Veel populaire sites ondersteunen geen usb-beveiligingssleutel
Veel populaire websites laten gebruikers niet via een usb-beveiligingssleutel inloggen, ook al biedt dit volgens Google de beste bescherming tegen phishing. Dat blijkt uit onderzoek van wachtwoordmanager Dashlane. Onderzoekers keken naar de opties die de 34 populairste websites in de Verenigde Staten voor tweefactorauthenticatie (2FA) bieden.
Gebruikers moeten hierbij naast hun wachtwoord met een tweede factor inloggen, bijvoorbeeld door een code in te voeren die via sms of een app is verkregen. Voor het onderzoek werd er gekeken of websites tweefactorauthenticatie via e-mail/sms, een authenticator-app of een hardwaretoken zoals een usb-beveiligingssleutel ondersteunden.
Van de 34 websites zijn er 8 die gebruikers via alle drie de opties laten inloggen. Vier websites ondersteunen helemaal geen tweefactorauthenticatie. Wanneer dit wel wordt ondersteund is het meestal via sms/e-mail (30 websites). Het gebruik van een authenticator-app voor het genereren van de tweede code is bij 21 websites mogelijk. Inloggen via een hardwaretoken kan bij slechts 8 sites, waaronder Twitter, Facebook, Dropbox en Google.
Hopelijks kan ik er binnekort eens tijd insteken om te zien hoe de WebAuthn protocols werken.
Tjonge, wat een veilig gevoel dat men er als gebruiker een goed beveiligd produkt van is...
Bij de referentie aan Google (even de linkjes 3 niveaus die doorlezen) bedoeld men met "USB" eigenlijk "Security Key", oorspronkelijk gebouwd op de FIDO standaard.
Inmiddels is er FIDO2 https://fidoalliance.org/fido2/. WebAuthn wat Anoniem 15:35 zegt is hier onderdeel van.
En die "Security Keys" of "Authenticators" kunnen zijn: USB, BlueToothLE, WiFi.
Dus alleen over USB praten, klopt niet helemaal.
Dus alleen over USB praten, klopt niet helemaal.
Tjonge, wat een veilig gevoel dat men er als gebruiker een goed beveiligd produkt van is...
Je kan zeggen wat je wilt, maar Google heeft sinds ze door de NSA zijn gehacked een hele goede security-team opgezet en heeft het de beste cloud-beveiliging naar mening.
Maakt die USB key/token dan geen gebruik van die besmette driver?
Ps. Lees voor USB driver ook Bluetooth, WiFi, vingerafdrukscanner, etc.
Bash, bash. Zonder verstand van zaken. Google Authenticator is een goede tool. En vertel jij ons maar eens welke beveiligingsproblemen je ziet bij deze tool (privacy problemen mag ook) ;)
Hopelijks kan ik er binnekort eens tijd insteken om te zien hoe de WebAuthn protocols werken.
Sleutel kwijt of gestolen en iedereen kan bij jouw data ....
Maakt die USB key/token dan geen gebruik van die besmette driver?
Ps. Lees voor USB driver ook Bluetooth, WiFi, vingerafdrukscanner, etc.
Laten wij eerlijk zijn, zelfs een SMS is een betere optie dan wat velen nu gebruiken. Bestaan er betere opties? Zeker, is ergens beginnen al "een betere optie" dan niets doen? Absoluut.
Dat is eigenlijk een boodschap voor alle techneuten hier, er is meer tussen wit en zwart.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.