Inloggen op Windows met een YubiKey werkt nu ook op lokale accounts

Yubico heeft zijn Windows-applicatie een update gegeven waardoor de hardwarematige YubiKey-sleutels nu ook voor inloggen op lokale Windows-accounts zijn te gebruiken. De applicatie werkt in combinatie met Windows 7, Windows 8.1 en Windows 10.

De Yubico Login for Windows-applicatie vervangt de Windows Logon Tool. Yubico heeft de software zes maanden getest. Gebruikers kunnen na installatie en configuratie een YubiKey gebruiken voor multi-factor authentication om in te loggen op lokale Windows-accounts.

De software maakt de configuratie voor maximaal tien verschillende gebruikers mogelijk en biedt een eenvoudige hersteloptie bij verlies van de fysieke sleutels. De Yubico Login for Windows-software werkt niet in combinatie met accounts die beheerd worden via Azure Active Directory of Active Directory. Die moeten op een andere manier aan de YubiKeys gekoppeld worden. Ook functioneert de tool niet met inloggen via online Microsoft-accounts.

De Windows Hello-app van Yubico is inmiddels uit de Windows Store verwijderd. Deze app maakte unlocken, maar niet inloggen, van Windows-systemen met een YubiKey 4-sleutel mogelijk maar werkte niet met YubiKey 5-modellen.

Door Olaf van Miltenburg

Nieuwscoördinator

Feedback • 18-10-2019 13:50 53

18-10-2019 • 13:50

53

Lees meer

Yubico YubiKey

geen prijs bekend

3 van 5 sterren
Yubico YubiKey 5 NFC

vanaf € 58,08

4 van 5 sterren

Alles over dit product

Beveiligingssleutels onder de loep

27 jun 2020

Beveiligingssleutels onder de loep

Wat kun je met deze fysieke securitykeys?

228
Inloggen op Mijn Overheid kan voortaan alleen nog met multifactorauthenticatie
Inloggen op Mijn Overheid kan voortaan alleen nog met multifactorauthenticatie Nieuws van 31 januari 2023
Google introduceert nieuwe Titan-beveiligingssleutel met USB-C en NFC
Google introduceert nieuwe Titan-beveiligingssleutel met USB-C en NFC Nieuws van 9 augustus 2021
Yubico toont USB-C-variant van YubiKey Bio met vingerafdrukscanner
Yubico toont USB-C-variant van YubiKey Bio met vingerafdrukscanner Nieuws van 11 november 2020
YubiKey 5Ci-sleutel bevat zowel usb-c- als Lightning-connector
YubiKey 5Ci-sleutel bevat zowel usb-c- als Lightning-connector Nieuws van 20 augustus 2019
Microsoft maakt inloggen bij Microsoft Account met Hello of FIDO2-key mogelijk
Microsoft maakt inloggen bij Microsoft Account met Hello of FIDO2-key mogelijk Nieuws van 20 november 2018
Yubico werkt aan U2F-beveiligingssticks met bluetooth
Yubico werkt aan U2F-beveiligingssticks met bluetooth Nieuws van 16 juni 2016
Meer producten en artikelen
Beveiliging en antivirus Overige randapparatuur Yubico Authenticatie

Reacties (53)

-Moderatie-faq
53
53
39
1
0
2
Wijzig sortering
miicker 18 oktober 2019 14:02
In de praktijk werkt dit gewoon niet. Dit zie ik ook bij mij op het werk, iedereen heeft een token. Waar bewaar je het token? Juist in de tas bij je laptop, dat maakt het dus geen steek veiliger dan inloggen zonder token.
GekkePrutser
@miicker18 oktober 2019 14:09
Niet echt. Het token is beveiligd met een pincode. Waarbij de private key na 3 pogingen gewist wordt. Het hangt wel af van welke functie van de key je precies gebruikt maar hij ondersteunt 2 verschillende smartcard modes die zo werken. PIV is hierbij het meest gebruikt op Windows.

Het is niet veiliger dan de ingebouwde TPM die ook een gelimiteerd aantal pogingen forceert. Het is wel veiliger dan een gewoon paswoord dat je naar believen kan brute-forcen.

De kracht is ook met name remote inloggen (remote desktop enzo), waarbij je een crypto handshake doet en helemaal geen zwakte van een paswoord meer hebt.

Ik heb hem zelf altijd aan mijn sleutelring trouwens, het ding is super licht en vrijwel onverwoestbaar.

