Google kondigt toegangscodes aan die door meer dan 400 miljoen accounts worden gebruikt

Google heeft donderdag aangekondigd dat wachtwoordsleutels worden gebruikt door meer dan 400 miljoen Google-accounts, waardoor gebruikers de afgelopen twee jaar meer dan 1 miljard keer zijn geverifieerd.

“Wachtsleutels zijn gemakkelijk te gebruiken en bestand tegen phishing. Ze zijn alleen afhankelijk van een vingerafdruk, gezichtsscan of een pincode, waardoor ze 50% sneller zijn dan wachtwoorden”, zegt Heather Adkins, vice-president van beveiligingstechniek bij Google.

De zoekgigant merkt op dat wachtwoordsleutels al vaker worden gebruikt voor authenticatie op Google-accounts dan oudere vormen van tweefactorauthenticatie, zoals eenmalige sms-wachtwoorden (OTP's) en app-gebaseerde OTP's gecombineerd.

Bovendien zei het bedrijf dat het Cross-Account Protection, dat waarschuwt voor verdachte gebeurtenissen met apps en services van derden die zijn gekoppeld aan het Google-account van een gebruiker, uitbreidt met meer apps en services.

Van Google wordt ook verwacht dat het het gebruik van wachtwoordsleutels voor gebruikers met een hoog risico ondersteunt als onderdeel van zijn Advanced Protection Program (APP), dat tot doel heeft mensen te beschermen tegen gerichte aanvallen vanwege wie ze zijn en wat ze doen. Dit omvat onder meer campagnewerkers en kandidaten, journalisten en mensenrechtenactivisten.

Terwijl APP voorheen het gebruik van hardwarebeveiligingssleutels als tweede factor vereiste, staat het nu inschrijving met elke toegangssleutel samen met de hardwarebeveiligingssleutels toe, of gebruikt deze als het enige authenticatiemiddel.

Google heeft in december 2022 toegangscodes aan Chrome toegevoegd en heeft sindsdien de wachtwoordloze authenticatieoplossing standaard uitgerold voor Google-accounts op alle platforms.

1Password, Amazon, Apple, Dashlane, Docusign, eBay, Kayak, Microsoft, PayPal, Shopify, Uber en WhatsApp zijn enkele van de andere prominente bedrijven die wachtwoordsleutels hebben aangenomen.

De ontwikkeling komt op dezelfde dag dat Microsoft, dat in september 2023 wachtwoordsleutels in Windows 11 integreerde, zijn plannen aankondigde om de authenticatiestandaard voor consumentenaccounts te ondersteunen met behulp van biometrie of apparaatpincode op Windows-, Google- en Apple-platforms.

Google-toegangscodes

Wachtwoordsleutels werken door een cryptografisch sleutelpaar te maken, een privésleutel die op het apparaat wordt opgeslagen en een openbare sleutel die wordt gedeeld met de app of website waarvoor de wachtwoordsleutel wordt gebruikt.

“Omdat deze sleutelpaarcombinatie uniek is, werkt uw toegangssleutel alleen op de website of app waarvoor u deze heeft gemaakt, zodat u niet kunt worden misleid om in te loggen op een kwaadaardige, gelijksoortige website”, aldus Vasu Jakkal van Microsoft.

Wachtwoordsleutels kunnen ook worden opgeslagen in oplossingen voor wachtwoordbeheer van derden, zoals 1Password en Dashlane, waardoor gebruikers meer controle krijgen over waar ze kunnen worden opgeslagen buiten Google Wachtwoordmanager, iCloud-sleutelhanger en Windows.

“Wachtsleutels kunnen tegelijkertijd als eerste en tweede factor fungeren”, aldus Google-productmanagers Sriram Karra en Christiaan Brand. “Door een wachtwoordsleutel aan te maken op uw beveiligingssleutel, kunt u het invoeren van uw wachtwoord overslaan. Dit vervangt uw op afstand opgeslagen wachtwoord door de pincode die u gebruikte om uw beveiligingssleutel te ontgrendelen, wat de gebruikersveiligheid verbetert.”

Er zijn echter ook zorgen dat wachtwoordsleutels door bedrijven worden gebruikt als een manier om “gebruikers en doelgroepen op een platform te binden” en dat “bedrijfsbelangen opnieuw de goede gebruikerservaring hebben overstemd”.

“Wat is een betere manier om gebruikers op lange termijn in de val te lokken dan door al hun inloggegevens op uw platform te vergrendelen, en nog beter, inloggegevens die op geen enkele manier kunnen worden geëxtraheerd of geëxporteerd”, zegt William Brown, een software-ingenieur die betrokken is bij de ontwikkeling van webauthn-rs, zei.

Thijs Van der Does