Google brengt Titan-beveiligingssleutel met usb-c uit in enkele Europese landen

De in oktober vorig jaar aangekondigde, fysieke Titan-beveiligingssleutels met usb-c komen voor het eerst buiten de VS beschikbaar. Google maakt de sleutels in samenwerking met Yubico en brengt ze onder meer uit in enkele Europese landen, maar de Benelux zit daar niet bij.

Google schrijft dat het usb-c-versies van de beveiligingssleutels uit de Titan-serie uitbrengt in onder meer Canada, Frankrijk, Japan en het Verenigd Koninkrijk. Dat zijn ook de landen waar sinds juli vorig jaar de Titan-sleutels te koop zijn die via bluetooth, usb-a en nfc werken. De usb-c-beveiligingssleutels komen daarnaast beschikbaar in Oostenrijk, Duitsland, Italië, Spanje en Zwitserland. Wanneer de fysieke sleutels ook in Nederland en België uitkomen, is onbekend.

Het bedrijf kondigde de Titan-sleutels in juli 2018 aan. Het zijn hardwaresleutels die bedoeld zijn om het inloggen op accounts veiliger te maken door middel van verificatie in twee stappen. De producten werken op basis van de FIDO-standaard en hebben door Google aangepaste firmware. Afgezien van de verschillende typen usb-aansluiting werken de sleutels hetzelfde.

Google Titan Keys

Reacties (67)

klakkie.57th 19 februari 2020 16:22

Wat is nu het voordeel van zo'n key ivm een app op je telefoon, of een sms.
Hardware tokens lijken me zo oldskool .

lasharor @klakkie.57th • 19 februari 2020 16:26

In sommige landen is SMS spoofing of het kapen van telefoonnummers een probleem.

Daarnaast kan ik me voorstellen dat bepaalde overheidsfunctionarisen of mensen die met zeer gevoelige bedrijfsinformatie werken wel oor zullen hebben naar dergelijke hardware toepassingen.

Verwijderd @lasharor • 19 februari 2020 17:18

Dat is correct al is het niet land afhankelijk maar provider afhankelijk. Ook hier in Nederland is het een probleem.

De titan keys van Google zijn inderdaad ook bedoelt voor extra ‘gevoelige’ personen zoals journalisten, CEO’s en systeembeheerders. De mensen die als eerste aangevallen worden.
Een fysieke sleutel bied een enorme barrière bij phishing. Als je bij Google werkt is het bijvoorbeeld verplicht om dit systeem te gebruiken. Hiermee hebben ze, volgens eigen zeggen, alle phishing pogingen af kunnen weren tot nu toe. Niet alleen deze titan hardware keys zijn geschikt voor hun ‘Advanced protection program’ maar ook Google pixel’s en Apple’s secure chip kunnen als hardware device dienen.

Meer informatie is hier te vinden over Googles Advanced protection program:
https://landing.google.com/advancedprotection/

Jerie

@Verwijderd • 20 februari 2020 12:16

De titan keys van Google zijn inderdaad ook bedoelt voor extra ‘gevoelige’ personen zoals journalisten, CEO’s en systeembeheerders. De mensen die als eerste aangevallen worden.

Oneens, het gaat om iedereen die met privacy gevoelige gegevens om gaat. En dat is zo'n beetje het hele land. FIDO2-only key kost tegenwoordig minder dan 20 EUR. Staffelkorting en gaan met die banaan.

Verwijderd @Jerie • 20 februari 2020 14:24

Eens, iedereen zou dit moeten gebruiken.
Ik doelde echter op Googles Advanced protection program. Dat is opgericht voor specifieke doelgroepen maar je ziet ook daar dat ze het steeds meer algemeen aanbevelen.

Darkstriker @lasharor • 19 februari 2020 18:11

Dat haalt 2FA met een TOTP niet onderuit. En in principe zijn die keys ook niet meer dan dat. Alleen in een ander formaat. Enig echt voordeel is dat het verkrijgen van de secret (hopelijk) moeilijker is dan bij een app op de telefoon. Maar ook dat is bijvoorbeeld niet van toepassing op telefoons met een degelijk secure element. Sterker nog, het zou zomaar kunnen dat een secure element in een iPhone (ik noem maar een voorbeeld) veiliger is dan de chip in die key.

