Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Google laat Android-gebruikers hun telefoons inzetten als beveiligingssleutel

Android-telefoongebruikers kunnen nu hun telefoon gebruiken als beveiligingssleutel. Voor deze vorm van tweestapsverificatie is een bluetooth-verbinding nodig tussen telefoon en computer. Google zegt dat deze tweestapsbeveiligingsvorm veiliger is dan bijvoorbeeld sms'jes.

Met de beveiligingssleutel kunnen gebruikers inloggen op bijvoorbeeld hun Google Accounts. Nu kunnen gebruikers daar al tweestapsverificatie gebruiken, bijvoorbeeld door het gebruik van sms'jes en notificaties. Die kunnen volgens Google echter worden gekaapt door bijvoorbeeld neppe inlogpagina's te gebruiken. Verificatie op basis van een beveiligingssleutel is volgens het bedrijf veiliger. Gebruikers moeten namelijk een knop indrukken op de telefoon om hun identiteit te bevestigen. Google geeft het voorbeeld van de volume-knop die enkele seconden ingedrukt moet worden.

De beveiligingssleutel werkt op basis van de FIDO-standaard voor de verbinding tussen computer en telefoon. Voor gebruik is een toestel nodig dat op zijn minst Android 7.0 draait. De computer moet bluetooth kunnen ondersteunen en de Chrome-browser geïnstalleerd hebben. Om gebruik te maken van de sleutel moet de gebruiker volgens Google zijn of haar account daarop instellen. De telefoon wordt met bluetooth verbonden met de computer. Daardoor moet de telefoon relatief dichtbij de computer zijn om op deze manier in te kunnen loggen.

Google raadt gebruikers wel aan om een extra beveiligingssleutel aan te schaffen als back-up. Zo kunnen mensen nog steeds bij hun Google Account als ze hun telefoon kwijtraken. Voor het ontwikkelen van de beveiligingssleutel heeft Google gebruikgemaakt van open standaarden, meldt VentureBeat. Naast FIDO, zijn dat WebAuthn voor de verificatie tussen computer en website en een door Google ontwikkelde caBLE-techniek om de telefoon aan de computer te koppelen. Daardoor hoopt het bedrijf dat andere browsers en iPhones het later ook zullen ondersteunen. Het is daarnaast de bedoeling dat gebruikers in de toekomst de sleutel kunnen gebruiken om ook bij andere sites dan die van Google in te kunnen loggen.

Door Hayte Hugo

Stagiair nieuwsredactie

11-04-2019 • 11:55

30 Linkedin Google+

Submitter: Rafe

Reacties (30)

Wijzig sortering
Wat is het verschil met tweetrapsauthentificatie waarbij je via je smartphone een melding krijgt die je moet bevestigen? Verschillende "verify"-apps kunnen dat al lang.

[Reactie gewijzigd door uip op 11 april 2019 12:01]

Het gebruikt onder de motorkap open standaarden IPV dat elke website het wiel opnieuw moet uitvinden met een eigen app. En dan is het natuurlijk de vraag of elke app hun beveiliging goed op orde heeft.

Zodra deze nieuwe 'cloud assisted Bluetooth Low Energy'-transport is gestandaardiseerd door FIDO kan je je telefoon dus gebruiken met elke website die de WebAuthn-standaard ondersteund. Vandaar dat Google aanraadt om als backup een tweede sleutel (handigste is met USB) te kopen en aan je account te koppelen, voor het geval je telefoon leeg/kwijt is.

De voordelen van WebAuthn zijn dat het bestand is tegen phishing en dat in het geval van een databaselek alleen publieke sleutels op straat liggen die voor die site uniek zijn gegenereerd (nutteloos voor hackers dus).

[Reactie gewijzigd door Rafe op 12 april 2019 13:23]

Deze werkt in combinatie met bluetooth. Je moet dus fysiek naast je computer zitten.
Of in een straal van 100 meter, waarin Bluetooth actief kan zijn (open veld scenario). In de praktijk kan je pc dus worden unlocked als je een verdieping boven of onder je werkplek bent.
WebAuthn schrijft voor dat er altijd een gebruikersbevestiging of -verificatie (biometrie/PIN) moet plaatsvinden om dergelijke passieve aanvallen te voorkomen.
Het maakt gebruik van BTLE, en daarmee kan er een afstand ingeschat worden. Ik vermoed dus dat je zelf wel een maximale afstand kan ingeven. Welke dan uiteraard binnen een marge wordt aangehouden.
Dat nu je telefoon in de buurt van je PC moet zijn. Dus, voor kwaadwillende lastiger binnen te komen. Met een app zou iemand toch kunnen goedkeuren als men een neppe site bezoekt. Zonder de bluetooth verbinding geen login.

[Reactie gewijzigd door Inspired op 11 april 2019 12:05]

Ik weet het niet hoor, wanneer je PC gehackt is, is dit waarschijnlijk een minder veilige situatie dan wanneer jouw smart phone (eventueel via 4g) een push bericht krijgt.
Volgens mij is het verschil dat de gebruikte telefoon ook daadwerkelijk in de buurt van je pc/laptop dient te zijn en via Bluetooth opgemerkt moet kunnen worden.
Maw: de fysieke nabijheid van de twee apparaten maakt het moeilijker voor derden om verificatieberichten te onderscheppen.
"Google raadt gebruikers wel aan om een extra beveiligingssleutel aan te schaffen als back-up."

