Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Google voegt inloggen via usb-sleutel toe aan Chrome

Door , 51 reacties, submitter: collin.

Google heeft een methode toegevoegd om in te loggen in Chrome via een usb-sleutel. Gebruikers kunnen de usb-sleutel gebruiken als alternatief voor de toegestuurde code voor tweetrapsauthenticatie, zo zegt Google.

Gebruikers moeten de usb-sleutel in hun laptop of desktop steken als Chrome daarom vraagt, zegt Google in de uitleg over de 'Security Key'. De stick controleert dan automatisch of de site die vraagt om een Google-login authentiek is. Zo niet, dan geeft het geen autorisatie af. Die maatregel moet phishing tegengaan, zegt de zoekgigant.

De methode werkt alleen met laptops, desktops en sommige tablets; het vereist immers een usb-poort. Bovendien moet de usb-sleutel werken met de U2F-standaard van de FIDO Alliance. De hardware vereist bovendien Chrome 38 of hoger.

De usb-sleutel is een alternatief voor tweetrapsauthenticatie op basis van een gegenereerde code. De voordelen zijn volgens Google dat gebruikers hem altijd bij zich kunnen dragen en dat het geen internetverbinding vereist om de authenticatie te kunnen toepassen.

Vorig nieuwsartikel Volgend nieuwsartikel

Door Arnoud Wokke

Redacteur mobile

21-10-2014 • 18:25

51 Linkedin Google+

Submitter: collin.

Lees meer

Yubico werkt aan U2F-beveiligingssticks met bluetooth 16 juni 2016
Google wil http in alle browsers als onveilig markeren 15 december 2014
Authenticatiestandaard als alternatief voor wachtwoorden is klaar 9 december 2014
Google integreert uitgebreide bookmark-manager in Chrome-bèta 19 november 2014
Wachtwoord Apple ID te wijzigen met e-mailadres en geboortedatum 22 maart 2013
Ook Amazon faalde bij social engineering-aanval 7 augustus 2012
Meer producten en artikelen (3)
Browsers

Reacties (51)

-Moderatie-faq
-151050+143+22+30Ongemodereerd6
Wijzig sortering
+1 BackfireNL
21 oktober 2014 18:28
Best handig maar de tweetraps authenticatie via SMS of de Google Authenticator app werkt prima en vereist geen extra USB stick. Bovendien hebben de meeste mensen hun mobiel altijd bij de hand.

De authenticator app werkt trouwens ook zonder internetverbinding.

[Reactie gewijzigd door BackfireNL op 21 oktober 2014 18:39]

+2 Armada651
@BackfireNL21 oktober 2014 18:33
Dit lijkt wel degelijk anders dan Google Authenticator niet alleen wordt de tweetrapsauthenticatie gedaan deze usb stick zal ook de authenticiteit van de website controleren:
De stick controleert dan automatisch of de site die vraagt om een Google-login authentiek is. Zo niet, dan geeft het geen authorisatie af.
+1 nul07
@BackfireNL21 oktober 2014 18:33
Toch zitten er tegenwoordig zeer veel risico's aan die manier van 2form authentificatie doordat er op het grootste mobiele platform er zeer veeel apps te vinden zijn die zomaar toegang hebben tot sms.
+1 Menesis
@nul0721 oktober 2014 20:59
Google Authenticator werkt niet met SMS, maar met on-the-fly gegenereerde codes (lees: de code veranderd elke ~5 seconden). Ik denk niet dat apps daar toegang tot hebben?
+1 Xudonax
@Menesis21 oktober 2014 21:45
De codes blijven, zoals normaal voor de onderliggende techniek, 30 seconden geldig. Daarna word een nieuwe gegenereerd. Daarbovenop heb je nog een (korte) periode waarbij je oude code geldig is, voor het geval je een trage verbinding oid hebt.
+1 Rafe
@Xudonax21 oktober 2014 21:54
Meestal staan serverside implementaties een 'clock drift' toe van een timestep (idd 30s) nieuwer en ouder dan de juiste code. Niet vanwege een trage verbinding, maar om iets meer speling te geven voor niet gelijk lopende klokken.
+1 BackfireNL
@nul0721 oktober 2014 18:37
Klopt maar dan kun je toch gebruik maken van de Google Authenticator app?
0 kabal
@nul0723 oktober 2014 15:05
jij hebt zeker geen Cyanogenmod?
0 nul07
@kabal23 oktober 2014 15:55
Wel gehad, een grote vooruitgang tegenover android vanilla in bepaalde opzichten, en zeker tegenover bepaalde stock-roms... maar als het gaat om gebruiksgemak of veiligheid immer inferieur aan blackberry os 10.

Tevens draaien de meeste mensen of googelaars geen cm. Maar een stock rom, waarbij je die kwetsbaarheid zeker hebt, doordat google app-opps verwijderd heeft uit android.
+1 CoiLive
@BackfireNL21 oktober 2014 18:40
Behalve als je telefoon leeg is of je dom weg geen sms krijgt (mee gemaakt terwijl er wel vol bereik was met Vodafone), bellen deed Google ook niet, terwijl ik zelf wel gewoon kon bellen/sms'en. Gelukkig heb ik ergens anders dan weer beveiligd extra codes opgeslagen.
+1 BackfireNL
@CoiLive21 oktober 2014 18:41
Dan heb je nog de backup codes inderdaad. Die kun je in je portemonnee doen..
0 Soldaatje
@BackfireNL21 oktober 2014 19:23
Goed idee, ik had nog geen backup gemaakt, lui en dom van mij. :9
+1 three2five
@CoiLive22 oktober 2014 00:34
Om die reden heb ik twee devices die de authenticatie kunnen doen (pebble horloge en telefoon). Als de ene op is, kan ik altijd nog wel de andere gebruiken.
+1 nul07
21 oktober 2014 18:29
Simpel en effectief. Want bijna elke computergebruiker heeft nog wel een oud stickie met te weinig capacitieit ergens liggen.
+1 sanderev66
@nul0721 oktober 2014 18:31
Bovendien moet de usb-sleutel werken met de U2F-standaard van de FIDO Alliance.
Ik denk niet dat een oude stick daar ondersteuning voor biedt.
+1 HMC
@sanderev6621 oktober 2014 19:49
Wat ik begrijp van https://docs.google.com/a...it#heading=h.pii7ah6obzc7 heeft dat niets met de leeftijd van de stick te maken.
Want ik kom niet tegen dat dat op oudere sticks niet werkt.
Tenzij ze geen format in bestandssysteem x toestaat
Hele longread is trouwens wel interessant.
+2 Netman768
@HMC21 oktober 2014 23:34
Helaas is er een speciale USB-dongle voor nodig; het is niet een normale USB stick. Uit het document dat je linkt:
U2F signs the data with the private key and returns it.
De "U2F" is die speciale USB-dongle. Om de private key te kunnen tekenen heeft die een cryptografisch element aan boord; dat heeft een normale USB-stick natuurlijk niet. Bovendien hebben de Security Keys een knopje, zodat de gebruiker aan kan geven dat ze inderdaad ergens proberen in te loggen.

Hier is een lijstje met ondersteunde USB-dongles.
+1 Rafe
@nul0721 oktober 2014 21:49
Het gaat niet om opslag, maar dat de USB-sleutel cryptografische berekeningen kan uitvoeren zodra een website daar via de browser om vraagt. Zie voor details het document dat HMC hierboven linkt.

Zelfs bestaande Yubikeys werken niet, je moet per se een Neo model versie 3.3 of nieuwer hebben. Als veiligheidsmaatregel zijn de firmwares op die sticks niet upgradebaar.

[Reactie gewijzigd door Rafe op 21 oktober 2014 21:57]

+1 BlueFireGaming
21 oktober 2014 18:30
Slim bedacht, maar het is denk ik niks voor mij (tenzij je er meerdere kan toewijzen). Elke keer die USB zoeken, en hem niet vergeten als ik naar de universiteit o.i.d. ga, lijkt mij persoonlijk nogal irritant.
Hoe stel je er trouwens een in? Is daar al iets over bekend?

EDIT: Zo te zien moet je ze kopen. Jammer. Dacht dat bedoelt werd dat je een USB kon omzetten naar een dergelijk iets.

[Reactie gewijzigd door BlueFireGaming op 21 oktober 2014 18:32]

+1 Aquila
@BlueFireGaming21 oktober 2014 19:03
Ik was het eventjes kort aan het proberen, maar hij leek mijn usb niet te pakken, wat natuurlijk een beetje op jou antwoord duid. Een officiele USB kopen..

