeft vertrouwen.
CH4OS
@dakathefox17 oktober 2017 17:04
Vaak staat er een Microsoft Exchange omgeving, ingericht door Henk van de afdeling IT. Dat geeft vertrouwen.
Wie de server ingericht heeft maakt natuurlijk niet uit, het gaat om de manier waarop. In de loop der jaren zal zo'n machine echt wel meer dan eens vervangen zijn intussen en heeft men ook mogelijkheden om Microsoft te contacteren voor support. Overigens heeft Microsoft ook best practice guides voor het installeren van Exchange binnen diverse omgevingen.
dakathefox
@CH4OS17 oktober 2017 17:06
Of het nou Henk of Mohammed is... Het maakt niet zoveel uit. Die gasten van de afdeling IT richten eens in de drie-vier jaar een mailserver in. Als je het dan hebt over 'de manier waarop' dan maak ik me daar serieus wel eens zorgen om.
dakathefox
@CH4OS17 oktober 2017 13:55
Het is de verantwoordelijkheid van de politica of journalist om zuinig te zijn op zijn of haar informatie. Dan hoor je dat sowieso niet te parkeren in een Google-account.
Waarom zou je die informatie niet in een Google account kunnen zetten?
MsG
@CH4OS17 oktober 2017 16:26
Zo te zien hou je niet van artikelen lezen, maar vind je reageren op de titel leuker? Welkom, je past helemaal in de tijdgeest van vandaag.

Politici of journalisten zijn regelmatig extra doelwit geweest en zijn mogelijk kwetsbaarder dan gewone stervelingen, daarom worden deze specifiek als voorbeeld genoemd. Je wordt echter nergens beperkt vanuit Google om je ook als gewone burger aan te melden. Dus ik mis de discriminatie waar je over spreekt.
CH4OS
@MsG17 oktober 2017 16:28
Voel je vrij om CH4OS in 'nieuws: Google introduceert beschermingsprogramma voor gevoelige ac... ook even door te nemen, dan begrijp je mijn standpunt allicht wat beter en hoef je voortaan niet direct op de man te spelen, iets wat ook helemaal past in de tijdsgeest van vandaag. ;)

[Reactie gewijzigd door CH4OS op 17 oktober 2017 16:29]

Horrorist618
17 oktober 2017 12:34
Ik zou graag nog steeds een normale 2FA TOTP mogelijkheid willen zien bij Google (en nog wat andere diensten) zonder de verplichting van een GSM nummer te moeten koppelen aan het account.
CH4OS
@Horrorist61817 oktober 2017 12:44
Je kunt dat volgens mij tegenwoordig? De sms verificatie is weg, tegenwoordig kun je met een ander apparaat een login toestaan. Als ik dus ergens inlog kan ik vanaf tabket of mobiel de login bevestigen.
Horrorist618
@CH4OS17 oktober 2017 12:52
Nee, helaas nog steeds niet. Als ik 2FA wil aanzetten wordt mij om mijn telefoonnummer gevraagd en hoe ik de codes wil ontvangen (via een bericht of oproep), deze stap is niet over te slaan.
marcov1991
@Horrorist61817 oktober 2017 16:09
Er is een workaround voor. Wij hebben hier een dumbphone liggen met een simkaart. Als je 2FA eenmaal hebt ingesteld met een telefoonnummer kan je vervolgens andere methodes koppelen (YubiKey, TOTP, static codes etc.). Daarna kan je het telefoon nummer weer weggooien en houd je alleen de andere methode(s) over.
djiwie
@Horrorist61817 oktober 2017 16:20
Waarom wil je geen telefoonnummer opgeven? Bang dat Google je opbelt?

Google heeft toegang tot je webactiviteiten (adsense, analytics, zoekmachine), je mail, gedownloade apps en nog wel meer. Van alles wat Google (theoretisch) zou kunnen zien lijkt me je telefoonnummer nog wel het minst vervelende.

Dat Google mijn telefoonnummer heeft voor account recovery vind ik eerlijk gezegd zwaar opwegen tegen het risico dat iemand anders mijn account kraakt.
Anonymoussaurus
@CH4OS17 oktober 2017 12:53
Je kunt er inderdaad voor kiezen om op je toestel een pop-up te laten weergeven in plaats van SMS. Dat kan je hier instellen: https://myaccount.google....gDkDhvWYVFL8PC7qvLXy21kXw

@Horrorist618

Ik zie dat je inderdaad daarvoor je telefoonnummer moet toevoegen. Maar ach, ik zie het probleem niet. Als je een Google-account hebt, hebben ze toch je telefoonnummer al, ga daar maar van uit.

[Reactie gewijzigd door Anonymoussaurus op 17 oktober 2017 12:54]

Anoniem: 890159
@Anonymoussaurus17 oktober 2017 12:59
Waarom? Ik heb een Google account op een oud toestel waar geen contacten in staan; dat gebruik ik om betaalde apk's te kunnen kopen die ik dan naar mijn dagelijkse toestellen overzet. Mijn echte telefoonnummer staat niet op dat toestel. Maar goed, ik gebruik gmail dan ook bijna alleen voor Google en soms om wat registratiemails te ontvangen.
GORby
@Anoniem: 89015917 oktober 2017 14:42
En wat houdt je dan tegen om dat telefoonnummer op te geven, als je per sé 2FA wil instellen? Ik neem aan dat je er wel een SIM kaart in hebt, aangezien je zegt dat je 'echte' nummer niet op dat toestel staan, dus heeft die toch ook een nummer?
JustFogMaxi
@Anoniem: 89015917 oktober 2017 14:44
Lekker krom allemaal, en dan verwacht je wel dat het allemaal werkt zoals jij wilt?
Anoniem: 890159
@JustFogMaxi17 oktober 2017 14:54
Ja, dat werkt prima. Mara ik heb en wil dan ook geen 2FA op gmail.
teek2
@Horrorist61817 oktober 2017 13:15
https://play.google.com/s...droid.apps.authenticator2
dakathefox
@Horrorist61817 oktober 2017 14:00
2FA TOTP is gewoon mogelijk bij Google. Ik gebruik het in ieder geval al geruime tijd. Ik heb wel een telefoonnummer moeten koppelen, maar dat kan natuurlijk ook gewoon je vaste nummer zijn. Dat er een nummer aan gekoppeld is, vind ik overigens niet meer dan logisch.
The Zep Man
@dakathefox17 oktober 2017 14:28
Dat er een nummer aan gekoppeld is, vind ik overigens niet meer dan logisch.
Voor TOTP hoeft er geen nummer gekoppeld te worden. Zie bijvoorbeeld de implementatie in Nextcloud.

In plaats van een nummer kan Google ook vereisen dat je ergens anders een emailadres hebt voor account recovery.
dakathefox
@The Zep Man17 oktober 2017 17:05
Het is natuurlijk gewoon een keuze. Ik zie er het punt niet van in, maar laat me graag overtuigen door jouw eventuele bezwaren.
Slavy
17 oktober 2017 12:34
“We kunnen altijd dingen beter doen en niet alles is ook daadwerkelijk geschikt voor al onze gebruikers. We moeten uitzoeken op welke plaatsen we dingen makkelijker kunnen maken.”
Misschien door dit probleem te verhelpen? :+
Google verwijst gebruikers op het moment van schrijven via de Nederlandstalige pagina door naar Amazon voor een aanschaf, maar die levert de bluetoothsleutel niet naar de Benelux.
David Mulder
@Slavy17 oktober 2017 12:50
Het is redelijk generieke hardware die je nodig hebt, dus die link richting amazon zou ik eerder zien als een usability-bonus feature dan een core feature. Praktisch gezien zullen de meeste mensen die dit instellen er hulp bij krijgen terwijl ze dit doen.

Ben in ieder geval erg blij te zien dat dit een open programma is voor iedereen :D .

[Reactie gewijzigd door David Mulder op 17 oktober 2017 12:51]

djiwie
@David Mulder17 oktober 2017 16:21
Precies, je kunt gewoon een FIDO U2F kopen van welke leverancier dan ook (heb er zelf een van Yubikey, zo'n blauwe).
teek2
17 oktober 2017 12:53
Het hangt er nogal vanaf of je bang bent voor hackers of de NSA. Ja de NSA kan waarschijnlijk bij Google accounts via allerlei manieren (door kabels op te graven bijvoorbeeld al werkt Google dat alweer tegen), en misschien makkelijker omdat het een bedrijf uit de VS is. Maar qua hackers is Google echt wel een bedrijf wat zijn mannetje staat, meer dan Webreus.nl ofzo. En bijv transip heeft pas ssl/tls op smtp ingevoerd in 2015 (beter laat dan nooit), daarvoor ging al je email plain text de wereld rond. Dan kan je wel denken dat je bij een betrouwbaar Nederlands bedrijf zit maar je moet goed bedenken waar je veilig voor wilt zijn en of je aannames kloppen. Wat dat betreft heeft Google gelijk, het is lastig uit te leggen.