[Reactie gewijzigd door GekkePrutser op 22 juli 2024 13:49]

cdwave @GekkePrutser18 oktober 2019 15:28
... Waarbij de private key na 3 pogingen gewist wordt...
Dat lijkt me geen fijne functie - elke lolbroek kan dan je key slopen?
FireDrunk @cdwave18 oktober 2019 17:50
Nee, je moet hem dan opnieuw intializeren. Inloggen kan nog met je backup codes.

Inloggen met je een token zou een extra methode moeten zijn, en niet je password moeten vervangen.

Something you know, something you have, something you are.
GekkePrutser
@FireDrunk18 oktober 2019 18:33
Bij gebruik als smartcard wordt je paswoord wel degelijk helemaal vervangen. Je kan meerdere smartcards aanmelden als backup. Ik gebruik zelf een Yubikey als primaire en goedkopere plastic kaarten als backup (een soort pinpassen maar dan voor de computer)

Er is nog steeds wel een "something you know" - dat is de pincode van de kaart/key zelf en wordt door die kaart gevalideerd. Doordat het aantal pogingen hier hardwarematig beperkt is, kan je een veel simpelere combinatie gebruiken.

In de praktijk is dit veel prettiger dan paswoorden. Als het je raar in de oren klinkt: Je gebruikt exact dezelfde techniek al vele jaren op je pinpas met chip en je SIM kaart :)

Ik kan zelf niet wachten tot ik een smartcard voor alles kan gebruiken. Geen gedoe meer met steeds lange en/of ingewikkelde wachtwoorden intikken en het is nog een stuk veiliger ook.

[Reactie gewijzigd door GekkePrutser op 22 juli 2024 13:49]

Gyzome @cdwave18 oktober 2019 18:56
Evenzeer zoals elke lolbroek je huissleutel kan pakken en in een vijver keilen.
Blokker_1999
@miicker18 oktober 2019 14:08
Euhm, gewoon aan de sleutelhanger?
miicker @Blokker_199918 oktober 2019 14:10
Dat lost het toch nog niet op? Ik doe tenminste meestal mijn sleutels ook gewoon in m'n tas.
The Zep Man
@miicker18 oktober 2019 14:14
Dat lost het toch nog niet op?
Ligt eraan. Ik hou ze in mijn broekzak, net als mijn portemonnee en smartphone. Tas gestolen? Geen probleem. Notebook is beveiligd. Ik kom wel thuis/naar 't werk..

Sleutels in tas gestolen? In de tas zit mogelijk meer spul dat identificeert waar je woont. Ga maar alle sloten vervangen.

YubiKey als sleutelhanger zou kunnen, omdat ik gewend ben altijd mijn sleutels in mijn broekzak te hebben. Die trek ik heus de computer wel uit als ik ergens heen ga.

[Reactie gewijzigd door The Zep Man op 22 juli 2024 13:49]

Bosmonster @The Zep Man18 oktober 2019 15:57
Ik denk dat niet veel mensen de hele dag met een sleutelbos in hun broekzak rondlopen. Lijkt mij in ieder geval erg oncomfortabel en ook onnodig. Ik heb mijn sleutels 2x per dag nodig om in en uit mijn huis te komen.
orvintax @Bosmonster18 oktober 2019 16:02
Ik heb zelf mijn sleutelbos al jaren de hele dag in mijn broekzak zitten en voel het niet eens dat ze erin zitten.
N97 @orvintax18 oktober 2019 17:13
Ben je blij om mij te zien of is dat je sleutelbos?
Althans mijn sleutelbos zou zulke opmerkingen opleveren. Weet niet hoeveel sleutels jij er aan heb hangen?
orvintax @N9718 oktober 2019 20:33
Heb er 5 aan hangen :)
Terrestrial @orvintax18 oktober 2019 17:19
Ik ook inderdaad, ik ga mijn sleutelbos niet constant in mijn computer steken en die computer lock ik wel 20x per dag. Dus effectief wordt dat ding inderdaad bij de pc/laptop bewaard.
ejabberd @Bosmonster19 oktober 2019 07:32
Misschien moet je eens nadenken over welke sleutels wel en niet aan je hoofdsleutelbos moeten hangen. Ik vermoed dat weinigen 5 sleutels nodig hebben om hun voordeur te openen ;)
nightraven79 @ejabberd20 oktober 2019 01:53
Autosleutel, brievenbussleutel, huissleutel... en je hebt er al 3.
Als je zoals bij ons op het werk ook nog een locker/bureau met slot hebt en eventueel in een appartement woont waar voordeur- en appartementsleutel aparte sleutels zijn..
ejabberd @nightraven7920 oktober 2019 07:49
Voordeur, appartement, brievenbus, fietsenberging en tellerlokalen zijn 1 sleutel bij mij.

