Google Titan beveiligingssleutels

Google maakt nu ook usb-beveiligingssleutels voor tweefactorauthenticatie om allerlei online accounts van Facebook, Microsoft, Twitter et cetera betrouwbaar te beveiligen tegen hackers.

FIDO-beveiligingssleutels, ook wel bekend als authenticators, zijn verkrijgbaar in allerlei kleuren en maten van diverse fabrikanten. Google heeft zich nu ook op deze markt gestort met zijn Titan-beveiligingssleutels.

De sleutels staan nog steeds niet in de Nederlands Google Store, dus het wordt voorlopig nog even uitwijken naar winkels van buurlanden om er eentje te scoren.

Bij de oplettende lezer zal bij deze sleutels van Google wellicht een lichtje opgaan, want ze lijken inderdaad verdacht veel op de modellen van Yubico en ­Feitian die we in een test in c’t 4/2020 op pagina 38 besproken hebben.

De beveiligingssleutels van Google zijn echter geen schaamte­loze kopieën: Google heeft zijn Titan Keys inderdaad door die twee fabrikanten laten produceren, maar daar vervolgens wel zijn eigen firmware op geïnstalleerd.

Je hebt bij Google de keuze uit drie modellen met verschillende connectoren: de compacte USB-C-versie kost 45 euro en lijkt erg op de even dure YubiKey 5C. Daar houden de overeenkomsten dan overigens ook meteen mee op, want de YubiKey is al FIDO2-compatibel en kan allerlei extra functies aan, maar de sleutel van Google ondersteunt alleen de oudere U2F-methode. De Titan Key kan dus alleen puur als tweede factor gebruikt worden.

Het inloggen zonder wachtwoord zoals dat met FIDO2 kan, werkt er niet mee. Dat geldt echter niet alleen voor wat het wachtwoord betreft, maar ook voor diensten die bijvoorbeeld vereisen dat de toegang tot de authenticator door een pincode beveiligd wordt. Afgezien van die beperkingen doet de Titan-authenticator het verder goed. Bij de test werkte hij feilloos op een computer (Windows 10, macOS, Linux) en op een Android-smartphone.

Google verkoopt voor 55 euro ook een set van een Titan-sleutel in usb-stickformaat en een sleutelhanger. De stick sluit je dan aan op een USB-A-poort op je computer. Die ondersteunt ook NFC. Je kunt hem dus niet alleen gebruiken met Android-smartphones die NFC onder­steunen, maar ook met ­iPhones.

De USB-A-variant ondersteunt eveneens alleen U2F, dus gelden voor dit model dezelfde beperkingen. Bij onze test konden we de stick zowel met desktop­besturingssystemen als met Android en iOS direct gebruiken.

De druppelvormige Titan-sleutelhanger heeft een wat ongebruikelijk formaat. Je sluit hem op de computer aan via een micro-usb-kabel. Maar hij is ook uitgerust met NFC. De draadloze verbinding werkt daarbij echter niet zo soepel als met de USB-A-stick: we hadden geen problemen met iOS, maar de NFC-verbinding werkte niet met een Android-smartphone van Huawei. De authenticator ondersteunt echter ook bluetooth, wat zowel bij Android als Windows dan weer zonder problemen functioneerde.

De Titan in sleutelhanger­formaat werkt op batterijen. Omdat de authenticator altijd slechts enkele seconden actief is en daarna weer op stand-by gaat, gaat de batterij erg lang mee. Ook die Titan Key ondersteunt uitsluitend U2F.

Bij de beveiligingsinstellingen van je Google-account kun je controleren of alle Titan-modellen wel authentieke Titan-­sleutels zijn waarop dan de ongewijzigde Google-firmware draait. Op de lijst met beveiligingssleutels die je te zien krijgt die aan een account gekoppeld zijn, wordt een tekst getoond die meldt dat de sleutels worden beschermd door ­Titan Security.

De drie Titan-sleutels van Google kunnen vooral interessant zijn voor bedrijven die gebruik willen gaan maken van Googles cloudservices en die zo goed mogelijk willen beveiligen. Door de Google-sleutels te gebruiken, hoef je niet je vertrouwen te geven aan weer een ander bedrijf als Yubico of Feitian om je accounts te beveiligen, want alles komt uit dezelfde bron.