Het is mogelijk toch een toegangs- of verificatiecode via e-mail in te stellen

Het rechtstreeks instellen van een toegangs- of verificatiecode via e-mail als alternatief voor 2FA is niet standaard mogelijk in Google Workspace, omdat Google deze methode als minder veilig beschouwt.

Beheerders kunnen echter alternatieven configureren of third-party oplossingen gebruiken om toegangscodes via e-mail te implementeren.

Hieronder worden enkele mogelijke benaderingen toegelicht:

1. Aangepaste beleidsregels in Google Workspace

Google Workspace ondersteunt standaard geen verificatiecodes via e-mail, maar beheerders kunnen minder strikte beleidsregels toepassen, zoals:

  • 2FA Uitzonderingen inschakelen:

    • Ga naar de Google Admin Console > Beveiliging > Authenticatie.
    • Maak een uitzondering voor specifieke gebruikersgroepen of accounts die geen toegang hebben tot standaard 2FA-methoden.
    • Schakel bijvoorbeeld back-upcodes of herstelopties in (telefoon of e-mailherstel).
  • Herstelopties configureren:

    • Voeg een secundair e-mailadres toe voor noodgevallen. Hier kunnen waarschuwingen of herstel-e-mails worden verzonden.

2. Third-party IAM-oplossingen

Er zijn externe Identity and Access Management (IAM)-oplossingen die Google Workspace integreren en codes via e-mail kunnen sturen. Enkele populaire opties zijn:

  • Okta, OneLogin of JumpCloud:

    • Deze platforms ondersteunen e-mailverificatie als een alternatieve MFA-methode.
    • Configureren kan via Single Sign-On (SSO) voor Google Workspace.
  • Custom OAuth-scripts of add-ons:

    • Met een aangepaste OAuth-configuratie kunt u een script opzetten dat verificatiecodes per e-mail verstuurt wanneer een gebruiker probeert in te loggen.
    • Dit vereist ontwikkelwerk en API-toegang tot Google Workspace.

3. Toegangsbeheer aanpassen voor een specifieke groep

Beheerders kunnen een beleid maken voor een subset van gebruikers die e-mailcodes mogen ontvangen:

  1. Groep aanmaken in Google Admin Console:
    • Maak een gebruikersgroep (bijvoorbeeld "Geen toegang tot authenticator").
  2. Regels toepassen via API of derde partij:
    • Gebruik de Directory API of een externe dienst om bij een aanmeldpoging een code naar het e-mailadres van een gebruiker te sturen.

4. Veilige alternatieven overwegen

Hoewel e-mailcodes handig lijken, brengen ze aanzienlijke beveiligingsrisico's met zich mee (zoals phishing en onderschepping). Overweeg de volgende veiliger opties:

  • Google Authenticator of fysieke sleutels:
    • Voor situaties waar geen smartphone beschikbaar is, kunnen fysieke sleutels zoals YubiKey een alternatief zijn.
  • Back-upcodes vooraf delen:
    • Laat gebruikers een reeks back-upcodes genereren en veilig opslaan.

Conclusie

Om verificatiecodes via e-mail te implementeren, moet u waarschijnlijk een derde partij of een aangepaste oplossing gebruiken, omdat Google Workspace dit niet standaard ondersteunt. Wilt u begeleiding bij het instellen van een specifieke oplossing of de configuratie van een IAM-platform? Laat het weten!