Lijkt verdacht veel op de Feitan U2F key, voor 22€ te bestellen ;)
https://www.amazon.fr/Feitian-Multipass-FIDO-U2F-Security/dp/B01LYV6TQM/ref=sr_1_2
en goedkopere varianten zijn er al vanaf 7€ (zoeken op Fido U2F)

Wat me niet helemaal duidelijk is, is of de genoemde sleutel ook met een PIN beveiligd/beveiligbaar is. Voor het overige, fysieke component, intrek- en vervangbaar, met certificaten en signing gebaseerd op onbreekbare encryptie. Petje af. Ik zou zelfs zeggen dat voor het doel (Google accounts) het misschien een beetje overdone is, maar dat kan ik mis hebben en is een kwestie van smaak.

A propos, het is dus mogelijk om voor aanloggen op je GMail een hoger beveiligingsniveau te kiezen dan voor je DigID...

Klinkt als een mooie oplossing. Heb zelf al een yubikey, die hetzelfde doet. Maar deze is wel goedkoper en je krijgt er meer voor.

Helaas is het enige, dat tijdens een doordachte phishing-aanval beschermd wordt, de private key in zo'n Titan sleutel.

Wat je zou moeten willen, is een systeem dat verhindert dat iemand namens jou ergens kan inloggen, en dat doet dit systeem niet. Een vereiste voor aanvallers is wel dat zij een MITM (Man In The Middle) aanval uitvoeren, maar dat doen ze in de praktijk meestal - o.a om te detecteren dat je een verkeerd wachtwoord hebt ingevoerd, maar vooral om te voorkomen dat je argwaan krijgt en alarm slaat als je, na inloggen op een nepsite, niet kunt doen waar je voor kwam.

Natuurlijk is het voor aanvallers interessante bijvangst als ze jouw inloggegevens kunnen kopiëren en die, zonder jouw hulp, kunnen hergebruiken, maar dat is zelden hun primaire doel. Sowieso is de kans aanwezig dat je, nadat zij voor de eerste keer hebben toegeslagen, ontdekt dat je er in bent geluisd (bijv. bankrekening geplunderd) en jouw credentials wijzigt. Spionnen daargelaten, slaan criminelen hun slag en verdwijnen zo snel mogelijk uit beeld om de pakkans zo klein mogelijk te houden.

Ter illustratie: als DigiD zo'n Titan key zou ondersteunen, zou dat de aanval afgelopen juni (https://www.security.nl/posting/568113/MijnOverheid-phishingsite+maakte+ook+2-factorauthenticatie+buit) niet hebben voorkomen.

Mijn zorg is niet dat criminelen mijn wachtwoord voor een website in handen krijgen en later nogmaals als mij kunnen inloggen; ik wil dat ze dat de eerste keer al niet kunnen en dat voorkomt dit ding niet bij een MITM aanval. Doordat een volledig gescheiden tweede kanaal ontbreekt, is dit geen echte 2FA.

Zo'n Titan key is wellicht een redelijk alternatief voor mensen die geen veilige wachtwoorden kunnen bedenken en onthouden (en die geen wachtwoordmanager (willen) gebruiken), maar kent ook een boel nadelen (makkelijk kwijt te raken, geen pincode om te ontgrendelen, niet in je smartphone kunnen pluggen, wellicht te vervangen door een gelijkende key met malware, wat moet je doen als je zo'n key kwijtraakt of als deze defect raakt enzovoort).

In plaats van halve oplossingen invoeren zouden we volwaardige 2FA systemen moeten bedenken en/of mensen helpen voorkomen dat ze op nepsites inloggen.

Ik zou zeggen dat die Titan key een perfect voorbeeld is van een tweede factor. Je moet naast een wachtwoord, dus een wat-je-weet factor, ook de key hebben als 2e factor dus een wat-je-hebt factor. De key maakt gebruik van tamper-protected hardware, en is dus moeilijk te klonen. Twee onafhankelijke factoren dus: 2FA.

Bovendien voldoet de Titan key aan de FIDO standaard. Die heeft als fijne eigenschap dat die beveiliging tegen phishing biedt. De DigiD hack zou daarmee dus juist voorkomen kunnen worden omdat de gebruikte sleutel voor DigiD een andere is dan die voor de phishing site.

Overigens kan tegenwoordig bij DigiD ook gebruik gemaakt worden van je paspoort als 2e factor. Ook daarmee had die phishing aanval niet gewerkt.

Weer een advies van mij: niet gebruiken: #deleteGoogle.

Die via één en hetzelfde kanaal worden uitgewisseld.

Je kunt het 2FA noemen, maar als tante Truus een phishing mailtje krijgt en op de link klikt, en zowel haar gebruikersnaam, wachtwoord als Titan code aanbiedt op de (ongetwijfeld als twee druppels gelijkende) nepsite, dan kan de MITM daarmee inloggen en doen wat tante Truus zelf zou kunnen doen.

Zelfs als de aanvaller niets aan de inlog-instellingen zou kunnen veranderen, lijkt mij het voorgaande erg genoeg. De praktijk is echter dat de aanvaller -desgewenst- zowel het wachtwoord van tante Truus kan wijzigen, als instellen voortaan van een andere Titan key gebruik te maken. Maar nogmaals, criminelen slaan meestal hun slag en maken zich daarna zo snel mogelijk uit de voeten.

Tegen sommige vormen van phishing, maar niet alle. Als criminelen tante Truus bellen kunnen ze wel haar gebruikersnaam en wachtwoord aftroggelen, maar niet de private key in haar Titan key. Maar ze kunnen haar er wellicht wel van overtuigen dat er een probleem is met haar key, en zij deze "terug" moet sturen naar adres X (bijv. onder vermelding van "Op een beperkt aantal Titan keys is malware terechtgekomen. Stuur uw key naar ons, samen met uw pincode zodat wij uw key kunnen controleren. Als deze schoon is krijgt u hem terug, anders krijgt u een nieuwe Titan key").

Maar het is waarschijnlijk eenvoudiger om een mailtje met een link naar een lijkt-op site te sturen die als MITM op de verbinding met de echte site fungeert (zie onder).

Stel tante Truus krijgt een mail met het verzoek om op bijvoorbeeld https://digid-veilig.nl/ in te loggen. Zodra zij dat doet zal de software op die nepsite op https://digid.nl/ proberen in te loggen, als ware die software tante Truus.

Als het niet veiliger werkt dan beschreven in https://fidoalliance.org/how-fido-works/, dan maak ik daaruit op dat de echte server (digid.nl) een challenge, plus een identifier voor de op digid.nl geregistreerde public key, naar de browser van tante Truus stuurt. De MITM site (digid-veilig.nl) zal deze twee parameters gewoon doorzetten naar de browser van tante Truus. Die browser zal (op basis van de identifier) de gewenste private key kiezen, de challenge signeren en het resultaat -via de MITM (digid-veilig.nl)- terugsturen naar de echte server, digid.nl. Tadaa!

En dit nog allemaal in de ideale wereld waarbij iedereen al, op wel veilige wijze (hoe dan) haar of zijn public keys op alle relevante sites heeft geregistreerd, private keys nooit gecompromitteerd worden en nooit kwijtraken (al dan niet samen met dongles als de Titan key). En er geen zwakke sleutelparen worden gebruikt (door brakke random number generators en/of krachtiger aanvalstechnieken).

Als die app (in tegenstelling tot Google authenticator et al) zelf verbinding maakt met digid.nl, vooral als die zich niet om de tuin laat leiden door een nepsite eveneens genaamd digid.nl met een onterecht uitgegeven certificaat), bijv. middels public key pinning, is dat behoorlijk veilig. Maar aan de huidige digid app kleven zoveel nadelen dat ik deze niet wil gebruiken (zie https://www.security.nl/posting/575048#posting575187).

Made in China: https://tweakers.net/nieuws/142871/experts-willen-meer-openheid-over-veiligheid-google-beveiligingssleutels.html[/url/]

Misschien is zo'n beveiligingssleutel een goed alternatief voor 2FA met de mobiel; maar dan zou ik het zeker niet van een adtech bedrijf als Google kopen.