Sinds begin 2017 werd niemand van Googles meer dan 85.000 werknemers nog het slachtoffer van phishing. De truc? Fysieke beveiligingssleutel in plaats van wachtwoorden of tijdelijke codes.
Phishing blijft een groot beveiligingsrisico voor bedrijven. Volgens recent onderzoek in opdracht van Sophos wordt 41 procent van de organisaties er op dagelijkse basis mee geconfronteerd. Ook bij Google zijn phishingpogingen schering en inslag. Zelfs de technologisch onderlegde werknemers van de internetgigant zijn niet immuun voor phishing, nu aanvallers steeds uitgekiender te werk gaan.
Fysieke bescherming
Begin 2017 nam Google daarom een maatregel die bijzonder efficiënt bleek te zijn. Het bedrijf deelde fysieke beveiligingssleutels uit aan al zijn werknemers ter vervanging van wachtwoorden en tweestapsverificatie via tijdelijke inlogcodes. Sindsdien werd geen enkele succesvolle phishingaanval meer vastgesteld, zo zegt het bedrijf tegen securityblog KrebsonSecurity.
Beveiligingssleutels bieden een alternatief voor tweestapsverificatie via een tijdelijke code of sms. Bij tweestapsverificatie wordt aan de gebruiker gevraagd om zich te identificeren met iets dat hij weet (een wachtwoord) en iets dat hij heeft. Voor dat laatste wordt dus doorgaans een tijdelijke code via een app of sms op je smartphone gebruikt, maar die methode is niet helemaal waterdicht.
Attack Steps:
1. User enters password into attackers site
2. Attacker attempts to log in immediately and SMS code sent to user
3. Attacker sees code is required then returns page asking for code to user
4. User enters code
5. Attacker wins— Shane Huntley (@ShaneHuntley) July 22, 2018
“Elk 2FA-systeem dat de gebruiker vraagt om een code in te geven, kan worden gephisht”, zegt Shane Huntley van Googles Threat Analysis Group in een tweet. Het komt erop neer dat een slimme aanvaller in dat geval het slachtoffer kan misleiden om de tijdelijke code in te geven op een valse inlogpagina. Een beveiligingssleutel schakelt dat risico uit.
U2F-standaard
Beveiligingssleutels maken gebruik van de open source Universal 2nd Factor (U2F)-standaard en bewaren een unieke toegangstoken om een USB-apparaat. Sluit het toestelletje aan op je computer en je kan aanmelden op je account. Er moet geen code manueel worden ingegeven, waardoor ze ook niet kan worden gephisht.
U2F-sleutels werken via USB-A of USB-C, en er zijn ook exemplaren met bluetooth of NFC beschikbaar. Een bekend voorbeeld zijn de YubiKeys van YubiCo. Prijzen beginnen vanaf om en bij 30 euro.
Voorlopig biedt nog maar een handvol diensten ondersteuning voor de relatief nieuwe standaard, waaronder Google, Facebook, Dropbox en GitHub. U2F is compatibel met Chrome, Firefox en Opera. Microsoft verwacht ondersteuning in Edge later dit jaar toe te voegen. Over Safari van Apple is nog geen nieuws bekend.
Titan Security Key
Google maakt gebruik van een in eigen huis ontworpen beveiligingssleutel, de Titan Security Key. Die gaat het binnenkort ook buiten de eigen bedrijfsmuren aanbieden via de Google Store, zowel in een USB- als bluetoothversie.
Google zal een bundel met de USB- als bluetoothversie aanbieden voor 50 dollar. Je kan ook de ene of de andere sleutel kopen voor 20 tot 25 dollar per stuk, zo weet CNet. Het is momenteel niet duidelijk of de sleutels wereldwijd zullen worden aangeboden.
Functioneel is er weinig verschil met andere populaire beveiligingssleutels, zoals die van YubiCo. Het is voor Google met name zaak om het aanbod op de markt uit te breiden, en niet zozeer om met andere aanbieders te concurreren.
“Het belangrijkste is dat iedereen een beveiligingssleutel gebruikt. De Titan Key is specifiek bedoeld voor klanten die beveiligingssleutels willen en op Google vertrouwen”, zegt Sam Srinivas, Product Manager Information Security bij Google, aan CNet.