image

Veel populaire sites ondersteunen geen usb-beveiligingssleutel

dinsdag 30 oktober 2018, 15:19 door Redactie, 11 reacties

Veel populaire websites laten gebruikers niet via een usb-beveiligingssleutel inloggen, ook al biedt dit volgens Google de beste bescherming tegen phishing. Dat blijkt uit onderzoek van wachtwoordmanager Dashlane. Onderzoekers keken naar de opties die de 34 populairste websites in de Verenigde Staten voor tweefactorauthenticatie (2FA) bieden.

Gebruikers moeten hierbij naast hun wachtwoord met een tweede factor inloggen, bijvoorbeeld door een code in te voeren die via sms of een app is verkregen. Voor het onderzoek werd er gekeken of websites tweefactorauthenticatie via e-mail/sms, een authenticator-app of een hardwaretoken zoals een usb-beveiligingssleutel ondersteunden.

Van de 34 websites zijn er 8 die gebruikers via alle drie de opties laten inloggen. Vier websites ondersteunen helemaal geen tweefactorauthenticatie. Wanneer dit wel wordt ondersteund is het meestal via sms/e-mail (30 websites). Het gebruik van een authenticator-app voor het genereren van de tweede code is bij 21 websites mogelijk. Inloggen via een hardwaretoken kan bij slechts 8 sites, waaronder Twitter, Facebook, Dropbox en Google.

Image

Reacties (11)
30-10-2018, 15:35 door Anoniem
Ik zou liever zien dat je gewoon met je sleutel kan inloggen zonder username of wachtwoord.

Hopelijks kan ik er binnekort eens tijd insteken om te zien hoe de WebAuthn protocols werken.
30-10-2018, 15:46 door Anoniem
Facebook, Google?
Tjonge, wat een veilig gevoel dat men er als gebruiker een goed beveiligd produkt van is...
30-10-2018, 18:45 door Password1234
Aantal misvattingen in het bericht hier.
Bij de referentie aan Google (even de linkjes 3 niveaus die doorlezen) bedoeld men met "USB" eigenlijk "Security Key", oorspronkelijk gebouwd op de FIDO standaard.


Inmiddels is er FIDO2 https://fidoalliance.org/fido2/. WebAuthn wat Anoniem 15:35 zegt is hier onderdeel van.
En die "Security Keys" of "Authenticators" kunnen zijn: USB, BlueToothLE, WiFi.


Dus alleen over USB praten, klopt niet helemaal.
31-10-2018, 07:39 door Anoniem
Door Password1234:
Dus alleen over USB praten, klopt niet helemaal.
Dat gebeurt dan ook niet, er staat een hardware token ZOALS een usb-beveiligssleutel.
31-10-2018, 08:47 door Anoniem
Door Anoniem: Facebook, Google?
Tjonge, wat een veilig gevoel dat men er als gebruiker een goed beveiligd produkt van is...

Je kan zeggen wat je wilt, maar Google heeft sinds ze door de NSA zijn gehacked een hele goede security-team opgezet en heeft het de beste cloud-beveiliging naar mening.
31-10-2018, 10:19 door Anoniem
Dus omdat een pc besmet kan zijn met een malafide USB driver, is het veiliger om een USB token te gebruiken?

Maakt die USB key/token dan geen gebruik van die besmette driver?

Ps. Lees voor USB driver ook Bluetooth, WiFi, vingerafdrukscanner, etc.
31-10-2018, 11:17 door Anoniem
Facebook, Google? Tjonge, wat een veilig gevoel dat men er als gebruiker een goed beveiligd produkt van is...

Bash, bash. Zonder verstand van zaken. Google Authenticator is een goede tool. En vertel jij ons maar eens welke beveiligingsproblemen je ziet bij deze tool (privacy problemen mag ook) ;)
31-10-2018, 12:18 door Anoniem
Door Anoniem: Ik zou liever zien dat je gewoon met je sleutel kan inloggen zonder username of wachtwoord.

Hopelijks kan ik er binnekort eens tijd insteken om te zien hoe de WebAuthn protocols werken.

Sleutel kwijt of gestolen en iedereen kan bij jouw data ....
31-10-2018, 12:35 door Korund - Bijgewerkt: 31-10-2018, 12:36
Door Anoniem: Ik zou liever zien dat je gewoon met je sleutel kan inloggen zonder username of wachtwoord
Ook dan haal je de extra veiligheid die ontstaat door 2FA (iets wat alleen jij weet gecombineerd met iets wat alleen jij hebt) onderuit.
31-10-2018, 15:25 door Anoniem
Door Password1234:Dus alleen over USB praten, klopt niet helemaal.
Met USB wordt vast bedoeld een hardware token (iets dat je bezit, vast kunt houden, etc).
01-11-2018, 08:43 door Anoniem
Door Anoniem: Dus omdat een pc besmet kan zijn met een malafide USB driver, is het veiliger om een USB token te gebruiken?

Maakt die USB key/token dan geen gebruik van die besmette driver?

Ps. Lees voor USB driver ook Bluetooth, WiFi, vingerafdrukscanner, etc.
Ik lees dat jij een techneut bent. Het is soms verstandig om af te stappen van je visie als techneut. Ja het is zo dat een USB driver vervangen kan worden om er allemaal stiekeme sneaky dingen mee te doen. Dit neemt niet weg dat dit threat model voor velen te ver weg is van hun bed om zich daar redelijkerwijs druk om te maken.

Laten wij eerlijk zijn, zelfs een SMS is een betere optie dan wat velen nu gebruiken. Bestaan er betere opties? Zeker, is ergens beginnen al "een betere optie" dan niets doen? Absoluut.

Dat is eigenlijk een boodschap voor alle techneuten hier, er is meer tussen wit en zwart.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.