Google laat Android-gebruikers hun telefoons inzetten als beveiligingssleutel

Android-telefoongebruikers kunnen nu hun telefoon gebruiken als beveiligingssleutel. Voor deze vorm van tweestapsverificatie is een bluetooth-verbinding nodig tussen telefoon en computer. Google zegt dat deze tweestapsbeveiligingsvorm veiliger is dan bijvoorbeeld sms'jes.

Met de beveiligingssleutel kunnen gebruikers inloggen op bijvoorbeeld hun Google Accounts. Nu kunnen gebruikers daar al tweestapsverificatie gebruiken, bijvoorbeeld door het gebruik van sms'jes en notificaties. Die kunnen volgens Google echter worden gekaapt door bijvoorbeeld neppe inlogpagina's te gebruiken. Verificatie op basis van een beveiligingssleutel is volgens het bedrijf veiliger. Gebruikers moeten namelijk een knop indrukken op de telefoon om hun identiteit te bevestigen. Google geeft het voorbeeld van de volume-knop die enkele seconden ingedrukt moet worden.

De beveiligingssleutel werkt op basis van de FIDO-standaard voor de verbinding tussen computer en telefoon. Voor gebruik is een toestel nodig dat op zijn minst Android 7.0 draait. De computer moet bluetooth kunnen ondersteunen en de Chrome-browser geïnstalleerd hebben. Om gebruik te maken van de sleutel moet de gebruiker volgens Google zijn of haar account daarop instellen. De telefoon wordt met bluetooth verbonden met de computer. Daardoor moet de telefoon relatief dichtbij de computer zijn om op deze manier in te kunnen loggen.

Google raadt gebruikers wel aan om een extra beveiligingssleutel aan te schaffen als back-up. Zo kunnen mensen nog steeds bij hun Google Account als ze hun telefoon kwijtraken. Voor het ontwikkelen van de beveiligingssleutel heeft Google gebruikgemaakt van open standaarden, meldt VentureBeat. Naast FIDO, zijn dat WebAuthn voor de verificatie tussen computer en website en een door Google ontwikkelde caBLE-techniek om de telefoon aan de computer te koppelen. Daardoor hoopt het bedrijf dat andere browsers en iPhones het later ook zullen ondersteunen. Het is daarnaast de bedoeling dat gebruikers in de toekomst de sleutel kunnen gebruiken om ook bij andere sites dan die van Google in te kunnen loggen.

Door Hayte Hugo

Redacteur

Feedback • 11-04-2019 11:55
30 • submitter: Rafe

11-04-2019 • 11:55

30 Linkedin

Submitter: Rafe

Lees meer

Beveiligingsonderzoeker ontwikkelt tool die lek in BLE-sloten uitbuit Nieuws van 17 mei 2022
Android krijgt wellicht mogelijkheid om gesprekken op te nemen en te forwarden Nieuws van 13 april 2019
WebAuthn-api voor vervanging van traditionele wachtwoorden is goedgekeurd Nieuws van 4 maart 2019
Android krijgt FIDO2-certificering voor inloggen zonder wachtwoord Nieuws van 26 februari 2019
Apple test ondersteuning usb-sleutels bij nieuwste Safari-preview Nieuws van 6 december 2018
Microsoft maakt inloggen bij Microsoft Account met Hello of FIDO2-key mogelijk Nieuws van 20 november 2018
Opensource FIDO2-beveiligingssleutel behaalt doel op Kickstarter Nieuws van 5 oktober 2018
Experts willen meer openheid over veiligheid Google-beveiligingssleutels Nieuws van 2 september 2018
'Aanval steelt inloggegevens via wachtwoordmanager met behulp van gastaccount' Nieuws van 13 augustus 2018
Google gaat eigen hardwaresleutels verkopen op basis van FIDO-standaard Nieuws van 26 juli 2018
Meer producten en artikelen
Beveiliging en antivirus Overige randapparatuur Google Authenticatie Security

Reacties (30)

-Moderatie-faq
30
29
18
1
0
6
Wijzig sortering
uip
11 april 2019 12:01
Wat is het verschil met tweetrapsauthentificatie waarbij je via je smartphone een melding krijgt die je moet bevestigen? Verschillende "verify"-apps kunnen dat al lang.

[Reactie gewijzigd door uip op 11 april 2019 12:01]

Rafe
@uip11 april 2019 12:32
Het gebruikt onder de motorkap open standaarden IPV dat elke website het wiel opnieuw moet uitvinden met een eigen app. En dan is het natuurlijk de vraag of elke app hun beveiliging goed op orde heeft.

Zodra deze nieuwe 'cloud assisted Bluetooth Low Energy'-transport is gestandaardiseerd door FIDO kan je je telefoon dus gebruiken met elke website die de WebAuthn-standaard ondersteund. Vandaar dat Google aanraadt om als backup een tweede sleutel (handigste is met USB) te kopen en aan je account te koppelen, voor het geval je telefoon leeg/kwijt is.

De voordelen van WebAuthn zijn dat het bestand is tegen phishing en dat in het geval van een databaselek alleen publieke sleutels op straat liggen die voor die site uniek zijn gegenereerd (nutteloos voor hackers dus).

[Reactie gewijzigd door Rafe op 12 april 2019 13:23]

lasharor
@uip11 april 2019 12:03
Deze werkt in combinatie met bluetooth. Je moet dus fysiek naast je computer zitten.
Kiswum
@lasharor11 april 2019 12:47
Of in een straal van 100 meter, waarin Bluetooth actief kan zijn (open veld scenario). In de praktijk kan je pc dus worden unlocked als je een verdieping boven of onder je werkplek bent.
Rafe
@Kiswum11 april 2019 13:28
WebAuthn schrijft voor dat er altijd een gebruikersbevestiging of -verificatie (biometrie/PIN) moet plaatsvinden om dergelijke passieve aanvallen te voorkomen.
Magic
@Kiswum11 april 2019 13:29
Het maakt gebruik van BTLE, en daarmee kan er een afstand ingeschat worden. Ik vermoed dus dat je zelf wel een maximale afstand kan ingeven. Welke dan uiteraard binnen een marge wordt aangehouden.
Inspired
@uip11 april 2019 12:04
Dat nu je telefoon in de buurt van je PC moet zijn. Dus, voor kwaadwillende lastiger binnen te komen. Met een app zou iemand toch kunnen goedkeuren als men een neppe site bezoekt. Zonder de bluetooth verbinding geen login.

[Reactie gewijzigd door Inspired op 11 april 2019 12:05]

Abom
@Inspired11 april 2019 12:48
Ik weet het niet hoor, wanneer je PC gehackt is, is dit waarschijnlijk een minder veilige situatie dan wanneer jouw smart phone (eventueel via 4g) een push bericht krijgt.
Hooli
@uip11 april 2019 12:04
Volgens mij is het verschil dat de gebruikte telefoon ook daadwerkelijk in de buurt van je pc/laptop dient te zijn en via Bluetooth opgemerkt moet kunnen worden.
Maw: de fysieke nabijheid van de twee apparaten maakt het moeilijker voor derden om verificatieberichten te onderscheppen.
Hooli
11 april 2019 12:02
"Google raadt gebruikers wel aan om een extra beveiligingssleutel aan te schaffen als back-up."

Bedoelen ze daarmee dat je een extra telefoon dient te kopen? Of zijn er ook stand-alone beveiligingssleutels te krijgen?
vrow
@Hooli11 april 2019 12:16
Ik heb bijvoorbeeld hele goede ervaringen met deze, kost slechts 10 euro:
https://www.amazon.com/Ke...ecurity-key/dp/B01N6XNC01
GekkePrutser
@vrow11 april 2019 12:29
Die is wel maar U2F, geen Fido2, dus geen Webauthn.
Rafe
@GekkePrutser11 april 2019 13:33
WebAuthn is backwards compatible met U2F hardware, dus zolang je geen wachtwordloze inlog wil werkt dat prima.
GekkePrutser
@Rafe11 april 2019 13:34
Ja maar dat is het hem juist: Je mist dan juist de beste aspecten ervan...
Zyphlan
@GekkePrutser11 april 2019 15:14
Op fido2 is het nog relatief klein aanbod ( net nieuw) U2F daarintegen is inderdaad al meer verkrijgbaar.

Fido2 keys krijgen in de toekomst ook U2F ondersteuning dat je inderdaad beide op 1 key hebt.

2 hardware leveranciers die aan de standaarden voldoen met hun hardware producten ( beide ook onderdeel van de Fido Alliance).

