Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

Google publiceert opensource-software voor maken eigen FIDO2-beveiligingssleutel

Google heeft software online gezet die gebruikers kunnen flashen op een Nordic-usb-dongle. Die kan vervolgens functioneren als FIDO2-beveiligingssleutel. De zoekgigant heeft ook een template voor een 3d-geprinte case gepubliceerd.

Google hoopt dat na de publicatie onderzoekers en enthousiastelingen helpen bij het maken van innovatieve functies voor usb-sleutels. Google heeft de code van OpenSK op GitHub gezet. De case die gebruikers kunnen 3d-printen staat op Thingiverse.

OpenSK werkt alleen op de Nordic nRF52840-dongle, die online voor onder tien euro te krijgen is. Google heeft OpenSK grotendeels geschreven in programmeertaal Rust en het werkt als applicatie binnen TockOS. De dongle werkt met de software met FIDO U2F en FIDO2.

De bedoeling is dat gebruikers en fabrikanten met de software de dongles op een goedkopere manier dan nu gebruikelijk is zelf kunnen maken, waardoor meer mensen uiteindelijk dergelijke usb-beveiligingssleutels gaan gebruiken. Dergelijke usb-beveiligingssleutels zijn in gebruik voor tweetrapsauthenticatie bij het inloggen bij websites, diensten en apps. FIDO staat voor Fast IDentity Online en is in 2012 opgericht om tot een open en interoperabele standaard te komen die alternatieven voor wachtwoorden voor online-authenticatie mogelijk moeten maken.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Arnoud Wokke

Redacteur

31-01-2020 • 08:01

62 Linkedin

Submitter: himlims_

Reacties (62)

Wijzig sortering
Het is nu al een ramp om gebruikers te overtuigen 2FA te gebruiken... als we ze nog een dongle gaan verplichten lukt het helemaal niet meer.
Kan zoiets niet met één of andere bluetooth key?
Het is nu al een ramp om gebruikers te overtuigen 2FA te gebruiken... als we ze nog een dongle gaan verplichten lukt het helemaal niet meer.
Het grootste probleem van 2FA is naar mijn mening de tientallen manieren waarop het kan. Google gebruikt SMS of via een eigen app authenticatie via een telefoon, Facebook via SMS, Digid weer via hun eigen app, andere partij weer een eigen app.

Er zou gewoon 1 standaard moeten zijn. 1 dienst dat alle 2FA authenticatie regelt. Dan krijg je gebruikers echt wel over het te gebruiken. Maar door een bos aan apps, mogelijkheden en diensten zal je nooit een grote groep gebruikers 2FA zien gebruiken.
Er zou gewoon 1 standaard moeten zijn.
Verrassing: dat is FIDO2 ;) WebAuthn is de browser API hiervoor een een W3C recommendation sinds vorig jaar en alle grote browsers hebben inmiddels een implementatie: https://www.w3.org/TR/webauthn/
Die is er: TOTP https://en.wikipedia.org/...e-time_Password_algorithm
Google Authenticator en Microsoft Authenticator apps zijn een implementatie van dit protocol/algoritme.

[Reactie gewijzigd door EelCapone op 31 januari 2020 11:37]

We weten allemaal hoe het gaat met 'er zou 1 standaard moeten zijn voor [verzin hier een dienst]'.

https://xkcd.com/927/
Zucht, weer die comic... hij is al zo afgezaagd tegenwoordig.

Standaarden voor 2FA zijn gewoon dringend nodig, juist vanwege de huidige wildgroei. en FIDO2 zit echt wel goed in mekaar. Geef mij maar FIDO2 boven elk zelf ineengeknutseld 2FA mechanisme.

Van zodra het woord "standaard" valt, moet er wel iemand die comic posten in de hoop wat karma-punten te scoren...
Zucht, weer die comic... hij is al zo afgezaagd tegenwoordig.
Probleem is dat die comic nog steeds de waarheid weergeeft. De comic is inderdaad een dooddoener, maar jouw reactie is dat ook.

Aangaande standaarden in authenticatie:
Is het niet zo dat als iedereen zich had gefocust of 1 standaard, i.p.v. de vele die er nu zijn, we allemaal via RADIUS (Remote Authentication Dial-In User Service) overal zouden inloggen?
Als gebruikers hierdoor geen wachtwoord meer hoeven te onthouden, dan kan ik me voorstellen dat het juist enthousiast ontvangen wordt.
je kan een wachtwoord niet vervangen door zo een usb key. DIe key geven ze dan gewoon door, of laten ze in de PC zitten. Gebruikers denken enkel aan gemak, niet aan de GDPR. Als IT'er moet je dit dus forceren, zonder de gebruiker veel tot last te zijn.
je kan een wachtwoord niet vervangen door zo een usb key. DIe key geven ze dan gewoon door, of laten ze in de PC zitten.
Phishers kunnen gebruikers verleiden om online of telefonisch hun wachtwoord voor een dienst door te geven. Met zo'n usb key kan dat niet, die moet je fysiek in je bezit hebben.

Ik neem aan dat je om die key te gebruiken ook nog een PIN moet ingeven of iets dergelijks (2FA). Dus als iemand de key in de PC laat zitten is een kwaadwillende ook niet zomaar binnen.
Je hebt daar zelf keuze in en in het demo filmpje hierboven laat men zien dat het bijvoorbeeld kan met een druk op een knop (dus fysieke validatie). De Yubikey werkt ook zo volgens mij.

Google is hier al erg lang mee bezig en breidt dit steeds verder uit zodat alle apparaten als 2e fysieke factor kunnen dienen. Ze begonnen met hun Titan keys maar ondersteunen tegenwoordig alle FIDO keys en zelfs hardware secure chips in Android apparaten. Secure enclave ondersteuning van Apple komt er ook aan.
Jawel, want dan vereis je 'user verification' zoals een PIN :) Sommige modellen van andere fabrikanten hebben een vingerafdrukscanner. Op een telefoon of tablet kan er FaceID, swipe pattern, etc. gebruikt worden.

Links- of rechtsom, bovenstaande authenticatie gebeurt lokaal op het device en daarna wordt er public key cryptografie gebruikt met de online dienst om in te loggen. Het is zeker mogelijk om multi-factor login zonder passwords te doen met FIDO2.
Een pin of swipe patroon zijn natuurlijk alleen andere vormen van het ingeven van een (zwak) wachtwoord.

Biometrie is wel een goed voorbeeld.
Zo kan je het zien maar de nuance met gewone wachtwoorden is dat de zwakte hier geen probleem is, het is net zoals op je betaalpas om een gevonden stukje hardware is niet zomaar bruikbaar te maken. Na x foutieve pogingen schiet de authenticator op slot en moet je 'm resetten (waarmee je alle bestaande keys wist).

De online dienst krijgt alleen een public key te zien en de authenticator genereert per dienst een unieke.
Mogelijk dat er een koppeling, 2e met vault wachtwoord, te maken valt met een horloge of ring/sierraad.

Inactief, afstand, gezichtsherkenning of tred. Opties genoeg om gevoelige info te beschermen met een ID check.
Als je het wachtwoord (iets wat je weet) vervangt door een usb key (iets wat je heb) dan heb je alsnog 1 factor en schiet je netto nog niks op, behalve dat het doorgeven gebeurd op de werkvloer of in huis ipv over de telefoon. Je moet de 2 combineren voor 2 factor authentication.

Blijft over iets wat je ben maar daar heb je een geavanceerdere usb key voor nodig met vingerafdruk- of irisscanner als je het wachtwoord achterwege wil laten.
Maar dan is het eigenlijk niet meer 2FA :P
Ik ben nog niet wakker geloof ik.

Het gaat nog steeds helpen als je dit combineert met een wachtwoord policy die op never expire staat en/of een pincode ipv een wachtwoord.

Als je het goed inricht en niet alle requirements op elkaar stapelt, maar sommige wat laat varen, dan is mijn argument dat het voor de eindgebruiker misschien weleens makkelijker is en een stuk veiliger wordt.

[Reactie gewijzigd door oak3 op 31 januari 2020 08:32]

Als het goed is ingericht wel. Je sleutel geeft pas thuis als je de juiste pincode ingeeft. Maar die pincode wordt dus gevalideerd op de sleutel zelf.
De tweede factor hoeft niet per se een wachtwoord te zijn. Het kan ook een trusted device zijn, of biometrie, of een trusted location.
Eens, maar als je alleen een key ergens tegenaan hoeft te houden is het simpelweg maar weer 1 factor ;)
Als gebruikers hierdoor geen wachtwoord meer hoeven te onthouden, dan kan ik me voorstellen dat het juist enthousiast ontvangen wordt.
Een wachtwoord zal je altijd houden, mits je een vingerafdrukscanner in de USB stick's bouwt. Er zal altijd een 2e manier van authenticatie moeten zijn in geval van verlies of diefstal van de stick.
Een pincode, server side te controleren?
De vraag is of die 2de manier van authenticatie perse een wachtwoord moet zijn. Vergelijk zo'n token met je huissleutel: als je die kwijtraakt / als ie afbreekt heb je ook een probleem. In dat geval bel je de slotenmaker. En in het geval van een token bel je met de klantenservice van de betreffende site oid. Overigens wordt je bijvoorbeeld bij Google haar advanced protection program verplicht om 2 hardware keys te koppelen. Een primary en een backup, waarbij aangeraden wordt de backup in een kluis te leggen. Net zoals je vaak 2 huissleutels hebt.
Ik zou een wachtwoord niet zo maar vervangen door een token, omdat je daarmee alleen het probleem verplaatst.

Het probleem met alleen een wachtwoord of token (voor mij) is dat het altijd mogelijk is dat het wachtwoord uitlekt (danwel door phishing, gehackte site, keylogger, wat dan ook) of je het token kwijt raakt/gestolen word. In die gevallen wil ik niet dat iemand zomaar kan inloggen op mijn diensten. En beide gevallen kunnen voorkomen zolang mensen af en toe een foutje maken.

Nu moet ik wel zeggen dat het mij eerder zal overkomen dat mijn wachtwoorden lekken (vaak door de site zelf) dan dat ik mijn telefoon of token kwijt zal roken, maar ik ben er liever op voorbereid.
Bluetooth key? Qua hardware speekt die nRF52840 perfect bluetooth. We hebben het over een Cortex M4F microcontroller met ingebouwde 2.4 GHz radio. Met dat in mijn achterhoofd kan ik me voorstellen dat er een bluetooth variant komt (of dat hij dit al kan, ik heb nog niet naar de code gekeken)
De Pixel telefoons hebben de Titan key (niet hetzelfde als Titan M) aan boord. Die kan je vervolgens via Bluetooth gebruiken.

[Reactie gewijzigd door UPPERKEES op 31 januari 2020 08:59]

Het woord "overtuigen" zou al niet eens in mij opkomen... Het staat gewoon standaard aan. Nou kan ik me wel voorstellen dat het voor externe websites iets is wat je niet kunt verplichten, maar alles wat in eigen beheer is moet geen discussie zijn.
Traditionele MFA (of 2FA) zijn niet compatibel met legacy protocollen zoals IMAP, POP en SMTP, waardoor MFA geen enkel nut heeft zolang je die oude protocollen enabled laat.

