Met ingang van november 2021 is Google begonnen met de verdere uitrol van tweestapsverificatie voor naar schatting 150 miljoen accounts waarvoor geldt dat tweestapsverificatie nog niet is ingeschakeld, maar waar de opties voor toegangsherstel wel al zijn ingevuld in de accountgegevens. Over een mail van Google die sinds deze maand rondgaat, kregen we dan ook de nodige vragen. Heb jij tweestapsverificatie nog niet ingeschakeld? Dan heeft deze wijziging enkele gevolgen voor de wijze waarop je voortaan gebruik maakt van diensten als Gmail en YouTube. Wat moet je weten?

Onder het merk Google vallen talloze diensten, waarvan sommigen zeer populair zijn en door een enorm aantal mensen worden gebruikt. Anderen hebben daarentegen weer een iets specifiekere doelgroep.

Denk wat de populaire diensten betreft aan de zoekmachine zelf, maar ook aan diensten als Gmail, YouTube, Google Maps en de Google Play Store. Iets specifieker – en wellicht minder populair of bekend – zijn diensten als Google Analytics, Google News, Google+ en Google My Business, om er eens een paar te noemen.

Grote kans dat jij gebruik maakt van minstens één van deze diensten, en in dat geval heb je vast een Google-account, want via dat account kun je vervolgens toegang krijgen voor de Google-diensten waarvoor geldt dat je daadwerkelijk in moet loggen om van een bepaalde dienst gebruik te kunnen maken. Anders gezegd: je logt niet zozeer in bij 'Gmail' als losse entiteit, maar je logt in bij Google en kunt vervolgens door naar jouw Gmail-account.

De wijziging op het vlak van tweestapsverificatie heeft te maken met hoe je je Google-account beter kunt beveiligen. En omdat dat met name relevant is voor zaken als Gmail en YouTube, zullen we ons hiertoe beperken: om de zoekmachine Google te gebruiken of om een route via Google Maps op te zoeken, is immers geen Google-account nodig.

Wat is tweestapsverificatie eigenlijk?

Tweestapsverificatie kun je beschouwen als een extra beveiligingslaag die ervoor zorgt dat je soms aanvullende stappen moet nemen om toegang tot bepaalde accounts te krijgen. Feitelijk is het een aanvullende controle die wordt toegepast om te verifiëren of jij ook echt degene bent die gemachtigd is om toegang tot een account te krijgen. 

Even concreet: wil je inloggen bij Gmail, dan volstaat voor gebruikers die geen tweestapsverificatie hebben ingeschakeld de combinatie van de gebruikersnaam (oftewel het e-mailadres) en het wachtwoord. Beschik je over beiden? Dan kun je gewoon inloggen, en is er in principe niks aan de hand.

Er is echter een 'maar'. Als jouw wachtwoord ooit op straat is beland na een datalek (veel mensen gebruiken immers hetzelfde wachtwoord op meerdere plaatsen), dan kunnen in theorie ook kwaadwillende derden die over deze informatie beschikken een kijkje nemen in je mailbox, en dat wil je uiteraard niet.

Overigens goed om te weten: hoe strikt tweestapsverificatie wordt toegepast, verschilt. Bij bepaalde applicaties is dat uit veiligheidsoverwegingen zo geregeld dat je dat elke inlogpoging apart moet bevestigen, in het geval van Google volstaat het om per apparaat éénmalig een inlogpoging te bevestigen.

Herhaalverzoeken krijg je bij Google alleen als je vanaf een onbekend apparaat of een nieuw IP-adres inlogt of als je al je cookies hebt verwijderd.

Hoe schakel je herstelmogelijkheden in voor een Google-account?

Voordat we verder gaan, is het allereerst handig dat je nog een aanvullende handeling verricht, en dat betreft het instellen van de herstelmogelijkheden voor het geval je de algehele toegang tot je Google-account verliest. In je Google-account moet je daarvoor in het tabblad Beveiliging even naar de optie 'Manieren waarop we kunnen controleren dat jij het bent' bladeren.

Daar kun je vervolgens een telefoonnummer voor herstel en een herstelmailadres opgeven, voor zover je dat nog niet gedaan hebt. Zo kun je via een alternatief telefoonnummer of een alternatief mailadres tóch de toegang tot je Google-account herstellen als je de toegang om wat voor reden dan ook verliest.

De instructies spreken verder voor zich en het scherm waar je moet zijn, ziet er als volgt uit:

Telefoonnummer voor herstel of een herstelmailadres opgeven

Hoe schakel je tweestapsverificatie in voor een Google-account?

En dan over naar de tweestapsverificatie. Geen pottenkijkers in de mailbox, voor dergelijke doeleinden kan tweestapsverificatie dus uitkomst bieden, en daar heeft Google de volgende pagina met informatie over online gezet. Google stelt voor verificatie in twee stappen daarnaast het volgende stappenplan beschikbaar:

  • Open je Google-account;
  • Klik in het navigatievenster op Beveiliging;
  • Selecteer onder Inloggen bij Google de optie Verificatie in 2 stappen en dan Aan de slag;
  • Volg de stappen op het scherm

Wil je naar aanleiding van de eerder besproken mail van Google actie ondernemen en tweestapsverificatie inschakelen? Dan moet je je telefoon bij de hand houden en een aantal stappen volgen, stelt Google: 'Nadat je verificatie in twee stappen hebt ingeschakeld, moet je met een tweede stap verifiëren dat jij het bent als je inlogt. Ter bescherming van je account vraagt Google je een specifieke tweede stap uit te voeren.'

De stappen zijn concreet als volgt:

  • Ga naar Verificatie in 2 stappen en ga verder;
  • Kies de optie Aan de slag;
  • Geef je wachtwoord op en ga verder;
  • Geef je telefoonnummer op en kies of je de bevestigingscode per sms of per oproep wenst te ontvangen;
  • Vul de bevestigingscode in. Let op: per sms krijg je een code die bestaat uit G-[XXXXXX], waarbij op de plaats van de kruisjes een combinatie van zes getallen verschijnt. Je moet alleen de zes getallen invoeren, het stukje 'G-' kun je overslaan;
  • Zet verificatie in twee stappen aan

En omdat het één en ander een stuk duidelijker wordt aan de hand van afbeeldingen, laten we hieronder hieronder per stap zien hoe het werkt.

Tweestapsverificatie inschakelen voor een Google-account

Hoe werkt inloggen na het inschakelen van de tweestapsverificatie?

Je kunt ervoor kiezen om elke nieuwe of onbekende inlogpoging te verifiëren via een spraakbericht of een sms, min of meer in het verlengde van wat je in de stappen hierboven hebt moeten doen. Maar er is een eenvoudigere methode. Google raadt bijvoorbeeld het gebruik van zogenaamde 'prompts' aan.

Een prompt is vergelijkbaar met een pushbericht en is voor de meeste gebruikers waarschijnlijk de snelste, meest efficiënte methode om een inlogpoging vanaf een nieuw apparaat te bevestigen of af te wijzen. Daarover stelt Google het volgende:

info

Informatie van Google over de werking van Google-prompts

We raden je aan in te loggen met Google-prompts. Op een prompt tikken is gemakkelijker dan een verificatiecode opgeven. Prompts kunnen ook bescherming bieden tegen simswaps en andere hacks op basis van telefoonnummers.

 

Google-prompts zijn pushmeldingen die je ontvangt op:

 

 

Afhankelijk van de apparaat- en locatiegegevens in de melding kun je het volgende doen:

 

  • Tik op Ja om de inlogpoging toe te staan als deze van jou was.
  • Tik op Nee om de inlogpoging te blokkeren als deze niet van jou was.

Als je tweestapsverificatie hebt ingeschakeld en je bij Google probeert in te loggen via de browser, krijg je na het invoeren van je wachtwoord op je scherm eerst een mededeling dat je de inlogpoging via je telefoon moet bevestigen. Deze zogenaamde 'prompt' verschijnt op je telefoonscherm en de afhandeling daarvan heb je vervolgens in een handomdraai geregeld.

Uiteraard kunnen we ook dat laten zien, deze handeling gaat namelijk als volgt in zijn werk.

Google-prompts: inlogpoging bevestigen via je telefoon

Zijn er nog andere methoden om een inlogpoging te bevestigen via tweestapsverificatie?

Ja, die zijn er. Behalve de prompt en de optie waarbij je een bevestiging kunt gevan na het ontvangen van een sms of het spraakbericht, zijn er de volgende opties.

Je kunt ook al deze opties benaderen via je Google-account, waar je vervolgens het tabblad Beveiliging kiest en dan verder gaat in het keuzemenu onder de optie Verificatie in 2 stappen, net als hierboven het geval was.

  • Back-up codes. Deze codes genereer je éénmalig en bewaar je in fysieke vorm (een printje) bijvoorbeeld op een beveiligde, maar toegankelijke plaats;
  • De Google Authenticator-app. Deze app functioneert ook als je geen internetverbinding hebt, en kan in dat geval uitkomst bieden. Beschikbaar voor Android en iPhone (iOS);
  • Het toevoegen van een back-up telefoon (mocht je je eigen exemplaar verliezen);
  • Een beveiligingssleutel, volgens Google 'een verificatiemethode waarmee je veilig kunt inloggen. Deze kan zijn ingebouwd in je telefoon, bluetooth gebruiken of rechtstreeks op de USB-poort van je computer worden aangesloten'

Deze stappen wijzen zich eigenlijk vanzelf als je deze opties wenst in te schakelen: volg eenvoudigweg de instructies op je scherm en je komt er wel uit.