Fiets- en autosleutel bewaar ik appart want die heb ik toch nooit gelijktijdig nodig. Aan de autosleutel hangt ook nog de sleutel van mijn parkeerbeugel (heb ik ook niet nodig wanneer ik ga fietsen of wandelen). Voor de fiets gebruik ik overigens steeds de compacte reservesleutel ipv het inklapbare onding van AXA.

Voor mijn werk heb ik 1 sleutel en tijdelijk een sleutel van een brievenbus.

Tot slot heb ik nog een compacte flesopener aan mijn sleutelbos. :+

Binnenkort ook nog een Yubikey.
Maxxi @Blokker_199918 oktober 2019 14:38
Heb al bijna 10 jaar aan m'n bos. En die altijd bij me. Geen enkele zichtbare schade.
Hightree2k @Maxxi18 oktober 2019 16:16
*checkt sleutelbos*
Oh ja, idd, hij hangt er ook bij
telenut @miicker18 oktober 2019 14:14
Wij bekijken nu de mogelijkheid om met NFC aan te loggen. Imprivata kwam onlangs een demo geven. Maar die hun systeem is extreem onveilig heb ik gemerkt... Gebruiken de UID van een NFC tag om in te loggen :s
Maar badge als token zou hier toch nog een betere optie moeten zijn, want die hebben ze altijd bij zich. En niet bij de laptop...
Nico Klus @miicker18 oktober 2019 14:16
Bij mij op het werk hebben de mensen met een token die meestal aan hun toegangspas of sleutelbos. Niemand stopt hem bij zijn laptop in de tas. Zelf heb ik hem in de koker van mijn beeldschermbril.
Nog een beetje opvoeden? ;-)
jerheij @miicker18 oktober 2019 14:27
Ik heb mijn Yubikey altijd in mijn portemonnee (zo'n pasjes formaat model) zitten. Omdat deze zo plat is zit deze niet in de weg. Daarnaast heb ik mijn portemonnee altijd in mijn zak zitten, nooit in mijn tas.

Mijn werk laptop heb ik beveiligd met encryptie en Yubikey als geldig "wachtwoord". Daarnaast heb ik verschillende cloud servers beveiligd met een SSH key + yubikey/google authenticator en NOOIT een wachtwoord.
!GN!T!ON @miicker18 oktober 2019 14:59
Heb mijn Yubikey al een paar jaar aan mijn sleutelbos zitten en die heb ik eigenlijk altijd in mijn broekzak zitten, stop die nooit in mijn tas.
UPPERKEES @miicker18 oktober 2019 16:14
Het werkt dus prima, alleen werken de mensen niet ;) Ik het er zelf geen problemen mee.
LCP 18 oktober 2019 13:54
De Yubico Login for Windows-software werkt niet in combinatie met accounts die beheerd worden via Azure Active Directory of Active Directory. Die moeten op een andere manier aan de YubiKeys gekoppeld worden. Ook functioneert de tool niet met inloggen via online Microsoft-accounts.
Sorry for my ignorance, maar wat is de toegevoegde waarde dan van zo'n Yubico YubiKey? :?
Maxxi @LCP18 oktober 2019 13:57
Verbaasd me wel, ding kan ook een vast password afgeven. Daarmee geen 2 factor maar hij typet een niet te onthouden variant in.
GekkePrutser
@Maxxi18 oktober 2019 14:12
Je kan het instellen, een vast paswoord of een steeds veranderende reeks. Wel Sequence-based, niet time-based want er zit geen klok in. Daarmee kan je als je hem onderschept een aantal codes exporteren die je kan gebruiken tot de eigenaar de volgende code gebruikt.

