Google gaat inloggen via bluetooth-koppeling met telefoon op meer plekken uitrollen

[Captain Kirk]

Google gaat gebruikers de komende tijd op meer plekken de mogelijkheid bieden om tijdens het inloggen op bijvoorbeeld hun laptop hun telefoon als fysieke beveiligingssleutel te gebruiken. Hiervoor moeten gebruikers wel op beide apparaten tijdens het inloggen bluetooth inschakelen. Dit moet volgens Google gebruikers beter tegen phishing beschermen.

Het techbedrijf stelt dat phishingaanvallen zich de afgelopen tijd verder hebben ontwikkeld en aanvallers nu ook tweefactorauthenticatie (2FA)-codes proberen te onderscheppen die bijvoorbeeld via sms worden verstuurd. Hierbij gebruikt de aanvaller informatie van het slachtoffer om direct op de echte Google-pagina in te loggen en stuurt aanvullende authenticatiechallenges door naar het slachtoffer.

Traditionele multifactorauthenticatie is beperkt in wat het tegen dergelijke aanvallen kan doen, zegt Daniel Margolis, van het Google Account Security Team. Een betere bescherming bieden fysieke securitysleutels, die ook de identiteit van de website waarop wordt ingelogd controleren. Het is echter niet realistisch om te verwachten dat iedereen van een fysieke securitysleutel gebruik gaat maken, aldus Margolis.

Als oplossing wil Google nu de telefoon van gebruikers als fysieke beveiligingssleutel gebruiken. "Dit voorkomt dat een aanvaller je kan misleiden om een inlogpoging via hun browser goed te keuren, wat ons een extra beveiligingslaag tegen dergelijke "person in the middle" aanvallen geeft die wel werken tegen sms of Google Prompt", merkt Margolis op.

Voor de koppeling maakt Google gebruik van bluetooth. De komende maanden gaat het techbedrijf de technologie op meer plekken uitrollen en zullen gebruikers dus ook vaker het verzoek krijgen om bluetooth in te schakelen. Margolis stelt dat de technologie het niet mogelijk maakt voor computers in de buurt om als de gebruiker in te loggen. "Het geeft alleen toestemming aan de computer waar je op inlogt. En we gebruiken het alleen om te verifiëren dat je telefoon in buurt is van het apparaat waarop je inlogt, dus je hoeft bluetooth alleen tijdens het inloggen te hebben ingeschakeld."

 

 

bron: https://www.security.nl