Maar uiteindelijk is het gewoon nog een extra laag. 3FA als het ware. Nog steeds gevoelig voor phishing maar gewoon weer een extra stap erbij. Hoe Google kan beweren dat dit systeem phishing heeft voorkomen en of dat met een regulieren 2FA niet te voorkomen was is niet echt duidelijk.

[Reactie gewijzigd door Darkstriker op 23 juli 2024 19:29]

Marq @Darkstriker • 19 februari 2020 19:01

Er is een groot voordeel van dit soort keys ten opzichte van TOTP. Doordat dit soort keys op basis van WebAuthn werken is phishing niet mogelijk.
Met WebAuthn worden er namelijk keys specifiek voor de website gegenereerd. Dat betekend dat als je op een nep website zit (die er wel hetzelfde uitziet), je niet per ongeluk kunt inloggen met je echte credentials, omdat de key van de echte website gekoppeld is aan het domein van de echte website.

quote: https://webauthn.guide/
A keypair is only useful for a specific origin, like browser cookies. A keypair registered at 'webauthn.guide' cannot be used at 'evil-webauthn.guide', mitigating the threat of phishing.

[Reactie gewijzigd door Marq op 23 juli 2024 19:29]

Cerberus_tm

@Marq • 19 februari 2020 21:09

Hmm en hoe weet dat stokje dan dat de gebruiker bij het juiste domein wil inloggen? Is het stokje op de één of andere manier geïntegreerd in de browser?

thelion @Cerberus_tm • 20 februari 2020 19:05

Ja, naast de fido2/webauthn standaarden is er het Client to Authenticator Protocol (CTAP). Middels dit protocol communiceert de browser met je hardware key. Webauthn werkt door een challenge (of eigenlijk attestation) te versturen die op de hardware key wordt gesigned met een private key. Op die manier kan de browser verifiëren dat jij de juiste key in je bezit hebt. En diezelfde private key is (in theorie) onmogelijk van het stokje att te halen. Oftewel het secret kan niet per ongeluk gelekt/gehacked worden.

Darkstriker @Marq • 19 februari 2020 21:36

Uh, bedankt voor de info. Dat is dan idd wel een extra barriere.

glennoo @lasharor • 19 februari 2020 18:28

Zou je mij een voorbeeld kunnen geven hoe dit dan zou werken? Want ook al zou iemand mijn telefoonnummer kapen dan kunnen ze toch alsnog niet bij dergelijke apps? Deze zijn gekoppeld aan mijn google account.

t link @glennoo • 19 februari 2020 19:12

Je gebruikt 2fa om in te loggen. eerste factor aan authorisatie is meestal wachtwoord+identificatie. tweede factor authenticatie is meestal OTP (one time password)/biometrie/etc. SMS OTP is wat google bijvoorbeeld doet met de zes cijferige code die begint met een G-******. Als je die SMS kan ondervangen is dus de tweede factor van 2fa gecomprimeerd. niet zo slecht als met een factor authenticatie, maar nogsteeds geen situatie die wenselijk is. door weg te gaan van onbeveiligde kanalen om OTP over te sturen (zoals sms) maken we het moeilijker die tweede factor van authenticatie te comprimeren. ik kan nu als ik dat wil een sms'je van welk telefoonnummer dan ook naar jou sturen, en met ~2000 euro aan hardware (soort femtocell) kan ik je binnenkomende verkeer onderscheppen als je in de buurt bent.

[Reactie gewijzigd door t link op 23 juli 2024 19:29]

glennoo @t link • 19 februari 2020 20:15

Okay, vrij duidelijk. Ik gebruik op dit moment een combinatie van wachtwoord + google's 2fa per telefoon (geen google authenticator/sms/security key, etc) betekend dat dan dat ik hier niet vatbaar voor ben? Of wordt dit ook per sms systeem verstuurd?

ari

@glennoo • 19 februari 2020 23:31

Beveiliging is zo sterk als de zwakste schakel. De Google prompt (op ja klikken) is veilig van deze aanval. Maar staat een telefoonoproep of sms-code toevallig als alternatieve 2FA-methode ingesteld in je account? Dan ben je nog steeds vatbaar.

Wanneer een aanvaller probeert in te loggen met het wachtwoord, dan ontvang je een Google prompt op je telefoon. Maar op het inlogscherm krijgt de aanvaller ook de optie 'Probeer het op een andere manier'. Dan kan gekozen worden voor een andere bevestigingsmethode zoals sms, telefoonoproep, authenticatie-app of backup-code. De aanvaller kiest voor sms en is binnen.

Met behulp van de Google prompt kun je natuurlijk de aanval blokkeren. Maar als jij op dat moment net niet op je telefoon kijkt omdat je bijvoorbeeld slaapt tijdens de aanval, dan is is het te laat. De aanvaller heeft met een halve minuut via de accountinstellingen je wachtwoord gewijzigd, je account overal uitgelogd, de prompts uitgeschakeld en de backup-codes vernieuwd. Daar sta je dan...

Ik heb zojuist sms en telefoonoproep verwijderd als tweede factor. Voor mij alleen nog prompts, een authenticatie-app voor als ik offline ben en backup-codes mochten m'n telefoon en tablet allebei de geest geven.

t link @glennoo • 20 februari 2020 14:34

Nee dat wordt niet via SMS gestuurd maar via je internetverbinding en ik mag er vanuit gaan dat daar encryptie overheen gaat ongeacht het medium. Wat wel mogelijk is weet ik is dat google alternatieve methodes bied voor als je je telefoon niet bij je hebt of geen internet hebt. Dat kan dan met een offline authenticator (OTP die lokaal op je telefoon gegenereert wordt) zoals authy, andOTP, google authenticator, etc. maar ook bieden ze volgensmij een secundair email adress of telefoon optie aan. die laatste zal hier wel vatbaar voor zijn.

TheVivaldi @lasharor • 19 februari 2020 18:02

In sommige landen is SMS spoofing of het kapen van telefoonnummers een probleem.

In Nederland ook, want elke keer als ik een pro-sms-reactie plaats op Tweakers, word ik er door vele tweakers op gewezen hoe onveilig sms wel niet is in Nederland.

ari

@TheVivaldi • 19 februari 2020 23:33

In theorie is sms inderdaad niet veilig. Maar het is nog steeds veiliger dan geen tweede factor hebben. Dus voor mensen zonder smartphone: doe dan maar sms. De rest van de wereld: stap over zodra dat kan.

GoT.Typhoon @lasharor • 19 februari 2020 19:42

En tegenover een 2FA zoals Google Authenticator dan, want dat heeft niks met een telefoonnummer van doen.

vliegendekat @lasharor • 20 februari 2020 12:31

Een vriendin van mijn partner had dit probleem met een stalkende ex.

Die man is er tot twee in geslaagd om haar telefoonnummer te stelen.
Vervolgens las hij iedere keer mee met haar e-mail en bleek hij ook haar locatiegeschiedenis te volgen.

De politie deed niets en de telefoonnummers waren ook niet meer terug te halen.

Ik ben toen met haar gaan zitten, heb haar 2 yubikeys en keepass gegeven. Ze logt nu vrijwel overal in met de yubikey als 2e factor, of met de Google-authenticator codes die ook op de yubikey staan opgeslagen.

Het voordeel van deze aanpak is als de geheimen eenmaal op de yubikey staan, deze er ook nooit meer vanaf kunnen komen.

Zij vond de extra stappen die ze moest nemen en het hele idee dat haar hele digitale leven nu aan 2 sleuteltjes hangt ook niet prettig, maar het feit dat, zolang zij die sleuteltjes heeft, er niemand bij haar spullen kan, geeft haar een hoop rust.

Ikkerens @klakkie.57th • 19 februari 2020 16:28

(Ik heb zelf een Yubikey, dus niet exact deze)

Het komt eigenlijk op verschillende punten neer die het of makkelijker, of veiliger maken voor mij.

Het meest voorname is dat dergelijke keys daadwerkelijk meer protocollen ondersteunen dan een 2fa app op je telefoon. Deze keys werken als 2fa (totp, hotp), maar ook als stand-alone keys (fido, smartcard), maar kunnen bijvoorbeeld ook gebruikt worden voor RSA keys (ssh, gpg).

In mijn geval heb ik nu dus een key, die ik altijd bij me heb, die ik op mijn mobiel kan gebruiken (NFC, usb), maar ook op mijn PC. Dus ik kan simpelweg 2fa codes genereren, of op SSH servers inloggen zonder ooit keys te moeten kopïeren via een cloud service of een extra USB disk.

Maar het is dan natuurlijk ook veiliger dan de alternatieven. Deze keys werken wat dat betreft als TPM waar alle gevoelige bewerkingen op het apparaat zelf gedaan worden. Het is dan ook niet mogelijk om de secrets eruit te halen.

Na een Yubikey nu iets van een jaar gebruikt te hebben, kan ik zeggen dat het allemaal opzetten aan het begin best wat werk is, maar als je alles eenmaal hebt draaien is jezelf aanmelden online veel makkelijker. Geen wachtwoorden meer om te onthouden (al kun je een PIN instellen), totp of otp voor diensten die geen FIDO ondersteunen, SSH voor al je linux servers en GPG/PGP voor encrypted mail, en dat allemaal in een enkele key die ik gewoon aan mijn sleutelbos heb hangen.

parzival110 @Ikkerens • 19 februari 2020 16:40

Volgens mij zitten we hier een beetje achter, TPM chips zijn te kraken. Dus ja je zet er een extra muur om heen maar om zomaar te claimen dat het niet te hacken is gaat wel een beetje ver. Volgens mij kan je alles hacken. Dus jouw key is versiering van jouw sleutelbos, want diegene die jou echt wil hacken en er ook de middelen voor heeft zal jou hacken of je nu een speciale key hebt of niet. En dan moet je jezelf de vraag stellen, waarom zo een aparte usb key? Waarom niet gewoon integreren in de machine zelf? Dit is business om de mensen af te schrikken en geld te laten spenderen voor niets. Want als je in staat bent om 2FA met softtokens te hacken dan kan je ook net zo goed een stapje verder gaan en een TPM chip hacken.
En dan de vraag die velen zich moeten stellen, waarom zou iemand jou willen hacken? Je zet toch ook geen alarmsysteem op een lege garage? Of denken mensen dat hackers erop uit zijn om mensen hun facebook account te hacken en foto's te stelen? Voor welk doel? Dus tenzij je staatsgeheimen hebt of waardevol IP dat je wil beschermen zie ik helemaal geen nut voor dit soort gadgets, want vroeg of laat zijn ze toch allemaal te hacken.
https://cyware.com/news/n...-keys-from-a-tpm-928e03e2
https://www.bleepingcompu...new-attacks-on-tpm-chips/
https://thehackernews.com...ryption-keys-hacking.html
http://www.h-online.com/s...from-TPM-chip-927077.html

[Reactie gewijzigd door parzival110 op 23 juli 2024 19:29]

ThaJay @parzival110 • 19 februari 2020 17:00

Dat het slot van je voordeur te kraken is wil toch niet zeggen dat het dan meteen maar geen zin heeft om je voordeur op slot te doen??

parzival110 @ThaJay • 19 februari 2020 17:13

De deur van een lege garage op slot?

user109731 @parzival110 • 19 februari 2020 17:29

Het is geen lege garage. Veel mensen hebben vertrouwelijke informatie in hun e-mail, password manager of diensten als Dropbox, iCloud opgeslagen. Je wilt niet weten hoeveel van die accounts gehackt worden (of pogingen daartoe..).

Misschien vind jij het geen probleem als iemand door je email, wachtwoorden, bestanden neust, dingen daar verwijderd of in jouw naam dingen doet...

[Reactie gewijzigd door user109731 op 23 juli 2024 19:29]

parzival110 @user109731 • 20 februari 2020 18:40

De vraag is wat ze met jouw informatie kunnen. Een foto waarop je een cocktail drinkt op strand?
Het punt is dat alles te hacken is, of je moet offline in een bunker jouw informatie bewaren onder militair toezicht. Dus als iemand echt door jouw bestanden wil neuzen dan gaat dat sleuteltje ze niet tegenhouden.

ThaJay @parzival110 • 19 februari 2020 17:25

Niet als je het goed vind dat er dieren en of mensen in je garage komen kamperen natuurlijk.