Erg jammer, maar aan de andere kant begrijpelijk als hier een speciaal formaar of wat dan ook voor nodig is. Je had anders heel wat klanten tevreden gemaakt, denk ik.

[Reactie gewijzigd door Aquila op 21 oktober 2014 19:03]

+1 Yggdrasil
@Aquila22 oktober 2014 09:04
De key moet een speciale cryptografische chip hebben ingebouwd die de sleutels kan genereren én veilig kan opslaan.
+1 Netman768
@BlueFireGaming21 oktober 2014 23:36
Je kan er inderdaad meerdere koppelen. Het idee is dat je er standaard eentje in iedere computer hebt zitten, zodat je alleen maar even op een knopje hoeft te drukken. Werkt veel soepeler dan verificatiecodes. :)
+1 BlueFireGaming
@Netman76822 oktober 2014 08:58
Het zal inderdaad wel fijn werken ja, maar het feit dat je er dan meerdere moet gaan kopen vind ik minder. Je zou vast en zeker wel een software systeem kunnen maken die je op een standaard USB stick kan zetten, die hem dan omzet naar zo'n security key. Althans, dat lijkt mij.
+1 Veda88
@BlueFireGaming22 oktober 2014 09:04
Ik gebruik al een paar jaar een yubikey. Lijk kwa formfactor erg op enkele keys die hiermee mogelijk zijn. Ik heb hem aan mijn sleutelbos hangen en doet het daarmee al jaren goed. Lichtelijk irritant om elke keer je sleutelbos aan je computer te moeten hangen, maar dan vergeet je hem niet.
+1 stager
21 oktober 2014 18:43
Hiervoor kan je bijvoorbeeld de nieuwste yubikey neo gebruiken of een yubico u2f key. De yubico had ik toch al in combinatie met lastpass. Ik ben benieuwd hoe de neo het gaat doen met Google multifactor authenticatie.

Die keys zitten standaard aan mijn sleutelbos, dus heb ze altijd bij me en zijn nagenoeg onverwoestbaar.

Vraag me wel af of het verhaal ook geldt voor de nfc chip op de neo.

[edit] -> Jammer, de Yubikey Neo kan (voorlopig) alleen in u2f modus of in yubikey otp (one time password) modus. Dus nu heb ik twee sleutels aan de bos :-)

[edit2] -> Jammer, je kan niet een sleutel aan twee accounts verbinden. Mijn bos wordt nog groter ...

[Reactie gewijzigd door stager op 21 oktober 2014 19:40]

+1 Der Rudi
@stager21 oktober 2014 21:02
@[edit]=> volgens mij kun je 2 configuraties per Yubikey neo instellen. Dus dan 1 met U2F en de ander met bv otp. Of zie ik dat verkeerd?
+1 stager
@Der Rudi21 oktober 2014 21:43
Dat dacht ik ook, maar je kan hem met de neo manager of in yubikey modus zetten met 2 sloten of in u2f modus zonder andere otp sloten. Er staat overigens wel bij al this moment.

[Reactie gewijzigd door stager op 21 oktober 2014 21:44]

+1 Yggdrasil
@stager22 oktober 2014 09:36
Als je de Neo wilt gebruiken moet deze minimaal versie 3.3 zijn om U2F aan te kunnen. Oudere versies kunnen niet upgradet worden omdat de firmware om veiligheidsredenen read-only is.
0 GeppieNL
@stager23 oktober 2014 11:13
Als ik het goed begrijp communiceert Chrome dus direct met de U2F key.
Praktijkvoorbeeld; ikzelf gebruik geregeld onderstaande diensten:
- Gmail
- Facebook
- Hotmail
- Evernote
- Dropbox
etc..

Kan ik de sleutel voor alle diensten tegelijkertijd gebruiken, of dien ik dan meerdere (onpraktisch) sleutels te hebben? Hoe verhoudt dit zich tot het kopje "How many services can the Security Key be associated with? op de Yubico website, want daar zeggen ze namelijk:

"There is no practical limit to the U2F secured services the Security Key can be associated with. During the registration process, the key pairs are generated on the device (secure element) but the key pairs are not stored on the Security Key. Instead, the key pair (public key and encrypted private key) are stored by each relying party/service that initiated the registration. Therefore, this approach allows for an unlimited number of services to be associated with the Security Key."

Ander praktijkvoorbeeld;
Stel dat ik een dag vrij heb op mijn werk, of ik ben even een uurtje weg, en ik trek mijn key uit de pc, logt mijn gmail/evernote etc mij dan meteen uit? M.a.w. ben ik dan meteen beveiligd tegen oneigenlijk gebruik (lees:collega's die proberen lollig te zijn door met mijn facebook te klooien)? Of moet ik dan alsnog elke dienst afzonderlijk zelf uitloggen?...
Ik denk in praktijkvoorbeelden...
+1 twop
21 oktober 2014 23:58
Het zou leuk zijn als dit wat algemener wordt opgezet, zodat ik het ook voor andere programma's kan gebruiken, en dus bijvoorbeeld voor SSH.
+1 Tha_Butcha
@twop22 oktober 2014 00:32
Op zich kan dat al. Yubico heeft gewoon gewoon een PAM beschikbaar gesteld. Naast Google, kan je bijvoorbeeld dit ook laten werken met Dropbox, Mac OS X of lastpass
+1 Yggdrasil
@twop22 oktober 2014 10:13
Dat is het hele idee achter U2F (Universal Second Factor). Een open standaard, dus is mijn vrij om deze overal te implementeren. Ik hoop ook op o.a. een PAM module.
+1 doerakje
22 oktober 2014 08:04
Huh? Bij mij valt het kwartje niet. Deze 2 zaken gaan toch niet samen?
  • De stick controleert dan automatisch of de site die vraagt om een Google-login authentiek is.
  • De voordelen zijn volgens Google [...] dat het geen internetverbinding vereist om de authenticatie te kunnen toepassen.
Wat is het voordeel als je toch niet kunt internetten omdat er geen verbinding is?
+1 basst85
@doerakje22 oktober 2014 08:57
Er bestaan ook webbased apps die lokaal (of op een bedrijfsserver) draaien, deze kunnen dan waarschijnlijk ook gebruik maken van deze authenticatie methode.
+1 Rafe
@basst8522 oktober 2014 10:36
Het hoeft niet eens een webbased app te zijn, je zou ondersteuning ervoor ook in ouderwetse lokale applicatie kunnen bouwen. In het Google-scenario is de browser slechts een doorgeefluik tussen Javascript en de U2F-hardware.
+1 Grumpi
21 oktober 2014 20:33
Ik heb even verder gezocht maar de stick die voldoet (FIDO U2F Security Key) is nog nergens in europa leverbaar. Althans een betaalbare versie. Jammer ik vind dit wel erg handig. Maak al lange tijd gebruik van 2 factor authenticatie samen met Google Authenticator app maar de stick zal sneller inloggen betekenen. Zodra beschikbaar ga ik bestellen.

[Reactie gewijzigd door Grumpi op 21 oktober 2014 20:34]

+1 stager
@Grumpi21 oktober 2014 21:47
Yubikey neo, op de yubico site bestellen. Komt uitbreiding UK.
+1 _Thanatos_
21 oktober 2014 20:57
Ik neem aan dat dit ook met een smartcard werkt als je die hebt?
+1 amas
21 oktober 2014 18:30
en dat het geen internetverbinding vereist om de authenticatie te kunnen toepassen.
Dat heeft de authenticatie app ook niet nodig toch?
+1 Maks
21 oktober 2014 18:31
Ik ben wel benieuwd naar wat dit toe voegt ten opzichte van Google authenticator , daarmee heb je ook geen internetverbinding nodig omdat de code door een app op je smartphone wordt gegeneerd. Het grote voordeel voor mij is echter dat het veel sneller werkt dan wachten op een SMS, even de app openen en je hebt een inlogcode.

Nogal paradoxaal trouwens dat als voordeel wordt genoemd dat je geen internetverbinding nodig hebt, als je dit soort authenticatie gaat gebruiken dan doe je dat toch juist voor een omgeving op afstand (die je dan via het internet gaat bereiken)?

Edit\ Spuit 11, ik moet sneller leren typen ha.

[Reactie gewijzigd door Maks op 21 oktober 2014 18:33]

1 2

Op dit item kan niet meer gereageerd worden.

Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*