image

Google: Usb-sleutel biedt beste bescherming tegen phishing

zaterdag 25 maart 2017, 08:43 door Redactie, 9 reacties

Eigenaren van een Google-account die zich tegen phishing willen wapenen kunnen het beste een usb-sleutel gebruiken, zo adviseert Google. De "Security Key" fungeert als een tweede factor tijdens het inloggen. Nadat het wachtwoord is opgegeven wordt de aanwezigheid van de Security Key gecontroleerd. Het usb-apparaat controleert daarnaast ook of de inlogpagina een echte Google-site en geen phishingpagina is.

Google geeft het advies aan gebruikers die mogelijk doelwit van staatshackers zijn. Sinds 2012 waarschuwt Google gebruikers voor mogelijke aanvallen door staatshackers en het is belangrijk dat gebruikers in dit geval ook actie ondernemen, zo heeft de internetgigant nogmaals herhaald. "De waarschuwing wordt uit voorzorg verstuurd, de melding houdt niet in dat een account is gehackt of dat er een grootschalige aanval is", zegt Shane Huntley van de Google Threat Analysis Group.

De melding geeft volgens Huntley juist weer dat Google pogingen heeft gezien dat een staatshacker waarschijnlijk toegang tot een Google-account probeert te krijgen via phishing of malware. Daarbij verstuurt Google de waarschuwing soms tegelijkertijd naar een groep gebruikers die risico lopen. Dit gebeurt ook niet altijd in real-time. "Een extreem klein deel van de gebruikers zal ooit dit soort waarschuwingen zien, maar als je zo'n waarschuwing van ons ontvangt is het belangrijk om actie te ondernemen", adviseert Huntley. Ze merkt op dat gebruikers die hun account tegen phishing willen beschermen het beste een usb-sleutel kunnen gebruiken. Ook Facebook, Dropbox, Windows 10 en GitHub ondersteunen inmiddels deze inlogmethode.

Image

Reacties (9)
25-03-2017, 09:00 door Anoniem
Sinds Sophos SurfRight heeft overgenomen is hun USB-oplossing tegen ransomware minder in trek, maar Mark Loman heeft er wel internationaal de toon mee gezet, zoals blijkt.
25-03-2017, 09:38 door Anoniem
"toegang tot een Google-account probeert te krijgen via phishing of malware" tja als ze dat voor de inegbouwdee Patriot act backdoor gingen doen, dan konden ze hun hele klantenbestand wel op de hoogte brengen.
25-03-2017, 14:36 door Anoniem
Totaal mee eens. Objectief de beste security. De security sleutels in kwestie zijn onder andere:
https://www.yubico.com/products/yubikey-hardware/ (deze gebruikt Google onder hun eigen personeel (quote van Mayank Upadhyay, Director of Security Engineering: We've raised the standard of security for our employees. The YubiKey works seamlessly for people in their day-to-day workflow here at Google.)
https://www.nitrokey.com/
https://github.com/conorpp/u2f-zero (opensource DIY om zelf je eigen sleutel te kunnen bouwen)

Mijn voorkeur gaat uit aan Yubico's Yubikeys, omdat die het meest veelzijdig zijn. Naast U2F bieden ze een scala aan andere authenticatie opties, en de sleutels hebben een ingebouwde toetsenbord emulator, waardoor, als je wilt, je je hoofdwachtwoord van je password manager of je Google account kan laten uittypen.

Ik denk dat vele hier op security.nl al op de hoogte zijn van het bovenstaande, maar toch even vermelden voor de gene die hiervan niet op de hoogte zijn. Hoe meer mensen zich zo goed mogelijk kunnen beveiligen, hoe beter voor iedereen.
25-03-2017, 16:43 door Spiff has left the building
Door Anoniem, 09:00 uur:

Sinds Sophos SurfRight heeft overgenomen is hun USB-oplossing tegen ransomware minder in trek, maar Mark Loman heeft er wel internationaal de toon mee gezet, zoals blijkt.

Kun je uitleggen wat je daarmee precies bedoelt, al dan niet in relatie tot het Google Security Key bericht?

Wat bedoel je precies met SurfRight's USB-oplossing tegen ransomware?
Bedoel je daarmee HitmanPro.Kickstart?
HitmanPro.Kickstart was nuttig om screenlocker malware te omzeilen, maar het was niet specifiek bedoeld tegen ransomware, en voor crypto-ransomware had je er weinig aan, daarvoor was het niet bedoeld.
Per HitmanPro 3.7.15.281 is de Kickstart functionaliteit verwijderd uit HitmanPro, zie:
https://www.hitmanpro.com/en-us/whatsnew.aspx
De reden daarvoor is hier genoemd:
https://www.wilderssecurity.com/threads/hitman-pro-support-and-discussion-thread.236732/page-292#post-2622646
Hoe dan ook was de functionaliteit van HitmanPro.Kickstart iets volkomen anders dan Google Security Key.

Of doel je mogelijk op HitmanPro.Alert?
HitmanPro.Alert omvat onder meer CryptoGuard, de component die bescherming biedt tegen crypto-ransomware.
Ook biedt HitmanPro.Alert de BadUSB component, dat bescherming biedt tegen kwaadaardige USB devices.
Maar ook CryptoGuard en BadUSB en andere HitmanPro.Alert componenten bieden iets volkomen anders dan Google Security Key.

Ik begrijp daarom niet wat je bedoelde met je reactie van 09:00 uur.
25-03-2017, 18:29 door Anoniem
Door Anoniem: "toegang tot een Google-account probeert te krijgen via phishing of malware" tja als ze dat voor de inegbouwdee Patriot act backdoor gingen doen, dan konden ze hun hele klantenbestand wel op de hoogte brengen.

Welke backdoor?
Je snapt hopelijk dat het inbouwen van een backdoor bij een internationale partij als Google in feite onmogelijk is.

Peter
25-03-2017, 19:02 door Anoniem
Voor mogelijke doelwitten van staatshackers is het beste om resoluut alleen services en producten afnemen van aanbieders waar je bij inkoop en gebruik wel je security-eisenpakket kan afdwingen. Een tooltje voor een selectieve vorm van beveiliging, met vendor lockin is het beste voor de vendor.
25-03-2017, 19:53 door Anoniem
Maar betekend dit dan dat de browser direct access heeft tot (usb) hardware? Lijkt me toch ook niet helemaal wenselijk.

Als google nu echt wat voor de security en privacy wil doen moeten ze eens het bedrijf opsplitsen in onafhankelijke onderdelen, en het hoofdkantoor verantwoordelijk voor security/privacy verhuizen naar een land, waar dat het beste is geregeld.
25-03-2017, 21:44 door SecGuru_OTX
Door Anoniem: Maar betekend dit dan dat de browser direct access heeft tot (usb) hardware? Lijkt me toch ook niet helemaal wenselijk. .

Dat niet, de browser heeft Yubikey ondersteuning, dwz dat de browser de Yubikey driver kan aansturen. Naar mijn weten werkt dit alleen nog maar vanuit Chrome of vanuit lokaal geinstalleerde applicaties met Yubikey ondersteuning(b.v. Dashlane).

Ik heb de Yubikey maar merk op dat ik steeds vaker terugval op Authy 2FA, de meeste apps of diensten die met Yubikey werken, ondersteunen n.l. ook nog gewoon 2FA met b.v. Authy, Google Authenticator of MS Authenticator.

Wat met Yubikey ook heel goed werkt is het gebruik van U2F op Apple OSX om in te loggen. Voor Windows gebruik ik nog DUO security met push methode naar mijn Smartphone, dit werkt alleen nog niet op OSX.
28-03-2017, 12:04 door Anoniem
Dus, om mijn mail te lezen (en geen slachtoffer te worden van phishing) moet ik een USB key in mijn telefoon / tablet stoppen?

En hoe werkt dat dan met een email client? Of als ik geen Chrome gebruik?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.