Google gaat eigen hardwaresleutels verkopen op basis van FIDO-standaard

Google gaat zelf hardwaresleutels verkopen op basis van de FIDO-standaard. De sleutels zijn bedoeld om inloggen op accounts middels verificatie in twee stappen veiliger te maken. Eerst zijn de Titan Security Keys beschikbaar voor klanten van Google Cloud.

Binnenkort komen de hardwaresleutels naar de Google Store, zegt Google in de aankondiging. Wanneer de sleutels beschikbaar zijn in de Benelux en wat ze gaan kosten, is nog niet duidelijk. Onder andere Gizmodo meldt dat de sleutels in de Verenigde Staten 20 of 25 dollar gaan kosten. Het gaat om een usb-variant en een versie die met bluetooth werkt.

De hardwaresleutels zijn bedoeld om veilig in te loggen op Google-accounts, maar omdat ze met de FIDO-standaard werken, zijn ze ook te gebruiken voor andere diensten. De sleutels werken als een vorm van authenticatie in twee stappen en vervangen bijvoorbeeld de sms of authenticatiecode die via een app wordt gegenereerd.

Tegenover The Verge zegt Google dat de Titan Security Key aangepaste firmware bevat, die door de zoekgigant is ontwikkeld. De hardwaresleutels worden al langer dan een jaar intern getest bij Google. Alle ruim 85.000 medewerkers moeten verplicht gebruikmaken van de sleutel. Volgens het bedrijf zijn er daardoor sinds begin 2017 geen gevallen van inbraak op accounts geweest via phishing.

Google Titan Security Key

Door Julian Huijbregts

Nieuwsredacteur

26-07-2018 • 07:31

46

Lees meer

Reacties (46)

46
45
35
4
0
7
Wijzig sortering
En de tijd is aangebroken van een bos sleutels naar een bos USB sticks...
Ondanks een of andere standaard (waar er waarschijnlijk ook weer een paar van zijn....) hebben we dalijk een USB aan de bos hangen voor Google, Apple, Microsoft, Adobe, Mozilla, de bank, 3x forum, je auto, 2x iets op het werk, je eigen laptop en pc, iets met een cloud en zo ben ik er vast nog een paar vergeten.

Maar gelukkig leven we in een moderne tijd en zullen we al deze keys wel op 1 stick kwijt kunnen, toch??
Maar gelukkig leven we in een moderne tijd en zullen we al deze keys wel op 1 stick kwijt kunnen, toch??
Dat kan gewoon hoor :P
Zie https://www.yubico.com/solutions/fido-u2f/#toggle-id-3
uit het artikel:

De hardwaresleutels zijn bedoeld om veilig in te loggen op Google-accounts, maar omdat ze met de FIDO-standaard werken, zijn ze ook te gebruiken voor andere diensten.
Zolang dit optioneel is en je ook kunt authenticaten met je mobiel... Prima. Dat vind ik nml het centrale apparaat om mee in te loggen. Dan maken ze maar een NFC-achtige oplossing dat mijn mobiel een code direct naar de lezer stuurt o.i.d.
Voor zover ik weet ondersteunt Facebook ook FIDO2 en Microsoft heeft heeft het in Hello ook al in een preview. Ik heb wel het idee dat werkgevers en opdrachtgevers graag third party zooi gebruiken.
Anoniem: 368883 @zojammerhe26 juli 2018 10:26
Dit maakt gebruik van de FIDO standaard, wat ook ondersteund wordt door andere providers zoals FaceBook, DropBox, GitHub, etc...

Ik gebruik een YubiKey die ook FIDO-compatible is, en dat werkt best wel zalig. Bijkomend voordeel van de YubiKey is dat die ook OpenPGP-smartcard compatible is. Ik heb al mijn subkeys (signing, encryption, authorization) op mijn YubiKey staan. Op deze manier kan ik die zelfs gebruiken voor ssh authentication naar mijn servers (in combinatie met gpg-agent).

Geen idee of de Google FIDO ook smartcard-compatible is...
Iedereen kan FIDO/Yubico implementeren, zodat we maar een USB nodig hebben voor alle online diensten en wellicht ook wel je huis!

Leuk filmpje btw van 9 jaar geleden: https://vimeo.com/3356049

[Reactie gewijzigd door Devaqto op 25 juli 2024 22:24]

Maar gelukkig leven we in een moderne tijd en zullen we al deze keys wel op 1 stick kwijt kunnen, toch??
Dat konden we in 2006 al...
Maar gelukkig leven we in een moderne tijd en zullen we al deze keys wel op 1 stick kwijt kunnen, toch??
Waarom heb je dit los nodig?

Vrijwel alle landen hebben biometrische paspoort. Gebruik dat dan. Voor 20 dollar kan je uitleest apparatuur verkopen die je aan je telefoob kunt hangen, zodat je omgeving kunt monitoren.
Ik heb nu 3 Yubikey's aan mijn sleutelbos, dat werkt prima en ik zorg wel dat ik mijn sleutels niet laat rondslingeren, dus ook veilig. Als alles overgaat op Fido U2F hoef ik nog maar een Yubikey (of alternatief) aan mijn bos te hebben, want hiermee gebruik je een sleutelpaar per dienst. Voordeel is dus ook dat als er een dienst gecompromitteerd is, je alleen dat sleutelpaar kan revoken en de sleutel nog gewoon veilig bruikbaar is voor de andere diensten.
Bij amazon.de zijn Fido U2F keys al te koop voor 8 euro. Voor mijn gmail account heb ik destijds een 2e daar gekocht en ook gekoppeld als backup.
Je hoeft een U2F key (de niet-FIDO Yubikeys) niet weg te gooien als een service gecompromitteerd is; het werkt op basis van public/private keys; een public key mag best publiek worden, zolang je private key maar aan je sleutelbos blijft zitten.
U2F = FIDO. Een Yubikey hoef je sowieso niet weg te gooien want je kan met de Yubikey Personalization Tool alle parameters overschrijven. Dus ook de public/private/secret keys voor OTP en alle andere mogelijkheden.

Het zelfde geldt voor GPG keys (en daarmee ook SSH keys).
Ok, FIDO standaard. Fijn dat zoiets, generiek te gebruiken is!
Maar is hier ook track-and-trace mee te doen. Ik bedoel maar, het ' dingetje' is uniek (persoons gebonden zeg maar).
Zo kunnen al die Microsofts, GitHubs, Googles wel heel makkelijk een gebruiker taggen.
Neen, voor elke dienst wordt een aparte key gemaakt. Tenminste dit was met de FIDO 1 standaard zo, dat werd bijna niet geïmplementeerd vanwege gebrek aan documentatie en browser ondersteuning.

Met FIDO 2 (wat nu gewoonweg makkelijk FIDO genoemd wordt in dit artikel) lijkt iedereen er gelukkig bovenop te duiken. Ik heb de specs nog niet doorgelezen maar ik ga er vanuit dat ook hier weer een soortgelijk mechanisme in zit waardoor diensten onderlink van elkaar geen inzicht kunnen krijgen omdat ze allemaal echt andere keys gebruiken.
Aan de ene kant vind ik dit een goede ontwikkeling, alleen als ik naar mijzelf kijk dan hang ik dit ding waarschijnlijk aan mijn sleutelbos. Handig op het werk, maar als ik thuis ben dan ligt dat ding waarschijnlijk in het sleutelbakje / ergens op de keukentafel. Zul je zien dat ik lekker boven aan het tweaken ben en ik moet inloggen op mn email o.i.d. Ik verwacht dat ik dat ding, net als mn randomreader van de bank altijd op een andere plek ligt dan waar ik hem nodig heb.

Maar goed, dat is meer mijn probleem dan een fout aan het apparaatje :). Voorlopig hou ik het bij 2FA op mijn telefoon, dat ding lijkt aan mijn been vastgeplakt te zijn.
Je hebt van die sleutelringen die je kunt losklikken van je sleutelbos. Je kunt ook een kleine karabijnhaak aan deze sleutel hangen, zodat hij makkelijk los te koppelen is. Moet je alleen niet vergeten hem mee te nemen na het tweaken, zodat je hem de volgende dag op werk beschikbaar hebt :P

Wat je omschrijft heb ik trouwens al geregeld met 2FA van Steam. Moet ik weer naar beneden om mijn mobiel op te halen :(

[Reactie gewijzigd door Grrrrrene op 25 juli 2024 22:24]