[Reactie gewijzigd door teek2 op 17 oktober 2017 12:54]

SSDtje
17 oktober 2017 13:56
"Google heeft een zogenaamd Advanced Protection Program geïntroduceerd, waarmee gevoelige accounts van bijvoorbeeld politici of journalisten beter beschermd kunnen worden."
Prima ontwikkeling naar mijn idee, al kan ik me in de reactie van @CH4OS ook wel vinden.
Dat dit soort mensen gewoon zelf extra zuinig horen te zijn op zijn of haar informatie, en dit soort informatie dus niet even bij Google horen te parkeren, en vervolgens dan te gaan denken dat het wel goed zit.
Zorg gewoon dat je een goed wachtwoord op je account hebt.
Zo ja, dan wens ik ze veel succes met het achterhalen van zo'n wachtwoord.
Maar goed.
nl03228
17 oktober 2017 14:09
in hoeverre verschilt dit van 2FA ?

is dit iets wat nadat je account is gehackt moet/kan worden gebruikt ?
dakathefox
17 oktober 2017 16:55
Op zich goed natuurlijk, al vind ik de standaard beveiligingsmaatregelen voor Gmail-accounts al behoorlijk uitgebreid. Dat begint al met meldingen in je browser op het moment dat je je probeert aan te melden vanaf een afwijkende locatie. Wie vervolgens gebruik maakt van 2FA is in staat om daar weer een extra laag van beveiliging overheen te leggen, maar wie écht meer zekerheid wil moet een hardwaresleutel kopen.

Kom daar maar eens aan met je eigen Plesk servertje die je host bij TransIP.
mocean
17 oktober 2017 13:12
"Ook kunnen gebruikers alleen nog de Chrome-browser voor apps als Gmail of Photos gebruiken en krijgen standaard iOS-apps geen toegang meer tot Gmail, de agenda en contacten op het mobiele besturingssysteem"

Dat noem ik geen beveiliging, als het alleen (goed) werkt op je eigen browser!
dakathefox
@mocean17 oktober 2017 14:19
Ook dat is natuurlijk gewoon een vorm van beveiliging.
jangel
@dakathefox17 oktober 2017 15:16
Het is uiteraard een vorm van beveiliging. Maar ik ben het verder met mocean en CivLord eens. Het is gebruikers pushen om gebruik te maken van de Chrome-browser, welke bovendien niet voor iedereen op elke locatie toegankelijk is. Ik heb een tijd in de Tweede Kamer gewerkt en daar gebruikte iedereen Internet Explorer. Firefox en Chrome waren beschikbaar op aanvraag, maar daarvoor moest eerst toestemming gevraagd worden bij de daarvoor aangewezen persoon. Die snapte vaak de noodzaak niet van een andere browser.

Ik denk daarom juist dat het goed zou zijn om gebruikers niet te dwingen om gebruik te maken van de Chrome-browser, puur vanwege de beschikbaarheid. Daarnaast vraag ik mij af of het alleen toestaan van de Chrome-browser daadwerkelijk zoveel toevoegt op het gebied van veiligheid. Inloggen op een onveilige browser, kan je ook gebeuren wanneer je inlogt op een verouderde variant van Chrome of een versie waar aan "geknutseld" is.
CivLord
@dakathefox17 oktober 2017 14:51
Nee, dat is het dwingen van je gebruikers om all-in Google te gaan wanneer ze een beetje extra veiligheid willen hebben.
Waarom zou de toegang tot Gmail en Photos niet veilig via andere browsers kunnen verlopen?
Je zou zelfs kunnen stellen dat het voor bepaalde gebruikers in risicogebieden tot een onveiliger situatie zal leiden wanneer ze niet langer via Torbrowser gebruik van Gmail kunnen maken.
SSDtje
17 oktober 2017 13:59
Excuus, men tel zat even wat raar te doen.
Iets met een verkeerde token, waana ik de reactie iets aanpas, en vervolgens probeer te plaatsen, waarna die er plot dubbel staat.
heb ik weer hoor :/

[Reactie gewijzigd door SSDtje op 17 oktober 2017 14:06]

dakathefox
@SSDtje17 oktober 2017 14:19
Ik had het ook hoor.
SSDtje
@dakathefox17 oktober 2017 14:50
Dan ben ik gelukkig niet de enige.
Maar heb dit al wel eens eerder mee gemaakt, maar dat maakte toen niet, dat een reactie achteraf ook dubbel geplaatst bleek te zijn.
Maar goed, shit happens.
paul54
17 oktober 2017 14:44
Soort koppelverkoop van Google om hun Chrome app en Android OS te promoten.
Doe mij maar ProtonMail ;-)
Anoniem: 312839
@paul5417 oktober 2017 19:50
Helaas heeft Protonmail niet bijzonder veel meerwaarde als de ontvanger Gmail heeft.
1 2

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee