Vorige week liet Google weten dat de Titan Security Key eindelijk voor iedereen beschikbaar zou zijn. De fysieke veiligheidssleutel biedt een tweestapsverificatie die niet vatbaar zou zijn voor phishing. Maar nu blijkt dat de sleutel geproduceerd wordt in China en bestaan er zorgen over de veiligheid hiervan.
Motherboard stelt dat Google de Titan-sleutel niet zelf produceert. In plaats daarvan maakt het gebruik van een derde partij; Feitian Technologies. Dat is een Chinees bedrijf dat allerlei soorten 2fa-producten maakt. Die verkoopt het al in westerse landen, maar omdat het van oorsprong een Chinees bedrijf is, bestaan er toch enige veiligheidszorgen.
Fysieke beveiliging
Enkele beveiligingsexperts zijn kritisch over de keuze van Google om het geheel in China te laten samenstellen. Een van de zorgen ligt in het simpele feit dat de Chinese wetgeving maakt dat bedrijven moeten meewerken aan verzoeken van de veiligheidsdiensten. Dat betekent dat Feitian gedwongen kan worden een achterdeurtje in de Titan-sleutels in te bouwen.
Tegelijk stelt Google dat de kans op misbruik klein is. Het bedrijf voegt de firmware op een “vertrouwde omgeving” toe aan de chips en levert die vervolgens aan de producent. Het houdt dus zelf toezicht op het functioneren van het apparaat. Het gaat verder om “permanent verzegelde hardwarechips”. Daardoor zou niemand zich toegang tot de chips kunnen verschaffen en wijzigingen door kunnen voeren.
Hoe Titan werkt
In basis werkt de Titan Security Key erg eenvoudig. Er wordt gebruik gemaakt van tweestapsverificatie, waarbij een gebruiker zijn of haar identiteit op twee manieren moet bevestigen. Allereerst loggen gebruikers met hun inlognaam en wachtwoord. Daarna kunnen ze op twee manieren hun identiteit bevestigen.
Op computers moeten ze Titan, dat een fysieke usb-sleutel is, plaatsen. Mocht iemand via een mobiel apparaat willen inloggen, dienen ze de meegeleverde bluetooth of nfc-sleutel te gebruiken. Google stelt zelf dat, sinds zijn medewerkers Titan moeten gebruiken voor het inloggen op hun account, er geen succesvolle phishingaanvallen meer zijn geweest.
5 uur geleden
