Google: Usb-sleutel biedt beste bescherming tegen phishing
Eigenaren van een Google-account die zich tegen phishing willen wapenen kunnen het beste een usb-sleutel gebruiken, zo adviseert Google. De "Security Key" fungeert als een tweede factor tijdens het inloggen. Nadat het wachtwoord is opgegeven wordt de aanwezigheid van de Security Key gecontroleerd. Het usb-apparaat controleert daarnaast ook of de inlogpagina een echte Google-site en geen phishingpagina is.
Google geeft het advies aan gebruikers die mogelijk doelwit van staatshackers zijn. Sinds 2012 waarschuwt Google gebruikers voor mogelijke aanvallen door staatshackers en het is belangrijk dat gebruikers in dit geval ook actie ondernemen, zo heeft de internetgigant nogmaals herhaald. "De waarschuwing wordt uit voorzorg verstuurd, de melding houdt niet in dat een account is gehackt of dat er een grootschalige aanval is", zegt Shane Huntley van de Google Threat Analysis Group.
De melding geeft volgens Huntley juist weer dat Google pogingen heeft gezien dat een staatshacker waarschijnlijk toegang tot een Google-account probeert te krijgen via phishing of malware. Daarbij verstuurt Google de waarschuwing soms tegelijkertijd naar een groep gebruikers die risico lopen. Dit gebeurt ook niet altijd in real-time. "Een extreem klein deel van de gebruikers zal ooit dit soort waarschuwingen zien, maar als je zo'n waarschuwing van ons ontvangt is het belangrijk om actie te ondernemen", adviseert Huntley. Ze merkt op dat gebruikers die hun account tegen phishing willen beschermen het beste een usb-sleutel kunnen gebruiken. Ook Facebook, Dropbox, Windows 10 en GitHub ondersteunen inmiddels deze inlogmethode.
https://www.yubico.com/products/yubikey-hardware/ (deze gebruikt Google onder hun eigen personeel (quote van Mayank Upadhyay, Director of Security Engineering: We've raised the standard of security for our employees. The YubiKey works seamlessly for people in their day-to-day workflow here at Google.)
https://www.nitrokey.com/
https://github.com/conorpp/u2f-zero (opensource DIY om zelf je eigen sleutel te kunnen bouwen)
Mijn voorkeur gaat uit aan Yubico's Yubikeys, omdat die het meest veelzijdig zijn. Naast U2F bieden ze een scala aan andere authenticatie opties, en de sleutels hebben een ingebouwde toetsenbord emulator, waardoor, als je wilt, je je hoofdwachtwoord van je password manager of je Google account kan laten uittypen.
Ik denk dat vele hier op security.nl al op de hoogte zijn van het bovenstaande, maar toch even vermelden voor de gene die hiervan niet op de hoogte zijn. Hoe meer mensen zich zo goed mogelijk kunnen beveiligen, hoe beter voor iedereen.
Sinds Sophos SurfRight heeft overgenomen is hun USB-oplossing tegen ransomware minder in trek, maar Mark Loman heeft er wel internationaal de toon mee gezet, zoals blijkt.
Kun je uitleggen wat je daarmee precies bedoelt, al dan niet in relatie tot het Google Security Key bericht?
Wat bedoel je precies met SurfRight's USB-oplossing tegen ransomware?
Bedoel je daarmee HitmanPro.Kickstart?
HitmanPro.Kickstart was nuttig om screenlocker malware te omzeilen, maar het was niet specifiek bedoeld tegen ransomware, en voor crypto-ransomware had je er weinig aan, daarvoor was het niet bedoeld.
Per HitmanPro 3.7.15.281 is de Kickstart functionaliteit verwijderd uit HitmanPro, zie:
https://www.hitmanpro.com/en-us/whatsnew.aspx
De reden daarvoor is hier genoemd:
https://www.wilderssecurity.com/threads/hitman-pro-support-and-discussion-thread.236732/page-292#post-2622646
Hoe dan ook was de functionaliteit van HitmanPro.Kickstart iets volkomen anders dan Google Security Key.
Of doel je mogelijk op HitmanPro.Alert?
HitmanPro.Alert omvat onder meer CryptoGuard, de component die bescherming biedt tegen crypto-ransomware.
Ook biedt HitmanPro.Alert de BadUSB component, dat bescherming biedt tegen kwaadaardige USB devices.
Maar ook CryptoGuard en BadUSB en andere HitmanPro.Alert componenten bieden iets volkomen anders dan Google Security Key.
Ik begrijp daarom niet wat je bedoelde met je reactie van 09:00 uur.
Welke backdoor?
Je snapt hopelijk dat het inbouwen van een backdoor bij een internationale partij als Google in feite onmogelijk is.
Peter
Als google nu echt wat voor de security en privacy wil doen moeten ze eens het bedrijf opsplitsen in onafhankelijke onderdelen, en het hoofdkantoor verantwoordelijk voor security/privacy verhuizen naar een land, waar dat het beste is geregeld.
Dat niet, de browser heeft Yubikey ondersteuning, dwz dat de browser de Yubikey driver kan aansturen. Naar mijn weten werkt dit alleen nog maar vanuit Chrome of vanuit lokaal geinstalleerde applicaties met Yubikey ondersteuning(b.v. Dashlane).
Ik heb de Yubikey maar merk op dat ik steeds vaker terugval op Authy 2FA, de meeste apps of diensten die met Yubikey werken, ondersteunen n.l. ook nog gewoon 2FA met b.v. Authy, Google Authenticator of MS Authenticator.
Wat met Yubikey ook heel goed werkt is het gebruik van U2F op Apple OSX om in te loggen. Voor Windows gebruik ik nog DUO security met push methode naar mijn Smartphone, dit werkt alleen nog niet op OSX.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
