Google gaat inloggen via bluetooth-koppeling met telefoon op meer plekken uitrollen
Google gaat gebruikers de komende tijd op meer plekken de mogelijkheid bieden om tijdens het inloggen op bijvoorbeeld hun laptop hun telefoon als fysieke beveiligingssleutel te gebruiken. Hiervoor moeten gebruikers wel op beide apparaten tijdens het inloggen bluetooth inschakelen. Dit moet volgens Google gebruikers beter tegen phishing beschermen.
Het techbedrijf stelt dat phishingaanvallen zich de afgelopen tijd verder hebben ontwikkeld en aanvallers nu ook tweefactorauthenticatie (2FA)-codes proberen te onderscheppen die bijvoorbeeld via sms worden verstuurd. Hierbij gebruikt de aanvaller informatie van het slachtoffer om direct op de echte Google-pagina in te loggen en stuurt aanvullende authenticatiechallenges door naar het slachtoffer.
Traditionele multifactorauthenticatie is beperkt in wat het tegen dergelijke aanvallen kan doen, zegt Daniel Margolis, van het Google Account Security Team. Een betere bescherming bieden fysieke securitysleutels, die ook de identiteit van de website waarop wordt ingelogd controleren. Het is echter niet realistisch om te verwachten dat iedereen van een fysieke securitysleutel gebruik gaat maken, aldus Margolis.
Als oplossing wil Google nu de telefoon van gebruikers als fysieke beveiligingssleutel gebruiken. "Dit voorkomt dat een aanvaller je kan misleiden om een inlogpoging via hun browser goed te keuren, wat ons een extra beveiligingslaag tegen dergelijke "person in the middle" aanvallen geeft die wel werken tegen sms of Google Prompt", merkt Margolis op.
Voor de koppeling maakt Google gebruik van bluetooth. De komende maanden gaat het techbedrijf de technologie op meer plekken uitrollen en zullen gebruikers dus ook vaker het verzoek krijgen om bluetooth in te schakelen. Margolis stelt dat de technologie het niet mogelijk maakt voor computers in de buurt om als de gebruiker in te loggen. "Het geeft alleen toestemming aan de computer waar je op inlogt. En we gebruiken het alleen om te verifiëren dat je telefoon in buurt is van het apparaat waarop je inlogt, dus je hoeft bluetooth alleen tijdens het inloggen te hebben ingeschakeld."
BT voelt me toch niet helemaal veilig door de implementatie.
Ik hoop dat ze later ook mogelijkheid bieden via USB en NFC.
En zo is de cirkel rond. Nadat digitalisering jarenlang de hemel is ingeprezen, komt het hoge woord er eindelijk uit: "Een betere bescherming bieden fysieke securitysleutels..."
Maar dan geeft Google er weer een draai aan: "...die ook de identiteit van de website waarop wordt ingelogd controleren."
Toen ik vroeger traditioneel (ja, want DAT is pas traditioneel!) naar het kantoor van de bank ging, controleerde ik ook altijd even de identiteit van de bank. Daar had ik niet eens de straat en het huisnummer voor nodig. Ik herkende de gevel ook zo wel, tussen de andere bekende gevels. Tacit knowledge...
Als ik dan weer naar huis ging, opende ik mijn voordeur met een "fysieke securitysleutel", ook wel kortweg aangeduid als een "sleutel". Klein, goedkoop, milieuvriendelijk metalen voorwerpje met tandjes.
Maar nu moet ik de identiteit van het gevirtualiseerde bankkantoor volgens Google met BlueTooth gaan controleren waardoor Google MIJ kan controleren - zowel bij de bank als bij mij thuis. Wie controleert nu eigenlijk wie?
En hoe zit het met het energieverbruik van die miljarden BT-verbindingen die dagelijks moeten worden gemaakt? Hoe zit het met de milieuvriendelijkheid van die miljarden chips die in talloze apparaten worden verwerkt?
Wat een shitzooi hebben Google c.s. plus al die goedgelovige digi-trendslaafvolgers ervan gemaakt. Een shitzooi voor gewone mensen, wel te verstaan. Voor Google c.s. is het een verdienmodel.
M.J.
Natuurlijk. Kom je bij Google werken, dan krijg je meteen een cursus evilness, om overal altijd iets in te bouwen dat extra tracking inbouwt. Al die tienduizenden sw engineers doen dit de hele dag. Maar waarom is er nog nooit een document van de directie naar buiten gelekt die dit iedereen opdringt?
Natuurlijk. Kom je bij Google werken, dan krijg je meteen een cursus evilness, om overal altijd iets in te bouwen dat extra tracking inbouwt. Al die tienduizenden sw engineers doen dit de hele dag. Maar waarom is er nog nooit een document van de directie naar buiten gelekt die dit iedereen opdringt?
Iedereen die wel eens bij een groot bedrijf heeft gewerkt, weet dat het vooral een verzameling kleine clubjes is, die elk hun eigen gang gaan. Dan ontstaat er ook weerstand tegen, komt er extra bureaucratie, en dan gaat het vooral langzamer maar nog steeds gaan velen hun eigen gang. Dat is hier ook zo, een of andere sw engineer heeft dit snufje bedacht en het ingebouwd. Dat is 10 management lagen hoger echt niet bevolen.
Het is 'het gemak' dat de domme meute ertoe zal aanzetten deze crap massaal te gebruiken. Niet vergeten dat ruim 80% van de eindgebruikers big tech (nog) onvoorwaardelijk blind vertrouwt. En bij gebrek aan zelfrespect maar al te graag persoonlijke data deelt met overheden en ander ongewenst allooi. In die zin is het van hetzelfde laken een pak als de covid-scam: "Kijk mij eens een braaf burger zijn..."
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.