Je wilt niet weten hoevaak ik op het werk kom na een thuiswerkdag en er achterkom dat mijn RSA token nog op mijn bureau ligt thuis :+
Geen optie voor een soft token op de telefoon?
Nog nooit naar gevraagd eigenlijk 8)7
Zelf gebruik ik de Yubi key en wat jij omschrijft overkomt mij ook wel eens. Naast de sleutel kan je ook altijd alternatieve manieren van 2FA gebruiken, als ik mijn key niet zo snel kan pakken val ik meestal terug op de Google authenticator app op mijn telefoon.
Ook is het mogelijk om dan het device waar je op in logt aan te merken al trusted. In dat geval wordt op dat device 30 dagen niet om 2FA gevraagd.
Neem aan dat er nog een back-up optie is om alsnog je mobiel te kunnen gebruiken ?! Beetje zuur als je je (enige) sleutel voor 2FA kwijtraakt. Waar ik me nu aan erger is dat mijn mobiel ooit net leeg is op het moment dat ik 2FA nodig heb.. Gebeurt niet erg vaak, maar toch. Ik ben wel erg benieuwd hoe goed die bluetooth variant gaat werken, want met mijn huidige macbook en al die extra adapters die ik nodig heb om een usb aan te kunnen sluiten, is het handiger om mijn mobiel te blijven gebruiken.
Juist, dat probleem heb ik dus met de phone (ben geen phone addict, dus die telefoon ligt vaak genoeg ergens anders), en dan baal ik er weer van dat ik die phone moet pakken om ergens te kunnen inloggen (maar het is natuurlijk wel veiliger).
Voorlopig hou ik het bij 2FA op mijn telefoon, dat ding lijkt aan mijn been vastgeplakt te zijn.
Is deze key dun genoeg om hem, in plaats van aan je sleutelbos, in het hoesje van je telefoon te steken? Dan is het ook opgelost lijkt me?
Bij de meeste diensten kun je meerdere tokens aan je account koppelen. Je zou dit (1st-world-problem) kunnen oplossen door een tweede token bij je computer te leggen.
Ondertussen probeer ik juist zonder sleutelbos en pasjes door het leven te gaan. Pincode slot thuis op de deur, auto via mobiel aan kunnen doen. Betalen via diezelfde telefoon..

Nu nog van het pasje voor mijn werk af kunnen en klaar. (Ligt in de auto dus dat scheelt).

Dit ding is niet een verbetering van ons leven, ik snap de reden maar liever niet. Bouw het maar in de mobiel, net als NFC
Pincode om je huis binnen te komen? niet je telefoon?
hehe, op deze manier kunnen de kinderen het ook, en die lopen rond zonder mobiel
Leuk, alleen ik blijf het bijzonder teleurstellend vinden dat mijn (mooiere) YubiKey niet werkt met Google op Firefox. Laat ze eerst maar eens de standaard echt ondersteunen..
Gewoon voor authenticatie werkt het wel, maar je moet 'm inderdaad eerst koppelen via Chrome. Google doet het wel vaker (om strategische redenen?) rustig aan met ondersteuning voor andere browsers dan die van henzelf (ik heb wel u2f aan moeten zetten via [url=about:config]about:config[/url] in Firefox)
Oeps. Jouw opmerking maakt de mijne compleet irrelevant. Dacht dat U2F standaard aanstond in de nieuwste FireFox. Iets met aannames.. dank!
Ik gebruik momenteel de YubiKey en ik vind het goed werken, alleen zou ik er meerdere willen hebben zodat ik er altijd een in de buurt heb. Met 40 euro per stuk en dan nog eens verzendkosten is dit niet echt interessant, de hier genoemde prijs van die van Google (mocht die kloppen) maakt het een stuk interessanter.
Fido keys zijn nu ook al te koop voor lagere prijzen, ik heb er een tijdje terug een op bol.com gekocht voor €23. Werkt prima! :)
"eigen hardwaresleutels" maar dat zijn duidelijk al jaren bestaande modellen van Feitian, ongetwijfeld met een Google logo erop. Niks mis mee, gebruik ze zelf ook.
Vind het nogal prijzig voor een stukje plastic en een werkelijk een paar cent aan electronica.
Die in het geval van een Yubikey in ieder geval tamper proof is en niet kapot te krijgen is. Ik ga er vanuit dat het voor deze keys ook geldt.

Duur dus zeg je? :Y)
En nu maar niet kwijt raken....
En nu maar niet kwijt raken....
Da's geen ramp hoor. Dan kun je waarschijnlijk tijdelijk inloggen met een code uit een app of sms of iets dergelijks, terwijl je wacht op de nieuwe. Degene die zo'n ding vindt (tenzij ie gericht een bepaalde persoon besteelt) heeft geen flauw idee bij welke accounts ie hoort én dit is tweefactor, dus zelfs als je daarachter kunt komen (of de sleutel van een specifieke persoon steelt) dan nog heb je het password niet.
En zo gauw je 'm kwijt bent, natuurlijk meteen intrekken, dan kan een een dief of vinder er sowieso niets mee.
Uiteraard ben je dan alsnog maar de helft kwijt want het is puur de 2e factor. Je moet wel erg slordig zijn als de dief dan ook meteen je wachtwoord heeft.

Je kan dus daarna rustig voor iedere dienst de key terugtrekken.
Dit is dus exact waarom de meeste (goede) 2FA implementaties vereisen dat je:

- Of een 06 nummer invult als backup
- Of een tweede 2FA methode instelt zoals TOTP (of een tweede FIDO key)
- Of ze geven je (TOTP) backup codes die eenmalig te gebruiken zijn en je dus ook uit moet printen voor dit soort gevallen.

Veel mensen vinden dit echter veel gedoe.. :|

[Reactie gewijzigd door Ventieldopje op 25 juli 2024 22:24]

Op dit item kan niet meer gereageerd worden.