Bedoelen ze daarmee dat je een extra telefoon dient te kopen? Of zijn er ook stand-alone beveiligingssleutels te krijgen?
Ik heb bijvoorbeeld hele goede ervaringen met deze, kost slechts 10 euro:
https://www.amazon.com/Ke...ecurity-key/dp/B01N6XNC01
Die is wel maar U2F, geen Fido2, dus geen Webauthn.
WebAuthn is backwards compatible met U2F hardware, dus zolang je geen wachtwordloze inlog wil werkt dat prima.
Ja maar dat is het hem juist: Je mist dan juist de beste aspecten ervan...
Op fido2 is het nog relatief klein aanbod ( net nieuw) U2F daarintegen is inderdaad al meer verkrijgbaar.

Fido2 keys krijgen in de toekomst ook U2F ondersteuning dat je inderdaad beide op 1 key hebt.

2 hardware leveranciers die aan de standaarden voldoen met hun hardware producten ( beide ook onderdeel van de Fido Alliance).

Yubico
Feitian


https://www.microsoft.com...-hello-or-a-security-key/
Ja, hardware key is handiger als backup. Titan van Google zelf of bv Yubikey.
Mooie oplossing, en extra drempel voor kwaadwillenden ten opzichte van een app. Nu nog een oplossing die voor iedereen & alles werkt. Dus cross platform en ook voor het inloggen op Windows etc.
Nu nog een oplossing die voor iedereen & alles werkt. Dus cross platform en ook voor het inloggen op Windows etc.
en cross browser, zodat je niet vast zit aan 1 specifieke browser.
Lijkt me inderdaad handig, nu graag ook voor het inloggen op Windows!

[Reactie gewijzigd door vrow op 11 april 2019 12:16]

zodat google ook jouw windows account weet en jouw acties daarop weer mooi kan koppelen?
Ben beetje huiverig voor dit soort dingen met Google (of ander grote data zuigers).
Op zich interessant maar jammer dat je Chrome moet gebruiken. Maar misschien gaat Firefox dit ook wel ondersteunen?

Voorlopig hou ik het wel bij de Yubikey. Op dit moment is er toch nauwelijks support voor webauthn, hooguit als tweede factor maar niet als primaire login. Passwordless is mijn ideale methode.

[Reactie gewijzigd door GekkePrutser op 11 april 2019 16:24]

Komt eraan voor Azure Active Directory van microsoft.

Q1 2019 zou het uitkomen voor testing maar helaas nog niks van gehoord.

Producten met biometrisch beveiliging ( vingeradruk) zijn ook al verkrijgbaar dus het is kwestie van wachten op microsoft om het ook over te zetten naar de consumentenversie ;)
Oh ik gebruik de consumentenversie niet.. Heb mijn eigen "zakelijke" tenant. Op zich cool dat dat er aan komt ja, al gebruik ik de MS cloud eigenlijk alleen maar voor email en wat minder belangrijke files op onedrive. De belangrijke dingen draai ik zelf.. Helaas heb ik nog geen goede webauthn plugin gevonden voor webservers :-(. Momenteel gebruik ik Yubikeys met OpenPGP smartcard applet voor bijvoorbeeld SSH logins en mijn paswoord manager, en PIV voor de computer logins (Windows en Mac)

[Reactie gewijzigd door GekkePrutser op 11 april 2019 16:24]

Ik zou graag een plugin zien waarbij deze vorm van tweetrapsauthenticatie wordt geintegreerd met een app zoals keepass .
Vroeger had je een boormachine waarmee je mee kon vlakschuren, cirkelzagen, draaien, decouperen,...
Later kwamen we er achter dat dat niet zo handig was.
Eén apparaat per functie is wat de markt vroeg en kreeg.

Tegenwoordig hebben we een telefoon waarmee je kan bellen, trimmen, navigeren, authentificiren,...
Eén apparaat per functie is wat de markt... ?
En slaagde iemand er al in dit uit te testen? Ik raak er alvast niet...
ja, getest om in gmail in te loggen. Moet zeggen dat het nog niet optimaal werkt, ik krijg de melding wel op mijn telefoon, maar nog maar 1 keer dat hij erdoor geraakte dan in chrome, andere keren kreeg ik de melding dat er een time-out was.
Zijn er al sites die dit ondersteunen? Meestal moet je nog een usb sleutel insteken.
Kan je een link naar dat rapport delen? Ben wel benieuwd. Staan die sleutels op de FIDO certificeringslijst?

De techniek die Google getoond heeft met dit nieuwsbericht werkt alleen op door Google gecertificeerde toestellen met Android 7.0 en nieuwer, die volgens de Android CDD een hardware backed keystore moeten hebben (Apple noemt dit een Secure Enclave). Jij zegt misschien "liever niet" en dat is je goed recht, maar voor de gemiddelde Jan met de pet die overal hetzelfde wachtwoord gebruikt en in phishing mails trapt is dit een gigantische stap vooruit.


Om te kunnen reageren moet je ingelogd zijn


OnePlus 7 Microsoft Xbox One S All-Digital Edition LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Sony PlayStation 5

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True