Yubico
Feitian


https://www.microsoft.com...-hello-or-a-security-key/
Inspired
@Hooli11 april 2019 12:05
Ja, hardware key is handiger als backup. Titan van Google zelf of bv Yubikey.
Inspired
11 april 2019 12:02
Mooie oplossing, en extra drempel voor kwaadwillenden ten opzichte van een app. Nu nog een oplossing die voor iedereen & alles werkt. Dus cross platform en ook voor het inloggen op Windows etc.
bigbadbull
@Inspired11 april 2019 12:28
Nu nog een oplossing die voor iedereen & alles werkt. Dus cross platform en ook voor het inloggen op Windows etc.
en cross browser, zodat je niet vast zit aan 1 specifieke browser.
vrow
11 april 2019 12:14
Lijkt me inderdaad handig, nu graag ook voor het inloggen op Windows!

[Reactie gewijzigd door vrow op 11 april 2019 12:16]

Dream_ON
@vrow11 april 2019 14:45
zodat google ook jouw windows account weet en jouw acties daarop weer mooi kan koppelen?
Ben beetje huiverig voor dit soort dingen met Google (of ander grote data zuigers).
GekkePrutser
11 april 2019 12:30
Op zich interessant maar jammer dat je Chrome moet gebruiken. Maar misschien gaat Firefox dit ook wel ondersteunen?

Voorlopig hou ik het wel bij de Yubikey. Op dit moment is er toch nauwelijks support voor webauthn, hooguit als tweede factor maar niet als primaire login. Passwordless is mijn ideale methode.

[Reactie gewijzigd door GekkePrutser op 11 april 2019 16:24]

Zyphlan
@GekkePrutser11 april 2019 15:17
Komt eraan voor Azure Active Directory van microsoft.

Q1 2019 zou het uitkomen voor testing maar helaas nog niks van gehoord.

Producten met biometrisch beveiliging ( vingeradruk) zijn ook al verkrijgbaar dus het is kwestie van wachten op microsoft om het ook over te zetten naar de consumentenversie ;)
GekkePrutser
@Zyphlan11 april 2019 15:21
Oh ik gebruik de consumentenversie niet.. Heb mijn eigen "zakelijke" tenant. Op zich cool dat dat er aan komt ja, al gebruik ik de MS cloud eigenlijk alleen maar voor email en wat minder belangrijke files op onedrive. De belangrijke dingen draai ik zelf.. Helaas heb ik nog geen goede webauthn plugin gevonden voor webservers :-(. Momenteel gebruik ik Yubikeys met OpenPGP smartcard applet voor bijvoorbeeld SSH logins en mijn paswoord manager, en PIV voor de computer logins (Windows en Mac)

[Reactie gewijzigd door GekkePrutser op 11 april 2019 16:24]

CrimInalA
11 april 2019 12:54
Ik zou graag een plugin zien waarbij deze vorm van tweetrapsauthenticatie wordt geintegreerd met een app zoals keepass .
Bruin Poeper
11 april 2019 13:48
Vroeger had je een boormachine waarmee je mee kon vlakschuren, cirkelzagen, draaien, decouperen,...
Later kwamen we er achter dat dat niet zo handig was.
Eén apparaat per functie is wat de markt vroeg en kreeg.

Tegenwoordig hebben we een telefoon waarmee je kan bellen, trimmen, navigeren, authentificiren,...
Eén apparaat per functie is wat de markt... ?
telenut
11 april 2019 14:01
En slaagde iemand er al in dit uit te testen? Ik raak er alvast niet...
sycological
@telenut12 april 2019 11:55
ja, getest om in gmail in te loggen. Moet zeggen dat het nog niet optimaal werkt, ik krijg de melding wel op mijn telefoon, maar nog maar 1 keer dat hij erdoor geraakte dan in chrome, andere keren kreeg ik de melding dat er een time-out was.
stefanmechelen
11 april 2019 19:49
Zijn er al sites die dit ondersteunen? Meestal moet je nog een usb sleutel insteken.
Rafe
@mutley6912 april 2019 13:31
Kan je een link naar dat rapport delen? Ben wel benieuwd. Staan die sleutels op de FIDO certificeringslijst?

De techniek die Google getoond heeft met dit nieuwsbericht werkt alleen op door Google gecertificeerde toestellen met Android 7.0 en nieuwer, die volgens de Android CDD een hardware backed keystore moeten hebben (Apple noemt dit een Secure Enclave). Jij zegt misschien "liever niet" en dat is je goed recht, maar voor de gemiddelde Jan met de pet die overal hetzelfde wachtwoord gebruikt en in phishing mails trapt is dit een gigantische stap vooruit.

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee