Google stuurt gebruikers een speciale waarschuwing als blijkt dat overheden proberen je account te hacken via phishing of malware.

De laatste keer dat ik zo'n melding zag, schakelde ik 2FA in voor veel van mijn accounts. Dat bleek echter niet genoeg te zijn aangezien ik een tijd later nogmaals werd gewaarschuwd door Google. Ik vroeg mij af of er nog meer manieren zijn waarop ik mij kan wapenen tegen deze overheidshackers. En ja, dat kan.

Google laat weten dat een fysieke beveiligingssleutel een veiliger alternatief is om je account te beveiligen. Deze kleine USB-apparaatjes genereren speciale tokens in plaats van de zescijferige codes van authenticator-apps.

Google ondersteunt een formaat genaamd FIDO Universal 2nd Factor (U2F). Het bedrijf heeft meegeholpen aan de ontwikkeling van deze standaard. Er zijn verschillende sleutels (keys) beschikbaar die kunnen worden gebruikt via USB, Bluetooth en NFC. Ze kunnen dus gebruikt worden in combinatie met een smartphone, tablet of PC.

Daarnaast zijn ze ook nog eens heel makkelijk te gebruiken. Als je een sleutel hebt aangeschaft, moet deze natuurlijk worden geregistreerd op een website. Als je inlogt verschijnt er een prompt. Het authenticeren met de sleutel is simpelweg een kwestie van de sleutel in een USB-poort steken en op de gouden cirkel drukken.

De cirkel triggert de sleutel om een 44 karakters lange code te genereren. De eerste 12 karakters van de code vormen de publieke sleutel van het apparaat dat wordt gebruikt en de resterende 32 vormen een unieke code voor het inlogproces.

Als je je smartphone gebruikt is het voldoende om een NFC-object tegen de achterkant van je telefoon te houden om de codes door te sturen. Dat is alles, zo simpel kan het zijn.

Voordat je naar de winkel rent...

U2F wordt op dit moment alleen nog maar ondersteund door twee browsers: Google Chrome en Opera. De functie is zowel beschikbaar voor Windows alsook macOS en Linux.

Daarnaast werkt U2F op dit moment slechts op een handjevol websites. Gelukkig zijn dat over het algemeen wel de grote jongens als Google, Facebook, Salesforce, GitHub en Dropbox. Het gebruik van deze sleutel op Facebook en Google zal in de meeste gevallen voldoende zijn aangezien dat meestal de sites zijn die worden misbruikt voor identiteitsdiefstal.

Als je een iPhone of iPad-gebruiker bent hebben we echter slecht nieuws voor je, deze sleutels werken (nog) niet goed met deze apparaten.

Wat het gemak betreft: Je zal deze sleutel natuurlijk wel altijd bij je moeten hebben als je een keer op een andere locatie zou willen inloggen. Je smartphone heb je praktisch altijd bij je, maar we kunnen ons voorstellen dat je er niet op zit te wachten ook nog eens een extra sleutel mee te moeten zeulen. Gelukkig zijn deze sleutels in verschillende maten te verkrijgen en sommige zijn zo klein dat je zo in je portemonnee stopt of aan je sleutelring hangt.

Standaarden

De beveiligingssleutel kan ook gebruikt worden om toegang tot wachtwoordmanagers te beschermen. De Dashlane password manager ondersteunt FIDO U2F terwijl sommige concurrenten als LastPass OTP ondersteunen, een soortgelijke, maar incompatibele standaard. Let dus goed op welke sleutel je aanschaft omdat niet alle sleutels met beide standaarden overweg kunnen.

De populairste sleutels zijn van Yubico en de meeste kunnen overweg met U2F en OTP, maar de goedkoopste versie is weer niet compatible met OTP.

Een stap vooruit, twee stappen terug

Google en Facebook promoten beide sleutels als een betere manier je account veilig te houden, toch hebben beide bedrijven een potentieel gat in hun implementatie. Als je een herstel-telefoonnummer opgeeft om beveiligingscodes te ontvangen via SMS, blijft dat nummer actief tot je deze uitschakelt.

Dat kan een probleem zijn omdat SMS geen veilig transmissiekanaal is. Het is malafide hackers al gelukt banken te hacken door via SMS authenticatie-codes te onderscheppen wegens een zwakte in het protocol.

Je zal de telefoon-backup dus uit moeten schakelen. Zowel Google als Facebook geven je de mogelijkheid dat te kunnen doen. En als je toch bezig bent, stel dan meteen inlognotificaties in zodat je altijd een bericht krijgt als iemand anders probeert in te loggen.

Google en Facebook waren overigens niet beschikbaar voor commentaar over het gebruik van de sleutels.

Waar kan je deze sleutels gebruiken?

Yubico heeft een handig overzicht op diens site geplaatst waarin wordt uitgelegd hoe het zit met compatibiliteit, ondersteuning en de standaarden die het meeste wordt gebruikt. Naast de informatieve site van Yubico kan je ook op de Duitste site Nitrokey meer dan genoeg informatie vinden. Daarnaast verkopen ze zelf ook beveiligingssleutels.