Bovendien geef ik het voorbeeld van je voordeur oftewel de toegang tot je huis. Is jouw huis leeg?

[Reactie gewijzigd door ThaJay op 23 juli 2024 19:29]

Pollux4092 @Ikkerens • 19 februari 2020 20:02

Ik wil geen zure zeurpiet zijn, maar is zo’n yubikey niet vooral bedoelt als two factor authentication?
Want, maar misschien begrijp ik je verhaal niet goed, als jij je sleutelbos verliest...,,,

Jerie

@Pollux4092 • 20 februari 2020 12:17

Want, maar misschien begrijp ik je verhaal niet goed, als jij je sleutelbos verliest

1) Daar heb je een reservesleutel voor.

2) In een org ga je dan naar beheer en die fixen je dan een andere sleutel.

Ikkerens @Pollux4092 • 21 februari 2020 16:06

Naast wat Jerie zegt in de buurcomment, backups. Backups. Backups.
Je moet toch al overal backups van hebben, dus ook van veilige aspecten.

Alle keys die op mijn yubikey staan heb ik in een beveiligde backup staan. Alles wat niet met keys werkt (bijvoorbeeld 2fa/totp codes) heb ik recovery keys voor.

Raymond Deen @Ikkerens • 19 februari 2020 21:59

Ik vergelijk het met de authenticators op m'n mobiel; als ik die vergeet (gebeurd me gelukkig echt vrijwel nooit) dan kan ik dus werkelijk nergens op inloggen...
M'n sleutels wil ik ook nog wel eens vergeten en dan heb je met zo'n ding het zelfde probleem...
Hoe los je dat dan op? Of als ie kapot gaat of zo?

LordLarry @Raymond Deen • 20 februari 2020 11:29

Een tweede sleutel of backup codes die je uitprint en in een (digitale) kluis bewaard of een andere manier van 2fa.

Jerie

@Raymond Deen • 20 februari 2020 12:19

M'n sleutels wil ik ook nog wel eens vergeten en dan heb je met zo'n ding het zelfde probleem

Als jij op een dag je sleutels vergeet waardoor je de hele dag niet in kunt loggen dan rijdt je of terug naar huis, of je gaat die dag nutteloos zijn. Dat doe je maar 1x. Daarna vergeet je je sleutelbos niet.

Hoe los je dat dan op?

Hoge punishment; zie hierboven.

Of als ie kapot gaat of zo?

Reservesleutel, al dan niet aan te vragen bij IT.

Sebazzz

@klakkie.57th • 19 februari 2020 16:26

Een softtoken kan in theorie gestolen en gekopieerd worden. Een hardwaretoken kan niet gekopieerd worden: de sleutel zit ingebakken in de token zelf. Daarnaast checkt het authenticateprotocol ook de domeinnaam waar je op zit.

Dit betekent ook dat als je je token kwijt raakt je ook toegang tot je account kwijt bent als je geen alternatieve tokens hebt geregistreerd. Echter, op sommige services kan je geen alternatieve tokens registeren (Twitter) of vereisen dat je je token met pincode beveiligd (Microsoft) waardoor je token niet meer draadloos met sommige WebAuthn implementaties werkt zoals die van iOS.

[Reactie gewijzigd door Sebazzz op 23 juli 2024 19:29]

klakkie.57th @Sebazzz • 19 februari 2020 17:02

Je vertrouwt dus wel een thirdparty toestel met security key maar niet je eigen telefoon omdat soft-tokens gestolen kunnen worden ??

Lijkt mij een gekke redenering.

Sebazzz

@klakkie.57th • 19 februari 2020 17:06

Dat 3rd party "toestel" (het is een USB stick meestal) is offline. Het heeft geen internetverbinding.

[Reactie gewijzigd door Sebazzz op 23 juli 2024 19:29]

Ayporos @Sebazzz • 19 februari 2020 18:25

Die snap ik niet.. als het offline is kan het toch ook niet communiceren met een online dienst?...

Het moment dat je dat ding in je device frot is het toch gewoon online? En de communicatie verloopt toch gewoon via je device/pc?

Hoezo is dát niet gewoon te hacken? Uiteindelijk stuurt die key toch gewoon een authenticatiestring of zo naar de server?

Ik moet bekennen dat ik niet helemaal ingelezen ben in hardware-keys zoals dit maar voor zo ver ik weet poept zo'n ding toch ook gewoon een 'wachtwoord' uit net zoals een softwarematige oplossing zoals een passwordmanager?

Sebazzz

@Ayporos • 19 februari 2020 19:26

Yubikeys kunnen een one-time password genereren maar meestal werkt het met public-key cryptografie via WebAuthn. De server stuurt data, de sleutel ondertekent dit. Dit is niet te onderscheppen. De browser praat tegen de sleutel, net zoals een Windows inlog tegen een smartcard kan praten.

Bjorn89 @Sebazzz • 19 februari 2020 17:50

Ja, ik mocht deze maand de gevolgen kndervinden van de combinatie geen auth ms App meer hebben(06 kapot), en het feit dat ik mijn wachtwoord niet meer wist.

Moet nu 30 dagen wachten voor ik erop kan(logde altijd met die pin in op de pc).

Zn hardware key zou dit zo oplossen, mits ik die niet kwijtraak

GekkePrutser

Yubico

@Bjorn89 • 19 februari 2020 19:59

Tegen kwijtraken kan je er meerdere koppelen. Ik heb altijd een Yubikey als backup aan mijn sleutelbos maar primair gebruik ik een andere.

user109731 @klakkie.57th • 19 februari 2020 17:00

Hardware sleutels beschermen (beter) tegen phishing. Stel je zit op een domein/website dat sterk lijkt op {google,facebook,dropbox}.com, dan kunnen ze jou vragen een SMS of OTP code in te tikken en dan loggen ze daarmee in op de echte website. Met Fido/WebAuthn is dat niet mogelijk (ander domein, je sleutel werkt niet).
Je kan eenvoudig meerdere keys registreren zodat je een backup op een veilige locatie kunt hebben. Vind ik zelf fijner dan je OTP codes backuppen of alles aan 1 telefoon nummer koppelen.

klakkie.57th @user109731 • 19 februari 2020 17:05

Zoals ik hierboven al aangaf , je vertrouwt dus wel de uitgever van deze keys ...

Hebben we vorige week net niet geleerd om geen bedrijven (zelfs zwitserse) te vertrouwen als het gaat om hardware encryptie ..

user109731 @klakkie.57th • 19 februari 2020 17:12

Er zijn ook keys met open-source firmware (SoloKeys bijvoorbeeld).

Als je SMS of OTP codes gebruikt, moet je ook maar je provider, telefoon hardware/software etc vertrouwen. (Ik heb zelf meer vertrouwen in de beveiliging van een YubiKey of SoloKey dan een willekeurig Android/iOS toestel met tig apps.)

yvo_duh @klakkie.57th • 19 februari 2020 16:26

Iemand kan pas authentificeren als ze jou hardware key hebben.
Je telefoon, laptop en pc is allemaal digitaal, alles wat digitaal is kan gehacked worden

Ja, je kan een hardware key kwijtraken of gestolen worden. toch is de beveiliging beter met hardware.

Edit: Grammatica

[Reactie gewijzigd door yvo_duh op 23 juli 2024 19:29]

DerDee @klakkie.57th • 19 februari 2020 16:27

Ik kan slechts gokken, maar het lijkt me dat dit minder kraak gevoelig is. Een signaal van je telefoon is op te vangen en weer uit te zenden, bij een fysieke stick moet ook eerst fysieke toegang worden verkregen. Een beetje hetzelfde met de auto's van vroeger met sleutel v.s. keyless entry.

Oon

@klakkie.57th • 20 februari 2020 06:18

SMS is niet beveiligd. Net als e-mail is SMS een hele slechte optie om te bevestigen dat iemand toegang hoort te hebben. Een authenticator app is daarentegen een stuk veiliger, zeker aangezien het TOTP-protocol iedere 30 seconden een nieuwe code genereert en jij zelf de controle hebt over waar jouw secret heen gaat, met een secret dat door de website die je gebruikt gegenereerd wordt en dus per definitie uniek is, je hebt hier dus niet de mogelijkheid om voor iedere website dezelfde secret key te gebruiken.

Het grote voordeel aan hardware authenticatie (FIDO2) is dat je zonder twijfel bevestigt dat deze persoon toegang mag hebben. Het is hierbij een sterkere factor dan bijv. een wachtwoord en ook sterker dan bijv. een TOTP-code, want deze fysieke sleutel is niet zomaar te kopiëren. Fysieke beveiliging is ook iets dat je direct merkt wanneer iemand anders toegang zou hebben, want dat betekent dat jij je sleutelhanger kwijt bent en dus zelf geen toegang meer hebt.

royalt123 19 februari 2020 17:44

Ik vind het wel een leuk product maar met enkel fysiek sleutel ben je niet veilig genoeg in mijn ogen al is het wel beter dan niks.

Er zijn 3 belangrijke pijlers bij het authenticeren:
Wat jij weet (wachtwoord)
Wat jij bent (fingerprint/iriscan/bloed/...)
Wat jij hebt (fysiek sleutel zoals yubikey)
Als u voldoet aan 3 pijlers dan ben je toegelaten.

En naar mijn mening ook geen alternative authenticatie bieden zoals mail recovery, sms etc want dat maakt dan extra security zoals yubikey etc nutteloos

Ik wil wel graag jullie mening daarover horen, ik heb namelijk lang over nagedacht of ik dat thuis zo gaat doen.

TheVMaster Moderator WOS @royalt123 • 19 februari 2020 18:05

Ik doe zo weinig mogelijk aan wachtwoorden. Denk dat je daar namelijk over een aantal jaren afscheid van gaan nemen. Op mijn werk laptop gebruik ik mijn wachtwoord maar 1x, dat is namelijk als ik de jaarlijkse 'u moet uw wachtwoord wijzigen' melding krijg. Voor de rest gebruik ik hem eigenlijk nooit. Zelfs niet voor het opnieuw inspoelen van mijn laptop, dan log ik aan met mijn telefoon (waar ik een notificatie op krijg via de authenticator app)

ari

@royalt123 • 19 februari 2020 23:45

Eens met het principe, maar niet eens met het 'geen alternatieve authenticatie bieden'. Een scanner gaat nog wel eens stuk. Mensen vergeten dingen en raken dingen kwijt, daar moet het systeem op berekend zijn. Mail en sms lijken me inderdaad geen strak plan, maar een alternatieve sleutel die een willekeurige pijler kan vervangen lijkt me noodzakelijk. Die mik je dan met een duidelijk label in een kluis met een deftig slot erop en klaar. Als de betreffende sleutel bestaat uit elektronica dan is het verstandig om een jaarlijks terugkerende afspraak in je agenda te zetten om dat te testen en eventueel te vervangen.

royalt123 @ari • 20 februari 2020 00:37

Dat kan je inderdaad doen, je kan ook 2de yubikey nemen en in de kluis bewaren en eventueel ook wachtwoord noteren en in kluis bewaren.

Oon

@ari • 20 februari 2020 06:22

Die mik je dan met een duidelijk label in een kluis met een deftig slot erop en klaar.

Jammer dat deze voor consumenten vooralsnog niet bestaan/niet betaalbaar zijn. Voor kluizen die daadwerkelijk veilig genoeg zijn om een professionele inbreker te stoppen ben je al gauw een paar duizend euro kwijt, en die moeten dan in je kelder gemetseld worden o.i.d. en zelfs dan beveiligd zijn met een alarm.

De kans dat je als willekeurige persoon zo'n gerichte aanval ontvangt is natuurlijk klein, maar als je het over veiligheid hebt dan is een kluis uiteindelijk minder veilig dan gewoon een papiertje met een lang wachtwoord (evt. als QR-code) ergens in een lade verstoppen, want een kluis trekt meer aandacht.

lezzmeister @royalt123 • 20 februari 2020 23:26

Helemaal mee eens. Daarom moet je op z'n minst een pincode vereisen bij inlog. Alleen de sleutel hebben is niet voldoende.

