Waarom hardware-beveiligingssleutels
Hardware-beveiligingssleutels zijn de enige 2SV-methode die phishing volledig blokkeert. Een authenticator-app of sms-code kan onderschept worden door een geavanceerde phishing-site die als real-time proxy werkt. Een hardware-sleutel koppelt de authenticatie cryptografisch aan het domein van de inlogpagina. Wijkt het domein af, dan weigert de sleutel te authenticeren.
Voor hoog-risico gebruikers zoals directieleden, IT-beheerders en financieel personeel zijn hardware-sleutels de aanbevolen standaard.
Begin bij je kwetsbaarste accounts
Rol sleutels eerst uit naar super-admins en directie. Dit zijn de accounts waar een geslaagde phishing de meeste schade aanricht, en het is een kleine groep om mee te oefenen voordat je breder uitrolt.
Ondersteunde sleutels
Workspace ondersteunt alle FIDO2/WebAuthn-compatibele beveiligingssleutels, waaronder:
- Google Titan Security Key, verkrijgbaar als USB-A met NFC en als USB-C met NFC
- YubiKey, diverse modellen van Yubico
- Feitian-sleutels
- Elk ander FIDO2-gecertificeerd apparaat
Kies een sleutel met NFC als medewerkers ook op mobiele apparaten moeten inloggen.
Sleutels registreren als gebruiker
Iedere gebruiker registreert zijn eigen sleutel op zijn eigen account. Als beheerder kun je dit niet centraal voor iemand doen, behalve via de Admin SDK (zie verderop).
Zo registreer je een sleutel
- Ga naar myaccount.google.com/security.
- Klik op 2-stapsverificatie.
- Scroll naar beneden en klik op Beveiligingssleutel toevoegen.
- Volg de instructies op het scherm. Steek de sleutel in de USB-poort of houd hem bij de NFC-lezer.
- Geef de sleutel een herkenbare naam, bijvoorbeeld "Titan USB-C kantoor".
Hardware-sleutels centraal uitrollen
Voor een uitrol op organisatieschaal volg je deze stappen:
- Bestel sleutels in bulk. Zorg voor minimaal twee sleutels per gebruiker, een primaire en een backup.
- Stuur een instructie-e-mail met de registratiestappen hierboven.
- Stel een registratieperiode in zodat gebruikers de tijd krijgen om hun sleutel te koppelen.
- Monitor de registratievoortgang via Rapporten > Beveiliging.
Google Workspace Enterprise-klanten kunnen sleutels ook pre-registreren via de Admin SDK. Dit vereist fysieke toegang tot de sleutels en een script dat de registratie namens de gebruiker uitvoert.
Alleen hardware-sleutels afdwingen
Om andere 2SV-methoden te blokkeren en alleen hardware-sleutels toe te staan:
Alleen beveiligingssleutels toestaan
- Open de Admin Console en ga naar Beveiliging > Verificatie > 2-stapsverificatie.
- Selecteer de gewenste organisatie-eenheid (OU).
- Stel de toegestane methode in op Alleen beveiligingssleutel.
- Stel een registratieperiode in voor gebruikers die nog geen sleutel hebben.
- Klik op Opslaan.
Gebruikers zonder geregistreerde sleutel worden geblokkeerd zodra de registratieperiode afloopt.
Sluit jezelf niet buiten
Registreer je eigen super-admin-sleutel en een backup voordat je afdwinging activeert. Test daarna eerst op een kleine OU, niet meteen op de hele organisatie. Een admin zonder geldige sleutel raakt anders uitgesloten van de console.
Let op dat de optie Alleen beveiligingssleutel sinds de komst van passkeys ook passkeys accepteert. Beide zijn FIDO2 en bieden gelijkwaardige phishing-bescherming. Wil je uitsluitend fysieke sleutels en geen passkeys op apparaten, controleer dan na wijzigingen of dit nog aansluit bij je beleid.
Verloren of beschadigde sleutels
Als een gebruiker zijn sleutel verliest, doorloop je dit:
- De gebruiker logt in met de backup-sleutel. Registreer daarom altijd twee sleutels per persoon.
- Is er geen backup, dan schakelt de beheerder 2SV tijdelijk uit voor die ene gebruiker via Directory > Gebruiker > Beveiliging > 2-stapsverificatie.
- De gebruiker logt in en registreert direct een nieuwe sleutel.
- De beheerder schakelt de 2SV-verplichting weer in.
Zorg in je beleid dat verloren sleutels meteen worden gemeld en dat de betrokken sleutel uit het account wordt verwijderd, zodat een gevonden sleutel niet alsnog bruikbaar is.
Sleutels verwijderen als beheerder
Via de Admin Console krijg je inzicht in de geregistreerde sleutels per gebruiker. Het verwijderen van een specifieke sleutel doet de gebruiker zelf via myaccount.google.com, of de beheerder via de Admin SDK. Verwijder een sleutel altijd zodra die verloren of buiten gebruik is.
Werken hardware-sleutels ook op mobiele apparaten?
Ja, met NFC-sleutels of Bluetooth-sleutels. USB-C-sleutels werken op de meeste Android-toestellen, en op iOS werken NFC- en USB-C-sleutels op recente iPhones. Kies bij twijfel een sleutel met NFC voor de breedste compatibiliteit.
Kan ik passkeys combineren met hardware-sleutels?
Ja. Passkeys, die op een apparaat zijn opgeslagen, en fysieke hardware-sleutels zijn beide FIDO2. Je kunt beide toestaan. De instelling "Alleen beveiligingssleutel" accepteert tegenwoordig ook passkeys, dus controleer of dat past bij je gewenste beleid.
Wat kost een uitrol van hardware-sleutels?
Reken op ongeveer 25 tot 50 euro per sleutel, afhankelijk van model en form-factor. Een set van twee per gebruiker is aan te raden. Google Titan-sleutels zijn verkrijgbaar via de Google Store, YubiKeys via Yubico of resellers.
Moet elke medewerker twee sleutels hebben?
Twee is sterk aanbevolen: een primaire sleutel voor dagelijks gebruik en een backup die veilig wordt bewaard. Zonder backup leidt verlies van de primaire sleutel tot een lockout en handmatig herstel door een beheerder.
Hoe voorkom ik dat ik mezelf als beheerder buitensluit?
Registreer je eigen sleutel plus een backup voordat je afdwinging inschakelt, en test eerst op een kleine organisatie-eenheid. Houd daarnaast altijd een tweede super-admin-account met een eigen sleutel achter de hand.
Wat is het verschil tussen een hardware-sleutel en een authenticator-app?
Een authenticator-app levert een code die op een nagemaakte inlogpagina alsnog onderschept kan worden. Een hardware-sleutel controleert het domein van de pagina en weigert te tekenen als dat afwijkt, waardoor phishing geen kans krijgt.