Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 51 reacties
Submitter: collin.

Google heeft een methode toegevoegd om in te loggen in Chrome via een usb-sleutel. Gebruikers kunnen de usb-sleutel gebruiken als alternatief voor de toegestuurde code voor tweetrapsauthenticatie, zo zegt Google.

Google stick 2FAGebruikers moeten de usb-sleutel in hun laptop of desktop steken als Chrome daarom vraagt, zegt Google in de uitleg over de 'Security Key'. De stick controleert dan automatisch of de site die vraagt om een Google-login authentiek is. Zo niet, dan geeft het geen autorisatie af. Die maatregel moet phishing tegengaan, zegt de zoekgigant.

De methode werkt alleen met laptops, desktops en sommige tablets; het vereist immers een usb-poort. Bovendien moet de usb-sleutel werken met de U2F-standaard van de FIDO Alliance. De hardware vereist bovendien Chrome 38 of hoger.

De usb-sleutel is een alternatief voor tweetrapsauthenticatie op basis van een gegenereerde code. De voordelen zijn volgens Google dat gebruikers hem altijd bij zich kunnen dragen en dat het geen internetverbinding vereist om de authenticatie te kunnen toepassen.

Moderatie-faq Wijzig weergave

Reacties (51)

Best handig maar de tweetraps authenticatie via SMS of de Google Authenticator app werkt prima en vereist geen extra USB stick. Bovendien hebben de meeste mensen hun mobiel altijd bij de hand.

De authenticator app werkt trouwens ook zonder internetverbinding.

[Reactie gewijzigd door BackfireNL op 21 oktober 2014 18:39]

Dit lijkt wel degelijk anders dan Google Authenticator niet alleen wordt de tweetrapsauthenticatie gedaan deze usb stick zal ook de authenticiteit van de website controleren:
De stick controleert dan automatisch of de site die vraagt om een Google-login authentiek is. Zo niet, dan geeft het geen authorisatie af.
Toch zitten er tegenwoordig zeer veel risico's aan die manier van 2form authentificatie doordat er op het grootste mobiele platform er zeer veeel apps te vinden zijn die zomaar toegang hebben tot sms.
Google Authenticator werkt niet met SMS, maar met on-the-fly gegenereerde codes (lees: de code veranderd elke ~5 seconden). Ik denk niet dat apps daar toegang tot hebben?
De codes blijven, zoals normaal voor de onderliggende techniek, 30 seconden geldig. Daarna word een nieuwe gegenereerd. Daarbovenop heb je nog een (korte) periode waarbij je oude code geldig is, voor het geval je een trage verbinding oid hebt.
Meestal staan serverside implementaties een 'clock drift' toe van een timestep (idd 30s) nieuwer en ouder dan de juiste code. Niet vanwege een trage verbinding, maar om iets meer speling te geven voor niet gelijk lopende klokken.
Klopt maar dan kun je toch gebruik maken van de Google Authenticator app?
jij hebt zeker geen Cyanogenmod?
Wel gehad, een grote vooruitgang tegenover android vanilla in bepaalde opzichten, en zeker tegenover bepaalde stock-roms... maar als het gaat om gebruiksgemak of veiligheid immer inferieur aan blackberry os 10.

Tevens draaien de meeste mensen of googelaars geen cm. Maar een stock rom, waarbij je die kwetsbaarheid zeker hebt, doordat google app-opps verwijderd heeft uit android.
Behalve als je telefoon leeg is of je dom weg geen sms krijgt (mee gemaakt terwijl er wel vol bereik was met Vodafone), bellen deed Google ook niet, terwijl ik zelf wel gewoon kon bellen/sms'en. Gelukkig heb ik ergens anders dan weer beveiligd extra codes opgeslagen.
Dan heb je nog de backup codes inderdaad. Die kun je in je portemonnee doen..
Goed idee, ik had nog geen backup gemaakt, lui en dom van mij. :9
Om die reden heb ik twee devices die de authenticatie kunnen doen (pebble horloge en telefoon). Als de ene op is, kan ik altijd nog wel de andere gebruiken.
Simpel en effectief. Want bijna elke computergebruiker heeft nog wel een oud stickie met te weinig capacitieit ergens liggen.
Bovendien moet de usb-sleutel werken met de U2F-standaard van de FIDO Alliance.
Ik denk niet dat een oude stick daar ondersteuning voor biedt.
Wat ik begrijp van https://docs.google.com/a...it#heading=h.pii7ah6obzc7 heeft dat niets met de leeftijd van de stick te maken.
Want ik kom niet tegen dat dat op oudere sticks niet werkt.
Tenzij ze geen format in bestandssysteem x toestaat
Hele longread is trouwens wel interessant.
Helaas is er een speciale USB-dongle voor nodig; het is niet een normale USB stick. Uit het document dat je linkt:
U2F signs the data with the private key and returns it.
De "U2F" is die speciale USB-dongle. Om de private key te kunnen tekenen heeft die een cryptografisch element aan boord; dat heeft een normale USB-stick natuurlijk niet. Bovendien hebben de Security Keys een knopje, zodat de gebruiker aan kan geven dat ze inderdaad ergens proberen in te loggen.

Hier is een lijstje met ondersteunde USB-dongles.
Het gaat niet om opslag, maar dat de USB-sleutel cryptografische berekeningen kan uitvoeren zodra een website daar via de browser om vraagt. Zie voor details het document dat HMC hierboven linkt.

Zelfs bestaande Yubikeys werken niet, je moet per se een Neo model versie 3.3 of nieuwer hebben. Als veiligheidsmaatregel zijn de firmwares op die sticks niet upgradebaar.

[Reactie gewijzigd door Rafe op 21 oktober 2014 21:57]

Slim bedacht, maar het is denk ik niks voor mij (tenzij je er meerdere kan toewijzen). Elke keer die USB zoeken, en hem niet vergeten als ik naar de universiteit o.i.d. ga, lijkt mij persoonlijk nogal irritant.
Hoe stel je er trouwens een in? Is daar al iets over bekend?

EDIT: Zo te zien moet je ze kopen. Jammer. Dacht dat bedoelt werd dat je een USB kon omzetten naar een dergelijk iets.

[Reactie gewijzigd door BlueFireGaming op 21 oktober 2014 18:32]

Ik was het eventjes kort aan het proberen, maar hij leek mijn usb niet te pakken, wat natuurlijk een beetje op jou antwoord duid. Een officiele USB kopen..

Erg jammer, maar aan de andere kant begrijpelijk als hier een speciaal formaar of wat dan ook voor nodig is. Je had anders heel wat klanten tevreden gemaakt, denk ik.

[Reactie gewijzigd door Aquila op 21 oktober 2014 19:03]

De key moet een speciale cryptografische chip hebben ingebouwd die de sleutels kan genereren n veilig kan opslaan.
Je kan er inderdaad meerdere koppelen. Het idee is dat je er standaard eentje in iedere computer hebt zitten, zodat je alleen maar even op een knopje hoeft te drukken. Werkt veel soepeler dan verificatiecodes. :)
Het zal inderdaad wel fijn werken ja, maar het feit dat je er dan meerdere moet gaan kopen vind ik minder. Je zou vast en zeker wel een software systeem kunnen maken die je op een standaard USB stick kan zetten, die hem dan omzet naar zo'n security key. Althans, dat lijkt mij.
Ik gebruik al een paar jaar een yubikey. Lijk kwa formfactor erg op enkele keys die hiermee mogelijk zijn. Ik heb hem aan mijn sleutelbos hangen en doet het daarmee al jaren goed. Lichtelijk irritant om elke keer je sleutelbos aan je computer te moeten hangen, maar dan vergeet je hem niet.
Hiervoor kan je bijvoorbeeld de nieuwste yubikey neo gebruiken of een yubico u2f key. De yubico had ik toch al in combinatie met lastpass. Ik ben benieuwd hoe de neo het gaat doen met Google multifactor authenticatie.

Die keys zitten standaard aan mijn sleutelbos, dus heb ze altijd bij me en zijn nagenoeg onverwoestbaar.

Vraag me wel af of het verhaal ook geldt voor de nfc chip op de neo.

[edit] -> Jammer, de Yubikey Neo kan (voorlopig) alleen in u2f modus of in yubikey otp (one time password) modus. Dus nu heb ik twee sleutels aan de bos :-)

[edit2] -> Jammer, je kan niet een sleutel aan twee accounts verbinden. Mijn bos wordt nog groter ...

[Reactie gewijzigd door stager op 21 oktober 2014 19:40]

@[edit]=> volgens mij kun je 2 configuraties per Yubikey neo instellen. Dus dan 1 met U2F en de ander met bv otp. Of zie ik dat verkeerd?
Dat dacht ik ook, maar je kan hem met de neo manager of in yubikey modus zetten met 2 sloten of in u2f modus zonder andere otp sloten. Er staat overigens wel bij al this moment.

[Reactie gewijzigd door stager op 21 oktober 2014 21:44]

Als je de Neo wilt gebruiken moet deze minimaal versie 3.3 zijn om U2F aan te kunnen. Oudere versies kunnen niet upgradet worden omdat de firmware om veiligheidsredenen read-only is.
Als ik het goed begrijp communiceert Chrome dus direct met de U2F key.
Praktijkvoorbeeld; ikzelf gebruik geregeld onderstaande diensten:
- Gmail
- Facebook
- Hotmail
- Evernote
- Dropbox
etc..

Kan ik de sleutel voor alle diensten tegelijkertijd gebruiken, of dien ik dan meerdere (onpraktisch) sleutels te hebben? Hoe verhoudt dit zich tot het kopje "How many services can the Security Key be associated with? op de Yubico website, want daar zeggen ze namelijk:

"There is no practical limit to the U2F secured services the Security Key can be associated with. During the registration process, the key pairs are generated on the device (secure element) but the key pairs are not stored on the Security Key. Instead, the key pair (public key and encrypted private key) are stored by each relying party/service that initiated the registration. Therefore, this approach allows for an unlimited number of services to be associated with the Security Key."

Ander praktijkvoorbeeld;
Stel dat ik een dag vrij heb op mijn werk, of ik ben even een uurtje weg, en ik trek mijn key uit de pc, logt mijn gmail/evernote etc mij dan meteen uit? M.a.w. ben ik dan meteen beveiligd tegen oneigenlijk gebruik (lees:collega's die proberen lollig te zijn door met mijn facebook te klooien)? Of moet ik dan alsnog elke dienst afzonderlijk zelf uitloggen?...
Ik denk in praktijkvoorbeelden...
Het zou leuk zijn als dit wat algemener wordt opgezet, zodat ik het ook voor andere programma's kan gebruiken, en dus bijvoorbeeld voor SSH.
Op zich kan dat al. Yubico heeft gewoon gewoon een PAM beschikbaar gesteld. Naast Google, kan je bijvoorbeeld dit ook laten werken met Dropbox, Mac OS X of lastpass
Dat is het hele idee achter U2F (Universal Second Factor). Een open standaard, dus is mijn vrij om deze overal te implementeren. Ik hoop ook op o.a. een PAM module.
Huh? Bij mij valt het kwartje niet. Deze 2 zaken gaan toch niet samen?
  • De stick controleert dan automatisch of de site die vraagt om een Google-login authentiek is.
  • De voordelen zijn volgens Google [...] dat het geen internetverbinding vereist om de authenticatie te kunnen toepassen.
Wat is het voordeel als je toch niet kunt internetten omdat er geen verbinding is?
Er bestaan ook webbased apps die lokaal (of op een bedrijfsserver) draaien, deze kunnen dan waarschijnlijk ook gebruik maken van deze authenticatie methode.
Het hoeft niet eens een webbased app te zijn, je zou ondersteuning ervoor ook in ouderwetse lokale applicatie kunnen bouwen. In het Google-scenario is de browser slechts een doorgeefluik tussen Javascript en de U2F-hardware.
Ik heb even verder gezocht maar de stick die voldoet (FIDO U2F Security Key) is nog nergens in europa leverbaar. Althans een betaalbare versie. Jammer ik vind dit wel erg handig. Maak al lange tijd gebruik van 2 factor authenticatie samen met Google Authenticator app maar de stick zal sneller inloggen betekenen. Zodra beschikbaar ga ik bestellen.

[Reactie gewijzigd door Grumpi op 21 oktober 2014 20:34]

Yubikey neo, op de yubico site bestellen. Komt uitbreiding UK.
Ik neem aan dat dit ook met een smartcard werkt als je die hebt?
en dat het geen internetverbinding vereist om de authenticatie te kunnen toepassen.
Dat heeft de authenticatie app ook niet nodig toch?
Ik ben wel benieuwd naar wat dit toe voegt ten opzichte van Google authenticator , daarmee heb je ook geen internetverbinding nodig omdat de code door een app op je smartphone wordt gegeneerd. Het grote voordeel voor mij is echter dat het veel sneller werkt dan wachten op een SMS, even de app openen en je hebt een inlogcode.

Nogal paradoxaal trouwens dat als voordeel wordt genoemd dat je geen internetverbinding nodig hebt, als je dit soort authenticatie gaat gebruiken dan doe je dat toch juist voor een omgeving op afstand (die je dan via het internet gaat bereiken)?

Edit\ Spuit 11, ik moet sneller leren typen ha.

[Reactie gewijzigd door Maks op 21 oktober 2014 18:33]

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True