Google: phishing is 100% te voorkomen met USB-security sleutels

Google: phishing is 100% te voorkomen met USB-security sleutels

Sinds 2017 niemand meer gephisht

Vorig artikel Volgend artikel

Phishing is een lastig probleem om uit te roeien. Het nadoen van een instantie om zo de inlogcodes of andere gegevens van internetgebruikers te bemachtigen wordt niet altijd tot in de puntjes verzorgd en dat maakt dat vooral internetgebruikers die niet zo veel ervaring op het web hebben er in trappen. Soms wordt een phishing-aanval echter zo secuur opgezet dat het zelfs voor mensen die elke dag de hele dag op het web en in hun mailbox spenderen lastig is om te zien of het nu om een echte of valse melding gaat. Ook bij bedrijven gaat het wel eens mis: meer dan driekwart valt wel eens ten prooi aan dit soort aanvallen.

Bij Google is dat probleem intern helemaal opgelost, zo zegt een artikel van Krebs on Security. Sinds 2017 is er niemand van de bijna 90.000 werknemers meer aan de haak geslagen daar en de reden waarom is simpel: iedereen bij Google is sinds vorig jaar verplicht overgestapt op hardwarematige 2-factor veiligheid. elke keer dat er ingelogd moet worden bij Google moeten de medewerkers dus een extra code invoeren, maar dan niet op hun telefoon. Die methode blijkt ook lang niet zo waterdicht te zijn dan eerder werd gehoopt, dus gebruikt men bij Google een usb-stick zoals een Yubikey.

Universal 2nd Factor

Die speciale usb-sticks maken gebruik van een open-source systeem dat Universal 2nd Factor heet (U2F) en die laten je op een knop op de stick drukken om de extra controle af te ronden. Dat betekent dat je zelfs met een gebruikersnaam en wachtwoord niet in een Google-account komt zonder de stick. Als je eenmaal ingelogd bent via U2F hoef je voor bepaalde sites geen wachtwoord meer in te voeren, behalve als je het op een ander apparaat probeert. Dan wordt er weer om de stick gevraagd en dat systeem zet phishers dus helemaal buitenspel.

Voor nu is deze manier het veiligst, maar gelukkig wordt het internet voor iedereen een stuk veiliger als het gaat om je wachtwoorden en toegang tot websites. De aankomende Web Authentication API (ook bekend als FIDO: Fast IDentity Online) gaat er binnen afzienbare tijd voor zorgen dat we nauwelijks meer wachtwoorden nodig hebben op het web. Als die methode breed ondersteund wordt zijn phishing-aanvallen sowieso niet meer de moeite, want er vallen geen wachtwoorden meer te stelen.

Zover is het echter nog niet en als je dus veel met gevoelige informatie van doen hebt of gewoon heel zeker wilt zijn dat je Google account veilig blijft is het investeren van een paar tientjes in zo'n usb-key zeker de moeite. Als je alleen maar mobiel werkt zijn er ook versies die zonder traditionele usb-aansluiting werken, dus voor elke manier van inloggen is er wel een oplossing beschikbaar.

[Afbeeldingen © niphon - Adobe Stock]

Patrick Smeets

Game-enthousiast, tech blogger en presentator. Was ooit rockster. Local celebrity in Limburg maar ziet graag veel van de wereld. Er zijn niet genoeg kattenGIFjes...

Reageren is uitgeschakeld omdat er geen cookies opgeslagen worden.

Cookies toestaan Meer informatie over cookies