Google introduceert Titan-beveiligingssleutels met ondersteuning voor passkeys

Google komt met nieuwe versies van zijn Titan-beveiligingssleutels. De sleutels komen opnieuw beschikbaar als USB-A- en USB-C-varianten en ondersteunen ook NFC. De sleutels kunnen met deze generatie ook passkeys opslaan voor wachtwoordloos inloggen.

De nieuwe Google Titan-sleutels vervangen de huidige USB-A- en USB-C-modellen uit 2021. De nieuwe versies bieden ondersteuning voor passkeys, een nieuwe techniek die wachtwoorden moet vervangen. Gebruikers kunnen 'meer dan 250' unieke passkeys opslaan op een Titan-sleutel en die vervolgens gebruiken om in te loggen, meldt Google in een blogpost.

De nieuwe beveiligingssleutels hebben ook een nieuw ontwerp, hoewel de functionaliteit verder hetzelfde lijkt te blijven. Beide sleutels ondersteunen NFC, waarmee ze gebruikt kunnen worden op smartphones. Aan de bovenkant van de sleutels zit een knop die gebruikt kan worden om een inlogpoging mee te authenticeren.

Beide Google Titan-versies zijn nu beschikbaar in de Google Store voor 35 euro. De beveiligingssleutels staan momenteel niet in de Nederlandse Google-winkel, maar zijn wel beschikbaar in België. Het is niet bekend of en wanneer de sleutels naar Nederland komen. Tweakers heeft hierover vragen uitstaan bij Google.

Google Titan-beveiligingssleutels 2023 — Bron: Google

Reacties (50)

slijkie 16 november 2023 11:35

Dat is wel mooi, alleen jammer dat Yubico een beetje zit te niksen de laatste tijd. (Nu al 5 jaar sinds de Yubikey 5 uit is)

Heb de laatste Yubikey in gebruik, maar er zit nauwelijks opslag op. Men kan maar een zeer beperkt aantal 2FA secrets erop kwijt. 32 stuks als ik mij niet vergis.

Voldoende voor mijn vrouw, en wellicht voor velen, maar ik denk dat toch de nerds zoals ik en veel mede-tweakers heel wat meer dan 32 logins hebben met 2fa ingeschakeld.

Hoe zit het met deze dingen, het is van Google, maar is alles op de sleutel? Geen cloud opslag? En ook niet als ‘opt-out’ dat er toch weer dingen bij Google staan?

Edit: toevoeging

[Reactie gewijzigd door slijkie op 23 juli 2024 00:14]

Joao @slijkie • 16 november 2023 11:38

Wat doe je precies met die 2FA secrets? Ik heb dit allemaal in Vaultwarden als je het over 2FA recovery keys hebt. Of bedoel je iets anders?

slijkie @Joao • 16 november 2023 11:43

Bij de Yubikey 5 plaats je de 2FA secrets fysiek op de yubikey.

Je opent dan de Yubico Authenticator app, moet fysiek de sleutel tegen je telefoon houden. (Of de Yubico Authenticator app op windows/mac/linux en dan insteken)

Om de 2FA codes uit te kunnen lezen.

Oftewel, zonder de fysieke sleutel heb je niks.

Ik gebruik nu de 32 belangrijkste erop, rest staat (helaas) in ProtonPass.

Yzord @slijkie • 16 november 2023 12:05

Gewoon het feit dat ik een fysieke sleutel in de buurt moet hebben weerhoud mij om passkeys in te stellen. Deze zijn namelijk nog makkelijker te verliezen/stelen. Mijn telefoon heeft inmiddels een vaste plek ingenomen in mijn leven. Dat ga ik echt niet met mijn bos sleutels doen.

FvdM @Yzord • 16 november 2023 13:20

Gewoon het feit dat ik een fysieke sleutel in de buurt moet hebben weerhoud mij om passkeys in te stellen.

Het mooie van passkeys is juist dat het in de basis niet platform afhankelijk is. Je kan ook je smartphone als authenticator instellen zonder extra hardware sleutels. Het werkt native vanaf Android 9 en iOS 16.

Yzord @FvdM • 16 november 2023 13:38

Dank je, dat wist ik (nog) niet 👍

MrMonkE @Yzord • 16 november 2023 12:17

https://www.yubico.com/products/spare/

Dus je moet er altijd minstens 2 hebben denk ik net als een reserve sleutel voor je auto.

Tel @MrMonkE • 16 november 2023 14:20

Ja - Al hoeft dat niet perse een tweede yubikey te zijn. Bij het aanzetten van 2FA schrijf ik de secret naar de yubikey voor dagelijks gebruik én als backup in een cold storage wachtwoordkluis (niet dezelfde als mijn dagelijke kluis).

helldogbe @Tel • 16 november 2023 17:11

Die cold storage (zonder 2e Yubikey) werkt toch alleen voor OTP-codes?

Ben wel benieuwd naar hoe je die cold storage organiseert? Tenzij je het alleen over TOTP backups hebt? Want de FIDO certificaten kunnen toch alleen hardware matig opgeslagen worden, waardoor je alsnog een 2e Yubi of Titankey nodig hebt als backup als je hier gebruik wil van maken?

Of bestaat er ook een mogelijkheid om deze (net zoals de TOTP en OTP/recovery codes) als (tekst?) file op te slaan, te encrypten in een 7Zip en vervolgens in een beveiligde cloud of op een gewone USB-stick op te slaan?

Ik wil namelijk wel eens aan de slag met een Yubikey maar vind de investering in meerdere keys en het beperkt aantal FIDO2 certificaten en TOTP keys niet erg toekomstbestendig.

Deze Google Titan met 250 passkey lijkt de Yubikey 5 met max 25 FIDO2 certificaten overbodig te maken. Alleen moeten zaken zoals TOTP dan wel via een ander device zoals Aegis op de smartphone...

Frij5fd @helldogbe • 16 november 2023 21:38

Je kunt de QR-code die je voorgeschoteld krijgt als screenshot saven en enqrypten. Daarmee kun je altijd weer verder

helldogbe @Frij5fd • 17 november 2023 06:46

Ach OK, ik dacht dat het FIDO certificaat rechtsteeks geëncrypteerd in het toestel werd met een handshake zodat niemand die kon kopiëren.

Dus met die QR code kan het certificaat op een andere key later geactiveerd worden, waarna je dan kunt inloggen op je service, vervolgens een nieuw certificaat kan aanmaken en tenslotte het oude certificaat buiten dienst kan stellen zodat niemand de verloren Yubikey/Titan kan kraken met je pin/pass?

SamSid @slijkie • 16 november 2023 11:47

Is een tweede sleutel niet mogelijk?

Joao @slijkie • 16 november 2023 12:55

Ahhh, duidelijk! Ik wist niet dat Yubico ook een egen authenticator app heeft! Bedankt voor de info.

TalkNerdy @slijkie • 16 november 2023 13:52

Wat zijn jouw ervaringen met ProtonPass ?

slijkie @TalkNerdy • 16 november 2023 17:21

Erg fijn, 2fa automatisch plakbaar na het automatisch invullen van de login. Wel 1 groot minpunt, voor mij althans, nog geen Safari support.

Aikon @slijkie • 16 november 2023 11:48

Maar als de passkeys wachtwoorden moeten vervangen, dan vind ik 250 stuks ook weinig. Ik heb 203 wachtwoorden in m'n vault op het moment, dus dan zit ik er al dicht tegenaan.

Terwijl het volgens mij bij wijze van spreke een kwestie is van 1 cent meer uitgeven aan 1MB meer storage en je hebt een veelvoud van de opslag...

amsterdamned @Aikon • 16 november 2023 11:52

Ik heb er bijna 600. Veel websites en webshops waar ik waarschijnlijk nooit meer zal inloggen, maar toch, het gaat om het idee. 250 is naar mijn inziens veel te weinig voor een grote groep mensen.

MrMonkE @amsterdamned • 16 november 2023 11:55

Dus je moet voor elke een profiel op je Yubikey hebben?
Je kunt niet zegen dit profiel geldt voor alles? Dan is 25 wel summier.

Aldy @amsterdamned • 16 november 2023 14:03

En des te meer wachtwoorden je hebt, des te vervelender het wordt om de nooit meer te gebruiken wachtwoorden te verwijderen. Ken het probleem...

karelvandongen @amsterdamned • 16 november 2023 20:05

ik heb al > 750. in 20 jaar verzameld. je bent dus niet de engste met dit probleem

THM0 @slijkie • 16 november 2023 11:38

Heb de laatste Yubikey in gebruik, maar er zit nauwelijks opslag op. Men kan maar een zeer beperkt aantal 2FA secrets erop kwijt. 32 stuks als ik mij niet vergis.

25 stuks volgens de documentatie.

KingLeaf @slijkie • 16 november 2023 11:42

Dat is inderdaad weinig 2FA secrets voor een security product, ik heb er zelf 40 op de Aegis app.

Dieks77 @slijkie • 16 november 2023 12:09

Het ligt er aan welk 2FA protocol er gebruikt wordt.

https://support.yubico.co...register-my-YubiKey-with-

OTP - this application can hold two credentials. However, Yubico OTP, one of the most popular kinds of credentials to put in this app, can be registered with an unlimited number of services.
FIDO U2F - similar to Yubico OTP, the U2F application can be registered with an unlimited number of services.
FIDO2 - the YubiKey 5 can hold up to 25 discoverable credentials (AKA hardware-bound passkeys) in its FIDO2 application.
OATH (Yubico Authenticator) - the YubiKey 5's OATH application can hold up to 32 OATH-TOTP credentials (AKA authenticator app codes).
*PIV - the YubiKey 5's PIV (smart card) application has 24 slots, each of which can hold one certificate and its corresponding private key (click here for further information).
*OpenPGP - the YubiKey 5's OpenPGP application can hold up to three OpenPGP private keys, one for encryption, one for signing, and one for authentication.
*OpenPGP and PIV are less-commonly used than OTP, U2F, FIDO2, and OATH

Llopigat

Google
Beveiliging en antivirus

@Dieks77 • 16 november 2023 14:57

OpenPGP and PIV are less-commonly used than OTP, U2F, FIDO2, and OATH

Haha, OpenPGP gebruik ik nog het meest. Voor mijn SSH keys, voor paswoord manager, voor file encryptie enzovoorts.

SSH keys kunnen tegenwoordig ook met FIDO2 maar je hebt een heel recente versie van de server nodig. Omdat ik veel embedded apparaten heb (ILO, Routers enz) is de kans niet groot dat dat snel gebeurt dus ik gebruik nog gewoon de oude.

Llopigat

Google
Beveiliging en antivirus

@slijkie • 16 november 2023 14:33

Ja inderdaad. Heel jammer dat er geen nieuwe Yubikey komt. Ik hoop echt op een versie met veel meer slots maar wel zonder het droppen van functionaliteit (OpenPGP met name gebruik ik nog het meest op mijn Yubikey 5's). De biometrische versie bijvoorbeeld biedt alleen nog maar FIDO2 en dat is niet genoeg voor mij.

Helaas is Yubico pas overgenomen door een geldhongerige investeerder dus het zal wel niet lang duren voor ze van produkten overstappen op abonnementsmodellen.

laurxp @slijkie • 16 november 2023 19:43

Tsja, dat komt voornamelijk omdat de techgiganten er voor hebben gekozen om FIDO2 te misbruiken voor hun vendor lock-in "beveiligingsoplossing" Passkeys. Het was nooit de bedoeling geweest om alle websites een Resident Key te laten gebruiken, yet here we are...

Als je FIDO2 gewoon volgens het oorspronkelijke ontwerp gebruikt (dus geen Resident Keys), kan je een Yubikey gebruiken voor een oneindig aantal websites met één opslag-slot.

mr.DJ95 16 november 2023 11:34

Ben al een tijdje naar deze vorm van authenticatie aan het kijken maar wat is nou het verschil tussen deze van Google en een Yubikey?

slijkie @mr.DJ95 • 16 november 2023 11:52

Geen idee hoe deze versie is, maar de vorige versie kwam van een Chinees bedrijf genaamd “Feitian” en werden gerebrand door Google.

Ook was de vorige versie minder veilig dan de Yubikey.

https://arstechnica.com/i...ide-channel-in-nxp-chips/

Wil niet zeggen dat deze nieuwe versie slecht is of onveilig.

2e is bij Yubico weet je waar het vandaan komt (zweden), mits je zoals ik alleen direct besteld bij Yubico en niet via een reseller.

MrMonkE @slijkie • 16 november 2023 12:01

2e is bij Yubico weet je waar het vandaan komt (zweden), mits je zoals ik alleen direct besteld bij Yubico en niet via een reseller.

Is er een mechanisme in de bestelling om te verifiëren dat er tijdens het transport geen wissel heeft plaatsgevonden?

(Ik meen me een verhaal te herinneren over keyboards die tijdens transport werden 'enhanced' door overheidsdienst in de VS . Weet niet zeker of dat geen broodje aap was.)

Robbierut4 @MrMonkE • 16 november 2023 12:04

(Ik meen me een verhaal te herinneren over keyboards die tijdens transport werden 'enhanced' door overheidsdienst in de VS . Weet niet zeker of dat geen broodje aap was.)

Als dit al gebeurd dan is dat specifiek voor apparatuur die naar zwaar gevoelige industrieën gaat.

De VS gaat niet specifiek een tracker inbouwen voor pietje die thuis op facebook zit.

MrMonkE @Robbierut4 • 16 november 2023 12:08

Nee, natuurlijk niet. Ik ben gewoon nieuwsgierig of ze dat ook hebben dichtgetimmerd.

SillieWous @MrMonkE • 16 november 2023 12:27

Technisch gezien is dat niet mogelijk.
https://en.m.wikipedia.org/wiki/Two_Generals'_Problem
Dat is er van uitgaande dat je alleen Yubico vertrouwd. Dus praktisch is het een ander verhaal.

fliepeltje @SillieWous • 16 november 2023 14:15

Ik begrijp niet hoe dat artikel relevant is. Of het met een Yubikey kan weet ik niet, maar het is niet ondenkbaar dat daarmee of met een vergelijkbaar apparaat een challenge wordt gedaan met Yubico servers die bevestigen dat iets een echte Yubikey is, en/of firmware waarvan verifieerbaar is dat deze van Yubico komt.

Wie weet is dat ook wat er op https://www.yubico.com/genuine/ gebeurt. Ik heb geen Yubikey om dit te proberen.

SillieWous @fliepeltje • 16 november 2023 17:04

Dat artikel is “relevant” omdat het stelt dat je nooit kan garanderen dat een bericht over een onbetrouwbaar kanaal ‘juist’ aan komt.
Hierin is ‘de post’ het onbetrouwbare kanaal. Wie weet kloont iemand je key (of wat dan ook).
En je kan het doortrekken naar dat enige check via het www ervan uit gaat dat je bepaalde CAs vertrouwt.

Alleen als je van tevoren, fysiek/in persoon, een versleuteling af spreekt kun je bepaalde garanties van volledige geheimhouding geven.

fliepeltje @SillieWous • 16 november 2023 18:36

Two Generals gaat niet over de juistheid van het bericht, maar over of het bericht ooit aankomt.

De vraag ging over een scenario waarin Yubikeys worden gekocht, die onderweg worden onderschept en aangepast:

Is er een mechanisme in de bestelling om te verifiëren dat er tijdens het transport geen wissel heeft plaatsgevonden?

Daar hebben CAs alleen zeer indirect iets mee te maken. Als je met behulp van bijvoorbeeld de website van Yubico de key zou kunnen verifiëren dan heb je te maken met een certificaat van een CA, die moet je inderdaad vertrouwen.

Als je alleen CAs vertrouwd waar je zelf op bezoek bent geweest, dan hoef je ook geen Yubikey te kopen. Yubikeys worden vooral gebruikt voor authenticatie op websites, en die hebben certificaten van allerlei verschillende CAs.

SillieWous @fliepeltje • 16 november 2023 23:45

Aankomen of juist aankomen is in die zin hetzelfde. Tuurlijk kun je de post onderscheppen en hem weggooien, maar dat heeft geen effect in deze situatie.

Dit gaat verder niet perse om Yubikeys. Meer een abstract pakket dat je in vertrouwen wil kunnen ontvangen. En dat het praktisch onmogelijk is om 99.999% garantie daar op te geven.

Cergorach

Beveiliging en antivirus

@slijkie • 16 november 2023 12:10

Je linkt naar een manier om die 'key' fysiek te clonen. Naast 16+ uur toegang tot de 'key', speciale hardware en het vernietigen van de case (plus andere requirements) is erg lastig voor elkaar te krijgen... Wellicht mogelijk, maar meer dan voldoende voor het gros van de gebruikers. Want ook de doorsnee gebruikers zijn veel makkelijker vatbaar voor MFA token capturing, iets als dit zou dat veel minder makkelijk mogelijk maken (mits alles goed is ingesteld...

Mijn vraag is dit specifiek een issue bij dit specifieke model of een issue bij alle Feitian modellen? En waarom werkt het niet met bv. de Yubikey?

[Reactie gewijzigd door Cergorach op 23 juli 2024 00:14]

The Zep Man

Beveiliging en antivirus
Google
Security
Beveiliging

@mr.DJ95 • 16 november 2023 11:40

"Een YubiKey" is dubbelzinnig. Je zal eerst een keuze moeten maken over welke YubiKey je mee wilt vergelijken. Je hebt de YubiKey 5 die alles van YubiKey ondersteunt, en je hebt de Security Key die zich enkel richt op op U2F/FIDO2/WebAuthn.

Overigens kan je met WebAuthn potentieel tegen een oneindig aantal diensten/accounts authenticeren met hetzelfde apparaat. De keuze wordt dus met name bepaald welke diensten je gebruikt, en wat die ondersteunen voor authenticatie.

[Reactie gewijzigd door The Zep Man op 23 juli 2024 00:14]

SamSid @The Zep Man • 16 november 2023 11:48

Welke zou jij aanraden? Die van google is wel goedkoper (maar niet leverbaar in Nederland).

SillieWous @SamSid • 16 november 2023 12:23

De security key (dus niet yubikey 5 is goedkoper (USB-A) dan wel even duur (USB-C)). Ik ga er even van uit dat €35,- incl BTW is.

freaky @SamSid • 16 november 2023 12:14

Lijkt me redelijk inherent aan wat de behoeftes zijn.

Kan m'n kristallenbal niet vinden

SamSid @freaky • 16 november 2023 12:27

Inloggen google, microsoft en apple.

freaky @SamSid • 16 november 2023 14:24

Die doen allemaal FIDO2 en dat doen al die keys.

Yubikeys kun je hier vergelijken: https://www.yubico.com/nl/store/compare/

Sowieso handig er minimaal 2 te kopen en altijd 2 of meer te registreren onder account voor het geval er 1 kapot/kwijt gaat/raakt.

x280 16 november 2023 11:47

Waarom brengt google dit uit ? Ik zou eerder voor een yubikey gaan dan dat ik google hiervoor ga vertrouwen...

jake1996 16 november 2023 12:33

Er zijn open source USB keys van https://solokeys.com/ . Heb er zelf een paar voor werk en hobby.

Dark Angel 58 16 november 2023 13:47

Is fysiek passkey voor 1 website bestemd of het kan ook voor alle websites kunt gebruiken (met 1 code)?

Marius Pc 16 november 2023 13:53

kan je een bestaande yubikey clonen naar een reserve yubikey?

mutley69 16 november 2023 22:38

QR en security? Waar is het bewijs dat een QR-code veilig is?
Voor URL's en voor bankverrichtingen weiger ik dat gewoon te gebruiken, net zoals url-verkorters.
Een QR-code is d'office onbekend qua afkomst, dus onveilig.

TNAC @mutley69 • 18 november 2023 00:01

Is het niet de QR-lezer die potentieel onveilig is? Die leest de QR en bepaalt wat er mee gebeurt namelijk.

De samsung camera app laat bijvoorbeeld de url of gelezen tekst/waarde zien waarna je zelf beslist wat je er mee doet.

De rabobank app gebruikt zijn eigen QR-scanner als onderdeel van de bankier-app, dan mag je er toch vanuit gaan dat dat je "trusted" QR scanner is voor QR-codes op het rabo domein?

TNAC 18 november 2023 00:12

Ik zie heel vaak Yubikey voorbijkomen als alternatief voor Google Titan. Zijn er nog andere gangbare alternatieven?

Ik stuitte laatst bij tindie.com op Mooltipass, een open source initiatief met hoog tweaker gehalte. Ik heb echter geen idee of dit nu geschikt is voor dezelfde taken en hoe je kan beoordelen of dit veilig genoeg is.

Iemand zicht op?

Op dit item kan niet meer gereageerd worden.

Google introduceert Titan-beveiligingssleutels met ondersteuning voor passkeys

Lees meer

Reacties (50)

Sorteer op:

Weergave: