Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Apple test ondersteuning usb-sleutels bij nieuwste Safari-preview

Apple experimenteert met webauthenticatie in de nieuwste preview van Safari. De experimentele feature in kwestie ondersteunt het gebruik van usb-gebaseerde Ctap2-sleutel, waardoor het invoeren en bewaren van wachtwoorden in de webbrowser niet meer nodig is.

In de release notes voor Safari Technology Preview 71 staat dat Web Authentication voorlopig als experimentele feature is toegevoegd. Het is nog niet bekend hoe lang de feature getest moet worden voordat het als succesvol wordt beschouwd. Ook is het nog niet duidelijk of sleutels op basis van bluetooth of nfc in de nabije toekomst ondersteund gaan worden.

In april 2018 heeft Apple, samen met Google en Mozilla, gemeld dat het de WebAuthn-standaard ging implementeren in zijn browser. Google testte in september inloggen via een vingerafdruk in Chrome en in mei bracht Mozilla WebAuthn naar Firefox 60.

Door het gebruik van hardwaresleutels, zoals de YubiKey, is de veiligheid van accountgegevens beter gewaarborgd en zijn de systemen van gebruikers minder vatbaar voor phishing en hacks. Volgens Krebs on Security hebben Google-werknemers sinds de invoering van verplicht hardwaresleutelgebruik in 2017 geen last meer gehad van phishing.

Door Los Franx

Stagiair nieuwsredactie

06-12-2018 • 13:00

35 Linkedin Google+

Reacties (35)

Wijzig sortering
Ik zou ook graag zien dat iets zoals een email adres in zo'n sleutel gezet kan worden. Dan kun je uiteindelijk zonder iets in te typen gewoon met een sleutel van je sleutelbos op websites inloggen. :)
Volgens mij snap je niet helemaal hoe het werkt. Wat je nu vraagt is een macro die twee veldjes invult. Dat is niet wat deze keys doen, of horen te doen. Dit is een tweede factor buiten je credentials om. Je slaat bijvoorbeeld je wachtwoord + email in bijvoobeeld LastPass op. Als je met enkel de hardware-sleutel zou kunnen inloggen, verplaats je het probleem van software naar hardware. Als iemand jouw sleutel te pakken krijgt, zoals een zakkenroller/inbreker of een persoon die je kent, ligt je hele bende op straat.

LastPass vult beiden in wanneer je op Tweakers wilt inloggen. Enkel, LastPass vult niets in zonder je hardware-key. Zo kun je op sites zoals Google/Facebook ook tweede factors inzetten. Wanneer in wil inloggen op Google of Binance, moet ik aanvullend op mijn email/wachtwoord, ook de bijbehorende sleutel ingeven. Bij mij is die sleutel een stuk software op mijn telefoon.

Zie bijvoorbeeld:
https://support.yubico.co...our-yubikey-with-lastpass
Als iemand jouw sleutel te pakken krijgt, zoals een zakkenroller/inbreker of een persoon die je kent, ligt je hele bende op straat.
Niet helemaal, bij U2F was de sleutel namelijk alleen maar een tweede factor (username stond er niet op en paswoord moest je ook nog invoeren).

Bij Fido2 CTAP2 mode kan het gebruikt worden als de enige inlog MAAR wordt er dan gebruik gemaakt van een pincode waarna de token na enkele pogingen gelockt wordt. Net als bij je pinpas.

Helemaal niet zo onveilig dus.

[Reactie gewijzigd door GekkePrutser op 6 december 2018 14:31]

De persoon waar ik op reageer wil dat zijn sleutelhanger zowel email als wachtwoord intikt. Er werd verder niet gerept over een tweede factor. Ook niet alle sites hebben 2FA, dus een key die user+ww dom invult geeft een boefje toegang tot al die sites.
Edit: okee, ik heb de posts door elkaar gehaald, inderdaad :)

Laten intikken is inderdaad stom, maar de nieuwe technieken zoals webauthn doen helemaal weg met het concept paswoord en gebruiken wel goede veilige handshake technieken. Je moet nog wel je token met een pin code of biometrie beveiligen.

Overigens doe ik effectief wel wat hij wil maar op een veilige manier :) Ik gebruik "ZX2C4 pass" met een yubikey (openPGP smartcard mode) als beveiliging.

Dus ik hoef geen master password in te tikken, er zit niet eens een master password op mijn database. Elk paswoord is met de PGP sleutel ge-encrypt. Dus ik hoef eenmalig de pincode in te voeren en toch is de database goed beveiligd, want je kan die pincode maar 3x invoeren voor hij geblokkeerd wordt. Ook heb ik de "touch to sign" van de yubikey aan staan waardoor je hem elke keer bij het gebruiken even moet aanraken. Hierdoor is het niet mogelijk dat een achtergrond proces probeert je hele password vault te decrypten als je hem een keer unlockt.

Grote nadeel van deze oplossing is dat het uit verschillende software componentjes bestaat die je allemaal moet installeren dus het is een beetje technisch en rommelig. Maar wel heel veilig.

Edit: Iets anders dat doet wat hij wil maar ook op een veilige manier: https://www.themooltipass.com . Heb hem zelf ook maar ik vond het elke keer intikken van de pincode met die "pijltje naar boven en beneden" interface niet handig.

[Reactie gewijzigd door GekkePrutser op 6 december 2018 17:34]

Ik lees nergens dat hij wil dat ook een wachtwoord door zo’n sleutel ingevuld zou moeten worden.

Zijn post is wat onduidelijk en kort, maar wellicht doe je daardoor iets teveel aannames.

[Reactie gewijzigd door gday op 7 december 2018 09:07]

Dat zou een beetje het nut van 2FA weghalen... ;)
Alleen maar beter toch? Dan is het wel net zo veilig, al dan niet veiliger, en het haalt mogelijk een stap weg, nu hoef je geen codes meer in te voeren, is het niet meer nodig wachtwoorden op te slaan. Lijkt mij een prima oplossing. Helemaal voor de belangrijke websites, zoals DigiD, MijnOverheid, Alles omtrent werk en/of school. Lijkt mij een goede ontwikkeling.
Ja precies en dit bestaat eigenlijk al jaren in de vorm van smartcards. Organisaties die veel geven om veiligheid (veel banken, defensie enz) gebruiken dit al meer dan 10 jaar als enige inlogmethode.

2FA zoals Google Authenticator is meer een ugly hack om toch nog paswoorden te kunnen gebruiken maar de nadelen hiervan een beetje te beperken. Als we uiteindelijk van paswoorden afstappen is dit niet meer nodig mits de token goed beveiligd zijn met bijvoorbeeld een pincode of biometrie.

[Reactie gewijzigd door GekkePrutser op 6 december 2018 14:33]

Een beetje zoals het principe achter aanmelden met je elektronische identiteitskaart dan? Dat vind ik over het algemeen wel een handige oplossing.
Heb momenteel Lastpass (premium) in mijn Safari browser actief. Deze gebruik ik dan weer in combinatie met een YubiKey.

Wel handig dat ze dit nu toevoegen, echter ga ik mijn wachtwoorden niet in de Apple keychain opslaan.
Nee in plaats daarvan kies je een combinatie van 2 derde-partijen .... lekker handig..
Maar keychain werkt niet op iets anders dan Apple apparatuur, dat is een behoorlijk nadeel.
Maar @slijkie heeft het over zijn Safari-browser, ik neem even aan dat ie dan de macOS of iOS-versie bedoeld... aangezien de Windows versie al jaren niet meer supported is..
En als je je wachtwoorden wil hebben op een ander apparaat dan je mac of ios apparaat? Dan heb je niets aan je keychain
Hoezo niet in je Apple keychain dan?
NFC zal wel niet zo'n vaart lopen met Apple, maar BLE is meer in lijn met andere ontwikkelingen lijkt me zo.

En nu hopen op USB-C sleutels mocht het daadwerkelijk uitgerold gaan worden.
NFC is vanaf IOS12 opengezet en niet langer voor alleen Apple Pay

https://www.onemorething.nl/2018/05/nfc-chip-iphone-ios-12/
Dit klopt niet. NFC is nu (iOS 12.1) nog steeds zeer beperkt. Het enige nieuwe ten opzichte van iOS 11 is dat er nu een background mode is; maar dit is ook beperkt. Schrijven kan nog steeds niet. UUID lezen kan niet. Het enige wat wel kan is NDEF content lezen.
Ja en "schrijven" heb je juist nodig voor het gebruiken van smartcard achtige tags. Want dat bevat tweeweg communicatie, het is een signature-handshake en je moet ook de pincode naar de smartcard sturen.

Dat kan dus nog steeds niet. Jammer, want op Android gebruik ik al jaren met veel plezier OpenKeyChain hiervoor, samen met de OpenPGP functionaliteit van de Yubikeys (en fidesmo kaarten). Het wordt echt tijd dat dit op iOS ook gaat kunnen.

[Reactie gewijzigd door GekkePrutser op 6 december 2018 14:28]

Je kan toch een actie koppelen aan de specifieke tag in de app, zonder te schrijven?
Ja maar daar heb je helemaal niks aan. Je moet communiceren met de tag (een challenge er naartoe sturen, pincode sturen, signed response terugkrijgen). Daarvoor moet je rauwe APDU's sturen, of in elk geval een API hebben die die functies heeft.

Het is geen MiFare achtige tag die een soort geheugenstick is, het is echt een kleine computer die er op zit.

[Reactie gewijzigd door GekkePrutser op 6 december 2018 22:33]

Maar als je gewoon een tag hebt die je bijvoorbeeld HomeKit actie wil laten triggeren, waar is dat dan heel boeiend voor? Dat iemand de tag kloont? Dan blijft die actie voor nfc-chip A nog steeds “zet het licht aan”?
Ja maar daar had ik het niet over. Voor het gebruik met een security token is het gewoon nog niet geschikt. Dat geldt ook voor tokens als Fido2.

Daarom noemde ik dat voorbeeld, ik gebruik bijvoorbeeld OpenPGP tokens dagelijks (voor SSH en mijn paswoord database). Ook op mijn telefoon is dat belangrijk, met name die paswoord database wil ik onderweg ook wel eens gebruiken. Momenteel heb ik een Android telefoon dus dat kan gewoon maar met iOS zou het niet kunnen. Is ook een van de redenen dat ik ben overgestapt (de andere was Apple's prijsbeleid dat ik niet meer kon bijhouden).

[Reactie gewijzigd door GekkePrutser op 6 december 2018 23:11]

Ah, dat verklaart het. Dat dat je doel is had ik even over het hoofd gezien, dan snap ik wel dat je handshakes ed wilt hebben; wat geavanceerder allemaal dan een simpele tag. :)
En nu hopen op USB-C sleutels mocht het daadwerkelijk uitgerold gaan worden.
Yubikey heeft al 2 USB-C sleutels:
Solo Kickstarter project ook. En zo zijn er wel meer.
Hoe moet ik me dit voorstellen? Is dit iets dat websites moeten implementeren zodat je geen username/password scherm meer ziet of is het vergelijkbaar met Keychain, die automatisch wachtwoorden invult?
Als je zoals ik thuis met een MAC werkt en op het werk met een PC, dan vervalt het gebruik van Apple Keychain eigenlijk al. Ik heb dan ook een multi-platform oplossing gekozen om mijn usernames en paswoorden te stockeren, namelijk lastpass.

[Reactie gewijzigd door Redondo77 op 6 december 2018 13:29]

Ik voorzie dat dit voor veel bedrijven problematisch wordt, gezien toch veel bedrijven de USB ports disablen van hun clients... (zowel windows als OSX)
Een beetje policy kijkt naar de device class van een aangesloten USB apparaat. Storage en die dingen, njet.

Maar goed, als je echt wil, zet je de data om naar geluid, je speelt dat af en via een 3.5mm kabeltje in de frontpanel neem je dat dan weer ergens op.

Als je echt wil krijg je het wel buiten hoor.
Overigens is het wel leuk dat Safari nu WebAuthn gaat ondersteunen, maar volgens mij zijn er nog helemaal geen sites die WebAuthn ook daadwerkelijk gebruiken. Dat wil zeggen, alle sites die ik heb geprobeerd te gebruiken met mijn YubiKey (Google en GitHub) maken volgens mij alleen nog gebruik van de "oude" U2F API (die standaard uit staat in Firefox).
Klopt en zeker de CTAP2 mode waarbij je de sleutel als enige inlogvorm gebruikt met een pincode wordt nog nergens ondersteund.

Sommige sites als Dropbox ondersteunen als wel Fido2/Webauthn maar alleen in 2FA mode waarbij het eigenlijk net zo werkte als Fido1/U2F...
Hoop dat u2f nog iets volwassener wordt. Voor de leek is fido2 vs fido1 natuurlijk niet te volgen.
En in praktijk is mijn ervaring: Google eist Chrome als je een key wil toevoegen, Facebook voegt hem wel toe maar vraagt alleen de TOTP bij inloggen.


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True