Google’s vijfjaren strategie voor authenticatie

Google heeft een rapport (Slidedeck versie) gemaakt over zijn authenticatie strategie voor de komende vijf jaar. Daarbij wil Google proberen om voor te blijven op de cyber criminelen, maar geeft daarbij aan dat goede beveiliging een sterke samenwerking tussen de verschillende industrieën zal vergen.

Dit volgt op een plan dat in 2008 is afgegeven. Het concept dat woensdag door Google met beveiligingsprofessionals is besproken geeft inzicht waar Google de komende vijf jaar naar toe zou willen. In de afgelopen vijf jaar is er beveiligingslandschap enorm veranderd. Door de introductie van smartphones, maar ook door het veelvuldig hacken van websites en accounts. Ook de tools die beschikbaar zijn gekomen maken het noodzakelijk om innovatieve nieuwe maatregelen te ontwikkelen.

Het afgelopen jaar heeft Google onder andere de twee-factor authenticatie beschikbaar gesteld waarmee een telefoon wordt gekoppeld aan de account van een gebruiker. Dit is tot op heden een optionele functie, maar Google wil dit waarschijnlijk veel dwingender gaan toepassen. Gebruikers die er geen gebruik van willen maken zullen met andere extra maatregelen te maken gaan krijgen, bijvoorbeeld door het toepassen van een extra challenge.
Google zou graag zien dat er meer op Operating System niveau wordt ingelogd en dat deze credentials vervolgens kunnen worden gebruikt door meerdere applicaties en de browsers.

Bij twee-factor authenticatie wordt een code per SMS naar de telefoon gestuurd, welke vervolgens ingetoetst moet worden om in te kunnen loggen. Google zou graag gebruik willen gaan maken van beveiligde NFC (Near Field Communication) technieken. Als er ergens in de buurt een apparaat beschikbaar is met de juiste credentials dan zou hiervan gebruik kunnen worden gemaakt via deze NFC techniek. Dit zou mogelijk moeten zijn zonder dat deze gegevens met phishing gestolen zouden kunnen worden. Google is supporter van OpenID, een cloud gebaseerde standaard voor het opslaan van identiteitsgegevens in de cloud. Deze techniek komt op dit moment nog niet voldoende van de grond vanwege de complexiteit. Wel ziet Google dit nog steeds als een toekomstige oplossing en zal dus OpenID dus ook blijven steunen.

Google kijkt verder naar ChannelID als oplossing voor het stelen van Cookies. Op dit moment is het voor een hacker nog vaak mogelijk om een cookie te stelen en daarmee zelf een sessie op te zetten namens de persoon van wie de cookie is gestolen. Met ChannelID wordt een cookie gekoppeld aan het device waarop het is ontvangen. Hierdoor zal een cookie niet meer werken, voor wat betreft de credentials, op een ander apparaat. Met het stelen van de cookie kan dus niet meer een sessie namens iemand anders worden opgezet.

Security experts zijn het eens de strategie van Google en geven daarbij aan dat het solide is en volgens de huidige best practices. De huidige stand van zaken met alleen een gebruikersnaam en een wachtwoord is niet meer voldoende. Zij geven echter ook aan dat er betere oplossingen nodig zijn voor het resetten (of recovery) van de toegang. Deze “automated recovery mechanisms” zijn vaak minder veilig en daardoor de aangewezen plek voor aanvallers om hun slag te slaan.

De nieuwe weg die Google nu op gaat zal wel de nodige uitdagingen met zich mee brengen omdat veel van de maatregelen en technologieën in elkaar zullen gaan grijpen. Hierdoor zullen veel zaken tegelijkertijd uitgerold moeten worden waardoor het een gecompliceerd proces zal zijn.

Aanmelden voor onze nieuwsbrief