Verwijderd 19 februari 2020 16:57

Van wat ik begrepen heb is deze Titan key in samenwerking met Yubikey ontwikkelt. Enige verschil is dat er google's eigen firmware op zit. Waarom zou je dit kopen ipv de originele Yubikey? Ik vertrouw Google niet zo. Zou me niets verbazen als ze er een backdoor hebben moeten laten inbouwen voor de Amerikaanse geheime diensten. Het is geen geheim dat Google samenwerkt met de amerikaanse veiligheidsdiensten.

Zyphlan @Verwijderd • 20 februari 2020 03:39

[Reactie gewijzigd door Zyphlan op 23 juli 2024 19:29]

Oon

@Verwijderd • 20 februari 2020 06:26

Ik zou dit vooral zien als een mooie ontwikkeling in de hardware kant, en een stap in de goede richting om de FIDO2-standaard op meer plekken geïmplementeerd te krijgen. Het is vooralsnog vrij lastig/omslachtig als developer om MFA werkend te krijgen buiten TOTP en bijv. Twilio, en dit zou dat wel eens makkelijker kunnen gaan maken.

Dit is overigens ook een stap die nodig is, want met HTTP/2 en TLS1.3 is het vooralsnog niet mogelijk om een client certificaat te gebruiken voor authenticatie, iets dat sommige enterprise apps nu gebruiken als alternatief.

ThaJay 19 februari 2020 17:03

Heel tof dat ze dit concept naar de mainstream willen brengen, ik denk dat dit binnen 10 jaar normaal gaat worden. Wel zou ik de custom firmware van Google natuurlijk niet vertrouwen en alleen met een gerenommeerd bedrijf of een open source organisatie in zee gaan. Yubikey zelf of Nitrokey op dit moment dus.

TheVMaster Moderator WOS 19 februari 2020 18:03

'Aangepaste firmware van Google'. Dus wat maakt deze dan 'anders' dan de gewone Yubikeys met FIDO2 ondersteuning?

mutley69 19 februari 2020 21:00

Solokeys heeft al heel lang een OSS_sleutel uit met USB-C en ook sleutels met NFC - waarom zou je dan voor die brol van een meervoudig veroordeeld monopolist kiezen? Leg het mij uit, want dat snap ik niet...
Je kan die Solokey ook zelf met een eenvoudig python-script up-to-date houden - en je moet niet zoals bij Yubico als je een nieuwe firmware wil - heel de sleutel opsturen (hoe belachelijk is dat - dan ontstaat net de mogelijkheid tot misbruik)!

alwetend @mutley69 • 20 februari 2020 06:38

Moet je hem serieus opsturen?

Ik zat eraan te denken om er een te kopen. Maar eerst goed inlezen omtrent updates.

Randleman @mutley69 • 20 februari 2020 15:05

Je kan die Solokey ook zelf met een eenvoudig python-script up-to-date houden

Daarom.

Tinus Streuvink

@Randleman • 21 februari 2020 12:35

Tsja en hoe doe je dat dan? Als eenvoudig gebruiker die wel veiligheid wil maar niet kan programmeren?

Randleman @Tinus Streuvink • 21 februari 2020 12:58

Dat bedoel ik; daarom zou je dus voor een Titan kiezen ipv een solokey.

Tinus Streuvink

21 februari 2020 12:37

Kan zo'n key gecompromitteerd worden door een virus oid?

Pollux4092 29 februari 2020 12:00

Er staan een aantal interessante artikelen over dit onderwerp in de nieuwste CT magazine.
Maakte voor mij veel duidelijk

GekkePrutser

Yubico

@wifikabelhuren • 19 februari 2020 20:00

Dit is juist wel handig voor Mac gebruikers want het heeft USB-C dat juist de enige poort is die nog op Mac portables zit.

Jerie

@wifikabelhuren • 20 februari 2020 12:20

Adaptertje. USB-C en USB-A zijn ideaal. Lightning als je heavy op iOS ecosysteem zit (maar daar is men ook deels over naar USB-C).

Laatste MB(P|A) hebben 2+ ports. Heb zelf 2 USB-A plus magsafe (MBP 2015). Maar ook nog 2x TB2.

Op dit item kan niet meer gereageerd worden.

Google brengt Titan-beveiligingssleutel met usb-c uit in enkele Europese landen

Lees meer

Reacties (67)

Sorteer op:

Weergave: