Het blijkt dat mensen eigenlijk heel slecht zijn in het maken en onthouden van wachtwoorden, en heel goed in het bedenken van nieuwe manieren om in te breken in met een wachtwoord beveiligde systemen.
Google streeft ernaar om ten minste één van deze problemen op te lossen met zijn Titan Security Key-bundel.
Het product bestaat uit twee apparaten die het bij correct gebruik aanzienlijk moeilijker maken voor slechteriken om in te breken op uw online accounts door zowel een wachtwoord als een fysieke sleutel te vereisen om in te loggen op een website of service.
Hoe het werkt
Tweefactorauthenticatie (2FA) is niet alleen een tweede stap na het invoeren van een wachtwoord, hoewel dit in de praktijk vaak zo is.
In plaats daarvan combineert 2FA twee verschillende authenticatiemechanismen (dat wil zeggen factoren) uit een lijst met drie mogelijkheden:
- Iets wat je weet,
- Iets wat je hebt, of
- Iets wat je bent.
Een wachtwoord is bijvoorbeeld iets voor jou weten? In theorie zou het alleen in uw hoofd moeten bestaan ??(of veilig in een wachtwoordbeheerder).
Biometrische authenticatie, zoals vingerafdrukscans, retina-scans, harthandtekeningen, enzovoort, telt als iets dat u zijn? De Titan-beveiligingssleutels en soortgelijke producten zijn iets voor jou hebben?
Een aanvaller kan uw wachtwoord op afstand achterhalen, bijvoorbeeld door het op te zoeken in een lijst met wachtwoorden van een datalek of door een phishing-e-mail te sturen die u misleidt om uw wachtwoord over te dragen.
Maar met 2FA zou diezelfde aanvaller op de een of andere manier persoonlijk bij je moeten komen en naast je wachtwoord ook je Titan-sleutels (of vingerafdruk) moeten stelen.
Het kan worden gedaan, maar het is veel moeilijker, waardoor u wordt beschermd tegen de overgrote meerderheid van aanvallen die afhankelijk zijn van gelekte of gemakkelijk te raden wachtwoorden.
Er zijn veel andere manieren om de bescherming te krijgen die 2FA biedt.
Aanmelden om eenmalige toegangscodes via sms te ontvangen, is misschien wel de meest gebruikelijke manier, maar het gebruik van Google Authenticator en services zoals Duo (Free at Duo) zijn populaire alternatieven waarvoor geen sms-bericht vereist is.
Maar telefoons kunnen worden gestolen en sim-jacking is blijkbaar iets waar we ons nu zorgen over moeten maken.
Daarom zijn fysieke apparaten zoals de Titan-toetsen zo aantrekkelijk.
Ze zijn eenvoudig en betrouwbaar, en Google heeft ontdekt dat door ze intern in te zetten, phishing-aanvallen en accountovernames volledig zijn weggevaagd.
Wat zit er in de doos?
In de Titan Security Key Bundle zit niet één apparaat, maar twee: een slanke USB-sleutel en een door Bluetooth gevoede sleutelhanger.
Beiden zijn gegoten in strak wit plastic en voelen prettig en stevig aan.
Vooral de USB-sleutel maakt een zeer bevredigend geluid wanneer hij op tafel wordt gegooid.
Ik heb dit meerdere keren gedaan voor de vreugde ervan.
De Bluetooth-sleutel heeft een enkele knop en drie LED-indicatoren om authenticatie en Bluetooth-verbinding aan te geven en dat hij wordt opgeladen of moet worden opgeladen.
Een enkele micro-USB-poort aan de onderkant is voor het opladen en / of verbinden van de Bluetooth-sleutel met uw computer.
De USB-sleutel is plat met een gouden schijf aan één kant, die uw tik detecteert en de authenticatie voltooit.
Het USB-sleutelapparaat heeft geen bewegende delen, vereist geen batterijen.
Volgens Google zijn beide apparaten water resistent, dus misschien wilt u ze uit het zwembad houden.
Beide zijn bedoeld om aan een sleutelhanger te hangen en aan je persoon te houden (of binnen handbereik), wat betekent dat een mooie witte afwerking een risico kan zijn.
Rammelen aan een sleutelhanger zal zeker enige merkbare slijtage aan de ongerepte Titan-apparaten veroorzaken.
Ik gebruik al een aantal jaren een Yubico YubiKey 4 en hij begint er behoorlijk versleten uit te zien, ondanks dat hij in zwart plastic is gegoten.
In mijn korte tijd met het testen van de Titan-sleutels, begon de USB-A-connector er al een beetje geschaafd uit te zien.
In de doos zitten ook enkele stijlvol ontworpen - zij het een beetje vage - instructies, samen met een micro-USB-naar-USB-A-kabel en een USB-C-naar-USB-A-adapter.
De Micro USB laadt de Titan Bluetooth-sleutel op, die, in tegenstelling tot de USB-sleutel, leeg kan raken.
Een batterij-indicator knippert rood als het tijd is om op te laden.
De Titan USB-stick heeft, net als de YubiKey, geen batterij nodig.
U kunt de micro-USB-adapter ook gebruiken om uw Bluetooth-sleutel op een computer aan te sluiten, waar deze op dezelfde manier kan werken als de Titan USB-sleutel.
Zowel de Bluetooth- als de USB-A-sleutels voldoen aan de FIDO Universal Two-Factor-standaard (U2F).
Dit betekent dat ze kunnen worden gebruikt als een 2FA-optie zonder extra software.
Dit is het enige protocol dat wordt ondersteund door de Titan-sleutels, wat betekent dat ze niet kunnen worden gebruikt voor andere authenticatiedoeleinden.
Toen de Titan-sleutels voor het eerst werden aangekondigd, ontdekte een journalist dat de componenten in ieder geval de Bluetooth-sleutel bevatten ? Google heeft mij bevestigd dat het bedrijf een derde partij contracteert om de sleutels volgens de specificaties van het bedrijf te produceren.
Sommigen in veiligheidskringen zagen dit als een potentieel risico, aangezien China ervan wordt beschuldigd digitale aanvallen uit te voeren op Amerikaanse instellingen.
Als u echter niet vertrouwt dat Google zijn hardwarepartners naar behoren onderzoekt, vertrouwt u Google waarschijnlijk niet genoeg om zijn beveiligingsproducten te gebruiken, en moet u ergens anders zoeken.
De sleutel omdraaien
Voordat de Titan-sleutels kunnen worden gebruikt, moeten ze eerst worden ingeschreven bij een site of service die FIDO U2F ondersteunt.
Google doet dat duidelijk, maar Dropbox, Facebook, GitHub, Twitter en anderen ook.
Omdat de Titan-sleutels een Google-product zijn, ben ik begonnen ze in te stellen om een ??Google-account te beveiligen.
Het instellen van de Titan-sleutels met uw Google-account is eenvoudig.
Ga naar de 2FA-pagina van Google of bezoek de beveiligingsopties van uw Google-account.
Scrol omlaag naar Beveiligingssleutel toevoegen, klik op en de site vraagt ??u om uw USB-beveiligingssleutel in te voegen en erop te tikken.
Dat is het! Om de Bluetooth-sleutel te registreren, hoeft u deze alleen nog maar aan te sluiten op uw computer via de meegeleverde micro-USB-kabel.
[embed]https://www.youtube.com/watch?v=AMOtB7XkTT4[/embed]
Toen ik me eenmaal had aangemeld, ging ik inloggen op mijn Google-account.
Nadat ik mijn wachtwoord had ingevoerd, werd ik gevraagd mijn beveiligingssleutel in te voeren en erop te tikken.
Als u de USB-sleutel in een poort steekt, knippert de groene LED eenmaal.
De LED brandt continu wanneer u het verzoek krijgt om op de toets te tikken.
Toen ik testte met een nieuw account dat nog nooit 2FA had gebruikt, vereiste Google eerst dat ik eenmalige sms-toegangscodes instelde.
U kunt desgewenst sms-codes verwijderen, maar als u zich aanmeldt voor het 2FA-programma van Google, moet u ten minste sms-codes gebruiken, of de Google Authenticator-app, of een Google-authenticatie-pushmelding die naar uw apparaat wordt gestuurd.
Dat is een aanvulling op alle andere 2FA-opties die u selecteert.
Houd er rekening mee dat de Google Titan-sleutel geen sms of een andere service vereist om te functioneren, maar veel services (inclusief Twitter) moedigen u aan om een ??telefoonnummer te verifiëren om te bewijzen dat u een echt persoon bent.
Als u meerdere 2FA-opties selecteert, kunt u degene kiezen die in een bepaald scenario voor u werkt.
Het is ook een goed idee om een ??back-upverificatiemethode te hebben, voor het geval u uw sleutels kwijtraakt of uw telefoon kapot gaat.
Sms-notificaties zijn prima, maar ik gebruik ook papieren sleutels, dit zijn een reeks codes voor eenmalig gebruik.
Deze codes worden breed ondersteund en kunnen worden opgeschreven of digitaal worden opgeslagen (maar hopelijk versleuteld!).
Ik merkte echter wel dat om wijzigingen aan te brengen in mijn 2FA-instellingen nadat ik mijn Titan-sleutel had geregistreerd, alleen deze en pushmeldingen naar mijn telefoon via de Google-app acceptabele authenticators waren.
Volgens de doos zijn de Titan-sleutel en de Bluetooth-sleutel beide NFC-compatibel, maar ik heb ze niet op die manier kunnen laten werken.
Toen ik werd gevraagd om een ??2FA-apparaat op mijn Android-telefoon te gebruiken, volgde ik de instructies en sloeg ik de sleutel op de achterkant van de telefoon, maar het mocht niet baten.
Google bevestigde mij dat de toestellen NFC-geschikt zijn, maar die ondersteuning zal de komende maanden op Android-toestellen worden toegevoegd.
Ik had geen problemen met inloggen op mijn Google-account op een Android-apparaat met behulp van de Bluetooth-sleutel.
Nogmaals, ik werd gevraagd om mijn sleutel te presenteren nadat ik mijn wachtwoord had ingevoerd.
Met een optie onder aan het scherm kan ik selecteren met behulp van een NFC-, USB- of Bluetooth-authenticator.
Toen ik de eerste keer Bluetooth koos, werd ik gevraagd om de Bluetooth-sleutel met de telefoon te koppelen.
Het meeste hiervan werd automatisch afgehandeld door Google, hoewel ik het serienummer op de achterkant van de Bluetooth-sleutel moest invoeren.
Het op deze manier registreren van het apparaat hoeft maar één keer te gebeuren; om de andere keer hoeft u alleen maar op de knop van de Bluetooth-sleutel te klikken om uzelf te verifiëren.
Interessant genoeg zag ik de Bluetooth-sleutel niet in de lijst met recente Bluetooth-apparaten van de telefoon, maar het werkte nog steeds prima.
Voor de zekerheid probeerde ik ook in te loggen met de meegeleverde USB-C-adapter en de USB-beveiligingssleutel.
Het werkte als een zonnetje.
Naast het 2FA-inlogschema biedt Google ook een programma voor geavanceerde beveiliging aan personen die mogelijk een verhoogd risico lopen op een aanval.
Ik heb Advanced Protection niet geprobeerd tijdens mijn tests, maar het vereist met name twee beveiligingssleutels, dus de Titan Security Key Bundle is ook klaar om met dit inlogschema te werken.
De Titan-sleutels zouden moeten werken met elke service die FIDO U2F ondersteunt.
Twitter is zo'n voorbeeld en ik had er geen moeite mee om de Titan USB-sleutel bij Twitter te registreren of om hem later te gebruiken om in te loggen.
Hoe de Google Titan-beveiligingssleutel zich verhoudt
Er is een groeiende lijst met hardware-authenticatieapparaten die vergelijkbaar zijn met de Titan-beveiligingssleutels, maar de marktleider is waarschijnlijk Yubico's lijn van YubiKey-producten.
Deze zijn bijna identiek aan de Titan USB-A-sleutel: slank, robuust plastic en ontworpen om aan een sleutelring te zitten met een kleine groene LED en een gouden schijf die je aanraking registreert zonder bewegende delen.
Hoewel Yubico zoiets als de Titan Bluetooth-sleutel niet biedt, heeft het verschillende vormfactoren om uit te kiezen.
De YubiKey 4-serie heeft bijvoorbeeld twee sleutels van vergelijkbare grootte als de Titan USB-sleutel: de YubiKey 4 en YubiKey NEO, waarvan de laatste NFC-compatibel is.
Yubico biedt ook USB-C-sleutels, die werken met elk apparaat dat die specifieke poort ondersteunt, geen adapter vereist.
Als sleutels niet jouw stijl zijn, kun je kiezen voor de YubiKey 4 Nano of zijn USB-C-broer, de YubiKey 4C Nano.
De apparaten in nanostijl zijn veel kleiner - slechts 12 mm bij 13 mm - en zijn ontworpen om in de poorten van uw apparaat te blijven zitten.
Alle YubiKey 4-apparaten hierboven kosten tussen $ 40 en $ 60, en dat is slechts voor één sleutel.
Dit zijn echter allemaal apparaten met meerdere protocollen, wat betekent dat u ze niet alleen kunt gebruiken als FIDO U2F-apparaten, maar ook om een ??smartcard te vervangen voor computeraanmelding, voor cryptografische handtekeningen en voor een reeks andere functies.
Sommige hiervan zijn verkrijgbaar via de ...
