Android-telefoongebruikers kunnen nu hun telefoon gebruiken als beveiligingssleutel. Voor deze vorm van tweestapsverificatie is een bluetooth-verbinding nodig tussen telefoon en computer. Google zegt dat deze tweestapsbeveiligingsvorm veiliger is dan bijvoorbeeld sms'jes.
Met de beveiligingssleutel kunnen gebruikers inloggen op bijvoorbeeld hun Google Accounts. Nu kunnen gebruikers daar al tweestapsverificatie gebruiken, bijvoorbeeld door het gebruik van sms'jes en notificaties. Die kunnen volgens Google echter worden gekaapt door bijvoorbeeld neppe inlogpagina's te gebruiken. Verificatie op basis van een beveiligingssleutel is volgens het bedrijf veiliger. Gebruikers moeten namelijk een knop indrukken op de telefoon om hun identiteit te bevestigen. Google geeft het voorbeeld van de volume-knop die enkele seconden ingedrukt moet worden.
De beveiligingssleutel werkt op basis van de FIDO-standaard voor de verbinding tussen computer en telefoon. Voor gebruik is een toestel nodig dat op zijn minst Android 7.0 draait. De computer moet bluetooth kunnen ondersteunen en de Chrome-browser geïnstalleerd hebben. Om gebruik te maken van de sleutel moet de gebruiker volgens Google zijn of haar account daarop instellen. De telefoon wordt met bluetooth verbonden met de computer. Daardoor moet de telefoon relatief dichtbij de computer zijn om op deze manier in te kunnen loggen.
Google raadt gebruikers wel aan om een extra beveiligingssleutel aan te schaffen als back-up. Zo kunnen mensen nog steeds bij hun Google Account als ze hun telefoon kwijtraken. Voor het ontwikkelen van de beveiligingssleutel heeft Google gebruikgemaakt van open standaarden, meldt VentureBeat. Naast FIDO, zijn dat WebAuthn voor de verificatie tussen computer en website en een door Google ontwikkelde caBLE-techniek om de telefoon aan de computer te koppelen. Daardoor hoopt het bedrijf dat andere browsers en iPhones het later ook zullen ondersteunen. Het is daarnaast de bedoeling dat gebruikers in de toekomst de sleutel kunnen gebruiken om ook bij andere sites dan die van Google in te kunnen loggen.