Maar in de praktijk zijn die toetsenbord methodes nauwelijks meer interessant. FIDO2 is de toekomst.
tzunix @Maxxi18 oktober 2019 14:13
Kan maar hoeft dus niet. Afhankelijk dus van hoe je hem gebruikt. Genereert ook One Time passwords dus, en is dan wel degelijk een goede extra factor.
Ventieldopje @Maxxi18 oktober 2019 18:58
Waarom is dit geen 2 factor? In plaats van een heel lang en moeilijk wachtwoord in een wachtwoord in een wachtwoord manager splits je je wachtwoord in twee delen.
Maxxi @Ventieldopje18 oktober 2019 19:06
Leuk bedacht maar dat is mijn inziens niet wat we als 2 factor zien.
Ventieldopje @Maxxi19 oktober 2019 01:41
Hoezo, je hebt dan toch alsnog knowledge en posession? ;)

Het zelfde wordt ook bij defensie gedaan maar dan met twee (of meer) personen die een deel van de oplossing weten of in fysieke vorm twee sleutels. Nu heb je geen zin om een echte tweede persoon telkens te vragen maar dat doet de key dus voor je.

https://en.m.wikipedia.org/wiki/Two-man_rule
LittleKiller @LCP18 oktober 2019 13:54
twee staps authenticatie.
GekkePrutser
@LittleKiller18 oktober 2019 14:13
Niet alleen dat. Een Yubikey kan ook als een echte smartcard werken, en volledige authenticatie doen op basis van een pincode *met beperkt aantal pogingen) en een private key die de yubikey niet kan verlaten. Ook kan je hem zo instellen dat je hem aan moet raken voor elk gebruik ("Touch to sign"). Hiermee kan hij niet "uitgemolken" worden terwijl hij unlocked in je computer zit zoals met een smartcard wel kan.

Ik gebruik ze heel veel, zowel prive als voor het werk.
Chinco @GekkePrutser18 oktober 2019 22:55
Het ding steekt bovenuit mijn (gekantelde) monitor uit de interne hub. Hoe is dat veilig? Iedereen kan het ding aanraken.

Wachtwoord en deze sleutel werkt alleen als je of geen WW hebt of geen fysieke toegang. Mwah, wellicht iets veiliger. Voor een webapplicatie is het heel zinvol, maar voor een lokaal account wat minder, volgens mij.
JAVE @Chinco18 oktober 2019 23:25
Het is 1 van de 3 dingen die je voor authenticatie kan gebruiken. (something you know, something you have, something you are). Het voordeel ten opzichte van een vingerafdruk is dat je deze wel kan vervangen als hij gecompromitteerd is :+

Net zo goed als dat je je huissleutels niet ergens laat slingeren, moet je zo'n key ook niet kwijtraken/laten slingeren.

Het aanraken is meer een bewijs dat je de fysieke key bij je hebt, en hem dus niet zit te spoofen (als dat al zou kunnen).
Ventieldopje @JAVE19 oktober 2019 01:43
Het is er voor om brute-force aanvallen te voorkomen en nog meer om ongewenste toegang tot de key te voorkomen, bijvoorbeeld door malware, zonder dat je het door hebt.

De touch mogelijkheid is ook te gebruiken (optioneel) bij GPG en TOTP. Bij TOTP met de Yubikey authenticator app kun je dat per code aangeven. Dan genereert hij pas een code op het moment dat je hem aanraakt. :)

[Reactie gewijzigd door Ventieldopje op 22 juli 2024 13:49]

GekkePrutser
@LCP18 oktober 2019 14:10
Die app werkt niet met de andere methoden, maar een Yubikey kan alle te gebruiken methoden tegelijk hebben.

Dus: Fido2 voor inloggen op microsoft accounts. Yubico Login voor je lokale login. PIV voor AD/Remote Desktop login. OpenPGP voor GPG encryptie. Enz.. Allemaal op 1 key!
Maxxi @GekkePrutser18 oktober 2019 14:13
Kun je een 2e key met exact dezelfde waarden configureren? Als bsckup
PageFault @Maxxi18 oktober 2019 14:32
Ja, dat wordt ook aangeraden, of the authenticator app als backup.
Ventieldopje @Maxxi18 oktober 2019 18:56
Jep, met PIV is dit een eitje. Met GPG kan het ook maar kost iets meer kennis en moeite ;) Als je het eenmaal weet ook een eitje.
segil @LCP18 oktober 2019 14:38
My thoughts exactly. Niet echt bruikbaar in een zakelijke omgeving.
hankee 18 oktober 2019 14:06
In een werk omgeving kan dit handig zijn lijkt me, elke computer beveiligd met een sterke login maar niemand hoeft moeilijke wachtwoorden te onthouden. Je gebruikt altijd je Key om toegang te krijgen.

Voor thuisgebruik zie ik het nut nog niet helemaal. Ik vind een (sterk) wachtwoord o.a. belangrijk voor het geval mijn laptop gestolen wordt, dan heeft niemand toegang. Alleen vrees ik dat ik de Key vaak bij/ in mijn computer laat, omdat ik per dag soms wel tiental(len) keren vergrendel/ ontgrendel. Als ik dat telkens de Key uit mijn broekzak/tas moet halen word ik op ten duur vast en zeker lui. Iemand een idee hoe je dit thuis in gebruik kan nemen?

Ik gebruik de yubikey al jaren als twee staps authenticatie en ben er erg blij mee. Ik volg ook hun ontwikkelingen (samen met MS) maar voor de particulier zie ik nog niet echt een oplossing voor een 'wachtwoordloos bestaan' (waar ik wel van droom).

[Reactie gewijzigd door hankee op 22 juli 2024 13:49]

tzunix @hankee18 oktober 2019 14:14
Dit is bij alle beveiligingsmaatregelen het dilemma. Veiligheid versus 'overlast'. Gelukkig mag je thuis zelf kiezen hoe die balans ligt :).
StGermain @hankee18 oktober 2019 17:51
Is je computer geëncrypteerd? Zoniet maakt het weinig uit hoe sterk je paswoord is wanneer hij gestolen wordt…
Mel33 18 oktober 2019 14:10
Toch apart dat we van sleutels in een slot, naar wachtwoorden gaan en dan naar biometrie en dan weer bij een fysieke sleutel uitkomen.
RobertMe
@Mel3318 oktober 2019 16:43
Het voordeel van deze sleutels is dat ze iets beter zijn beveiligd dan een ouderwetse sleutel. Daarnaast sluit het een het ander niet uit. Je hebt ook security keys met een ingebouwde vingerafdruk scanner. Dan moet dus wel 'de juiste vinger' erbij.

Zelf heb ik nu een week een YubiKey 5 NFC in gebruik en vindt het nu al handig/fijn. De OTP codes met SMS heb ik nooit gebruikt, ik wil mijn mobiele telefoonnummer niet afstaan aan allemaal online diensten alhoewel Google het toch wel weet in combinatie met een Android telefoon. Maar GitHub bv weer niet. Nu kan ik FIDO2/U2F gebruiken en zijn die OTP codes niet meer nodig. YubiKey insteken, even op knopje 'drukken' en klaar. Of op telefoon dan met NFC.

YubiKey vervolgens dan ook aan sleutelbos hangen die ik altijd in broekzak heb en klaar.
RobinMM 18 oktober 2019 14:20
Met andere woorden, je kan het wachtwoord 1234 gebruiken en iedereen mag het wachtwoord weten maar zonder dat deze sleutel in je pc zit kan je niet inloggen.
Bor Coördinator Frontpage Admins / FP Powermod
@RobinMM18 oktober 2019 17:16
Dan doe je in feite eigenlijk geen multi factor meer maar beperk je je in de praktijk tot 1 factor, namelijk het bezit van de yubikey.
Anoniem: 428562 18 oktober 2019 14:21
Yubikey teardown

http://hexview.com/~scl/neo/
Ventieldopje @Anoniem: 42856218 oktober 2019 18:52
Moet je wel linken naar de meest recente Yubikey 5 ;) http://hexview.com/~scl/neo5/

Ben benieuwd of ze dit ook gaan doen voor de USB-C varianten en de nieuwe 5Ci.

[Reactie gewijzigd door Ventieldopje op 22 juli 2024 13:49]

Bor Coördinator Frontpage Admins / FP Powermod
18 oktober 2019 17:17
Is multi factor nu eindelijk goed mogelijk met de Yubikey ism Windows 10? De vorige tool verving het inloggen door het indrukken van de button op de Yubikey en vereiste geen wachtwoord meer. Feitelijk heb je dan geen multi factor meer maar een andere enkele factor.
Anoniem: 150119 18 oktober 2019 21:29
Een MFA met smartphone app lijkt me imho toch ietsje handiger in gebruik (e.g. WatchGuard Auhpoint)
memphis 18 oktober 2019 18:59
Werkt altijd
https://www.instructables...uino-Password-Keeper-PPK/

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq