Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

Yubico brengt YubiKey Bio met vingerafdrukauthenticatie uit

Yubico brengt een YubiKey uit met daarop een vingerafdrukscanner. Gebruikers van de YubiKey Bio kunnen via de fysieke knop op de sleutel alleen ergens inloggen nadat ze eerst hun vinger scannen. De sleutel werkt met usb-a en ondersteunt FIDO2 en WebAuthn.

Yubico presenteerde de nieuwe sleutel tijdens Microsoft Ignite. De YubiKey Bio werkt onder andere met Windows 10 en Azure Active Directory, zegt het bedrijf. Veel technische details over de YubiKey Bio geven de makers niet. Op productafbeeldingen is te zien hoe de sleutel in plaats van de standaardknop in het midden een vingerafdrukscanner bevat. Yubico zegt dat de biometrische data in het beveiligde gedeelte van de sleutel wordt opgeslagen.

De sleutel zou net als de meeste andere YubiKeys ondersteuning hebben voor webstandaarden FIDO2 en WebAuthn. Of er ook nfc in de sleutel zit, is niet bekend. In ieder geval heeft de Bio alleen een standaard-usb-aansluiting, en geen usb-c- of Lightning-aansluiting voor gebruik met smartphones. Over de prijs of een releasedatum is nog niets bekend.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Tijs Hofmans

Redacteur privacy & security

05-11-2019 • 07:36

51 Linkedin

Submitter: IThom

Reacties (51)

Wijzig sortering
Geen idee waar zo'n USB key of het oppervlak van de scanner van gemaakt is maar zijn er serieus mensen die dit aan hun sleutelbos doen?

Alles wat ik aan mijn sleutelbos doe ziet er na een paar weken uit alsof het zwaar mishandeld is. Een scanner vol krassen lijkt me niet heel bevorderlijk voor gebruik :?
Ik heb deze Yubikey toch al minstens een jaar of 8 aan m'n sleutelbos hangen en zit er nog prima uit en werkt nog perfect. Natuurlijk is een vingerafdrukscanner meer gevoelig voor krassen, maar ik gok dat ze dit wel opgelost hebben bij Yubico.
Heb tot nu toe twee yubikeys aan mijn sleutelbos gehad, de eerste ligt nu ergens in de kast (werkt nog steeds) en de tweede werkt ook nog prima. Het zijn robuuste dingetjes :D
Waarom 2 en waarom “gehad”? Toch geen succes?

Ik vind zo’n ding wel interessant maar nog geen idee of het voor mijn gebruik interessant is. Gemixt Apple en Windows en veel verschillende apps, zowel voor werk als privé.
Ik had eerst de Yubikey Neo waarop je keys kon maken van 2048bit. Later ben ik over gegaan naar de Yubikey 5 omdat die ondersteuning bood voor 4096bit. De tweede heb ik overigens nog steeds in gebruik.

[Reactie gewijzigd door Archcry op 5 november 2019 08:26]

Ja technisch snap ik 't ... maar ... ik vraag me af of ik het 'nodig' heb.

Zal eens met de baas gaan overleggen. Hoofdzakelijk zou ik zo'n ding zakelijk gebruiken op m'n Windows laptop dénk ik, hoewel we ook MFA hebben... privé zou ik het handig vinden maar aangezien ik niet héél veel tijd op m'n Macbook zit en ook aardig wat tijd op m'n iPhone / iPad besteed vraag ik me oprecht af of het rendabel is.

Enige wat wel fijn zou zijn is dat ik m'n privé-Keepassbestand dan veiliger kan bewaren. Hoewel het delen daarvan met bijv. m'n vrouw wel weer onhandig is omdat ik nog geen goeie Keepass client heb die zowel op iPhone als macOS makkelijk deelt via iCloud Drive.
De neo had ook nog wel wat andere tekortkomingen in mijn opinie. Ik moest voor het signen van iets bijvoorbeeld elke keer mijn wachtwoord invullen en de yubikey 5 biedt ook de mogelijkheid om de key zo in te stellen dat je hem een keer moet "tappen" voordat hij iets doet (om gebruik op de achtergrond tegen te gaan). Deze features hebben mij ertoe gezet de nieuwe te halen.
Ik gebruik mijn Neo precies zoals jij je 5 gebruikt. Bedoel je te zeggen dat indien je de 5 "uitschakeld" je na het inschakelen niet de unlock PIN hoeft in te voeren?
Ik moest elke keer als een commit voor git ging signen mijn wachtwoord opnieuw intypen. Zelfs wanneer ik de key netjes in mijn PC liet zitten. Dit hoeft bij de yubikey 5 voor mij niet meer.
Moet je een pincode ingeven op die pc/cloudservices elke keer je de yubikey 5 gebruikt?
Nee, ik had het over de neo ;)

[Reactie gewijzigd door Archcry op 6 november 2019 06:53]

Omdat bedrijven dit wel eens verplicht stellen en als je als consultant ergens een ‘echt’ account krijgt je daar dus ook mee te maken hebt.
Als je het alleen al gebruikt om je aan te melden (kan voor zowel Windows als macOS) en voor het openen van je wachtwoordbeheerder kan het al aardig wat beveiliging toevoegen.

[Reactie gewijzigd door The Zep Man op 5 november 2019 09:36]

De mechanische robustheid van de eerste yubikey's laat wel wat te wensen over. Contrary to Yubico's claims, Yubikey appears to be quite destructible.
Het gaatje voor je sleutelhanger ring zit erg dicht bij de rand van de PCB, die daardoor makkelijk breekt, en precies daar loopt het spoor van de spoel. Zie deze link voor mooie plaatjes: http://www.hexview.com/~scl/neo/

[Reactie gewijzigd door AzertyNL op 5 november 2019 08:34]

Leuk artikel! Wel staat er onderaan bij update twee dat de gevonden problemen inmiddels verholpen zijn:

It looks like Yubico took criticism well and redesigned the case. The key ring hole is now more robust and Yubikey 5 uses chemical-resistant plastic. Good!
Ik heb er ook al enkele jaren eentje aan mijn sleutelbos - geen problemen mee :)
Die vingerafdrukscanner kan misschien wel wat fragieler zijn - dat valt nog af te wachten. Ik probeer er alvast eentje!
Wat doe jij in je broekzak dat het er na een paar weken uitziet alsof het zwaar mishandeld is?

Ik heb heb er één aan m'n sleutelbos hangen zodat ik zeker weet dat 'ie altijd in mijn broekzak zit en niet ergens op mijn bureau, in een laatje of ergens in mijn tas rondzwerft.
Wat denk je van de andere sleutels aan de sleutelbos? :)
Daar denk ik niet heel veel over, die hangen daar, net als mijn Yubikey.

Heb de Yubikey nu al bijna 4 jaar tussen hangen en buiten wat krasjes op het plastic werkt de Yubikey nog als op de eerste dag. Dus als je hem na een week al kunt slopen vind ik dat bijzonder knap :)
Ja, ik heb er een aan een sleutelbos en ik heb een hekel aan het ding. Het voegt gewoon een extra inlogstap toe, de integratie in Windows is waardeloos, de yubico software is waardeloos, ik heb een sleutelbos aan mijn laptop hangen en zonder het kreng kan ik helemaal niets.

Stuk gaan doen ze dan gelukkig weer niet.
Ben het met je eens dat de software en 'handleiding' waardeloos is. Kocht er een omdat ik nieuwsgierig was naar de jubelverhalen, maar het voelt op een bepaalde manier zelfs onveiliger (ik weet dat je er 2 moet hebben om echt zeker te stellen dat het goed gaat). Het resetten van de key was zo makkelijk in de Yubikey Manager dat ik er echt van schrok.
De website is een draak van een informatiebrij. Er blijkt een appimage te zijn (draai zelf Ubuntu), maar daar kom je niet eens in de buurt als je de normale weg zou volgen via de /start-pagina. Het is totaal gericht op mensen die veel ervaring hebben met dit soort zaken óf op mensen die precies moeten doen wat iemand zegt dat ie moet doen (bijvoorbeeld als je voor een bedrijf werkt).
Ook even op Windows bij iemand getest of het daar dan wel heel smooth gaat, maar dat bleek helaas niet zo.

Maar goed, ontopic: aardig dat je vingerafdrukscanners op dit soort apparaatjes kunt zetten. ;)
Ik heb een YubiKey 4 aan mijn sleutelbos hangen. Die heeft het ook redelijk zwaar, maar het mooie van YubiKeys is dat ze behoorlijk veel kunnen hebben.

Wacht alleen nog op een USB-C + NFC variant, die zou moeten komen maar ik wacht al een tijdje...
Yes ik heb de oudere variant al 3 a 4 jaar aan mijn sleutelbos. Ik ben best grof met de spullen en ik heb nog nooit een probleem gehad met mijn key. Ik heb wel voor de zekerheid een reserve key liggen voor het geval ik mijn sleutelbos kwijt raak.
De meeste vingerafdrukscanners kunnen wel tegen zware krassen hoor. En deze Jubi keys zijn echt wel stevige dingen :)
Ik zelf heb er 1 op me bos zitten, en op de zelfde bos zitten ook mijn fiets sleutels. Zelfs met regen ga ik er door heen en me Yubikey ziet er nog steeds uit alsof die uit het doosje komt, en werkt nog steeds perfect.


Bij yubikey zelf hebben ze tests gedaan waarbij dat ze een yubkey 10 weken in een wasmachine hadden laten liggen, zelfs 48 meter diep in zoutwater ik weet alleen niet hoelang die test heeft geduurd.

[Reactie gewijzigd door Crazymarf op 5 november 2019 13:07]

Dit is opzich interessant maar voegt een vingerafdruk scanner nog wat toe aan zo'n sleutel kwa security? Het is een soort derde factor naast username + password en de key zelf.
Ik vind van wel. Ik gebruik bijvoorbeeld mijn yubikey voor het inloggen op remote servers (SSH key + yubikey) en op mijn laptop (omdat ik gewoon lui ben) dus hiermee kan je alsnog heel makkelijk inloggen (fingerprint), betrekkelijk veilig maar toch met iets dat onderdeel is van mij dus je niet zomaar kan misbruiken zonder dat je mijn vingerafdruk hebt.

In feite zou je dus in mijn laptop kunnen komen door mijn yubikey te stelen wat hierdoor dus eigenlijk "opgelost" wordt.
Ow nee hoor als ik je key kan stelen kan ik ook je vinger stelen wat voor jouw een pijnlijke diefstal wordt }> , of gewoon je prints stelen dat is ook niet zo moeilijk als ik al je physieke key kan stelen dan weet ik nl dus nl waar je bent.
Je kan ook je SSH key op de yubi zelf zetten, zo doe ik dat. Zijn zelfs apps voor Android voor (TermBot). Overigens gebruik je in dat geval ook een pincode waarbij de keys na een X antal pogingen geblokkeerd worden (in te stellen uiteraard). Net als je pinpas.

[Reactie gewijzigd door GekkePrutser op 5 november 2019 09:33]

Via Webauthn is passwordless authentication ook mogelijk. Dan komt username & password te vervallen dus is een andere manier om echt een gebruiker te herkennen natuurlijk wel handig, i.p.v. alleen toegang hebben tot de fysieke sleutel.
Met eerdere varianten konden de keys gebruikt worden door iemand anders als zij jouw wachtwoord wisten, met deze kan de authenticatie alleen gedaan worden door de eigenaar van de ingestelde vingerafdruk.
Qua security heb je er zeker wel wat aan, een vingerafdruk is natuurlijk nooit te delen met iemand anders, waar een wachtwoord dat wel is.
En met praktisch alle biometrische authenticatiemiddelen; als je vingerafdruk op straat komt te liggen heb je er helemaal niets meer aan. Niet aan deze key, maar ook niet aan de andere devices die gebruik maken van je vingerafdruk. Ik blijf dan ook voorstander (en gebruiker) van wat je weet (PIN/Password) en wat je bij je draagt (token).
Biometrische data komt niet op straat te liggen als men zoch aan de standaarden houd.

Het is nl de hash die opgeslagen wordt. En dir kun je zolang als er geen weakness in het hash algorithme zit niet terug uit betekenen hoe de print er uit ziet.
Met de 'vingerafdruk op straat' kan je een nepvinger maken die vingerafdrukscanners fopt. Daar helpt geen hash tegen.

"Op straat liggen" kan zo simpel zijn als je vingerafdruk achterlaten op een mok of glas. Het hoeft niet uit biometrische apparatuur te komen.

[Reactie gewijzigd door The Zep Man op 5 november 2019 08:37]

Ik kom ook dagelijks mensen tegen die mij stalken om mijn vinger afdruk en daar een database van maken om die te verkopen.

Nee als iemand in zo verre achter je aan komt om van iets wat jij hebt aangeraakt een vinger afdruk te maken om bij je data te komen dan heb je wel ander problem / security counter measures nodig. Je heb het nu over zeer persoonlijk en fysiek getarget aanvallen. Dat soort criminaliteit zal zich er ook niet aan storen om jouw onder dwang alles af te geven wat ze van je nodig hebben. Gezien Biometrie maar een addon is heb je dus nog steeds de keuze om de marteling te ondergaan hooguit met een vinger minder die ze nodig hadden.
ik ken veel mensen die dit zouden proberen puur voor de lol. maar het is inderdaad zeker goede 2fa, beter dan alleen een knopje erop.
Ik kom ook dagelijks mensen tegen die mij stalken om mijn vinger afdruk en daar een database van maken om die te verkopen.
Een voorbeeld. Die vingerafdruk kan niet omgewisseld worden voor een ander. Zodra alle tien vingers zijn gepubliceerd zijn vingerafdrukken waardeloos voor authenticatie.
Dat snap ik maar hoe groot is die kans. Dan is dus iemand jouw aan het stalken en het lek gaat niet naar internet.

Het is ook niet zo dat iemand nu alle glazen in een restaurant zit te preppen om een database aan te leggen.

Die redenatie is alleen relevant als een partij dus echt biometrie raw opslaat en wordt gehackt. En zelfs dan is het nogsteeds een addon dus men is jouw wel heel erg aan het targetten dus heb je wel een grotere issue.
Dan hebben ze daarna nog steeds je device (laptop/pc) en de Yubikey nodig. Lijkt me best een behoorlijke taak, al is het inderdaad niet onmogelijk.
Uit het artikel:
"Yubico zegt dat de biometrische data in het beveiligde gedeelte van de sleutel wordt opgeslagen."

Yubico zelf zegt dus dat er biometrische data wordt opgeslagen.
ja daar staat toch nergens dat het als plain data opgeslagen wordt.

Als ik zeg dat ik data op mijn onedrive opsla dan weet jij toch ook niet welk format , of het encrypted of hashed is.

En zoals ze ook al aangeven "in het beveiligde gedeelte van de sleutel ". Dus er worden wel degelijk algorithms gebruikt.
Als wat je bij je draagt op straat ligt heb je er ook niets meer aan :+

De 2e en 3e factor voegen best wat toe, men wil het alleen vaak graag als vervanging voor de 1e factor zien, terwijl iets wat je weet wat mij betreft altijd verplicht zou moeten blijven.
Precies dit, ik kan me zo ergeren aan het feit dat Android gewoon niet toelaat dat je een patroon/wachtwoord én een vingerafdruk in stelt om altijd tegelijk te gebruiken. Zou het allemaal toch een tikkie veiliger maken.
Ik ben ook zo'n beetje gestopt met die dingen te kopen. Tijdje later is het weer achterhaald. FIDO vs FIDO2 etc. Daarbij moet je toch nog steeds het systeem vertrouwen dat ie bij de juiste site inlogd en niet stiekem elders. Bovendien kun je met een telefoon zo veel meer qua SSO+2FA. Maar met zo'n vingerscanner hebben misschien wel een goede use-case... voor bedrijven dan.
Ik heb anders een usecase voor een Yubikey waar ik heeeeel blij mee ben; mijn (werk) laptop is versleuteld en goed beveiligd met 2FA, maar ik werk overwegend thuis. Iedere keer als ik even AFK ben is het een gedoe met al die wachtwoorden en 2FA, dus ik heb een Yubikey gekocht, ingesteld dat zolang die in de USB poort zit dat sufficient is om mee in te loggen, en dat ding met een staaldraadje aan m'n bureau bevestigd.
Resultaat; als ik thuis ben, kan ik zonder moeite inloggen op m'n laptop, zodra ik de deur uit ga (en de key blijft thuis) is het terug naar reguliere encryptie en 2FA.
Laat je de Yubikey thuis onbeheerd op je bureay achter?
Ja. Op dezelfde manier dat ik ook contant geld in huis heb liggen, of persoonlijke papieren en andere waardevolle spullen; ik vertrouw er enigszins op dat er niet zomaar wordt ingebroken (bovendien werk ik dus voornamelijk thuis dus de keren dat het hier onbeheerd is, is al weinig).
Geweldig! Zoek ik al een tijd.

Maar... Geen PIV en OpenPGP.... Zonder dat heb ik er niks aan. Maar hopelijk komt dat nog. De Yubi 5 heeft dit wel.

[Reactie gewijzigd door GekkePrutser op 5 november 2019 09:34]

Een vingerafdruk of enige biometrie kan nooit een beveiliging vormen - dat is inherrent onveilig. Hoe dikwijls moeten we dit nu zeggen/schrijven? Dus ik zal dit nooit willen kopen - laat staan dat ik wil dat iemand dit toepast.

Op dit item kan niet meer gereageerd worden.


Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Microsoft Xbox Series X LG CX Google Pixel 5a 5G Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True