Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

YubiKey 5Ci-sleutel bevat zowel usb-c- als Lightning-connector

Yubico heeft de YubiKey 5Ci aangekondigd, een hardwarematige beveiligingssleutel met onder andere fido2-ondersteuning. De stick van 70 dollar bevat zowel een usb-c-connector als een Apple Lightning-aansluiting.

Dankzij de Lightning-connector werkt de sleutel in combinatie met iPhones en iPads. De YubiKey 5Ci kan zo gebruikt worden voor de beveiliging van de iOS-apps 1Password, Bitwarden, Dashlane, Idaptive, LastPass en OktaiOS. In combinatie met de Brave-browser op iOS werkt hij met de webdiensten Bitbucket.org, GitHub.com, Login.gov, Twitter.com en 1Password.com. Meer iOS-toepassingen volgen, waarbij het bedrijf met ontwikkelaars samenwerkt in het Yubico Developer Program.

Hoewel een usb-c-aansluting aanwezig is, waarschuwt Yubico dat niet alle functionaliteit werkt op een iPad Pro met die aansluiting. Bij andere producten met usb-c werkt de sleutel bij 'honderden toepassingen'. De 5Ci werkt op iOS, Android, macOS en Windows, en ondersteunt fido2/WebAuth, fido u2f, one-time password, smartcardfunctionaliteit op basis van Personal Identity Verification en openPGP. De prijs van de nieuwe sleutel is 70 dollar, wat omgerekend en met btw neerkomt op iets meer dan 76 euro.

Door Olaf van Miltenburg

Nieuwscoördinator

20-08-2019 • 16:26

50 Linkedin Google+

Reacties (50)

Wijzig sortering
Kan mij iemand als leek op dit gebied kort vertellen waarom ik dit zou willen gebruiken? (oprechte vraag)
Ik zie hier niet het voordeel van. Is dit echt veel veiliger dan gewoon inloggen met bijvoorbeeld een vingerafdruk. Je kunt tegenwoordig met Android toch al je hele telefoon versleutelen en alleen met een wachtwoord ontsleutelen. Waarom zo'n ding constant bij hebben? Dat is toch super onhandig?
In security bestaan keys uit de volgende dingen:

- something you know (wachtwoord)
- something you are (vingerafdruk)
- something you have (b.v. een yubikey)

Ik gebruik hem i.c.m. lastpass op mijn desktops, voor MFA.
Dat klopt, met de volgende kanttekeningen:

"Something you are" kan met regelmaat eenvoudig gekopieerd worden. Daarom wordt dit in de security wereld niet door iedereen als een adequate factor genomen.

Wachtwoord en vingerafdruk zijn ook slechts voorbeelden. FaceID is ook "something you are", en een backup code of secret question is "something you know".
Is niet specifiek bedoeld om je telefoon te ontgrendelen maar om ook op je mobiel als extra vorm van authenticatie te gebruiken wanneer je andere tools/applicaties/services benaderd.
Thanks voor de info!
Voor particulier gebruik heeft deze tool nauwelijks toegevoegde waarde. Voor een spion of geheime dienst medewerker kan deze tool nog enigszins nuttig zijn.
Angstzaaierij is een van de belangrijkste ingrediënten om de consument het nut van deze tool aan tebevelen.
Kan mij iemand als leek op dit gebied kort vertellen waarom ik dit zou willen gebruiken? (oprechte vraag)
Als je gebruikmaakt van Apple producten zoals de iPhone, dan zou je met de Lightening port gebruik kunnen maken van deze Yubikey. Bijvoorbeeld een iPhone 7 of iets dergelijks.

Mocht je vraag over Yubikey in het algemeen gaan, dan is dit een extra vorm van authenticatie. Er is als het ware een redelijk ingewikkelde wachtwoord ingebouwd in de stick en dit zou je kunnen combineren met jouw reguliere wachtwoord als een vorm van 2 factor authentication. Hierdoor implementeer je extra lagen van beveiliging en is het in theorie moeilijker voor anderen om ongevraagd toegang te verkrijgen tot jouw systemen.

[Reactie gewijzigd door Guneyd op 20 augustus 2019 16:42]

Relatief oud? Lightning zit op alle recente Apple toestellen met uitzondering van de iPad Pro
My bad, aangepast. Ik dacht dat de nieuwe iPhone toestellen inmiddels USB-C hadden, maar dat is blijkbaar nog niet het geval :P. De Macbooks daarentegen maken wel gebruik van USB-C (Thunderbolt).
volgens mij heeft de XS ook USB-C

[Reactie gewijzigd door Noisia op 20 augustus 2019 17:04]

laatste iPad Pro model alleen.
2018 en 2019*

[Reactie gewijzigd door jctjepkema op 20 augustus 2019 17:37]

Ik gebruik het in combinatie met Lastpass en NFC Yubikey OTP op mijn iPhone. Werkt uitzonderlijk goed, al krijg ik de poep om om de zoveel tijd mijn masterkey van 52 characters in te moeten vullen.

