Google niet langer slachtoffer van phishing dankzij fysieke beveiligingssleutels

Google

Tweestapsverificatie is een ontzettend goed middel om kwaadwillenden buiten je accounts te houden. Maar vaak wordt die code via SMS verstuurd en ook een telefoon is te hacken. Google maakte het daarom in 2017 voor ruim 85.000 werknemers verplicht om fysieke beveiligingssleutels te gebruiken. Sindsdien is er geen account meer overgenomen door phishing, meldt Krebs on Security.

“We hebben geen overname van accounts gerapporteerd gehad of bevestigd gehad sinds we de beveiligingssleutels bij Google geïmplementeerd hebben”, aldus een woordvoerder van het bedrijf.

De sleutels worden op meerdere plekken gebruikt, aldus de woordvoerder. “Gebruikers kunnen gevraagd worden om zich in te loggen met de sleutel wegens diverse redenen en voor verschillende apps. Dat hangt allemaal af van hoe gevoelig de app is en het risico van een gebruiker op dat moment.”

Beveiligingssleutels

Met een fysieke beveiligingssleutel kun je inloggen op een website, door de sleutel simpelweg in je computer te stoppen en een knopje in te drukken. Je hoeft zelfs geen wachtwoorden meer in te voeren of een eenmalig te gebruiken code te genereren.

De methode heeft natuurlijk wel wat zwakke punten. Het gaat bijvoorbeeld om een fysieke ‘sleutel’, die je ook kwijt kunt raken. Maar volgens diverse experts is het veiliger dan tweestapsverificatie, zeker als je die methode met codes via SMS gebruikt. Hackers kunnen die SMS’jes namelijk onderscheppen en zo toch je account in komen.

Weinig ondersteuning

Helaas voor ons is is de fysieke beveiligingssleutel lang niet overal ondersteund. Je kunt het wel gebruiken om de browser Chrome te activeren, maar bij Firefox moet je het eerst met de hand activeren. Microsoft komt later dit jaar pas met ondersteuning voor Edge en Apple heeft nog helemaal niets gezegd.

Bovendien hebben diverse websites geen ondersteuning. Facebook en wachtwoordmanagers als Keepass en LastPass hebben dat wel, maar je kunt de sleutel dus niet op iedere website gebruiken.