Veel populaire sites ondersteunen geen usb-beveiligingssleutel
Veel populaire websites laten gebruikers niet via een usb-beveiligingssleutel inloggen, ook al biedt dit volgens Google de beste bescherming tegen phishing. Dat blijkt uit onderzoek van wachtwoordmanager Dashlane. Onderzoekers keken naar de opties die de 34 populairste websites in de Verenigde Staten voor tweefactorauthenticatie (2FA) bieden.
Gebruikers moeten hierbij naast hun wachtwoord met een tweede factor inloggen, bijvoorbeeld door een code in te voeren die via sms of een app is verkregen. Voor het onderzoek werd er gekeken of websites tweefactorauthenticatie via e-mail/sms, een authenticator-app of een hardwaretoken zoals een usb-beveiligingssleutel ondersteunden.
Van de 34 websites zijn er 8 die gebruikers via alle drie de opties laten inloggen. Vier websites ondersteunen helemaal geen tweefactorauthenticatie. Wanneer dit wel wordt ondersteund is het meestal via sms/e-mail (30 websites). Het gebruik van een authenticator-app voor het genereren van de tweede code is bij 21 websites mogelijk. Inloggen via een hardwaretoken kan bij slechts 8 sites, waaronder Twitter, Facebook, Dropbox en Google.
Hopelijks kan ik er binnekort eens tijd insteken om te zien hoe de WebAuthn protocols werken.
Tjonge, wat een veilig gevoel dat men er als gebruiker een goed beveiligd produkt van is...
Bij de referentie aan Google (even de linkjes 3 niveaus die doorlezen) bedoeld men met "USB" eigenlijk "Security Key", oorspronkelijk gebouwd op de FIDO standaard.
Inmiddels is er FIDO2 https://fidoalliance.org/fido2/. WebAuthn wat Anoniem 15:35 zegt is hier onderdeel van.
En die "Security Keys" of "Authenticators" kunnen zijn: USB, BlueToothLE, WiFi.
Dus alleen over USB praten, klopt niet helemaal.
Dus alleen over USB praten, klopt niet helemaal.
Tjonge, wat een veilig gevoel dat men er als gebruiker een goed beveiligd produkt van is...
Je kan zeggen wat je wilt, maar Google heeft sinds ze door de NSA zijn gehacked een hele goede security-team opgezet en heeft het de beste cloud-beveiliging naar mening.
Maakt die USB key/token dan geen gebruik van die besmette driver?
Ps. Lees voor USB driver ook Bluetooth, WiFi, vingerafdrukscanner, etc.
Bash, bash. Zonder verstand van zaken. Google Authenticator is een goede tool. En vertel jij ons maar eens welke beveiligingsproblemen je ziet bij deze tool (privacy problemen mag ook) ;)
Hopelijks kan ik er binnekort eens tijd insteken om te zien hoe de WebAuthn protocols werken.
Sleutel kwijt of gestolen en iedereen kan bij jouw data ....
Maakt die USB key/token dan geen gebruik van die besmette driver?
Ps. Lees voor USB driver ook Bluetooth, WiFi, vingerafdrukscanner, etc.
Laten wij eerlijk zijn, zelfs een SMS is een betere optie dan wat velen nu gebruiken. Bestaan er betere opties? Zeker, is ergens beginnen al "een betere optie" dan niets doen? Absoluut.
Dat is eigenlijk een boodschap voor alle techneuten hier, er is meer tussen wit en zwart.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
