Google heeft nieuwe beveiligingsfuncties geïntroduceerd die zijn ontworpen om accountherstel eenvoudiger en veiliger te maken, waaronder een nieuw systeem voor ‘Recovery Contacts’ waarmee gebruikers vertrouwde vrienden of familie kunnen inschakelen om weer toegang te krijgen als ze zijn buitengesloten. De update pakt een al lang bestaand pijnpunt voor gebruikers aan: het vaak frustrerende en langdurige proces van het herstellen van gehackte of verloren accounts.
Nieuwe herstelopties: meer dan alleen wachtwoorden
De kern van de update is de functie Herstelcontacten, die op dezelfde manier functioneert als de levenslijn “Telefoon een vriend” op Who Wants to Be a Millionaire?. Gebruikers wijzen een beperkt aantal vertrouwde personen aan die hun identiteit kunnen verifiëren en toegang kunnen verlenen tot het account. Dit systeem is geen vervanging voor traditionele methoden zoals herstel-e-mailadressen of telefoonnummers, maar een extra beveiligingslaag.
Het proces omvat het verzenden van een uitnodiging naar de gekozen contactpersoon, die deze vervolgens moet accepteren. Als het account is gehackt, ziet de gebruiker een optie om hulp te vragen aan zijn contactpersoon, die een verificatieprompt op zijn apparaat ontvangt. Na verificatie kan de gebruiker weer toegang krijgen en de inloggegevens opnieuw instellen. Google benadrukt dat herstelcontacten accounts niet eenzijdig kunnen overnemen en dat de voorzorgsmaatregelen onder meer tijdsvertragingen en beveiligingsmeldingen omvatten.
Privacyproblemen aanpakken
Hoewel handig, roept de functie Herstelcontacten privacyvragen op. Google beschikt nu over meer gegevens over de sociale connecties van gebruikers, die kunnen worden misbruikt. Het bedrijf houdt vol dat deze informatie alleen voor veiligheidsdoeleinden zal worden gebruikt, maar experts zoals CNET-hoofdredacteur Lori Grunin wijzen erop dat dit Google’s web van associaties tussen individuen uitbreidt.
“Aan de ene kant is Recovery Contacts een heel goed idee,” zei Grunin. “Aan de andere kant helpt het Google een web van associaties tussen mensen op te bouwen die het anders misschien niet zou hebben en dat mogelijk misbruikt kan worden.”
Beyond Friends: telefoonnummerherstel en berichtbeveiliging
De beveiligingsrevisie van Google gaat verder dan de functie Herstelcontacten. Gebruikers kunnen nu hun telefoonnummer gebruiken als herstelmethode en het bedrijf versterkt de beveiliging binnen Google Berichten. Een nieuw systeem voor het controleren van links waarschuwt gebruikers als inkomende links als spam worden gemarkeerd, terwijl de tool “Key Verifier” QR-codes gebruikt om contacten binnen de berichten-app te authenticeren.
Deze maatregelen zijn van cruciaal belang omdat oplichters vaak sms-berichten misbruiken om slachtoffers te misleiden. Volgens Lance Spitzner, directeur van SANS Workforce Cybersecurity Training, kan de nieuwe link-vetting-functie van Google phishing-aanvallen blokkeren voordat ze slagen.
Menselijk vertrouwen als nieuw aanvalsoppervlak
Beveiligingsexperts waarschuwen dat elk systeem dat afhankelijk is van menselijk vertrouwen kwetsbaar is voor social engineering. Aaron Rose, beveiligingsarchitectmanager bij Check Point Software, merkt op dat kwaadwillende actoren vertrouwde contacten kunnen manipuleren om toegang te krijgen.
“Elk systeem dat afhankelijk is van menselijk vertrouwen (zoals het aanwijzen van herstelcontacten) kan sociaal worden ontwikkeld”, zegt Rose. “We hebben soortgelijke tactieken gezien bij compromitteringsschema’s voor zakelijke e-mail, waarbij emotionele manipulatie, en niet technologie, het toegangspunt is.”
Google zegt dat het ingebouwde waarborgen heeft om misbruik te voorkomen, waaronder het beperken van het aantal herstelcontacten en het vereisen van meerdere verificaties. Het bedrijf benadrukt ook dat het nooit via de telefoon om persoonlijke informatie zal vragen.
Uiteindelijk vertegenwoordigen de uitgebreide beveiligingsfuncties van Google een stap voorwaarts in het beschermen van gebruikersaccounts, maar ze zijn niet onfeilbaar. De meest effectieve verdediging blijft een combinatie van sterke wachtwoorden, tweefactorauthenticatie en een gezonde dosis scepsis.
