Google Titan Security Key

Persoonlijke cybersecurity: 2-factor authenticatie en fysieke beveiligingssleutels

- 27 July 2018

Een van de eenvoudigste maar effectiefste informatieveiligheidsmaatregelen voor je digitale accounts is de extra handeling van 2-factor authenticatie of 2FA. Natuurlijk gebruiken we allemaal sterke wachtwoorden, maar dat is niet altijd voldoende. We leggen daarom nog eens uit hoe 2FA werkt en kijken naar een volgende stap in de security van je persoonlijke én zakelijke accounts: fysieke beveiligingssleutels.

2-factor authenticatie

2-factor authenticatie of 2FA is een extra veiligheidslaagje voor je wachtwoord. 2FA vermindert het risico dat een hacker toegang krijgt tot je online accounts door aan dat wachtwoord een tweede stap toe te voegen, zoals de fysieke beschikbaarheid van je mobiele telefoon. Je wordt dan bijvoorbeeld naast invoer van je wachtwoord ook gevraagd om een code die op je telefoon verschijnt. Veel van de grootste websites ter wereld hebben 2FA gemakkelijk beschikbaar gesteld vanuit de beveiligingsinstellingen van de accounts, maar dan moet je die functie wel zelf benutten. De gemakkelijkste manier om je even in te lezen en ermee aan de slag te gaan, is via de website turnon2fa.com. Een simpele en slimme manier om de deur op slot te zetten.

Overigens worden 2-factor authentication en 2-step verification regelmatig door elkaar gebruikt, maar is het een misverstand dat beide begrippen hetzelfde betekenen. Bij authenticatie gaat het specifiek om drie factoren die je kunt gebruiken: 1) iets dat je kent, zoals een wachtwoord, 2) iets dat je hebt, zoals een mobiele telefoon of een beveiligingssleutel zoals we hieronder bespreken, en 3) iets dat je bent, zoals een vingerafdruk. 2-factor authentication combineert twee van die factoren, terwijl verification dezelfde stap simpelweg herhaalt - door bijvoorbeeld na het invoeren van een wachtwoord een extra code naar je mobiele telefoon te sturen.

Dat laatste is nog altijd veiliger dan '1-stepping' met alleen een wachtwoord, maar de extra code kan in principe ook onderschept worden, waardoor 2-factor authentication de veiligere keuze is. Iets dat je hebt of bent is tenslotte een stuk moeilijker te dupliceren.

Fysieke beveiligingssleutels

Als het aan Google ligt, is 2-step verification in ieder geval niet voldoende meer. Uit onderzoek van de techgigant is gebleken dat een extra stap in de beveiliging van je accounts nog altijd een ‘failure rate’ van 3 procent heeft, en daar heeft het bedrijf ook meteen een antwoord op: fysieke beveiligingssleutels. In de loop van 2017 zijn alle 85.000 medewerkers van Google overgestapt op het gebruik van een fysieke beveiligingssleutel van Yubico, wat hen naar eigen zeggen effectief beschermd heeft tegen phishing en spearphishing.

Op een verkeerde link in een e-mail klikken of een gevaarlijke bijlage openen kan voor cybercriminelen voldoende zijn om je inloggegevens te bemachtigen, maar zonder de bijbehorende key - die overigens maar 20 dollar kost - blijft je account alsnog buiten schot van hun social engineering skills.

Google Titan Security Key

In het verlengde van die ervaringen heeft Google daarom besloten nu zelf beveiligingssleutels op de markt te gaan brengen. Deze Titan Security Key wordt in eerste instantie bij zakelijke gebruikers van de clouddiensten van het merk aangeboden, maar later moet de gadget via de webwinkel van Google voor iedereen beschikbaar zijn.

Meer informatie vind je in deze blog van het bedrijf zelf.