Google: geslaagde phishingaanvallen naar nul

Er werkt ruim 85.000 man Google maar het aantal geslaagde phishingaanvallen bedroeg in 2017 exact nul. Dat komt door het verplichte gebruik van fysieke beveiligingssleutels.

Dat zegt het bedrijf tegen auteur Brian Krebs die is gespecialiseerd in securityzaken.

Het technologiebedrijf hanteert een strikt beveiligingsbeleid waarbij het voor personeel onmogelijk is om in te loggen met louter een gebruikersnaam en wachtwoord. Ze kunnen niet anders dan een derde, fysieke computersleutel erbij halen om aan het werk te gaan.

Dit systeem werkt zo, dat medewerkers eerst een persoonlijke USB-stick in hun computer moeten steken. Pas dan worden de opgegeven gebruikersnaam en wachtwoord geaccepteerd. Deze mechaniek heet in technische termen two-factor authentication (2FA).

Particulieren die Google-diensten gebruiken kunne 2FA ook gebruiken, al is het daar niet verplicht maar optioneel. In tegenstelling tot Google-personeel kunnen ze ook Authenticator https://www.youtube.com/watch?&v=17rykTIX_HY en sms gebruiken als ‘sleutel’.

Leveranciers van USB-sleutels zijn onder meer Yubico en Nitrokey. Een simpele sleutel kost iets meer dan tien euro.