Google heeft een nieuwe versie van de eigen Titan Security Key gelanceerd, die onder andere 250 unieke passkeys kan opslaan. De eerste versie van de fysieke beveiligingssleutel werd in 2018 gelanceerd. De Titan Security Key maakt gebruik van een protocol dat op standaard public key-cryprografie is gebaseerd. Een gebruiker die zijn beveiligingssleutel voor een website wil gebruiken moet dit eerst instellen.

Tijdens het instellen registreert de gebruiker een publieke sleutel. Bij het inloggen vraagt de website vervolgens om een cryptografische handtekening die bewijst dat de gebruiker de eigenaar is van de privésleutel die bij de publieke sleutel hoort. Hierdoor werkt de beveiligingssleutel alleen op de website waarvoor die is geregistreerd. Inmiddels zet Google ook vol in op het gebruik van passkeys, een gezamenlijk initiatief van Apple, Google en Microsoft.

Passkeys zijn gebaseerd op de Web Authentication (WebAuthn) standaard en maken ook gebruik van public key cryptography. Gebruikers moeten eerst op hun computer of smartphone een passkey voor een account of website genereren. De bijbehorende private key blijft op het toestel van de gebruiker, terwijl de bijbehorende public key door de website of app wordt opgeslagen. Het toestel van de gebruiker genereert vervolgens een signature gebaseerd op de private key die bij het inloggen wordt verstuurd.

Tijdens het inloggen gebruikt de website of app waarop wordt ingelogd de public key om de signature van de private key te verifiëren. Om de passkey op het toestel te kunnen gebruiken moet eerst een vinger of het gezicht van de gebruiker worden gescand, of een ontgrendelingspatroon of pincode worden opgegeven. Passkeys maken namelijk gebruik van het mechanisme waarmee het betreffende apparaat of systeem van de gebruiker wordt ontgrendeld. Ze zijn echter niet gebonden aan het betreffende apparaat en dezelfde private key kan op meerdere toestellen bestaan.

"We zijn zeer enthousiast over de potentie van passkeys, maar we weten ook dat er geen security wondermiddel voor iedereen is. Sommige mensen willen een oplossing die niet afhankelijk is van smartphones of gebruiken apparaten die passkeys niet ondersteunen. Iedereen heeft verschillende manieren voor security, maar we delen allemaal hetzelfde doel: het stoppen van aanvallen", zegt Christiaan Brand van Google.

Het techbedrijf heeft ervoor gekozen om de nieuwste versie van de Titan Security Key dan ook de mogelijkheid te geven om 250 passkeys op te slaan. Wanneer de nieuwe beveiligingssleutel wordt gebruikt voor een Google-account, biedt de sleutel de optie om een pincode in te stellen om zo toegang tot het account te krijgen in plaats van een wachtwoord. De nieuwe sleutel is beschikbaar als USB-A en USB-C en ondersteunt NFC.