Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

Inloggen op Windows met een YubiKey werkt nu ook op lokale accounts

Yubico heeft zijn Windows-applicatie een update gegeven waardoor de hardwarematige YubiKey-sleutels nu ook voor inloggen op lokale Windows-accounts zijn te gebruiken. De applicatie werkt in combinatie met Windows 7, Windows 8.1 en Windows 10.

De Yubico Login for Windows-applicatie vervangt de Windows Logon Tool. Yubico heeft de software zes maanden getest. Gebruikers kunnen na installatie en configuratie een YubiKey gebruiken voor multi-factor authentication om in te loggen op lokale Windows-accounts.

De software maakt de configuratie voor maximaal tien verschillende gebruikers mogelijk en biedt een eenvoudige hersteloptie bij verlies van de fysieke sleutels. De Yubico Login for Windows-software werkt niet in combinatie met accounts die beheerd worden via Azure Active Directory of Active Directory. Die moeten op een andere manier aan de YubiKeys gekoppeld worden. Ook functioneert de tool niet met inloggen via online Microsoft-accounts.

De Windows Hello-app van Yubico is inmiddels uit de Windows Store verwijderd. Deze app maakte unlocken, maar niet inloggen, van Windows-systemen met een YubiKey 4-sleutel mogelijk maar werkte niet met YubiKey 5-modellen.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Olaf van Miltenburg

Nieuwscoördinator

18-10-2019 • 13:50

53 Linkedin

Reacties (53)

Wijzig sortering
In de praktijk werkt dit gewoon niet. Dit zie ik ook bij mij op het werk, iedereen heeft een token. Waar bewaar je het token? Juist in de tas bij je laptop, dat maakt het dus geen steek veiliger dan inloggen zonder token.
Niet echt. Het token is beveiligd met een pincode. Waarbij de private key na 3 pogingen gewist wordt. Het hangt wel af van welke functie van de key je precies gebruikt maar hij ondersteunt 2 verschillende smartcard modes die zo werken. PIV is hierbij het meest gebruikt op Windows.

Het is niet veiliger dan de ingebouwde TPM die ook een gelimiteerd aantal pogingen forceert. Het is wel veiliger dan een gewoon paswoord dat je naar believen kan brute-forcen.

De kracht is ook met name remote inloggen (remote desktop enzo), waarbij je een crypto handshake doet en helemaal geen zwakte van een paswoord meer hebt.

Ik heb hem zelf altijd aan mijn sleutelring trouwens, het ding is super licht en vrijwel onverwoestbaar.

[Reactie gewijzigd door GekkePrutser op 18 oktober 2019 14:14]

... Waarbij de private key na 3 pogingen gewist wordt...
Dat lijkt me geen fijne functie - elke lolbroek kan dan je key slopen?
Nee, je moet hem dan opnieuw intializeren. Inloggen kan nog met je backup codes.

Inloggen met je een token zou een extra methode moeten zijn, en niet je password moeten vervangen.

Something you know, something you have, something you are.
Bij gebruik als smartcard wordt je paswoord wel degelijk helemaal vervangen. Je kan meerdere smartcards aanmelden als backup. Ik gebruik zelf een Yubikey als primaire en goedkopere plastic kaarten als backup (een soort pinpassen maar dan voor de computer)

Er is nog steeds wel een "something you know" - dat is de pincode van de kaart/key zelf en wordt door die kaart gevalideerd. Doordat het aantal pogingen hier hardwarematig beperkt is, kan je een veel simpelere combinatie gebruiken.

In de praktijk is dit veel prettiger dan paswoorden. Als het je raar in de oren klinkt: Je gebruikt exact dezelfde techniek al vele jaren op je pinpas met chip en je SIM kaart :)

Ik kan zelf niet wachten tot ik een smartcard voor alles kan gebruiken. Geen gedoe meer met steeds lange en/of ingewikkelde wachtwoorden intikken en het is nog een stuk veiliger ook.

[Reactie gewijzigd door GekkePrutser op 18 oktober 2019 18:34]

Evenzeer zoals elke lolbroek je huissleutel kan pakken en in een vijver keilen.
Dat lost het toch nog niet op? Ik doe tenminste meestal mijn sleutels ook gewoon in m'n tas.
Dat lost het toch nog niet op?
Ligt eraan. Ik hou ze in mijn broekzak, net als mijn portemonnee en smartphone. Tas gestolen? Geen probleem. Notebook is beveiligd. Ik kom wel thuis/naar 't werk..

