Getty-afbeeldingen
Google maakt het voor mensen gemakkelijker om hun accounts te vergrendelen met sterke multi-factor authenticatie door de optie toe te voegen om veilige cryptografische sleutels op te slaan in de vorm van toegangssleutels in plaats van fysieke tokenapparaten.
Het Advanced Protection-programma van Google, geïntroduceerd in 2017, vereist de sterkste vorm van multi-factor authenticatie (MFA). Hoewel veel vormen van MFA afhankelijk zijn van eenmalige codes die via sms of e-mail worden verzonden of worden gegenereerd door authenticatietoepassingen, vereisen accounts die zijn ingeschreven voor Geavanceerde bescherming MFA op basis van cryptografische sleutels die zijn opgeslagen op een beveiligd fysiek apparaat. In tegenstelling tot eenmalige wachtwoorden zijn beveiligingssleutels die op fysieke apparaten zijn opgeslagen, immuun voor phishing-inloggegevens en kunnen ze niet worden gekopieerd of gesnoven.
Democratisering van APP
APP, een afkorting van Advanced Protection Program, vereist dat de sleutel wordt gevolgd door een wachtwoord telkens wanneer een gebruiker zich aanmeldt bij een account op een nieuw apparaat. De bescherming voorkomt het soort accountovernames waardoor door het Kremlin gesteunde hackers in 2016 toegang konden krijgen tot de Gmail-accounts van Democratische functionarissen en gestolen e-mails konden lekken om de presidentsverkiezingen van dat jaar te verstoren.
Tot nu toe vereiste Google dat mensen twee fysieke beveiligingssleutels hadden om zich in de APP te registreren. Nu staat het bedrijf toe dat mensen in plaats daarvan twee toegangssleutels of één toegangssleutel en één fysiek token gebruiken. Wie op zoek is naar extra beveiliging, kan inloggen met zoveel sleutels als hij wil.
“We vergroten de opening zodat mensen meer keuzes hebben over hoe ze zich inschrijven voor dit programma”, vertelde Shuvo Chatterjee, projectmanager voor APP, aan Ars. Hij zei dat de stap een reactie was op opmerkingen die Google ontving van sommige gebruikers die het zich niet konden veroorloven om fysieke sleutels te kopen of in regio’s woonden of werkten waar ze niet beschikbaar waren.
Zoals altijd moeten gebruikers nog steeds over twee registratiesleutels beschikken om te voorkomen dat hun account wordt geblokkeerd als er één kwijtraakt of kapot gaat. Hoewel uitsluitingen altijd een probleem zijn, kunnen ze veel erger zijn voor APP-gebruikers, omdat het herstelproces veel rigoureuzer is en veel langer duurt dan voor niet-ingeschreven accounts.
Toegangssleutels zijn een creatie van de FIDO Alliance, een sectoroverschrijdende groep bestaande uit honderden bedrijven. Deze worden lokaal op het apparaat opgeslagen en kunnen ook worden opgeslagen in hetzelfde type hardwaretoken waarin MFA-sleutels worden opgeslagen. Wachtwoorden kunnen niet uit het apparaat worden gehaald en vereisen een pincode of een vingerafdruk of gezichtsscan. Ze bieden twee authenticatiefactoren: iets dat de gebruiker weet (het onderliggende wachtwoord dat werd gebruikt toen de toegangssleutel voor het eerst werd gegenereerd) en iets dat de gebruiker heeft, in de vorm van een apparaat dat de toegangssleutel opslaat.
Uiteraard gaan de versoepelde eisen slechts zo ver dat gebruikers nog steeds over twee apparaten moeten beschikken. Maar naarmate het aantal benodigde apparaten toeneemt, wordt de APP toegankelijker omdat veel mensen al een telefoon en een computer hebben, zei Chatterjee.
“Als je op een plek bent waar je geen beveiligingssleutels kunt krijgen, is dat handiger”, legde hij uit. “Dit is een stap in de richting van het democratiseren van de hoeveelheid toegang [users] bereiken dit hoogste beveiligingsniveau dat Google biedt.”
Ondanks de toegenomen controle die gepaard gaat met het herstelproces voor APP-accounts, hernieuwt Google zijn aanbeveling dat gebruikers een telefoonnummer en e-mailadres als back-up moeten opgeven.
“Het meest veerkrachtige wat je kunt doen is meerdere dingen in het archief hebben, dus als je die beveiligingssleutel kwijtraakt of als de sleutel ontploft, heb je een manier om weer toegang te krijgen tot je account”, zegt Chatterjee. Hij wil niet ingaan op de “geheime saus” van hoe het proces werkt, maar zegt dat het “een heleboel signalen omvat waar we naar kijken om erachter te komen wat er werkelijk aan de hand is.
“Zelfs als je een hersteltelefoon hebt, geeft een hersteltelefoon op zichzelf je geen toegang tot je account”, zei hij. “Als je de simkaart wijzigt, betekent dit dus niet dat iemand toegang krijgt tot je account. Het is een combinatie van verschillende factoren. Het is de som ervan die je zal helpen op weg naar herstel.”
Google-gebruikers kunnen inloggen op de APP door deze link te bezoeken.