Proton voegt ondersteuning voor beveiligingssleutels toe als extra 2fa-optie

Proton voegt de optie toe om in te loggen met fysieke U2F- en FIDO2-beveiligingssleutels in diensten als Proton Mail, Proton Drive en Proton Calendar. De functie werkt vooralsnog alleen als extra inlogmethode en kan alleen worden ingeschakeld als ook totp-authenticatie wordt gebruikt.

Proton schrijft in een blogpost dat gebruikers vanaf nu beveiligingssleutels kunnen toevoegen aan hun Proton-account. Gebruikers kunnen dat doen in de accountinstellingen, onder 'account and password'. Gebruikers kunnen meerdere beveiligingssleutels koppelen aan hun Proton-account, dat wordt gebruikt om in te loggen op diensten Proton Mail, Proton Drive, Proton Calendar en Proton VPN. De dienst ondersteunt U2F- en FIDO2-sleutels, zoals YubiKeys. Proton kan nu ook overweg met biometrische 2fa-methodes die ingebouwd zitten in bepaalde apparaten, zoals Apples Touch ID en Windows Hello.

Gebruikers kunnen hun securitykeys op dit moment alleen gebruiken om in te loggen op de browserversies van Proton-diensten. Momenteel is dat nog niet mogelijk in Proton-apps voor telefoons, hoewel het bedrijf op Reddit meldt daar wel aan te werken. Het is niet bekend wanneer deze optie verschijnt.

Ondersteuning voor beveiligingssleutels is momenteel ook alleen beschikbaar als extra inlogfactor. Gebruikers kunnen pas een beveilingssleutel toevoegen nadat ze 2fa met een authenticatorapp op hun smartphone instellen. Gebruikers kunnen vervolgens bij iedere inlogpoging kiezen of ze gebruik willen maken van hun beveiligingssleutel of een totp-code via een authenticatorapp. Het is niet bekend of Proton de totp-eis op termijn verwijdert.

Proton beveiligingssleutels

Door Daan van Monsjou

Nieuwsredacteur

Feedback • 14-10-2022 16:47 17

14-10-2022 • 16:47

17

Lees meer

'Ons doel is een privacyecosysteem'

4 nov 2022

'Ons doel is een privacyecosysteem'

Proton-ceo Andy Yen over privacy en big tech

71
Proton VPN krijgt Arm-versie voor Windows
Proton VPN krijgt Arm-versie voor Windows Nieuws van 5 november 2024
Yubico begint met leveren verbeterde Yubikey Bio met ruimte voor meer passkeys
Yubico begint met leveren verbeterde Yubikey Bio met ruimte voor meer passkeys Nieuws van 13 augustus 2024
Proton stelt eigen wachtwoordmanager beschikbaar via F-Droid-appwinkel
Proton stelt eigen wachtwoordmanager beschikbaar via F-Droid-appwinkel Nieuws van 22 april 2024
Proton Mail gaat betalende klanten waarschuwen voor datalekken op het darkweb
Proton Mail gaat betalende klanten waarschuwen voor datalekken op het darkweb Nieuws van 22 april 2024
Proton maakt Proton Pass-wachtwoordmanager beschikbaar voor Windows
Proton maakt Proton Pass-wachtwoordmanager beschikbaar voor Windows Nieuws van 1 maart 2024
Proton introduceert macOS-app voor versleutelde Proton Drive-cloudopslagdienst
Proton introduceert macOS-app voor versleutelde Proton Drive-cloudopslagdienst Nieuws van 23 november 2023
Google introduceert Titan-beveiligingssleutels met ondersteuning voor passkeys
Google introduceert Titan-beveiligingssleutels met ondersteuning voor passkeys Nieuws van 16 november 2023
Proton maakt wachtwoordmanager Proton Pass beschikbaar voor alle gebruikers
Proton maakt wachtwoordmanager Proton Pass beschikbaar voor alle gebruikers Nieuws van 28 juni 2023
Proton brengt eigen wachtwoordmanager Proton Pass in gesloten bèta uit
Proton brengt eigen wachtwoordmanager Proton Pass in gesloten bèta uit Nieuws van 20 april 2023
Proton heeft 100 miljoen accountregistraties
Proton heeft 100 miljoen accountregistraties Nieuws van 19 april 2023
Proton brengt Drive-clouddienst uit voor iOS en Android
Proton brengt Drive-clouddienst uit voor iOS en Android Nieuws van 7 december 2022
Proton brengt versleutelde agenda-app Proton Calendar uit voor iOS
Proton brengt versleutelde agenda-app Proton Calendar uit voor iOS Nieuws van 30 november 2022
Proton brengt nieuw 'stealth' VPN-protocol uit
Proton brengt nieuw 'stealth' VPN-protocol uit Nieuws van 11 oktober 2022
Proton brengt cloudopslag Drive officieel uit voor alle gebruikers
Proton brengt cloudopslag Drive officieel uit voor alle gebruikers Nieuws van 22 september 2022
ProtonVPN sluit zich aan bij vpn-diensten die servers sluiten in India
ProtonVPN sluit zich aan bij vpn-diensten die servers sluiten in India Nieuws van 22 september 2022
Mullvad brengt fysieke beveiligingssleutel uit en zet broncode en ontwerp online
Mullvad brengt fysieke beveiligingssleutel uit en zet broncode en ontwerp online Nieuws van 20 september 2022
Proton komt met nieuwe huisstijl en abonnementsprijzen
Proton komt met nieuwe huisstijl en abonnementsprijzen Nieuws van 26 mei 2022
Proton na externe audit: betaalde VPN-dienst houdt geen logs bij
Proton na externe audit: betaalde VPN-dienst houdt geen logs bij Nieuws van 13 april 2022
ProtonMail-ontwikkelaar neemt e-mailaliasdienst SimpleLogin over
ProtonMail-ontwikkelaar neemt e-mailaliasdienst SimpleLogin over Nieuws van 11 april 2022
ProtonMail blokkeert en verwijdert voortaan standaard e-mailtrackers
ProtonMail blokkeert en verwijdert voortaan standaard e-mailtrackers Nieuws van 19 januari 2022
Yubico brengt nieuwe beveiligingssleutel met USB-C en NFC uit
Yubico brengt nieuwe beveiligingssleutel met USB-C en NFC uit Nieuws van 27 oktober 2021
ProtonVPN gaat standaard gebruikmaken van WireGuard-protocol
ProtonVPN gaat standaard gebruikmaken van WireGuard-protocol Nieuws van 14 oktober 2021
Yubico brengt beveiligingssleutel YubiKey Bio met vingerafdruklezer uit
Yubico brengt beveiligingssleutel YubiKey Bio met vingerafdruklezer uit Nieuws van 5 oktober 2021
Proton schrapt producttekst ProtonMail over het niet bijhouden van ip-logs
Proton schrapt producttekst ProtonMail over het niet bijhouden van ip-logs Nieuws van 9 september 2021
Meer producten en artikelen
Beveiliging en antivirus Websites en community's Beveiliging E-mail beveiliging FIDO Proton Proton Drive ProtonMail Security yubikey

Reacties (17)

-Moderatie-faq
17
17
10
0
0
4
Wijzig sortering

Sorteer op:

Weergave:
correcto 14 oktober 2022 17:52
Mooie functionaliteit, heb het meteen aangezet. Ook fijn dat je meerdere keys kunt instellen, dat kan lang niet altijd.
MrBlueEyes @correcto14 oktober 2022 18:13
Ben ik zelf gelukkig nog niet tegengekomen. Hopelijk kan het snel wel zonder totp ook aan te hebben staan. Anders is het alsnog niet veiliger.
correcto @MrBlueEyes14 oktober 2022 19:06
Oprechte vraag: wat is het probleem met totp dan volgens jou?
kell.nl @correcto14 oktober 2022 19:52
Met TOTP is het mogelijk om de code te onderscheppen met een reverse proxy. Dat is altijd al geweest en sinds lange tijd zijn er open source pakketten die dat redelijk gemakkelijk maken.

Als je een reverse proxy opzet op bijvoorbeeld pr0t0nmail.com (nullen ipv o), dat alles naar het normale domein proxied, dan kun je de code onderscheppen. Of nog gemakkelijker, je hoeft de code nog niet eens nodig omdat je het sessie cookie kunt onderscheppen en kunt gebruiken.
Dus als je iemand naar pr0t0nmail.com kunt laten gaan met een phishing email, alles proxied, dan ben je binnen omdat er geen "check" is voor TOTP

Zoals ik zei, er waren al open source pakketten beschikbaar voor reverse proxy phishing die dit redelijk gemakkelijk maken voor de "grote jongens" zoals Facebook, Office 365 etc. Maar met genoeg know-how kan iemand dat voor ongeveer elke site met TOTP doen. Maar dit jaar is het nog erger geworden omdat er nu een aantal services zijn waar alles voor je geregeld wordt. Phishing-as-a-Service.
Iedere scriptkiddy kan met een beetje geld betalen dit doen zonder te weten hoe het werkt. Geld betalen, domeintje registreren, scriptje runnen et voila, volledig up-and-running phishing site met ondersteuning voor TOTP (en andere OTP mechanismen ook, zoals de push notificaties op je telefoon).
Lees deze maar even: https://resecurity.com/bl...ypass-emerged-in-dark-web
Heeft zelfs een video tutorial met de stappen nodig voor een Microsoft phishing site. De video is 4 minuten lang inclusief beelden wat de gebruiker (slachtoffer) ziet...

U2F/FIDO beschermt hier tegen omdat het een client/server model is. Als de client (je web browser in dit geval) tegen pr0t0nmail.com praat, dan heeft het geen key voor dat domein, dus geen authenticate kan plaats vinden. Et voila, niks aan het handje! (nou, een beetje aan het handje, want de phishing site heeft wel je wachtwoord en gebruikersnaam onderschept. Dus hopelijk is je wachtwoord uniek....)

Daarom gebruik ik altijd mijn yubikey op elke site die belangrijk is en ondersteuning daarvoor heeft. En ik heb mijn belangrijke domeinen op Protonmail, dus daar gebruik ik Yubikey nu ook. Ook al heeft het nog steeds TOTP als backup, het is nog steeds veiliger omdat ik alleen the yubikey gebruik, en als dat niet gaat, dan weet ik dat er iets gaande is.
Jack Flushell @kell.nl14 oktober 2022 20:33
Stel, ik ga niet naar pt0t0nmail.com, dan is er toch ook niets aan de hand? Je doet nu alsof 2FA onveilig is vanwege een niche-geval. Dat valt dus alleszins mee. Ik ben het met je eens: met zo'n Yubikey ben je daartegen beschermd en dus is het iets veiliger, maar m.i. maar marginaal (vergeleken met 2FA).

[Reactie gewijzigd door Jack Flushell op 26 juli 2024 18:50]

gamer0308 @Jack Flushell14 oktober 2022 20:37
En een pasword manager zorgt er ook voor dat er niks automatisch ingevuld wordt als de url niet klopt. In dit geval moet er ook een lampje gaan branden dat er iets niet klopt.
TuxDePinguïn @Jack Flushell14 oktober 2022 20:49
Stel je zit op een WiFi netwerk waar iemand met de DNS heeft zitten boeven. Je tikt protonmail.com in maar je gaat naar een IP met een inlogportaal dat op Proton lijkt. Dan zijn de TOTP-rapen ook gaar.
kell.nl @Jack Flushell14 oktober 2022 21:14
Yubikey (U2F/FIDO) is ook 2FA ^^

Ik had het specifiek over TOTP

En ja, niche geval durf ik het niet te noemen. Als je een beetje security conscious bent, dan sure, de kans is kleiner. Maar aangezien het feit dat phishing en smishing nog steeds de nummer 1 methode is om een bedrijf binnen te komen, dan lijkt het erop dat genoeg mensen op pr0t0nmail.com zouden klikken.

Ook is dit niet het enige factor waartegen U2F/FIDO beschermd. Het is gemakkelijker om de seed van een TOTP te verkrijgen dan de private key van de U2F/FIDO client als de server zijn zaakjes niet op orde heeft.

Ook als je telefoon gehacked is, dan kan de hacker bij je TOTP applicatie. Met een Yubikey moet je er fysiek zijn om het aan te raken

Als je ergens heen gaat met je telefoon maar je wil zeker weten dat niemand je kan dwingen in te loggen op je bank, of ergens anders, gewoon niet je Yubikey meenemen.

Als je dit alles marginaal vindt, dan tja. Ik vind het de moeite wel waard (en de moeite is minder dan TOTP imo. Ik hoef alleen even de Yubikey aan te raken ipv mijn telefoon te pakken, TOTP app starten, scrollen, code over typen... Configuratie is wel moeilijker, toegegeven)
honey @kell.nl15 oktober 2022 09:26
Een ander groot gevaar waar ik veel vaker mee te maken heb is dataverlies. Door alles extreem goed te versleutelen en innovaties zoals yubikey te gebruiken, neemt de kans toe dat je zelf nooit meer bij je data komt. Ik ben zelf ook meerdere keren data kwijtgeraakt.

Een ander scenario, een vriendin was haar telefoon kwijt op een festival. We wilden de Found My Device gebruiken op mijn telefoon. Door de 2FA (dacht ik) kwamen we er niet in en kon ze het niet gebruiken. Wel veilig, niet handig.

Dus, ik snap de behoefte om steeds beter te beveiligen, het is wellicht ook nodig, maar het kan ook nadelen hebben. Zorg in ieder geval dat je een alternatieve log-in hebt ingesteld.

Yubikey ken ik niet, zal er naar kijken. :)
correcto @honey15 oktober 2022 10:14
Dat is zeker een ding.
Zorg dus dat je een backup hebt voor je totp codes. Bijvoorbeeld door de backup codes in je password manager op te slaan.
En gebruik niet 1, maar 2 Yubikeys voor het geval dat je er één kwijt raakt.
correcto @kell.nl14 oktober 2022 21:20
Helder, dank voor de uitleg!
aileron @correcto15 oktober 2022 22:15
Meerdere keys vind ik zelf echt een vereiste. Je wil altijd een backup hebben.

Proton timmert geweldig aan de weg. De services die worden toegevoegd zijn eigenlijk allemaal welkom. Nu 5 jaar een visionary abbo. Echt veel extra toegevoegd in die tijd. Ik ben erg benieuwd wat er de komende 5 jaar zal veranderen.

Ik kan de service echt iedereen aanraden. Het kost iets, maar je krijgt er ook veel voor.
Aardwolf @aileron17 oktober 2022 18:04
Ik vraag me altijd af hoe goed zo'n product/service blijft als steeds meer mensen er naar toe overstappen. Voorlopig nog een niche voor de wat bewuste mensen, maar in 5 jaar tijd kan er een hoop veranderen.

Wat me verder opviel is dat ze afgelopen maand hun abonnementenmodel op de schop hebben genomen. In september had je nog mogelijkheid tot een betaald account "Mail Plus" van €3,99/mnd (12mnd) of €3,49/mnd (24mnd). Nu is er alleen nog Proton Free en Proton Unlimited, waar die laatste meteen €9,99/mnd resp. €7,99/mnd kost. Wel een enorme sprong waar ik minder positief over ben. Het lijkt een beetje als een keuze tussen alles of niets, zonder mogelijkheid tot betaalbare middenweg.
aileron @Aardwolf17 oktober 2022 21:44
Ik geloof niet dat ze ineens zullen worden overvallen en enorme resource tekorten krijgen. Tenzij er een soort Snowden achtige lek komt waardoor iedereen van Google,MS etc af wil.

Voor echt betaalde groei en dus serieuze schaalvergroting zullen ze zich denk ik ook op de zakelijke markt moeten richten. Er zijn genoeg bedrijven die IP's hebben en betere beveiliging en privacy nastreven.

Ik hoop in ieder geval dat Proton succesvol zal zijn. Ze timmeren verschrikkelijk goed aan de weg en ze zijn een echt alternatief voor big tech aan het creëren.
Aardbol_23564 @correcto14 oktober 2022 20:10
Ik zeg: eindelijk! Hier wachtte ik al lang op. Ik ben blij dat ze er werk van gemaakt hebben en zal het ook meteen aanzetten
DJ Henk @Aardbol_2356416 oktober 2022 09:10
Ik begrijp ook niet dat dit nieuws is. Ik heb zelf Fastmail en die ondersteunen dat al een tijdje.
Aardbol_23564 @DJ Henk17 oktober 2022 21:34
Het is nieuws omdat vele gebruikers er al lang om vragen :) . FM is niet meteen een gelijkaardig alternatief te noemen voor PM, lijkt mij. Zie ook https://en.wikipedia.org/wiki/Five_Eyes, als je surveillance je een vies gevoel geeft. FM geven meer een belofte van "wij zijn en bedoelen het goed", terwijl PM veel meer in detail gaan en bijvoorbeeld ook OpenPGP.js ontwikkelen. Goede PM alternatieven die ik zou aanraden zijn posteo.de en mailbox.org. Beide Duitse diensten.

[Reactie gewijzigd door Aardbol_23564 op 26 juli 2024 18:50]

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq