Google: Security key voorkomt accountovernames werknemers

Google heeft al sinds het begin van 2017 geen last meer gehad van accountovernames door middel van phishing bij al zijn 85.000 werknemers. Dit is nadat ze eiste dat alle werknemers fysieke beveiligingssleutels, de Yubico FIDO, gebruikten in plaats van wachtwoorden en eenmalige codes.

Een Google-woordvoerder zegt dat beveiligingssleutels nu de basis vormen voor alle accounttoegang bij Google. “We hebben geen, gerapporteerde of bevestigde, overgenomen accounts sinds de implementatie van beveiligingssleutels bij Google”, aldus een woordvoerder. “Gebruikers kunnen voor verschillende apps/redenen worden gevraagd om zich via hun beveiligingssleutel te authenticeren. Het hangt allemaal af van de gevoeligheid van de app en het risico van de gebruiker op dat moment.”

Het idee achter two-factor authenticatie is dat zelfs als dieven uw wachtwoord kunnen achterhalen of stelen, ze zich nog steeds niet bij uw account kunnen aanmelden tenzij ze ook die tweede factor hacken of bezitten.

De meest voorkomende vormen van 2FA vereisen dat de gebruiker een wachtwoord toevoegt met een eenmalige code die via sms of een app naar hun mobiele apparaat wordt verzonden. Vóór 2017 vertrouwden Google-medewerkers ook op eenmalige codes die werden gegenereerd door een mobiele app – Google Authenticator.

Een beveiligingssleutel daarentegen implementeert een vorm van multi-factor-authenticatie waarmee de gebruiker het inlogproces kan voltooien door simpelweg het USB-apparaat in te voeren en op een knop op het apparaat te drukken.

Naast Google bieden allerlei grote websites zoals Facebook, Twitter, GitHub, Dropbox en ook Windows 10 het inloggen via usb-sleutel aan.

Bron: KrebsOnSecurity