Dus deze nieuwe stick is voor mij overbodig.
Ik stond op het punt de NFC Yubikey te kopen maar zag toen op hun site dat deze (YubiKey 5Ci) werd verwacht. Ik heb een mix van USB-C en Lightning apparaten voor privé & werk (Galaxy S9 en Iphone Xs beide met NFC) en een desktop & laptop (beide USB-C ingang maar natuurlijk ook gewoon USB-A).

Denk je dat deze stick veel meerwaarde heeft tegenover de NFC? Ik ga het voornamelijk inzetten om mijn PWmanager te openen of 2FA voor bepaalde websites.
Verwacht? Ik heb de NFC stick al een jaar of vijf (kan ook vier zijn hoor) in mijn bezit. Fijne aan de NFC is dat je hem achter de iPhone legt en dat hij hem instant herkent. De lightning zal ook prima werken imo, maar heeft voor mij geen meerwaarde tegenover de NFC stick. En zover ik weet is de NFC stick goedkoper dan deze nieuwe.
Ik bedoelde de YubiKey 5Ci, heb het aangepast. Ja dat is wel super handig anders moet je altijd inpluggen en ik zag dat de NFC ook gewoon voor Android werkt.

45 vs 70 euro is ook best een verschil! Bedankt voor je reply, misschien moet ik gewoon voor de NFC gaan.
Ik gebruik op mijn Yubikey het eerste slot Yubikey OTP. Het tweede slot bevat de laatste 38 karakters van mijn 50 karakter tellende master password. De eerste 12 gebruik ik ook regelmatig als zelfstandig wachtwoord voor andere zaken en zit dus in mijn motorisch geheugen.
hiermee kan je je apparaat beveiligen en kunnen ze niet inloggen zonder de key, dus niet met wachtwoord kraken/ergens vandaan halen, ze hebben net als bijv. ene kluis/huis daadwerkelijk je sleutel nodig voor bestanden/je complete apparaat.
Authenticatie met alleen een wachtwoord is onveilig, Je zal jezelf moeten authenticaten met iets dat je weet (wachtwoord), en iets dat je bent of bij je hebt. Iets dat je bent kan zijn een vingerafdruk, maar niet iedereen voelt zich hierbij goed. Dan is een jubikey (iets wat je bij je hebt) erg krachtig. 2 factor is gewoon een stuk lastiger om te kraken, want dan moeten mensen fysiek je key afpakken. Je kunt ook alle 3 de vormen met 1 yubikey afvangen, sommige keys hebben zelfs een vingerafdruk scanner.
Het is een andere (extra) vorm van authenticatie die gebruikt maakt van een "dynamisch" wachtwoord. Door dit met een statische vorm (wachtwoord) te combineren wordt de kans weer een stuk kleiner dat iemand anders zich toegang verschaft tot de tool/applicatie die je binnen wilt komen.

Heel groot voordeel van een yubikey (vind ik) is dat je hem in je PC kan stoppen en op een knopje kan drukken om de key in te vullen. Hierdoor hoef je dus niet een code van bijvoorbeeld een authenticator over te tikken. Voor mijn telefoon met NFC kan ik hem tegen mijn telefoon houden en wordt de key in het clipboard gezet zodat ik hem op een website/tool kan plakken.

Ik gebruik persoonlijk een yubikey waar mogelijk als tweede vorm van authenticatie op online systemen/platformen. Mijn mailserver die ik zelf beheer kan ik alleen op inloggen met een SSH key en yubikey/google authenticator. Mijn wachtwoord manager met een wachtwoord en yubikey/google authenticator. etc etc.
Het is veiliger dan vingerafdrukken. Zelf heb ik nu net 3 u2f-fido2 sticks besteld (wel niet van yubico maar van een OSS-tegenhanger).
Let wel voor dit soort dingetjes geldt - één sleutel is geen sleutel - u koopt er dus best 2 - u registreert er dus best 2 - en u houdt de copie best op een veilige plaats.
OTP (one time password) - kunnen die keys meestal ook aan (voor o.a. Lastpass) - dat is echter te mijden - want een heel stuk minder veilig.
Voor mij dus zeker GEEN sleutel met biometrie - ik ben een rabiaat tegenstander van beveiliging via biometrie. Iets wat zichtbaar, meetbaar en dus copierbaar is - kan geen deel uitmaken van een geheim wat je bij je moet hebben om iets te kunnen.
Staat in hun FAQ dat je bij verliezen van de key een alternatieve inlogmethode moet raadplegen en dan de key moet verwijderen uit de software.

Waarom kiezen ze niet voor een methode waarbij je 20 woorden moet opschrijven bij eerste gebruik, die je kan gebruiken om een nieuwe key weer identiek te krijgen aan aan de verloren key?
Om die reden hebben wij hier allemaal 2 YubiKeys. Eentje voor dagelijks gebruik en eentje in de kluis, mocht je je dagelijkse key kwijtraken. De backup-keys kunnen uiteraard ook inloggen op onze systemen. Los daarvan kan een collega je natuurlijk ook altijd weer toegang verlenen.
Zoals @Tomaat al aangeeft is het hebben van een 2e fysieke key in de kluis veiliger dan een blaadje met een secret key opslaan in de kluis. De kluis maakt niet zo veel uit als je een blaadje in de kluis legt want zo'n secret key is in theorie makkelijker te kraken dan het proberen te kraken van een (2e) yubikey. Daar hoeft de kluis niet voor open.
Plus de backup Yubikey zit gewoon weer een passphrase op. Een blaadje is direct voor iedereen toegankelijk.
Tenzij je een encrypted USB stick neer legt met die 20 woorden erop in die kluis. Maar dan kan je net zo goed je vervangende Yubikey er in leggen. Want die heb je toch nodig als je je main kwijt bent
Ik ben helaas geen YubiKey fan meer, twee maal gehad dat de software onderuit is gegaan? Lock je hem en dan kan je niet meer inloggen. Gelukkig had ik geen Bitlocker actief anders was ik alle data kwijt (zonder bitlocker kun je de applicatie uitschakelen door een .dll te verwijderen).

Wat zijn jullie ervaringen met Yubi's in dagelijks gebruik? Kan natuurlijk ook zo zijn dat ik gewoon pech heb gehad.
Ik gebruik het dagelijks om op onze Linux servers in te loggen en om m'n code in Git te signen. Werkt als de brandweer :) Maar ik draai dan dus ook niet op Windows.
Zelfde hier.
Op Linux (Xubuntu) werkt het echt top.
Op Mac wel wat problemen gehad, waar ik regelmatig de gpg agent moest restarten.
Windows, not done. Heb het nog nooit werkend gekregen. Kan ook nergens Windows gebruiken omdat het voor mij dan onmogelijk is om in te loggen op mijn servers (welke allen met mijn Yubikey beveiligd zijn)

Git commits worden automatisch gesigned, zodat iedereen weet dat alleen signed commits van mij komen (of in ieder geval daar op te vertrouwen is) (Gezien het heel eenvoudig is om onder iedereens naam te comitten)

Heb alleen (nog) geen NFC model, dus inloggen op mijn Google, GitHub, etc account op mobiel is nog een beetje irritant. Maar gelukkig hebben de meeste smartphones redelijke support voor 2FA codes via SMS (In 1x code kunnen copy'en bijv)
Wat gaat er verkeerd dan? Ik draai dual boot Linux/Windows en onder beide OS'en geen probleem nu.

Enige wat ik wel had, en misschien heb jij dat ook: omdat ik dual boot draaide stond windows altijd een uur te laat. En aangezien de yubikey tijd gebaseerd werkt, pakte hij de key daarom niet. Daarom met een een registry edit ervoor gezorgd dat de Windows tijd gewoon altijd goed staat en toen deed de yubikey het prima (even googelen hiervoor).
Tijd stond gewoon goed zover ik mij herinner. Ssh agent blijft zeggen no identifies found geloof ik. Of dat de agent niet gevonden kon worden. Idk precies. Laatste keer dat ik het probeerde was om 4u snachts toen klant mij wakker belde omdat productie eruit lag.
Toen maar voor gekozen om naar kantoor te rijden om daar op mijn Linux machine in te loggen :p
Heb thuis nog een Windows PC staan voor als ik af en toe game, maar helaas Xubuntu nog niet opnieuw op installed
Op Mac wel wat problemen gehad, waar ik regelmatig de gpg agent moest restarten.
Inderdaad, dit heb ik ook steeds met OpenPGP. Niet alleen met de Yubikey, ook met echte OpenPGP kaarten in een smart card reader. Dus ik zou de schuld niet bij yubico leggen maar meer bij GPG.

Ik heb nu zo ingesteld dat hij bij elke nieuwe terminal (.profile) de gpg agent restart :P
Was ook niet bedoeld als blame naar Yubico, excuus.
Maar maakt het wel minder fijn in gebruik. Terwijl met normale ssh keypair ik daar geen last van had (als private key op mijn Macbook stond)
Ik ga er dan vanuit dat je bedoel inloggen in Windows zelf met de key? Of ook voor 2FA op websites etc? Ik wil het gebruiken voor oa mijn password manager, niet om in Windows oid in te loggen.
FIDO en OTP werken prima.
Inloggen op Windows zelf idk. Ben gee Windows gebruiker / kenner dus geen idee hoe dat werkt.
Ik wilde het gebruiken om in te loggen via SSH. Op mijn Yubikey staat een private key, waarvan de public key op mijn servers staan.
Via Putty wil ik deze private key meesturen om zo in te loggen. Maar dat krijg ik niet werkend.
Oke, dan hoef ik me geen zorgen te maken! Bedankt voor het uitgebreide antwoord.
Ik gebruik de yubikey op Windows op dit moment probleemloos voor het inloggen op SSH, signen van commits en e-mail PGP en inloggen aan de hand van x.509 certificaat. Je moet wel het een en ander aanpassen aan de gpgconf om het werkend te krijgen.
Ja dat las ik ook online, maar tot nu toe niet werkend gekregen na meerdere pogingen helaas :-(
De handleidingen van yubico zelf kloppen ook niet helemaal helaas. Maar uiteindelijk valt t mee wat er moet gebeuren. Kan wel een handleiding maken mocht je er interesse in hebben.
Momenteel gebruik ik die Windows machine niet.
Als ik er weer eens tegen aan loop, hoop ik dat ik aan je denk en zal ik je om hulp vragen :p

Bedankt in ieder geval
Op mac moet je de ssh agent van apple disabelen, dit kan alleen door te rebooten in recovery modus, beveiliging uit te zetten, booten, service disabelen, rebooten in recovery, beveiliging weer aan en weer rebooten ;) Gelukkig gaat dat wel snel en hoef je dat maar 1x te doen.

Daarna werkt alles vlekkeloos maar het was wel even een gedoe om dat allemaal uit te vinden.
Gebruik hem net als @Tomaat als GPG key (zowel SSH als signen van code) en bij websites die het ondersteunen ook als FIDO key.

Het is natuurlijk geen speelgoed. Als je te vaak je verkeerde pincode invult bijvoorbeeld dan zal hij op slot gaan en heb je o.a. een PUK code nodig om hem weer te kunnen ontgrendelen. Ik denk dat dit is gebeurt bij jou?

Bij FIDO of OTP heb ik daar nooit last van omdat je dan geen pincode nodig hebt.
Betreft een OTP als ik me het goed kan herinneren, dus het werd gebruikt als een 2fa. Key moet gedetecteerd worden om in te kunnen loggen met een wachtwoord.

Oei; ik had geen idee dat je dit ook met ssh kon gebruiken, dat is interessant!

[Reactie gewijzigd door ilaurensnl op 20 augustus 2019 17:14]

Mijn ervaring is super eigenlijk. Ik gebruik mijn yubikey voor:
- e-mail sign en encrypt (PGP)
- SSH en git authenticatie (GPG)
- smartcard (x.509) authenticatie via Windows AD
- 2FA op websites (FIDO)

En allemaal probleemloos met dezelfde yubikey. Mijn pc locked bijv. ook automatisch als ik de key verwijder uit de USB poort via een policy.

Met gpg/PGP was het wel een gedoe om de juiste keys in de juiste volgorde te plaatsen. Ik gebruik andere keys voor sign/encrypt dan voor authentication en dat pakte win4gpg niet goed op in eerste instantie icm putty. Ik kon dan bijv. wel mails encrypten en decrypten, maar niet inloggen op SSH of andersom. Nu wel :)

[Reactie gewijzigd door mrdemc op 20 augustus 2019 17:44]

Ik snap het nut van zulke keys zeker, maar voor gebruik op een mobiel ontgaat het me wel deels.
Zo'n key heb je waarschijnlijk altijd bij je net als je mobiel, dus de kans dat je beiden tegelijk "verliest" is een stuk groter. Als je beiden hebt verloren is het juist "makkelijker" voor 3den om ergens binnen te komen.
Je eerste punt is al een sterke aanname. Ik weet niet zo zeer of de kans groot is dat je beide verliest.
Daarnaast, wat wil je als alternatief? Geen 2FA op mobiel? Of alternatieve 2FA methodes... Zoals SMS? Welke wel op je telefoon staat en dus altijd mee verloren gaat.
Authenticator app? Zelfde probleem als SMS.
Ik gok liever dat ik geen van beide kwijt raak. En als ik 'm kwijt ben, direct naar mijn PC en alles op die telefoon locken en wachtwoorden van mijn belangrijkste accounts veranderen en Yubikey overal invalidaten
Nee want enige andere beveiliging die je gebruikt blijft gewoon bestaan.
Too little, too late. Lightning is inmiddels op retour.

Op dit item kan niet meer gereageerd worden.


Apple iPhone 11 Nintendo Switch Lite LG OLED C9 Google Pixel 4 FIFA 20 Samsung Galaxy S10 Sony PlayStation 5 Apple

'14 '15 '16 '17 2018

Tweakers vormt samen met Tweakers Elect, Hardware Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True