We hebben het onlangs nog gehad over 2F authenticatie - 2 factor aanmelding, die bestaat uit iets dat je kent (jouw inlog) en iets dat je bezit (jouw telefoon bijvoorbeeld). Tot nu werd die aanmeldingsbeveiliging meestal gebruikt in combinatie met een sms: er wordt een eenmalige code naar jouw toestel gestuurd, en die code moet je invullen bij het inloggen.
Het is echter wel zo dat sms-berichten onderschept kunnen worden. Toegegeven, niet gemakkelijk, maar het is niet volkomen veilig. Daarom wordt er de laatste tijd steeds vaker gebruik gemaakt van veiligheidssticks - een speciale USB-stick, die je in je laptop of tablet stopt, en waarvoor geen aparte driver nodig is. Die stick zal jou aanmelden op elke site die gebruik maakt van de Web Authentication API (of WebAuthn), een standaard die de steun heeft van het World Wide Web Consortium. Die standaard zorgt ervoor dat je geen wachtwoorden meer moet onthouden of intikken, zodat je niet meer het risico loopt dat iemand jouw wachtworod onderschept of steelt via phishing aanvallen.
Verschillende grote sites ondersteunen al het gebruik van een dergelijke stick, zoals Dropbox, Facebook, Github, en de vele Google diensten. Maar het werkt ook met diensten die jouw wachtwoord onthouden en automatisch invullen op websites, zodat jij het masteer wachtwoord daar zelfs niet eens meer moet onthouden - denk aan Dashlane, Keepass, Lastpass.
Google gebruikt het systeem van de beveiligingsstick al een tijdje, en sindsdien is geen enkele van zijn 85.000 werknemers nog succesvol in een val van een phishing aanval getrapt.
https://krebsonsecurity.com/2018/07/google-security-keys-neu ...
|