image

Google: Usb-sleutel voorkomt phishing van medewerkers

maandag 23 juli 2018, 15:01 door Redactie, 5 reacties

Sinds Google begin vorig jaar het inloggen op werkaccounts via een usb-beveiligingssleutel heeft verplicht is geen van de meer dan 85.000 medewerkers op zijn of haar werkaccount gephisht. Dat laat het bedrijf tegenover it-journalist Brian Krebs weten.

Vorig jaar maart stelde Google dat een usb-beveiligingssleutel de beste bescherming tegen phishing biedt. De "Security Key" fungeert als een tweede factor tijdens het inloggen. Nadat het wachtwoord is opgegeven wordt de aanwezigheid van de Security Key gecontroleerd. Het usb-apparaat controleert daarnaast ook of de inlogpagina een echte Google-site en geen phishingpagina is. Voor alle accounttoegang wordt er bij Google nu van een dergelijke sleutel gebruikgemaakt. Zelfs als een aanvaller het wachtwoord van een Google-medewerker weet kan hij nog steeds niet op het werkaccount inloggen, aangezien hij niet over de usb-sleutel beschikt.

"We hebben geen gerapporteerde of bevestigde overgenomen accounts sinds de implementatie van beveiligingssleutels bij Google", aldus een woordvoerder. "Gebruikers kunnen voor verschillende apps/redenen worden gevraagd om zich via hun beveiligingssleutel te authenticeren. Het hangt allemaal af van de gevoeligheid van de app en het risico van de gebruiker op dat moment." Naast Google bieden allerlei grote websites zoals Facebook, Twitter, GitHub, Dropbox en ook Windows 10 het inloggen via usb-sleutel aan.

Image

Reacties (5)
23-07-2018, 15:34 door Anoniem
Wow wat innovatief. Dergelijke beveiliging hebben we bij ons op het werk in 2006 geimplementeerd, als ik het mij goed herinner. Triest dat nog steeds veel grote bedrijven en overheidsinstellingen dit nog niet tot standaard hebben gemaakt.
23-07-2018, 17:02 door Anoniem
Het usb-apparaat controleert daarnaast ook of de inlogpagina een echte Google-site en geen phishingpagina is
de Fido U2F key kan niet controleren of het een echte google-site is, maar de plugin die de authenticatie afhandelt kan dit natuurlijk wel. Zo zal b.v. Lastpass ook nooit de inloggegevens invullen op nep-sites.
23-07-2018, 17:31 door Anoniem
Er zal hierbij ook wel weer iets worden verzameld door Google of een andere grote jongen die dit levert tbv "je profiel".
Zoals 'doet zaken met die-en-die'.
23-07-2018, 19:59 door Anoniem
En de criminelen zullen daar ook wel weer iets op vinden.
01-08-2018, 10:50 door Robby Swartenbroekx
Ik vraag me vooral af hoe ze dan mails op gsm's krijgen?
Hoeveel zaken kan een gebruiker niet meer doen als de volledige AD authenticatie hieraan verplicht gelinkt wordt?

Begrijp me niet verkeerd, ik juich veiligheid toe, gewoon welke prijs voor de eindgebruiker hangt eraan vast.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.