Als provider heb je dan 2 mogelijke strategieën.
1. Je adviseert het protocol niet meer te gebruiken, wat de voornaamste strategie is bij Microsoft. Zij hebben uiteindelijk Exchange ActiveSync die compatibel is met hun MFA. Daarnaast draait Outlook tegenwoordig op bijna alles. IMAP, POP en SMTP staan tegenwoordig standaard uit bij hun O365 klanten, ondanks dat ze ook U2F ondersteunen

2. Je zorgt voor een alternatieve authenticatie die wel compatibel is (of kan worden toegevoegd) aan legacy protocollen. En dat is het idee achter U2F. Google heeft geen Exchange ActiveSync en vermoedelijk nog een hoop klanten die wel gebruik maken van IMAP of POP, dus zetten ze in op U2F. Het is dat of hun klanten overtuigen om enkel webmail te gebruiken.

[Reactie gewijzigd door IStealYourGun op 31 januari 2020 10:02]

"Daarnaast draait Outlook tegenwoordig op bijna alles.":
Alleen nu nog even een native Outlook/Office voor Linux, maar dat zie ik in dut millenium nog niet gebeuren.
Je hebt de web versie... Zo doe ik het zelf ook op Linux. Maar het blijft behelpen, dat ben ik met je eens.
Heb er toevallig gisteren 1 gekocht.
Mijn telefoon is mijn primary key (iPhone) en heb daarnaast een backupkey (Yubikey) aan mijn sleutelbos hangen.
Google heeft daarnaast ook uitgebreide research gedaan naar deze beveiliging. Hierin is geconcludeerd dat dit praktisch gezien de beste manier is om je account te beveiligen.

Geeft mij persoonlijk een goed gevoel, gezien mijn account nu niet meer vatbaar is voor fishing of andere aanvallen.
Mijn belangrijkste zorg is kwijtraken van spullen, al dan niet door diefstal. Het gezeik dat ik gehad heb bij het verliezen van een telefoon met authenticator heeft me skeptisch gemaakt.
Je zou naar Authy kunnen kijken als authenticator app. Dan kan je het op meerdere devices gebruiken. Hoe maakt het verliezen van je telefoon en dus authenticator je skeptisch over 2FA?

[Reactie gewijzigd door Bose321 op 31 januari 2020 09:05]

Ik ben zeker niet skeptisch over 2FA. Wel over hardware keys.

Thanks voor de tip, kende ik nog niet.
Yubikey heeft ook een authenticator app die compatible is met Google, Facebook, Microsoft etc, waarbij de sleutels die gebruikt worden op je Yubikey staan. Die werken dus ook op elke telefoon of pc waar die app staat en zijn door hardware beveiligt. Bovendien doet de Yubikey ook FIDO2.

https://www.yubico.com/pr...oad/yubico-authenticator/
Toen ik verleden jaar een nieuw toestel aanschafte, liep ik daar ook tegenaan. Ik had mijn oude toestel gewist en aan mijn zoon gegeven. Totaal niet bij stilgestaan. Kon niet anders dan op gebruikte sites een reset uitvoeren, 2fa uitzetten waarna ik opnieuw 2fa kon aanzetten en met nieuwe toestel kon autenticeren. Geen heel fijn klusje. Voor iemand zonder IT kennis (en dan moet je nagaan, ik had er niet eens aan gedacht dat dit kon/zou gebeuren, prutser die ik ben) is dat onbegonnen werk, leg die dat maar eens uit.
Zo'n yubi key is wat dat betreft geen gek idee, maar ja, die kun je thuis of op de zaak vergeten, en de leek laat 'm gerust thuis "want die heb ik toch niet nodig vandaag" en ga zo maar door. Voor mij zal zo'n usb ding goed werken, ik werk met mijn eigen apparatuur (laptops) en wissel met regelmaat van telefoon.
Je kan meerdere (Yubi) keys toevoegen aan een account. Zelf heb ik er twee, dus als er een stuk gaat/kwijt raakt dan heb ik nog één werkende key.

En toch gebeurt het me regelmatig dat ik op een nieuw device wil inloggen, maar dat er geen hardware key in de buurt is.
Daarom geeft JWHtje aan: iPhone voor dagelijks gebruik en yubikey als backup.
Beste Tweakers Redactie,

Wordt het niet tijd voor een uitgebreide video review over security...... en dan met name over hoe wel en hoe ook niet FIDO2 ons allen gaat helpen naar een veiliger internet?

Er is weinig materiaal in het Nederlands beschikbaar dat duidelijk uitleg geeft!
Wellicht is dit een mooi moment voor Build?
grt
Dretje
En belangrijker: 2FA (liefst FIDO2) ondersteuning op Tweakers :)
Dit is een enorm slecht idee, omdat dit betekend dat je de USB moet opengooien om de sleutel te kunnen lezen, en hierdoor dus een extra aanvals-methode introduceert voor mensen waarvoor je juist de USB hebt verwijderd of uitgezet. En ja, ook als je alleen de sleutel leest, want een ander apparaat kan ook geprogrammeerd worden om zich als die sleutel voor te doen.
Ik vraag me af of je op de een of andere manier alleen "USB Mass Storage" zou kunnen uitschakelen, dat zou al veel van de aanvalsmethoden (via bestanden) verhinderen, alsmede kopieren van vertrouwelijke info. Dan zou je toch nog hardware keys kunnen gebruiken, want ik vind ze persoonlijk toch wel super handig, en ze zijn veel veiliger dan SMS als 2nd factor.

Op onze corporate laptops staat USB gewoon open, maar dat zijn linux machines en over het algemeen wat minder kwetsbaar (ook omdat ze minder getarget worden)
Ja, je kan USB Mass Storage uitzetten, maar dat helpt niet, omdat een aanvaller zich bijvoorbeeld als toetsenbord kan voordoen, en zo bestanden kan versturen. Verder zijn speciaal deze sleutels onveilig, omdat ze bedoeld zijn om geprogrammeerd te worden via USB, wat dus een aanvalsfactor is (maar na het programmeren uitgeschakeld kan worden door de dongle te beschadigen), en bedoeld om data uit te wisselen via Bluetooth, wat ook een aanvalsfactor is.
Ja, je kan USB Mass Storage uitzetten, maar dat helpt niet, omdat een aanvaller zich bijvoorbeeld als toetsenbord kan voordoen,
Jullie machines zijn dan uitsluitend laptops of hebben PS2-toetsenborden en -muizen?
Er zijn manieren om toetsenborden te beveiligen, je kan bijvoorbeeld een computer in een afgesloten kast stoppen, waar alleen de kabels uitkomen, maar de gaten te klein zijn voor stekkers, zodat er niet dingen omgewisseld kunnen worden. Of de boel draadloos aansluiten, maar dat is ook niet zo'n goed idee.
Oké, maar dan hebben jullie dus alle usb-poorten fysiek ontoegankelijk gemaakt, in plaats van ze in het systeem uit te schakelen. Anders gaan ook die niet-verwisselbare USB-keyboards en -muizen niet werken...
Precies wat ik elke keer denk als ik aan USB keys denk.

Ten eerste beperk je het gebruik tot apparaten die daadwerkelijk over USB poorten beschikken (Desktop/Laptop), terwijl Jan en alleman met name de smartphone gebruikt tegenwoordig.
Ten tweede, geheel terecht aangehaald, hier op de zaak is USB toegang gewoon uitgezet. Er komt nog stroom uit de poort, dus ik kan een apparaat opladen, maar verder niks. Toegang wordt alléén verleend wanneer dit absoluut nodig is en dan nog word je door de Servicedesk voorzien van een encrypted USB stick. Geen sprake van BYOUSB
De gemiddelde security key heeft ook NFC, dus je kunt ook NFC readers neerzetten (die natuurlijk ook USB zijn net als de toetsenborden en muizen maargoed).
Een pasje als key dus. Geen slecht plan. Zoiets als dit moet echt laagdrempelig. Wat denken we van een pakket, met een NFC-pasje en een USB stick? Zijn een backup voor elkaar (moet er wel iets gebeuren om misbruik van de rondslingerende backup tegen te gaan) en gebruik wat je het beste uitkomt.
Yubikey ondersteund zowel NFC als USB in 1 sleutel. Als backup kan je een tweede Yubikey gebruiken.
https://www.yubico.com/product/yubikey-5-nfc
En met de 5Ci ook zowel USB-C als Lightning, werkt prima en is lang niet zo bulky als dat je zou denken :)
"de Nordic nRF52840-dongle, die online voor onder tien euro te krijgen is"
De op de gelinkte pagina distributeurs zijn op bedrijven gericht, dus bij de getoonde prijzen zal zeker nog btw komen. Ik denk dat het ook helemaal niet makkelijk is om daar als particulier te bestellen, en anders gelden er wel minimumorderbedragen en/of aanzienlijke verzendkosten.
Nee hoor, in Europa moet men sowieso prijzen weergeven inclusief alle kosten, en dan zijn ze nog altijd te koop voor onder de 10 euro. En op een website als Mouser bestel je zonder problemen als particulier. Waarom toch zulke aannames doen ipv snel even te gaan kijken?
Nee hoor, in Europa moet men sowieso prijzen weergeven inclusief alle kosten, en dan zijn ze nog altijd te koop voor onder de 10 euro. En op een website als Mouser bestel je zonder problemen als particulier. Waarom toch zulke aannames doen ipv snel even te gaan kijken?
Prijzen inclusief btw vermelden is verplicht voor bedrijven die zich op verkoop aan consumenten richten, maar dat zijn deze distributeurs niet.

Mouser rekent bovendien 20 euro verzendkosten bij bestellingen van minder dan 50 euro (ex btw).
Uiteraard kun je er prima bestellen als particulier, maar voor een tientje heb je zo'n dongle er echt niet.
Leuk, maar is duurder dan 10 euro en het is niet echt uit ontwikkelde software...
Waarom niet gewoon een Solokey, dat heeft zowel Fido2 als U2F en de sourceode staat gewoon op github en wordt continue verder ontwikkeld.
Als ik de installation guide zo bekijk https://github.com/google/OpenSK/blob/master/docs/install.md zijn er nog best wat pre-requisites om met de USB Dongle aan de slag te kunnen gaan:
  • a Segger J-Link JTAG probe. (800 euro?)
  • a TC2050 Tag-Connect programming cable. (55 euro)
  • a Tag-Connect TC2050 ARM2010 adaptor. (28 euro)
  • optionally a Tag-Connect TC2050 retainer clip to keep the spring loaded connector pressed to the PCB.
Helaas, of zie ik dat verkeerd?
Die OSS-sleutels bestaan al: solokeys. En dat is prima updatebaar via python - prachtig produkt en niet te duur - EN google-vrij! _/-\o_
Ok, nice.... Steve Gibson..... form GRC.com........ Shields Up .... Spinrite...

Het onderwerp is Secure Quick Reliable Login........ ofwel Simple QR Code Login.... cool thanx

De gemiddelde lengte over de uitleg is zeker niet Quick ..... allemaal 1 a 2 uur durende uitleg.... maar het onderwerp is wel heel gaaf om verder uit te diepen.
https://sqrl.grc.com/
Beste Tweakers Redactie, dit zou mooi zijn om eens mee te nemen. Wie durft deze SQRL, FIDO(2) of 2FA op haar site te testen.
Zeker na de berichten over de afzwakking van encryptie in de jaren 70... is dit meer en meer actueel.

Op dit item kan niet meer gereageerd worden.


Nintendo Switch (OLED model) Apple iPhone SE (2022) LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S22 Garmin fēnix 7 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2022 Hosting door True