image

Google gaat inloggen via bluetooth-koppeling met telefoon op meer plekken uitrollen

donderdag 12 mei 2022, 10:06 door Redactie, 11 reacties

Google gaat gebruikers de komende tijd op meer plekken de mogelijkheid bieden om tijdens het inloggen op bijvoorbeeld hun laptop hun telefoon als fysieke beveiligingssleutel te gebruiken. Hiervoor moeten gebruikers wel op beide apparaten tijdens het inloggen bluetooth inschakelen. Dit moet volgens Google gebruikers beter tegen phishing beschermen.

Het techbedrijf stelt dat phishingaanvallen zich de afgelopen tijd verder hebben ontwikkeld en aanvallers nu ook tweefactorauthenticatie (2FA)-codes proberen te onderscheppen die bijvoorbeeld via sms worden verstuurd. Hierbij gebruikt de aanvaller informatie van het slachtoffer om direct op de echte Google-pagina in te loggen en stuurt aanvullende authenticatiechallenges door naar het slachtoffer.

Traditionele multifactorauthenticatie is beperkt in wat het tegen dergelijke aanvallen kan doen, zegt Daniel Margolis, van het Google Account Security Team. Een betere bescherming bieden fysieke securitysleutels, die ook de identiteit van de website waarop wordt ingelogd controleren. Het is echter niet realistisch om te verwachten dat iedereen van een fysieke securitysleutel gebruik gaat maken, aldus Margolis.

Als oplossing wil Google nu de telefoon van gebruikers als fysieke beveiligingssleutel gebruiken. "Dit voorkomt dat een aanvaller je kan misleiden om een inlogpoging via hun browser goed te keuren, wat ons een extra beveiligingslaag tegen dergelijke "person in the middle" aanvallen geeft die wel werken tegen sms of Google Prompt", merkt Margolis op.

Voor de koppeling maakt Google gebruik van bluetooth. De komende maanden gaat het techbedrijf de technologie op meer plekken uitrollen en zullen gebruikers dus ook vaker het verzoek krijgen om bluetooth in te schakelen. Margolis stelt dat de technologie het niet mogelijk maakt voor computers in de buurt om als de gebruiker in te loggen. "Het geeft alleen toestemming aan de computer waar je op inlogt. En we gebruiken het alleen om te verifiëren dat je telefoon in buurt is van het apparaat waarop je inlogt, dus je hoeft bluetooth alleen tijdens het inloggen te hebben ingeschakeld."

Image

Reacties (11)
12-05-2022, 10:19 door Anoniem
Ik ben wel voor de FIDO/WebAuthN oplossing. Jammer dat ze alleen BT gebruiken.
BT voelt me toch niet helemaal veilig door de implementatie.
Ik hoop dat ze later ook mogelijkheid bieden via USB en NFC.
12-05-2022, 12:04 door Anoniem
#Person in the middle? iemand......hahahahaha
12-05-2022, 12:07 door Anoniem
En zo komen er weer heleboel heleboel telefoons bij die BT altijd aan hebben en alle BT-mac adressen die ze zien aan Google doorgeven. win-win, voor Google dan.
12-05-2022, 13:34 door Anoniem
Door Anoniem: En zo komen er weer heleboel heleboel telefoons bij die BT altijd aan hebben en alle BT-mac adressen die ze zien aan Google doorgeven. win-win, voor Google dan.
Natuurlijk. Elke dienst of whatever die ze de afgelopen 10+ jaar geïntroduceerd hebben, is niet geheel ontoevallig goed in te zetten om mensen te tracken. Het lijkt wel een patroon.
12-05-2022, 13:38 door Anoniem
Door Anoniem: En zo komen er weer heleboel heleboel telefoons bij die BT altijd aan hebben en alle BT-mac adressen die ze zien aan Google doorgeven. win-win, voor Google dan.
En we weten niet hoeveel telefoons door phising en backdoors gecompromitteerd zijn zonder dat de gebruiker daar wat van zal merken. Dat kunnen er behoorlijk veel zijn. En Bluetooth zelf is vaak ook gecompromitteerd, dus hoe zinnig is dit nou echt??
12-05-2022, 13:53 door EersteEnigeEchte M.J. - EEEMJ - Bijgewerkt: 12-05-2022, 13:55
Traditionele multifactorauthenticatie is beperkt in wat het tegen dergelijke aanvallen kan doen, zegt Daniel Margolis, van het Google Account Security Team. Een betere bescherming bieden fysieke securitysleutels, die ook de identiteit van de website waarop wordt ingelogd controleren. Het is echter niet realistisch om te verwachten dat iedereen van een fysieke securitysleutel gebruik gaat maken, aldus Margolis.

En zo is de cirkel rond. Nadat digitalisering jarenlang de hemel is ingeprezen, komt het hoge woord er eindelijk uit: "Een betere bescherming bieden fysieke securitysleutels..."

Maar dan geeft Google er weer een draai aan: "...die ook de identiteit van de website waarop wordt ingelogd controleren."

Toen ik vroeger traditioneel (ja, want DAT is pas traditioneel!) naar het kantoor van de bank ging, controleerde ik ook altijd even de identiteit van de bank. Daar had ik niet eens de straat en het huisnummer voor nodig. Ik herkende de gevel ook zo wel, tussen de andere bekende gevels. Tacit knowledge...

Als ik dan weer naar huis ging, opende ik mijn voordeur met een "fysieke securitysleutel", ook wel kortweg aangeduid als een "sleutel". Klein, goedkoop, milieuvriendelijk metalen voorwerpje met tandjes.

Maar nu moet ik de identiteit van het gevirtualiseerde bankkantoor volgens Google met BlueTooth gaan controleren waardoor Google MIJ kan controleren - zowel bij de bank als bij mij thuis. Wie controleert nu eigenlijk wie?

En hoe zit het met het energieverbruik van die miljarden BT-verbindingen die dagelijks moeten worden gemaakt? Hoe zit het met de milieuvriendelijkheid van die miljarden chips die in talloze apparaten worden verwerkt?

Wat een shitzooi hebben Google c.s. plus al die goedgelovige digi-trendslaafvolgers ervan gemaakt. Een shitzooi voor gewone mensen, wel te verstaan. Voor Google c.s. is het een verdienmodel.

M.J.
12-05-2022, 14:09 door Anoniem
Door Anoniem:
Door Anoniem: En zo komen er weer heleboel heleboel telefoons bij die BT altijd aan hebben en alle BT-mac adressen die ze zien aan Google doorgeven. win-win, voor Google dan.
Natuurlijk. Elke dienst of whatever die ze de afgelopen 10+ jaar geïntroduceerd hebben, is niet geheel ontoevallig goed in te zetten om mensen te tracken. Het lijkt wel een patroon.

Natuurlijk. Kom je bij Google werken, dan krijg je meteen een cursus evilness, om overal altijd iets in te bouwen dat extra tracking inbouwt. Al die tienduizenden sw engineers doen dit de hele dag. Maar waarom is er nog nooit een document van de directie naar buiten gelekt die dit iedereen opdringt?
12-05-2022, 15:47 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: En zo komen er weer heleboel heleboel telefoons bij die BT altijd aan hebben en alle BT-mac adressen die ze zien aan Google doorgeven. win-win, voor Google dan.
Natuurlijk. Elke dienst of whatever die ze de afgelopen 10+ jaar geïntroduceerd hebben, is niet geheel ontoevallig goed in te zetten om mensen te tracken. Het lijkt wel een patroon.

Natuurlijk. Kom je bij Google werken, dan krijg je meteen een cursus evilness, om overal altijd iets in te bouwen dat extra tracking inbouwt. Al die tienduizenden sw engineers doen dit de hele dag. Maar waarom is er nog nooit een document van de directie naar buiten gelekt die dit iedereen opdringt?

Iedereen die wel eens bij een groot bedrijf heeft gewerkt, weet dat het vooral een verzameling kleine clubjes is, die elk hun eigen gang gaan. Dan ontstaat er ook weerstand tegen, komt er extra bureaucratie, en dan gaat het vooral langzamer maar nog steeds gaan velen hun eigen gang. Dat is hier ook zo, een of andere sw engineer heeft dit snufje bedacht en het ingebouwd. Dat is 10 management lagen hoger echt niet bevolen.
13-05-2022, 02:47 door Anoniem
Bluetooth is lang en breed gecompromitteerd en zwaar verouderd. Precies als de lekke consumentenmeuk van Google zelf. Het is een van de zwakste schakels in beveiliging van devices. Geen wonder dat Google dit graag inzet.

Het is 'het gemak' dat de domme meute ertoe zal aanzetten deze crap massaal te gebruiken. Niet vergeten dat ruim 80% van de eindgebruikers big tech (nog) onvoorwaardelijk blind vertrouwt. En bij gebrek aan zelfrespect maar al te graag persoonlijke data deelt met overheden en ander ongewenst allooi. In die zin is het van hetzelfde laken een pak als de covid-scam: "Kijk mij eens een braaf burger zijn..."
13-05-2022, 12:29 door Anoniem
Gemak dient de mensen, zag ook al zo iets in de Uber app. Ik heb het eens zitten testen met mijn google account en het werkt best handig, alleen zullen veel mensen vergeten dat het er niet veiliger op wordt wanneer je alleen een authenticatie methode toevoegt. Want standaard blijven de andere authenticatie methodes beschikbaar zodat je hiermee kan inloggen als b.v. bluetooth key niet beschikbaar is.
15-05-2022, 17:23 door Anoniem
Een onveilig platform zoals een smartphone als security-beveiliging gebruiken? Hoe zot kunt ge zijn? (dat zeg ik dus ook over iOS e.v.a. platformen die in mijn ogen speelgoed zijn).
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.