Sleutels in tas gestolen? In de tas zit mogelijk meer spul dat identificeert waar je woont. Ga maar alle sloten vervangen.

YubiKey als sleutelhanger zou kunnen, omdat ik gewend ben altijd mijn sleutels in mijn broekzak te hebben. Die trek ik heus de computer wel uit als ik ergens heen ga.

[Reactie gewijzigd door The Zep Man op 18 oktober 2019 14:17]

Ik denk dat niet veel mensen de hele dag met een sleutelbos in hun broekzak rondlopen. Lijkt mij in ieder geval erg oncomfortabel en ook onnodig. Ik heb mijn sleutels 2x per dag nodig om in en uit mijn huis te komen.
Ik heb zelf mijn sleutelbos al jaren de hele dag in mijn broekzak zitten en voel het niet eens dat ze erin zitten.
Ben je blij om mij te zien of is dat je sleutelbos?
Althans mijn sleutelbos zou zulke opmerkingen opleveren. Weet niet hoeveel sleutels jij er aan heb hangen?
Heb er 5 aan hangen :)
Ik ook inderdaad, ik ga mijn sleutelbos niet constant in mijn computer steken en die computer lock ik wel 20x per dag. Dus effectief wordt dat ding inderdaad bij de pc/laptop bewaard.
Misschien moet je eens nadenken over welke sleutels wel en niet aan je hoofdsleutelbos moeten hangen. Ik vermoed dat weinigen 5 sleutels nodig hebben om hun voordeur te openen ;)
Autosleutel, brievenbussleutel, huissleutel... en je hebt er al 3.
Als je zoals bij ons op het werk ook nog een locker/bureau met slot hebt en eventueel in een appartement woont waar voordeur- en appartementsleutel aparte sleutels zijn..
Voordeur, appartement, brievenbus, fietsenberging en tellerlokalen zijn 1 sleutel bij mij.

Fiets- en autosleutel bewaar ik appart want die heb ik toch nooit gelijktijdig nodig. Aan de autosleutel hangt ook nog de sleutel van mijn parkeerbeugel (heb ik ook niet nodig wanneer ik ga fietsen of wandelen). Voor de fiets gebruik ik overigens steeds de compacte reservesleutel ipv het inklapbare onding van AXA.

Voor mijn werk heb ik 1 sleutel en tijdelijk een sleutel van een brievenbus.

Tot slot heb ik nog een compacte flesopener aan mijn sleutelbos. :+

Binnenkort ook nog een Yubikey.
Heb al bijna 10 jaar aan m'n bos. En die altijd bij me. Geen enkele zichtbare schade.
*checkt sleutelbos*
Oh ja, idd, hij hangt er ook bij
Wij bekijken nu de mogelijkheid om met NFC aan te loggen. Imprivata kwam onlangs een demo geven. Maar die hun systeem is extreem onveilig heb ik gemerkt... Gebruiken de UID van een NFC tag om in te loggen :s
Maar badge als token zou hier toch nog een betere optie moeten zijn, want die hebben ze altijd bij zich. En niet bij de laptop...
Bij mij op het werk hebben de mensen met een token die meestal aan hun toegangspas of sleutelbos. Niemand stopt hem bij zijn laptop in de tas. Zelf heb ik hem in de koker van mijn beeldschermbril.
Nog een beetje opvoeden? ;-)
Ik heb mijn Yubikey altijd in mijn portemonnee (zo'n pasjes formaat model) zitten. Omdat deze zo plat is zit deze niet in de weg. Daarnaast heb ik mijn portemonnee altijd in mijn zak zitten, nooit in mijn tas.

Mijn werk laptop heb ik beveiligd met encryptie en Yubikey als geldig "wachtwoord". Daarnaast heb ik verschillende cloud servers beveiligd met een SSH key + yubikey/google authenticator en NOOIT een wachtwoord.
Heb mijn Yubikey al een paar jaar aan mijn sleutelbos zitten en die heb ik eigenlijk altijd in mijn broekzak zitten, stop die nooit in mijn tas.
Het werkt dus prima, alleen werken de mensen niet ;) Ik het er zelf geen problemen mee.
De Yubico Login for Windows-software werkt niet in combinatie met accounts die beheerd worden via Azure Active Directory of Active Directory. Die moeten op een andere manier aan de YubiKeys gekoppeld worden. Ook functioneert de tool niet met inloggen via online Microsoft-accounts.
Sorry for my ignorance, maar wat is de toegevoegde waarde dan van zo'n Yubico YubiKey? :?
Verbaasd me wel, ding kan ook een vast password afgeven. Daarmee geen 2 factor maar hij typet een niet te onthouden variant in.
Je kan het instellen, een vast paswoord of een steeds veranderende reeks. Wel Sequence-based, niet time-based want er zit geen klok in. Daarmee kan je als je hem onderschept een aantal codes exporteren die je kan gebruiken tot de eigenaar de volgende code gebruikt.

Maar in de praktijk zijn die toetsenbord methodes nauwelijks meer interessant. FIDO2 is de toekomst.
Kan maar hoeft dus niet. Afhankelijk dus van hoe je hem gebruikt. Genereert ook One Time passwords dus, en is dan wel degelijk een goede extra factor.
Waarom is dit geen 2 factor? In plaats van een heel lang en moeilijk wachtwoord in een wachtwoord in een wachtwoord manager splits je je wachtwoord in twee delen.
Leuk bedacht maar dat is mijn inziens niet wat we als 2 factor zien.
Hoezo, je hebt dan toch alsnog knowledge en posession? ;)

Het zelfde wordt ook bij defensie gedaan maar dan met twee (of meer) personen die een deel van de oplossing weten of in fysieke vorm twee sleutels. Nu heb je geen zin om een echte tweede persoon telkens te vragen maar dat doet de key dus voor je.

https://en.m.wikipedia.org/wiki/Two-man_rule
twee staps authenticatie.
Niet alleen dat. Een Yubikey kan ook als een echte smartcard werken, en volledige authenticatie doen op basis van een pincode *met beperkt aantal pogingen) en een private key die de yubikey niet kan verlaten. Ook kan je hem zo instellen dat je hem aan moet raken voor elk gebruik ("Touch to sign"). Hiermee kan hij niet "uitgemolken" worden terwijl hij unlocked in je computer zit zoals met een smartcard wel kan.

Ik gebruik ze heel veel, zowel prive als voor het werk.
Het ding steekt bovenuit mijn (gekantelde) monitor uit de interne hub. Hoe is dat veilig? Iedereen kan het ding aanraken.

Wachtwoord en deze sleutel werkt alleen als je of geen WW hebt of geen fysieke toegang. Mwah, wellicht iets veiliger. Voor een webapplicatie is het heel zinvol, maar voor een lokaal account wat minder, volgens mij.
Het is 1 van de 3 dingen die je voor authenticatie kan gebruiken. (something you know, something you have, something you are). Het voordeel ten opzichte van een vingerafdruk is dat je deze wel kan vervangen als hij gecompromitteerd is :+

Net zo goed als dat je je huissleutels niet ergens laat slingeren, moet je zo'n key ook niet kwijtraken/laten slingeren.

Het aanraken is meer een bewijs dat je de fysieke key bij je hebt, en hem dus niet zit te spoofen (als dat al zou kunnen).
Het is er voor om brute-force aanvallen te voorkomen en nog meer om ongewenste toegang tot de key te voorkomen, bijvoorbeeld door malware, zonder dat je het door hebt.

De touch mogelijkheid is ook te gebruiken (optioneel) bij GPG en TOTP. Bij TOTP met de Yubikey authenticator app kun je dat per code aangeven. Dan genereert hij pas een code op het moment dat je hem aanraakt. :)

[Reactie gewijzigd door Ventieldopje op 19 oktober 2019 01:46]

Die app werkt niet met de andere methoden, maar een Yubikey kan alle te gebruiken methoden tegelijk hebben.

Dus: Fido2 voor inloggen op microsoft accounts. Yubico Login voor je lokale login. PIV voor AD/Remote Desktop login. OpenPGP voor GPG encryptie. Enz.. Allemaal op 1 key!
Kun je een 2e key met exact dezelfde waarden configureren? Als bsckup
Ja, dat wordt ook aangeraden, of the authenticator app als backup.
Jep, met PIV is dit een eitje. Met GPG kan het ook maar kost iets meer kennis en moeite ;) Als je het eenmaal weet ook een eitje.
My thoughts exactly. Niet echt bruikbaar in een zakelijke omgeving.
In een werk omgeving kan dit handig zijn lijkt me, elke computer beveiligd met een sterke login maar niemand hoeft moeilijke wachtwoorden te onthouden. Je gebruikt altijd je Key om toegang te krijgen.

Voor thuisgebruik zie ik het nut nog niet helemaal. Ik vind een (sterk) wachtwoord o.a. belangrijk voor het geval mijn laptop gestolen wordt, dan heeft niemand toegang. Alleen vrees ik dat ik de Key vaak bij/ in mijn computer laat, omdat ik per dag soms wel tiental(len) keren vergrendel/ ontgrendel. Als ik dat telkens de Key uit mijn broekzak/tas moet halen word ik op ten duur vast en zeker lui. Iemand een idee hoe je dit thuis in gebruik kan nemen?

Ik gebruik de yubikey al jaren als twee staps authenticatie en ben er erg blij mee. Ik volg ook hun ontwikkelingen (samen met MS) maar voor de particulier zie ik nog niet echt een oplossing voor een 'wachtwoordloos bestaan' (waar ik wel van droom).

[Reactie gewijzigd door hankee op 18 oktober 2019 14:08]

Dit is bij alle beveiligingsmaatregelen het dilemma. Veiligheid versus 'overlast'. Gelukkig mag je thuis zelf kiezen hoe die balans ligt :).
Is je computer geëncrypteerd? Zoniet maakt het weinig uit hoe sterk je paswoord is wanneer hij gestolen wordt…
Toch apart dat we van sleutels in een slot, naar wachtwoorden gaan en dan naar biometrie en dan weer bij een fysieke sleutel uitkomen.
Het voordeel van deze sleutels is dat ze iets beter zijn beveiligd dan een ouderwetse sleutel. Daarnaast sluit het een het ander niet uit. Je hebt ook security keys met een ingebouwde vingerafdruk scanner. Dan moet dus wel 'de juiste vinger' erbij.

Zelf heb ik nu een week een YubiKey 5 NFC in gebruik en vindt het nu al handig/fijn. De OTP codes met SMS heb ik nooit gebruikt, ik wil mijn mobiele telefoonnummer niet afstaan aan allemaal online diensten alhoewel Google het toch wel weet in combinatie met een Android telefoon. Maar GitHub bv weer niet. Nu kan ik FIDO2/U2F gebruiken en zijn die OTP codes niet meer nodig. YubiKey insteken, even op knopje 'drukken' en klaar. Of op telefoon dan met NFC.

YubiKey vervolgens dan ook aan sleutelbos hangen die ik altijd in broekzak heb en klaar.
Met andere woorden, je kan het wachtwoord 1234 gebruiken en iedereen mag het wachtwoord weten maar zonder dat deze sleutel in je pc zit kan je niet inloggen.
Dan doe je in feite eigenlijk geen multi factor meer maar beperk je je in de praktijk tot 1 factor, namelijk het bezit van de yubikey.
Moet je wel linken naar de meest recente Yubikey 5 ;) http://hexview.com/~scl/neo5/

Ben benieuwd of ze dit ook gaan doen voor de USB-C varianten en de nieuwe 5Ci.

[Reactie gewijzigd door Ventieldopje op 18 oktober 2019 18:53]

Is multi factor nu eindelijk goed mogelijk met de Yubikey ism Windows 10? De vorige tool verving het inloggen door het indrukken van de button op de Yubikey en vereiste geen wachtwoord meer. Feitelijk heb je dan geen multi factor meer maar een andere enkele factor.
Een MFA met smartphone app lijkt me imho toch ietsje handiger in gebruik (e.g. WatchGuard Auhpoint)

Op dit item kan niet meer gereageerd worden.


Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Microsoft Xbox Series X LG CX Google Pixel 5a 5G Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True