Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Microsoft kondigt ondersteuning van FIDO2-hardwaresleutels in Windows Hello aan

Microsoft heeft bekendgemaakt dat het met zijn volgende Windows-update, die momenteel bekendstaat als Redstone 4, ondersteuning zal introduceren voor FIDO2-hardwaresleutels om in te loggen met Windows Hello.

Microsoft schrijft dat het met partners heeft samengewerkt aan de implementatie van de standaard van de FIDO Alliance. Die richt zich op open, interoperabele en schaalbare mechanismen die vervanging van wachtwoorden voor authenticatie mogelijk moeten maken. In de blogpost noemt het bedrijf het voorbeeld dat een gebruiker zichzelf authenticeert met een hardwaresleutel van een van zijn partners, waaronder Yubico, HID Global en Feitian. Het spreekt over een pc die deel uitmaakt van een Azure Active Directory, waardoor onduidelijk is of de functie voor alle gebruikers beschikbaar komt.

In een apart bericht schrijft Microsoft dat het bij de ondersteuning in de komende Windows-update gaat om een 'beperkte preview' waarvoor mensen zich kunnen aanmelden en dan op een wachtlijst terechtkomen. Het inloggen met een usb-hardwaresleutel maakt het overbodig om een wachtwoord te gebruiken. Windows Hello ondersteunt al langer wachtwoordalternatieven op basis van biometrie, zoals irisscans en vingerafdrukken.

FIDO2 is een open authenticatiestandaard, die voortbouwt op U2F en UAF. De standaard bestaat uit Ctap en WebAuthn, dat onlangs door het W3C is gepromoveerd tot Candidate Recommendation.

Door Sander van Voorst

Nieuwsredacteur

18-04-2018 • 11:08

52 Linkedin Google+

Reacties (52)

Wijzig sortering
Mooie ontwikkeling, helaas toch weer een extra 'item' dat je bij je moet dragen (en vergeten kan worden).
Zou liever iets zien met de Bluetooth connectie op mijn telefoon i.c.m. de vingerafdrukscanner op mijn telefoon of app.
Ik gebruik nu al een behoorlijke tijd een yubikey in voor mijn logins thuis en op het werk. Dit doe ik onder andere met Windows Hello, maar ook de TOTP en smartcard-functionaliteiten van het ding heb ik in gebruik. Het digitale inloggen is hiermee gereduceerd tot "het insteken van een fysieke sleutel" en soms een pincode. Het ding is klein en stevig genoeg om de hele dat onderin mijn broekzak te verblijven.

Daarnaast ben ik al eerder in een situatie beland waarin mijn smartphone op een vitaal moment mijn Google-account had uitgelogd en alle app-data spontaan verdwenen was. Dit was inclusief mijn 2FA-keys in Google Authenticator. Op dat moment was het echt een zegen dat dergelijke codes ook op een los security-device waren opgeslagen.

De betrouwbaarheid daarvan is toch beduidend hoger en het "weer een device erbij"-argument weegt niet op tegen het gemak en de zekerheid die je ervoor terug krijgt.

[Reactie gewijzigd door vliegendekat op 18 april 2018 12:10]

Bij hoeveel van deze diensten (waarbij je inlogt) kan je meerdere Yubikeys (bijvoorbeeld een backup in een kluis ergens) of een andere methode aangeven om je account te herstellen wanneer je key weg is?

Dat is het enigste waar ik nog een beetje tegen aan loop
Bij iets als Nextcloud kan je recovery codes genereren: willekeurige, lange wachtwoorden die je eenmalig kan gebruiken om in te loggen bij het verliezen van andere authenticatiefactoren. Die kan je bijvoorbeeld in een wachtwoordmanager opslaan, maar ook uitprinten en in een kluis opbergen.

Mogelijk bieden andere diensten dit ook.

[Reactie gewijzigd door The Zep Man op 18 april 2018 14:08]

In mijn ervaring kan dat maar met zeer weinig FIDO diensten, want het is juist de bedoeling dat er slechts één key aan een account gekoppeld wordt en als die key zoekt raakt, moet je de boel uitschakelen of resetten door een bevestiging via e-mail, sms of een lijst van maximaal 10 backupcodes.

Bijna niemand biedt dus de optie om een tweede key aan te melden, maar tot nu toe heeft wel iedere website die ik ben tegengekomen een eerder beschreven herstelmethode aangeboden. Het gaat feitelijk net zoals met TOTP (Google Authenticator).
want het is juist de bedoeling dat er slechts één key aan een account gekoppeld wordt en als die key zoekt raakt
Waar staat dat geschreven? Lijkt mij een achterlijke vorm van security beleidsvoering, waardoor ik ook betwijfel dat die bestaat. Achterlijk want je zou men betuttelen om geen extra key te mogen registeren, maar je laat wel toe om een extra authenticatie methode te registeren (email, sms, backupcodes)? Daar zit geen logica in. Je kan dan net zo goed account beheerders een extra key laten registeren.

Ik gebruik op dit moment FIDO U2F alleen voor mijn Google-en Tutanota account en Dashlane password manager, en bij alle drie kan ik toch echt meerdere keys registreren. Kan jij naar diensten verwijzen waarbij je dat niet kan?

[Reactie gewijzigd door PostHEX op 18 april 2018 16:13]

Ik gebruik op dit moment FIDO U2F alleen voor mijn Google-en Tutanota account en Dashlane password manager, en bij alle drie kan ik toch echt meerdere keys registreren. Kan jij naar diensten verwijzen waarbij je dat niet kan?
Excuses. U heeft helemaal gelijk. Het kan tegenwoordig wel.
https://www.themooltipass.com
Back-ups, open source en meerdere wachtwoorden in een apparaat. Wel wat groot.
Het is weer een hardware device erbij, maar er zijn ook vele welke graag een single-purpose-device voor security tokens willen.
Ook zal het voor bedrijven interessanter zijn een hardware sleutel te leveren aan haar medewerkers (waar je voor kan laten tekenen en terug kan eisen na einde dienstverband) dan iedereen zijn mobiel laten voorzien van een vergelijkbare app.
Voor bedrijven is het zeker interessant, de video doelt volgens mij ook voornamelijk op een zakelijke omgeving en mijn reactie was inderdaad meer uit consument perspectief.
Het is momenteel inderdaad meer gericht op de zakelijke markt, vooral om veilig en snel in te loggen op gedeelde PC's. Andere manieren zoals een App op je telefoon & Bluetooth komen ongetwijfeld in de toekomst. Support ontbreekt daar nu voor. Eerst voegen we support voor AD ipv Azure AD toe.

(Overigens heb ik de Microsoft blog geschreven, leuk om het hier terug te lezen)
Die de-authorisatie zal het probleem niet zijn, omdat bij einde dienstverband je een account natuurlijk gewoon deactiveert. Maakt het ook niet uit of er nog een hardware device of app circuleert. Wat wel lekker is dat met een hardware device, je echt voorkomt dat wachtwoorden gedeeld worden. Er is namelijk max 1 device in omloop wat geautoriseerd is, waardoor er fysiek maar op 1 machine in gelogd kan worden.
Je kunt als admin of gebruiker zelf een device deactiveren bij verlies. Bij einde dienstverband is het account uitschakelen inderdaad een nog betere oplossing.
Het is een alternatieve methode, ben je de sleutel vergeten, dan meld je gewoon aan met je username en wachtwoord.
Dat denk ik juist niet, als je dit in een bedrijf toepast je moet forceren deze manier van inloggen te gebruiken (lees: dus het gebruik van gebruikersnaam en wachtwoord uitschakelen). Anders blijven mensen gewoon hun inloggegevens gebruiken en laten steeds meer mensen hun key thuis, omdat ze 'hem toch niet nodig hebben'.
Combinatie: Key en Pin zal wel vereist worden. Het enige wat ik me afvraag hoe dat werkt met virtuele machines. Heeft iemand daar ervaring mee?
Dan is de veiligheid er weer af als je je telefoon zou gebruiken. Die is niet geïsoleerd van een internet omgeving. Er zullen vast nog wel tig redenen zijn, maar dit is het eerste wat in me op kwam.

Wel is het zo dat je natuurlijk extra hardware kan inbouwen in de telefoon, maar dan heb je infeite gewoon zo'n USB stick in je telefoon, ik weet alleen niet hoe veel je er dan mee opschiet.
Verder bouwend, je zou natuurlijk ook capabiliteiten in de soc kunnen bouwen zodat je minder oppervlak verliest, maar dit is allemaal speculatief. Wat nou echt handig wordt zullen we wel zien.

Het is in ieder geval een mooie eerst stap toch?
Ik zit in hetzelfde schuitje momenteel, het liefste zou ik een oplossing zien die aansluit bij de huidige PKI oplossing. Inmiddels een test pakketje besteld van AirID (https://certgate.com/en/products/airid/) *geen aandelen.

Benieuwd of dit wat gaat worden.
Dat is wel zo,maar een YubiKey bv (van de andere weet ik het niet) kun je gewoon aan je huissleutel hangen of iets anders dat je altijd bij hebt.

Ik ben al vaker mijn telefoon vergeten dan mijn huissleutel :)
Nog niet eens aan gedacht inderdaad.
Ik ben al vaker mijn telefoon vergeten dan mijn huissleutel
Dan heb jij geluk, ik heb vaker buiten gestaan zonder huissleutel, maar met telefoon 8)7
Gelukkig kon ik dan nog wel bellen zodat iemand anders de deur open kon maken.
ik kan de voordeur openmaken met m'n telefoon, hoezo huissleutel?
Mijn telefoon past niet in dat sleutelgat.
Hehehe... erg funny :P
Hij heeft een elektronische slot, die alleen zijn telefoon deur kan openen. Hij kan het ook op afstand voor anderen deur openen.
ik kan de voordeur openmaken met m'n telefoon, hoezo huissleutel?
Ik ook, maar dan heb ik daarna wel een glaszetter en een nieuwe telefoon nodig. Tragisch :+

On topic: Kan je met een aantal van die hardware keys niet meerdere accounts aan 1 apparaatje toewijzen? Dan kan je dus, mits de standaard breed wordt ondersteund zoals ze nu vanuit W3C proberen te stimuleren, uiteindelijk met 1 stick/chip/sleutelhanger toe voor al je 2FA-behoeften. Zou ik persoonlijk ideaal vinden, als ik daarmee dan wel van stapel wachtwoorden af zou zijn... Als het weer een extra ding naast die wachtwoorden is, meh.

Hoe langer dit soort dingen doorontwikkeld worden, hoe interessanter het wordt om een NFC-capable chip in je vinger te laten prikken, natuurlijk. Als je daarmee opeens NFC-authenticatie met een vingertik kan doen, die niet aan een vingerafdrukscanner is gekoppeld (zowel vanuit veiligheidsperspectief als technisch eenvoudiger), die gewoon bijna universeel wordt ondersteund, begin je toch een eind richting de SF-oplossingen te komen. En die kan je dan niet vergeten mee te nemen, maar wel vervangen/herprogrammeren als je beveiliging lekgeschoten is :P
ik kan de voordeur openmaken met m'n telefoon, hoezo huissleutel?
Dus als je je telefoon verliest verlies je ook je huissleutel :+
+ je kan niemand bellen om je binnen te laten.
Uiteraard zal dat ook een optie zijn, omdat daar ook FiDO op geimplementeerd kan worden. Hoewel iOS dit misschien wel dicht heeft staan, en bij Android zal je device zelf uiteraard ook een risico zijn, zelfs met secure stores zoals KNOX. Een losse dongle als alternatief voor password + biometrie/token (dus dongle + biometrie zoals in het filmpje), is denk ik juist veilig: je hebt altijd twee elementen nodig.

Ook leuk dat het een vrij open standaard is. Azure AD is al erg handig omdat het OAuth/SAML 'spreekt', en daardoor flexibel is.
Bluetooth is alles behalve veilig. En de bereik hiervan is ook relatief groot. Leuk voor thuis, niet in een zakelijke omgeving.
Daarbij is een usb/card te vervangen. De Bluetooth in je smartfoon niet.
Werkt vrij slecht. Ik kan naar de andere kant van mn kantoor lopen en dan lockt hij nog steeds niet. Ook is de timeout veel te lang en niet instelbaar.
Ik weet niet hoeveel die extra hardware mag kosten maar waarom niet gewoon in de laptop inbouwen?

Tevens kun je dit toch ook gewoon in een USB keyboard inbouwen.

[Reactie gewijzigd door BenVenNL op 18 april 2018 11:30]

Ik weet niet hoeveel die extra hardware mag kosten maar waarom niet gewoon in de laptop inbouwen?
Omdat een laptop logisch en fysiek gescheiden is van de gebruiker en zo behandeld moet worden. Het idee is dat een hardwaresleutel de gebruiker authentiseert. Als je dat in de laptop inbouwt dan voldoet het niet aan dit idee.
Tevens kun je dit toch ook gewoon in een USB keyboard inbouwen.
Een USB keyboard identificeert geen gebruiker. Het is een gebruiksvoorwerp dat mogelijk door andere gebruikers wordt gebruikt.

Hardwaresleutels zijn interessant voor (tegen?):
• Gebruikers die wachtwoorden maar lastig vinden.
• Gebruikers die onveilige wachtwoorden gebruiken.

Wel introduceer je het probleem dat een gebruiker zijn hardwaresleutel kan vergeten, net als bij smartcards. Dat is in de praktijk op te lossen door normaliter een smartcard te verplichten om de gang op/uit te komen op een kantoor. Dan leert men het zichzelf snel genoeg aan om de sleutel mee te nemen. :+

Met natuurlijk een knop aan de binnenkant om de deur bij noodgevallen open te doen. Je mag geen mensen opsluiten, maar ze er wel op aanspreken als ze die knop misbruiken.

[Reactie gewijzigd door The Zep Man op 18 april 2018 12:36]

Het idee is dat een hardwaresleutel de gebruiker authentiseert. Als je dat in de laptop inbouwt dan voldoet het niet aan dit idee.

Waarom dan die vingerafdruk? Waarom eerst jouw unieke vingerafdruk op een stuk hardware drukken welke dan vervolgens weer een unieke code doorgeeft aan Windows.

Waarom niet gelijk een vingerafdruk gebruiken.
Een vingerafdruk is identificatie (zeg username), geen autorisatie. Dat laatste vereist een bewuste denkhandeling. Dat dit bij veel mensen anders wordt gebruikt is een ander verhaal.

Door het apparaat met de sleutel lost te koppelen van het te gebruiken apparaat en alsnog een vingerafdruk te gebruiken verbeter je de veiligheid iets maar eigenlijk nog niet veel. Je hebt de sleutel en de toepassing in ieder geval wel gescheiden. Beter zou zijn om een sleutel te laten gebruiken op een apart apparaat, de vingerafdruk voor identificatie en daarna een gebruikershandeling voor autorisatie te laten tellen.
Je hebt de sleutel en de toepassing in ieder geval wel gescheiden.
Klopt. En je hebt gelijk dat de vingerafdruk gelijk is aan de gebruikersnaam. Immers kan de vingerafdruk ook op de fysieke sleutel staan. ;)

[Reactie gewijzigd door The Zep Man op 18 april 2018 16:08]

Voor ¤20,- heb je er al eentje: https://www.yubico.com/product/security-key-by-yubico/

[Reactie gewijzigd door RobinF op 18 april 2018 11:36]

Ja ik laat de sleutels ook altijd in mijn auto zitten. Waarom bouwen ze dat niet meteen in?
In de laptop ingebouwd bestaat al: Dat is de TPM.

Zoals @The Zep Man hieronder zegt is dat meer om de machine te authentificeren, maar je kan het daar wel voor gebruiken als je met een paswoord/pin code inlogt op de TPM (bijvoorbeeld bij preboot authenticatie). De TPM is eigenlijk een smartcard ingebouwd in de laptop.
Dus een huidige U2F key werkt niet? Jammer!
Die kan als het goed is al met de Yubikey App
Wel een beetje jammer. Ik hoop dan ook nog steeds op een YubiKey 5 met BLE ondersteuning die dit ook meteen meeneemt.
Ja en NFC ook.. Dat viel me erg tegen dat dit gedropt werd bij de Yubikey 4. De Neo had namelijk wel NFC maar een aantal dingen niet die met de 4 ingevoerd zijn, zoals touch to sign.
Ik snap niet zo goed waarom de huidige versie niet zou kunnen werken. Misschien kan het maar voldoet het niet aan de veiligheidseisen (m.a.w. niet veilig)
Ikeb nu al een paar U2F keys maar kan ze waarschijnlijk niet upgraden. Er zal op een gegeven moment ook wel weer een 3e versie komen. En zo'n key helpt ook niet als de rest van de software of hardware niet veilig is.
Ik loop al jaren zakelijk met een RSA token rond en daarvoor met een smartcard.
Zo'n systeem is echter alleen veilig als je daarnaast ook een sterk password moet gebruiken i.v.m verlies van de token.
Een diefstal, verlies en schade gevoelig item als een telefoon als token gebruiken vind ik echt een lachertje.
Dat initiatief van MS is een stap in de goede richting als je de rest van de beveiliging ook goed inricht.
Maar jammer dat het alleen windows is, ik zie het aantal macs en linux dozen gestaag groeien.

[Reactie gewijzigd door caipirinha op 18 april 2018 12:46]

Weer een USP voor Microsoft. Met hun hele 365 omgeving proberen ze toch een totaaloplossing te bieden voor het grootbedrijf, en dit past daar prima bij in
Met een smartcard heb je niet per se een sterk wachtwoord nodig. Omdat je het aantal pogingen kan beperken (meestal wordt 3 of 5 gebruikt) is een 6-cijferige pin code voldoende.

Ik gebruik smartcards nog steeds voor mijn prive spullen (helaas valt het met websites tegen omdat bijna niemand RSA certificaat inlog toestaat, terwijl dit er al jaaaren in de standaard zit)

[Reactie gewijzigd door GekkePrutser op 18 april 2018 15:13]

Kan me erg goed voorstellen dat je een keer s'avonds thuis komt en denkt: key vergeten, in de pc laten zitten. Wie heeft er nog nooit een USB memory stick een keer in een pc laten zitten?
Ik verkies duidelijk die sleutels met U2F boven vingerafdrukken en andere biometrische methodes - die zal ik NOOIT toelaten. U leegt het goed - nooit. Iets dat je overal kan zien, en registreren en roven kan je niet gebruiken als beveilgingsmaatregel - knoop dat maar zeer goed in jullie oren. Die sleutels (liefst meer dan één) - vormen in combinatie met het aparaat en dan nog een wachtwoord of pincode meestal wel genoeg om relatief veilig te kunnen werken.
De Yubikey series 4 en de yubikey Neo bieden wel windows ondersteuning:
https://www.yubico.com/setup/#
Het kost iets meer dan dat wel, maar mogelijk een alternatief voor RSAkeyfobs of Fortitokens bv.
Maar geen Fido2.. En dat is met het oog op komende website ondersteuning wel handig om te hebben,
Jawel, Het is er pas sinds 10 April dit jaar .. maar het is er wel:
Ondersteuning van Fido2
https://www.yubico.com/product/security-key-by-yubico/
Ja maar niet in de Yubikey Neo en 4, dat bedoelde ik.

Op dit item kan niet meer gereageerd worden.


Call of Duty: Black Ops 4 HTC U12+ dual sim LG W7 Google Pixel 3 XL OnePlus 6 Battlefield V Samsung Galaxy S9 Dual Sim Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V. © 1998 - 2018 Hosting door True