Fido, Yubikey, Nitrokey Waren er al.
Is dit damage control?

Google heeft altijd al last gehad van een Not Invented Here syndroom. In die zin is het logisch dat zij zelf ook een hardware sleutel willen ontwikkelen. De meeste ingrediënten zijn bovendien al in huis, de chip wordt al in andere producten gebruikt en de software zal grotendeels gebaseerd zijn op de BoringCrypto library die Google zelf schrijft.

Bestaat al sinds 2019 in eerste versie.

https://en.wikipedia.org/wiki/Titan_Security_Key

Sinds 2023 nieuwere versie.
Alleen het 'te koop in Nederland' is recent.

Ik denk eigenlijk dat Google het (primair) voor intern gebruik ontwikkeld heeft.
https://www.datacenterdynamics.com/en/news/google-reveals-details-about-titan-its-server-security-chip/

Erg logisch dat een partij als google bezorgd is over malicious hardware (supply chain attacks), of datacenter personeel dat als insider threat fungeert .
Dus ze hebben feitelijk hun eigen secure boot omgeving ontwikkeld.

Ik denk dat die titan keys eruit voortkomen, voor systeem access door personeel .

Bedenk dat als je zo'n groot doelwit bent als Google (of Apple) - dan een container van andermans security keys kopen helemaal niet zo betrouwbaar is als je zou hopen.

Laten we eerlijk zijn - voor een partij als Google is het niet (alleen) "NIH syndroom" .
Ze hebben zorgen (en m.i. heel erg terecht) dat ze een extreem waardevol doelwit zijn voor heel erg professionele partijen, en een supply chain attack (of gewoon - een obscure bug) in andermans "security chip" moeten ze reeel rekening mee moeten houden.

Ik vraag me af wat Apple en Facebook doen voor hun interne authenticatie, trouwens.

Zo te zien is hij FIDO2-compliant. Is een leverancier erbij die een standaard implementeert een probleem?

ja en wat heb ik er aan als je zo afentoe op je tablet zit.....dit slaat aleen op als er een inbraak word gepland?????

Ongeveer niets.

Maar wat doe je op een site als dit als je alleen afentoe op een tablet zit ?

En waarom zou een privacy bewust iemand het vertrouwen hebben om een apparaat door Google gelicenseerd (niet gebouwd) te gebruiken wetende dat Google het niet hoog op heeft met de privacy van zijn gebruikers. Want ik geloof absoluut dat ze dit zelf gebruiken maar ik geloof absoluut niet dat kopers de zelfde versie krijgen.

En gezien zowel Google als US bedrijf zeker met huidige politiek daar niet te vertrouwen is en ze de productie in China laten doen door FEITIAN Technologies wat niks kan zonder permissie van Chinese overheid en het een oem'd product is dan wat voorkomt het dat er een trojanhorse wordt binnengehaald.

Wie zegt me dat er inplaats van twee firmware checks niet een dormant derde is die de boel kan overschrijven. Want je geeft hier letterlijk mee aan dat je waarschijnlijk zeer juicy data in je bezit hebt. Een leek gaat zo key niet kopen die weet er waarschijnlijk niks van daarintegen is de kans heel groot dat er tussen enige accounts waar FIDO 2 onzin voor is door mensen die het niet nodig hebben er wel waardevolle data tussen zit van anderen.

Naast dat ze maximaal 250 credentials op kunnen slaan ik heb er alleen al over de 800 zakelijk omdat ik voor alle diensten een andere key, gebruikersnaam en mail adres gebruik zoals het hoort ik ga echt niet meerdere fysieke keys bewaren laat staan dat dit gemonitored kan worden vanuit eigen security.

En dan sht als dit allegedly
https://www.androidpolice.com/google-titan-security-key-flaw-250-passkeys/

Howly hell als dat waar is je zou maar een datalek hebben dat een klein deel van je inlog infra betreft bij een partij dan mag je dus al je keys gaan vervangen terwijl het operationeel niet nodig is voor alle overige diensten.

Dit klinkt als een hele domme potentiele aanschaf.