Nou, dat is wel héél toevallig. Een paar dagen nadat Krebs on Security een bericht naar buiten heeft gebracht dat er bij Google sinds 2017 geen phishing-aanvallen meer geslaagd zijn nadat iedereen daar verplicht een usb security-sleutel moest gaan gebruiken blijkt dat Google vergelijkbare dingen gaat verkopen aan consumenten.
Los van deze relatief transparante verkooptruc is het nog steeds interessant om te kijken naar wat Google van plan is. Twee-factor autorisatie wordt als een steeds belangrijker aspect van persoonlijke veiligheid gezien en nadat is gebleken dat een SMS-je naar je telefoon met kinderlijk gemak is na te bootsen komen de hardware-sleutels steeds meer in het vizier.
Google’s sleutel heet de Titan Security Key. Als die geactiveerd is kun je alleen nog maar inloggen op je account als je die sleutel in de buurt hebt. Google is van plan om twee versies te gaan maken zoals je die ook bij andere hardware-sleutels zoals die van Yubikey ziet: één versie die alleen usb ondersteunt, en een andere versie die via bluetooth ook smartphones kan ‘openmaken’.
In de blogpost waarin Google onder meer de sleutels aankondigt laten ze ook weten dat de Titan Security key voldoet aan de FIDO-standaard. Dat is wel een belangrijk detail, aangezien FIDO de nieuwe standaard is voor het geven van toestemming. In die nieuwe standaard wordt dat proces helemaal versleuteld, zodat zelfs het onderscheppen van de code die heen en weer wordt gestuurd iemand die probeert bij je in te breken niks oplevert. Daarnaast heeft het ook de voordelen die al dit soort hardware-sleutels hebben: je hebt geen netwerk nodig, je hebt geen stroom nodig (het batterijtje in de Titan gaat met één keer opladen zes maanden mee volgens Google) en het is ook bruikbaar voor ‘gewone’ mensen.
Die standaard gaan we steeds meer zien in de toekomst, dus dan is het handig dat Google’s sleutel hier ook al gebruik van maakt. Het lijkt misschien wat overdreven om je inlog af te laten hangen van een apparaatje dat je bij je moet hebben (en dus ook kunt vergeten of kwijtraken) maar als achter die inlog hele belangrijke dingen hangen is dat geen overbodige luxe. Het is ook niet toevallig dat Google de Titan op dit moment alleen nog beschikbaar maakt voor beheerders en klanten van hun clouddiensten. Reguliere internetgebruikers kunnen ‘binnenkort’ ook zo’n sleutel kopen in de Google Store, maar het bedrijf wilde nog niet zeggen wat ze gaan kosten.
Wel vindt men het bij Google belangrijk dat de sleutels betaalbaar worden voor iedereen, zodat bijna alle drempels om zo’n ding te gebruiken weg gaan vallen. Het uiteindelijke doel is om te zorgen dat zo’n ding nog maar een tientje kost, maar daar zal het niet mee beginnen. Uiteindelijk willen ze ook niet per se gaan concurreren met de makers van andere security-sleutels. “We willen gewoon dat er meer keuze komt. Mensen hoeven geen sleutel van ons te gebruiken, áls ze er maar eentje gebruiken. We gaan proberen om het besef te kweken dat zo’n beveiliging de moeite waard is als je account echt belangrijk voor je is.” Of dat nu een verkooppraatje is of niet: als dit er voor zorgt dat security-sleutels betaalbaar worden voor iedereen is het een goede zaak.
[Afbeeldingen © Google]
