image

Google lanceert Titan-beveiligingssleutel in Verenigde Staten

donderdag 30 augustus 2018, 10:48 door Redactie, 9 reacties

Google heeft de eigen Titan-beveiligingssleutel voor eindgebruikers in de Verenigde Staten beschikbaar gemaakt. De sleutel fungeert als een tweede factor tijdens het inloggen en biedt volgens de internetgigant de beste bescherming tegen phishing. Nadat het wachtwoord is ingevoerd wordt de aanwezigheid van de sleutel gecontroleerd. Daarnaast werkt de beveiligingssleutel alleen op de website waarvoor de geregistreerd is.

Beveiligingssleutels maken gebruik van een protocol dat op standaard public key-cryprografie is gebaseerd. Een gebruiker die zijn beveiligingssleutel voor een website wil gebruiken moet dit eerst instellen. Tijdens het instellen registreert de gebruiker een publieke sleutel. Bij het inloggen vraagt de website vervolgens om een cryptografische handtekening die bewijst dat de gebruiker de eigenaar is van de privésleutel die bij de publieke sleutel hoort.

Google stelt dat de Titan-beveiligingssleutel zo ontworpen is dat die tijdens de gehele levenscyclus, zowel tijdens de productie als het gebruik, tegen aanvallen is beschermd. De firmware die de cryptografische operaties uitvoert wordt tijdens de productie in een beveiligde hardwarechip verwerkt. Deze chip is zo ontwikkeld dat die fysieke aanvallen moet weerstaan waarbij wordt geprobeerd om de firmware en de geheime sleutels te achterhalen. Deze beveiligde chips worden vervolgens geleverd aan de productielijn die de fysieke beveiligingssleutel maakt.

De Titan-beveiligingssleutel werkt vanzelfsprekend met Google-accounts, maar is ook voor andere websites te gebruiken zoals Facebook, Twitter, GitHub en Dropbox. Vorige maand waren de beveiligingssleutels al beschikbaar voor Google Cloud-klanten en nu zijn die ook voor eindgebruikers in de Verenigde Staten verkrijgbaar. De Titan Security Key Bundle bestaat uit een usb-beveiligingssleutel en een bluetooth-beveiligingssleutel, alsmede een usb-c naar usb-a -adapter en een usb-c naar usb-a-verbindingskabel. De kosten bedragen in totaal 50 dollar. Google zegt dat de Titan-beveiligingssleutel binnenkort ook in andere gebieden te koop zal zijn.

Image

Reacties (9)
30-08-2018, 10:58 door Anoniem
Lijkt verdacht veel op de Feitan U2F key, voor 22€ te bestellen ;)
https://www.amazon.fr/Feitian-Multipass-FIDO-U2F-Security/dp/B01LYV6TQM/ref=sr_1_2
en goedkopere varianten zijn er al vanaf 7€ (zoeken op Fido U2F)
30-08-2018, 11:42 door Anoniem
Wat me niet helemaal duidelijk is, is of de genoemde sleutel ook met een PIN beveiligd/beveiligbaar is. Voor het overige, fysieke component, intrek- en vervangbaar, met certificaten en signing gebaseerd op onbreekbare encryptie. Petje af. Ik zou zelfs zeggen dat voor het doel (Google accounts) het misschien een beetje overdone is, maar dat kan ik mis hebben en is een kwestie van smaak.

A propos, het is dus mogelijk om voor aanloggen op je GMail een hoger beveiligingsniveau te kiezen dan voor je DigID...
30-08-2018, 16:28 door Anoniem
Klinkt als een mooie oplossing. Heb zelf al een yubikey, die hetzelfde doet. Maar deze is wel goedkoper en je krijgt er meer voor.
31-08-2018, 04:28 door Bitwiper
Helaas is het enige, dat tijdens een doordachte phishing-aanval beschermd wordt, de private key in zo'n Titan sleutel.

Wat je zou moeten willen, is een systeem dat verhindert dat iemand namens jou ergens kan inloggen, en dat doet dit systeem niet. Een vereiste voor aanvallers is wel dat zij een MITM (Man In The Middle) aanval uitvoeren, maar dat doen ze in de praktijk meestal - o.a om te detecteren dat je een verkeerd wachtwoord hebt ingevoerd, maar vooral om te voorkomen dat je argwaan krijgt en alarm slaat als je, na inloggen op een nepsite, niet kunt doen waar je voor kwam.

Natuurlijk is het voor aanvallers interessante bijvangst als ze jouw inloggegevens kunnen kopiëren en die, zonder jouw hulp, kunnen hergebruiken, maar dat is zelden hun primaire doel. Sowieso is de kans aanwezig dat je, nadat zij voor de eerste keer hebben toegeslagen, ontdekt dat je er in bent geluisd (bijv. bankrekening geplunderd) en jouw credentials wijzigt. Spionnen daargelaten, slaan criminelen hun slag en verdwijnen zo snel mogelijk uit beeld om de pakkans zo klein mogelijk te houden.

Ter illustratie: als DigiD zo'n Titan key zou ondersteunen, zou dat de aanval afgelopen juni (https://www.security.nl/posting/568113/MijnOverheid-phishingsite+maakte+ook+2-factorauthenticatie+buit) niet hebben voorkomen.

Mijn zorg is niet dat criminelen mijn wachtwoord voor een website in handen krijgen en later nogmaals als mij kunnen inloggen; ik wil dat ze dat de eerste keer al niet kunnen en dat voorkomt dit ding niet bij een MITM aanval. Doordat een volledig gescheiden tweede kanaal ontbreekt, is dit geen echte 2FA.

Zo'n Titan key is wellicht een redelijk alternatief voor mensen die geen veilige wachtwoorden kunnen bedenken en onthouden (en die geen wachtwoordmanager (willen) gebruiken), maar kent ook een boel nadelen (makkelijk kwijt te raken, geen pincode om te ontgrendelen, niet in je smartphone kunnen pluggen, wellicht te vervangen door een gelijkende key met malware, wat moet je doen als je zo'n key kwijtraakt of als deze defect raakt enzovoort).

In plaats van halve oplossingen invoeren zouden we volwaardige 2FA systemen moeten bedenken en/of mensen helpen voorkomen dat ze op nepsites inloggen.
31-08-2018, 09:11 door Anoniem
Ik zou zeggen dat die Titan key een perfect voorbeeld is van een tweede factor. Je moet naast een wachtwoord, dus een wat-je-weet factor, ook de key hebben als 2e factor dus een wat-je-hebt factor. De key maakt gebruik van tamper-protected hardware, en is dus moeilijk te klonen. Twee onafhankelijke factoren dus: 2FA.

Bovendien voldoet de Titan key aan de FIDO standaard. Die heeft als fijne eigenschap dat die beveiliging tegen phishing biedt. De DigiD hack zou daarmee dus juist voorkomen kunnen worden omdat de gebruikte sleutel voor DigiD een andere is dan die voor de phishing site.

Overigens kan tegenwoordig bij DigiD ook gebruik gemaakt worden van je paspoort als 2e factor. Ook daarmee had die phishing aanval niet gewerkt.
31-08-2018, 15:55 door Anoniem
Weer een advies van mij: niet gebruiken: #deleteGoogle.
01-09-2018, 08:54 door Bitwiper - Bijgewerkt: 01-09-2018, 09:10
Door Anoniem: Ik zou zeggen dat die Titan key een perfect voorbeeld is van een tweede factor. Je moet naast een wachtwoord, dus een wat-je-weet factor, ook de key hebben als 2e factor dus een wat-je-hebt factor. De key maakt gebruik van tamper-protected hardware, en is dus moeilijk te klonen. Twee onafhankelijke factoren dus: 2FA.
Die via één en hetzelfde kanaal worden uitgewisseld.

Je kunt het 2FA noemen, maar als tante Truus een phishing mailtje krijgt en op de link klikt, en zowel haar gebruikersnaam, wachtwoord als Titan code aanbiedt op de (ongetwijfeld als twee druppels gelijkende) nepsite, dan kan de MITM daarmee inloggen en doen wat tante Truus zelf zou kunnen doen.

Zelfs als de aanvaller niets aan de inlog-instellingen zou kunnen veranderen, lijkt mij het voorgaande erg genoeg. De praktijk is echter dat de aanvaller -desgewenst- zowel het wachtwoord van tante Truus kan wijzigen, als instellen voortaan van een andere Titan key gebruik te maken. Maar nogmaals, criminelen slaan meestal hun slag en maken zich daarna zo snel mogelijk uit de voeten.

Door Anoniem: Bovendien voldoet de Titan key aan de FIDO standaard. Die heeft als fijne eigenschap dat die beveiliging tegen phishing biedt.
Tegen sommige vormen van phishing, maar niet alle. Als criminelen tante Truus bellen kunnen ze wel haar gebruikersnaam en wachtwoord aftroggelen, maar niet de private key in haar Titan key. Maar ze kunnen haar er wellicht wel van overtuigen dat er een probleem is met haar key, en zij deze "terug" moet sturen naar adres X (bijv. onder vermelding van "Op een beperkt aantal Titan keys is malware terechtgekomen. Stuur uw key naar ons, samen met uw pincode zodat wij uw key kunnen controleren. Als deze schoon is krijgt u hem terug, anders krijgt u een nieuwe Titan key").

Maar het is waarschijnlijk eenvoudiger om een mailtje met een link naar een lijkt-op site te sturen die als MITM op de verbinding met de echte site fungeert (zie onder).

Door Anoniem: De DigiD hack zou daarmee dus juist voorkomen kunnen worden omdat de gebruikte sleutel voor DigiD een andere is dan die voor de phishing site.
Stel tante Truus krijgt een mail met het verzoek om op bijvoorbeeld https://digid-veilig.nl/ in te loggen. Zodra zij dat doet zal de software op die nepsite op https://digid.nl/ proberen in te loggen, als ware die software tante Truus.

Als het niet veiliger werkt dan beschreven in https://fidoalliance.org/how-fido-works/, dan maak ik daaruit op dat de echte server (digid.nl) een challenge, plus een identifier voor de op digid.nl geregistreerde public key, naar de browser van tante Truus stuurt. De MITM site (digid-veilig.nl) zal deze twee parameters gewoon doorzetten naar de browser van tante Truus. Die browser zal (op basis van de identifier) de gewenste private key kiezen, de challenge signeren en het resultaat -via de MITM (digid-veilig.nl)- terugsturen naar de echte server, digid.nl. Tadaa!

En dit nog allemaal in de ideale wereld waarbij iedereen al, op wel veilige wijze (hoe dan) haar of zijn public keys op alle relevante sites heeft geregistreerd, private keys nooit gecompromitteerd worden en nooit kwijtraken (al dan niet samen met dongles als de Titan key). En er geen zwakke sleutelparen worden gebruikt (door brakke random number generators en/of krachtiger aanvalstechnieken).

Door Anoniem: Overigens kan tegenwoordig bij DigiD ook gebruik gemaakt worden van je paspoort als 2e factor. Ook daarmee had die phishing aanval niet gewerkt.
Als die app (in tegenstelling tot Google authenticator et al) zelf verbinding maakt met digid.nl, vooral als die zich niet om de tuin laat leiden door een nepsite eveneens genaamd digid.nl met een onterecht uitgegeven certificaat), bijv. middels public key pinning, is dat behoorlijk veilig. Maar aan de huidige digid app kleven zoveel nadelen dat ik deze niet wil gebruiken (zie https://www.security.nl/posting/575048#posting575187).
02-09-2018, 16:10 door Anoniem
Made in China: https://tweakers.net/nieuws/142871/experts-willen-meer-openheid-over-veiligheid-google-beveiligingssleutels.html[/url/]
10-06-2019, 12:03 door Anoniem
Misschien is zo'n beveiligingssleutel een goed alternatief voor 2FA met de mobiel; maar dan zou ik het zeker niet van een adtech bedrijf als Google kopen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.