Yubico toont USB-C-variant van YubiKey Bio met vingerafdrukscanner

Yubico heeft een YubiKey Bio met vingerafdrukscanner en een USB-C-connector getoond. Deze beveiligingssleutel werkt onder andere met FIDO2. Eerder toonde Yubico al een YubiKey Bio met USB-A-aansluiting. Het bedrijf noemt nog geen adviesprijzen of releasedata.

Yubico toont onder andere een demo van de YubiKey Bio. Ook gaat het bedrijf iets dieper in op de functionaliteit van deze nieuwe variant. Zo is het niet langer nodig om een pincode in te stellen met de YubiKey Bio. Met de huidige YubiKey 5, die geen vingerafdrukscanner heeft, is dit wél nodig. Yubico geeft ook meer details over de implementatie van de vingerafdrukscanner. Zo vertelt het dat de vingerafdrukdata los wordt opgeslagen in een eigen beveiligd 'element', wat digitale en fysieke aanvallen moet tegengaan.

Het bedrijf geeft aan dat de vingerafdrukscanner momenteel door 'enkele diensten' wordt ondersteund, maar dat dit aantal in de toekomst zal toenemen. De sleutels kunnen worden gebruikt bij diensten die wachtwoordloos inloggen of tweestapsverificatie toestaan via FIDO2 op het WebAuthn-protocol. Grote diensten zoals Google, Facebook en Twitter kunnen dat, maar de standaard wordt nog lang niet overal gebruikt. Het is nog niet bekend of de Bio-variant ook ondersteuning biedt voor NFC. Door het gebruik van USB-C is de sleutel wel op veel Android-toestellen te gebruiken.

De fabrikant toonde eerder al een USB-A-variant van de YubiKey Bio. Dat deed het bedrijf in november 2019, tijdens een Microsoft Ignite-presentatie. Deze variant is vooralsnog ook nog niet uitgebracht. De YubiKey Bio bevindt zich nog in een 'private preview'. Dat wil zeggen dat het product momenteel wordt getest door enterprise-klanten en partners van Yubico.

Yubico meldt nog niet wanneer de YubiKey Bio op de markt verschijnt. De fabrikant noemt ook nog geen adviesprijzen. De reguliere YubiKey 5 NFC en YubiKey 5C NFC zonder vingerafdrukscanner kosten respectievelijk 45 en 55 euro op de website van de fabrikant.

Reacties (65)

Deadsy 11 november 2020 11:50

Wat doe je eigenlijk als zo een ding kapot gaat? Is er dan nog een andere manier om erin te komen

royalt123 @Deadsy • 11 november 2020 11:53

Om die reden is het altijd aanbevolen om 2de te kopen en te bewaren als backup voor wanneer als je de eerste kapot of kwijt speelt.

DarkJack @royalt123 • 11 november 2020 12:39

wel ff toevoegen: je keys dupliceren gaat niet zomaar, je moet extra handelingen doen tijdens de creatie van je authenticatie factoren om ze op 2 keys tegelijk toe te voegen

de channel Crosstalk Soltutions op YT heeft vorige week een redelijk uitgebreide (aldoch gesponsord of course) vid gemaakt hierover

https://www.youtube.com/watch?v=ybn9J4QCqK4

Le Marquis @DarkJack • 11 november 2020 13:02

Dat geld dus uitsluitend op het U2F protocol. De 2FA codes kan je ook back-uppen in een van de vele password managers.

GertMenkel @Le Marquis • 11 november 2020 13:33

Hoewel het kan, is het niet verstandig om je 2FA-codes in je password manager te stoppen. Dan sla je je tweede factor op naast je eerste factor en win je er eigenlijk weinig veiligheid mee.

Backups maken van je 2FA-keys is verstandig, maar dan moet je ze wel op een veilige locatie opslaan waar een hacker met veel moeite bij kan komen (een fysieke kluis met een USB-stick erin is daar een redelijke oplossing voor).

Veel websites staan toe om meerdere tweede factoren te gebruiken, bijvoorbeeld U2F met als backup een TOTP-code, of zelfs twee TOTP-generatoren.

bilbob @GertMenkel • 11 november 2020 17:18

je kan ze beter op een papiertje printen..
USB in een kluis kan werken maar ik zou er niet op vertrouwen dat het blijft werken..

Je kan natuurlijk altijd 3 usb sticks in je kluis leggen.. voor de zekerheid..
En nog drie in een andere kluis ivm evetuele brand.

Le Marquis @GertMenkel • 11 november 2020 23:01

Ik begrijp de paniek niet zo betreft de password managers. Ik ben het eens dat hardware keys veiliger lijken. Maar zo'n key is net zo onveilig, als het in de handen komt van een hacker.

Als je 1Password neemt bijvoorbeeld. Ten eerste moet de hacker vier dingen van mij weten. De URL om mijn account te kunnen betreden, tweede mijn email adres, derde mijn wachtwoord. En als laatste de 34 digit veiligheidssleutel om het account te kunnen unlocken. De kans dat hij mijn drie eerste gegevens in handen kan krijgen is best mogelijk. De vierde daartegen, bijna onmogelijk. Daarnaast heb ik dus mijn hardware key gekoppeld op mijn 1password account. Dat maakt een vijfde (en ook zesde) laag in de veiligheid van mijn password manager.

Ja, de data staat op een server! Ja, de data zou 'hypothetisch' gezien, vanuit de server decrypted kunnen worden. Maar hoe groot is de kans. Want dan ook zouden ze mijn secret key moeten hebben (als ik er vanuit mag gaan dat die werkelijk is geïntegreerd op de server).

In principe is geen techniek bestand en veilig genoeg tegen de hacker, die vinden wel nieuwe oplossingen om in je data te komen, als dat nodig is. Zo zijn ook hardware keys met hun encrypted data al eerder gehacked, zoals bij die van RSA enkele jaren terug.

Een backup is dus in vele manieren altijd veilig.

GertMenkel @Le Marquis • 11 november 2020 23:17

Je hebt helemaal gelijk, maar de veiligheid van een password manager trek ik niet in twijfel. Een password manager met een goed wachtwoord is oneindig veel beter dan wachtwoorden gaan onthouden!

Het gaat er vooral om dat als je je wachtwoord en je tweede factor naast elkaar zet, je eigenlijk je tweede factor kwijtraakt. Wat je doet is een tweede wachtwoord toevoegen, wat dezelfde "factor" (iets dat je weet) oplevert.

Het is beter om een TOTP code in je password manager te zetten dan geen 2FA aan te zetten, maar als je de beveiliging die 2FA biedt, wilt hebben, moet je een andere factor hebben. Je eerste factor is "iets dat je weet", en bij TOTP en U2F gaat het om "iets dat je hebt" (je telefoon met de key of je yubikey), bij Windows heb je nog wel eens met Windows Hello of FaceID "iets dat je bent" (namelijk je gezicht).

Sorcix @GertMenkel • 12 november 2020 09:23

Daar valt over te discussieren natuurlijk.

Je password vault op zich is nog steeds iets "dat je hebt", zeker als je iets als Keepass gebruikt waarbij het een file is die fysiek op je pc/stick/telefoon staat. Het vervangt daarmee de TOTP generator op je telefoon. Als je wachtwoord "iets dat je weet" bekend raakt hebben ze nog steeds toegang nodig tot je password vault voor je TOTP. Er is dus nog steeds een 2e factor.

Iemand die toegang krijgt tot je unlocked vault heeft natuurlijk beide. Maar dat zelfde geldt als iemand je telefoon met unlocked vault en TOTP generator (of sms) in handen krijgt. Op dezelfde manier zou je dus kunnen stellen dat een TOTP generator op de telefoon waarop ook je password manager staat (of de browser wachtwoorden onthoudt) geen 2e factor meer is.

Het komt volgens mij meer voor dat een wachtwoord/totp bekend raakt op andere manieren: invullen op een phishing website bijvoorbeeld. Op zo'n moment is TOTP zelfs als het in je password staat absoluut nog een 2e factor.

GertMenkel @Sorcix • 12 november 2020 09:51

Ik denk dat je een offline password vault wel kunt gebruiken als "iets dat je hebt", maar de meeste password managers die in grote getale gebruikt worden, kunnen met het raden van het master password een kopie van je hele wachtwoordkluis binnenhengelen. Dat is makkelijk voor als je laptop kapot gaat en je een nieuwe koopt, maar een probleem als je de tweede factor-ervaring wilt behouden. KeePass op een lokale, versleutelde schijf zou ik met 2FA-tokens vertrouwen, de servers van Bitwarden dan weer niet (ook al is de data end to end versleuteld).

Hetzelfde geldt overigens ook voor 2FA-apps die synchroniseren op basis van een wachtwoord en/of een telefoonnummer (zoals Authy, maar ook hun concurrenten). Als je je tweede factor van internet kan downloaden, is het vaak geen tweede factor meer.

royalt123 @DarkJack • 11 november 2020 13:14

Dat is correct en goed dat je het duidelijk maakt voor anderen.
Ik had beter men reactie duidelijker gemaakt

zarex @Deadsy • 11 november 2020 11:55

Daarvoor moet je alternatieve authenticatie-methodes hebben. Bijvoorbeeld een tweede token die je op een veilige plaats bewaart, of een recovery code die je op een veilige plaats bewaart.

In zakelijke omgevingen heb je nog altijd de servicedesk die je kan helpen door out-of-band je identiteit vast te stellen, en een nieuwe key uit te geven.

uiltje @zarex • 11 november 2020 16:22

Waarbij er overigens vaak veel te gemakkelijk een sleutel wordt uitgegeven weet ik uit ervaring. Een IM bericht is vaak al voldoende, maar het kan prima dat iemand zijn wachtwoord of device kwijt is.

Maar goed, out-of-band kan altijd natuurlijk als het systeem hierop is ingesteld.

zarex @uiltje • 11 november 2020 16:41

Klopt ja. Een van de bedrijven waar ik werk voor doe op Identity and Access Management gebied heeft voor dit soort use cases een vereiste dat een collega approval moet geven per email. Die moet het op zijn beurt dan weer bij jou navragen. Die workflow is best veilig.

redo033 @Deadsy • 11 november 2020 11:57

ik heb er 2 gekocht . 1 als reserve. dit werd mij aangeraden. ik had de zelfde vraag

[Reactie gewijzigd door redo033 op 22 juli 2024 21:24]

Dark Angel 58 @redo033 • 11 november 2020 12:18

ik heb er 2 gekocht . 1 als reserve. dit werd mij aangeraden. ik had de zelfde vraag

Wat als beide opeens niet meer werken?

Dan zit je zwaar in de shit

dasiro @Dark Angel 58 • 11 november 2020 12:35

als de eerste stuk gaat heb je tijd om die te vervangen tegen dat de 2e stuk gaat. Mensen die met dit soort situaties moeten werken, weten goed genoeg hoe risico's af te vangen zijn.

Verwijderd @dasiro • 11 november 2020 20:49

Je moet toch ook eigenlijk 2 backups hebben? Want als je normale exemplaar stuk gaat dan is je backup automatisch het normale exemplaar en dan heb je per direct geen backup meer. Die situatie wil je altijd voorkomen. Zo zeldzaam is het niet dat 2 apparaten snel achter elkaar of tegelijk stuk gaan.

dasiro @Verwijderd • 11 november 2020 23:57

je vergeet de 2e en 3e regel van backups: backups moet je regelmatig testen maar nooit samen bewaren met het origineel

Verwijderd @dasiro • 12 november 2020 01:29

Een off-site backup zou ik dan als derde backup beschouwen. Als je bijv een NAS hebt thuis met een RAID5 opstelling dan hoor je 2 schijven op de plank te hebben liggen, klaar om in te zetten als reserve als het nodig is. Daarnaast heb je een off-site backup van de hele NAS ergens anders staan en maak je met regelmatig een incremental backup, elk uur of elke dag bijv, afhankelijk van de situatie.

En nee dat vergeet ik niet hoor. Het komt nu pas ter sprake. Testen ben ik wel lui in. Ik ga er gemakshalve van uit dat het backup systeem doet wat het moet doen.

dasiro @Verwijderd • 12 november 2020 07:58

hangt er vanaf hoe groot je individuele disken zijn en hoe snel je kan rebuilden. Als de rebuild speed trager is dan de levertijd van een nieuwe disk ben je alsnog alles kwijt moest een 2e disk failen (tenzij het je spare is die je er net hebt ingestoken)

therazo

@Dark Angel 58 • 11 november 2020 12:58

T zou wel heel dubieus zijn als ze beide magisch gezien tegelijk stuk gaan (of dat je er pas achter komt dat ze beide defect zijn op hetzelfde moment)... Als het een degelijk product is hoort dat niet lijkt me x)

RobertMe

Yubico

@therazo • 11 november 2020 13:20

Wat natuurlijk wel zo is is dat het over het algemeen wordt aanbevolen om de tweede / backup YubiKey ergens veilig (in een kluis) op te bergen. Het kan dus best dat je de eerste kwijt bent of die stuk is gegaan en je dan er achter komt dat je de backup key niet meer vind, niet meer in de kluis komt, die niet bijgewerkt is en bepaalde (al dan niet belangrijke) accounts ontbreken, die kapot is (waar je pas achter komt als je hem na jaren weer wilt gebruiken) etc.

therazo

@RobertMe • 11 november 2020 13:21

Tja dat zou inderdaad heel zuur zijn. Wat dan wel weer zo is (in mijn ogen); als data je zo kostbaar is dat je het énkel op een fysiek stickje wil hebben, om wat voor een reden dan ook, dan is misschien zon consumenten dingetje niet ideaal?

ari

@RobertMe • 11 november 2020 18:31

Als al je data op twee usb-sticks staat dan lijkt het me good practice om de backup met enige regelmaat te testen. Ik heb een terugkerende herinnering in m'n agenda staan om dat ook daadwerkelijk met enige regelmaat te doen, ik meen dat er bedrijven failliet gegaan zijn omdat de backups nooit getest werden en die waardeloos bleken op het moment dat ze nodig waren.

Le Marquis @Dark Angel 58 • 11 november 2020 23:05

De meeste apps en websites genereren naast de U2F, TOTP en 2FA codes ook backup codes. Die zou je dus wel in een kluis kunnen leggen. Maar dan wel op manier dat alleen jij ze begrijpt. In essentie zijn die backup codes simpelweg wachtwoorden om in je gegevens te komen.

Luuk2015 @Deadsy • 11 november 2020 11:55

Veel websites bieden ook nog een optie om in te loggen via een back-upcode, deze kan je uitprinten (het is wel veiliger om ze zelf op te schrijven op papier) en gebruiken om mee in te loggen.

Dark Angel 58 @Deadsy • 11 november 2020 11:56

Wat doe je eigenlijk als zo een ding kapot gaat? Is er dan nog een andere manier om erin te komen

Verdomd goede vraag... dat wil ik ook graag weten!!!
Ik zag pincode in de filmpje... alternatief toegang? en recovery codes?

[Reactie gewijzigd door Dark Angel 58 op 22 juli 2024 21:24]

!GN!T!ON @Dark Angel 58 • 11 november 2020 12:24

Tweede sleutel / key

GekkePrutser

Yubico

@Deadsy • 11 november 2020 12:45

Ik heb ook een tweede zoals @royalt123 zegt, maar afhankelijk van welke techniek je gebruikt kan je vaak ook een software key aanmelden op je account als alternatief, of zijn er andere opties.

De Yubikey ondersteunt:
- Fido2: geen software keys mogelijk vziw maar je kan je telefoon vaak gebruiken als tweede optie!
- PIV: geen software keys vziw. Maar op Windows kan je ook je TPM als PIV token gebruiken.
- OpenPGP: Software keys heel goed mogelijk (heb er zelf eentje die op een beveiligde USB stick ligt)

Dus het valt allemaal wel mee. Een tweede kopen is meestal niet per se noodzakelijk.

[Reactie gewijzigd door GekkePrutser op 22 juli 2024 21:24]

Verwijderd @Deadsy • 11 november 2020 12:47

De yubikeys zijn voor mij een extra authenticatie mechanisme. Met een ww kan ik er ook nog in alleen hoef ik die niet te gebruiken zolang de keys werken.

slijkie 11 november 2020 11:37

Denk dat ik mijn oude Yubikeys (2) eens ga veranderen voor deze dingen. Toch veiliger dat alleen ik ze met mijn vinger kan gebruiken.

Mensen ervaring mee of het makkelijk is om de oude Yubikey gegevens over te zetten naar een nieuwe?

RobertMe

Yubico

@slijkie • 11 november 2020 11:59

Over zetten kan bij mijn weten niet. Overzetten zou immers ook betekenen dat je de (private) data uit de YubiKey kunt halen en/of private data naar een YubiKey kunt schrijven, en dat zou een zwakte in het hele systeem introduceren. Om diezelfde reden is er bv ook geen firmware update functionaliteit. Elke vorm van communicatie tussen PC en de key voegt een (mogelijk groot) aanvalsoppervlakte toe.

Als je een andere YubiKey wilt gaan gebruiken moet je dus een voor een de websites (/systemen) na gaan waar je de oude YubiKey gebruikt en daar (ook) de nieuwe YubiKey koppelen.

ppl @RobertMe • 11 november 2020 12:36

Overzetten kan wel degelijk, het kan alleen niet met alles en ook niet van yubikey naar yubikey. Het U2F en webauthn deel kun je niet overzetten maar de GPG keys en single password weer wel. Dan moet je hetzelfde doen als wat je hebt gedaan met je huidige yubikeys. Dat trucje kun je op een onbeperkt aantal yubikeys doen en wordt ook aangeraden om dat met tenminste 2 keys te doen (eentje is dan de backup). Voor U2F en webauthn zul je inderdaad alle services waar je de key hebt ingesteld weer af moeten en daar de nieuwe yubikey als additionele key instellen. Als alles werkt kun je daarna wel de oude yubikeys weg gaan halen.

Het stukje over de firmware geldt ook alleen voor de firmware: die kun je niet veranderen/updaten om het een aanvaller moeilijker te maken. Die kan nu niet zijn speciale firmware op jouw yubikey flashen om zo in te kunnen breken/gegevens afhandig te maken. Je kunt echter prima diverse malen lezen en schrijven naar de yubikey. Pincodes zijn aan te passen en je kunt ook prima de boel weer naar factory defaults resetten om de key daarna weer te hergebruiken/opnieuw in te stellen. Heb je een eigen GPG key of single password dan kun je die ook naar de yubikey wegschrijven en er ook weer van verwijderen.

Dorank @ppl • 11 november 2020 13:12

Als je de GPG keys gegenereerd hebt op de yubikey kan je die natuurlijk niet overzetten.
Geen idee welk trucje jij in gedachte hebt, maar als ik van smartcard wissel, genereer ik een nieuwe (2048) subkey met mjin (4096) masterkey. De oude subkey wordt dan netjes revoked.

Die master key is ooit offline gegenereerd en geimporteerd in 2 verschillende smartcards (een yubikey en een opengpg card) die op verschillende locaties liggen. Zo heb je nergens een private key op disk beschikbaar anders dan op de smartcards.

ppl @Dorank • 11 november 2020 14:25

Dat soort zaken moet je ook niet op de yubikey genereren want dan ben je een spof aan het maken. Yubikey stuk en je master (GPG) key is ook einde oefening. Je kunt beter de verschillende keys apart maken en met de apart gemaakte master key signen. Dat zet je dan op de yubikey en de master key sla je ergens beveiligd op. Zo vaak heb je de master key niet nodig dus dan hoeft ie ook niet op een key die je overal naartoe sleept.

RobertMe

Yubico

@ppl • 11 november 2020 12:54

Goede aanvulling v.w.b. GPG etc. Ik gebruik de mijne alleen in combinatie met FIDO2 / U2F (en daaraan gekoppeld OTP via de YubiCo Authenticator app). En daar zit je dan inderdaad wel met dat je opnieuw moet instellen en niet kunt over zetten. Dat je GPG wel weer kunt schrijven naar de key wist ik dan ook niet.

Cergorach @slijkie • 11 november 2020 12:36

Toch veiliger dat alleen ik ze met mijn vinger kan gebruiken.

Wat een hoop mensen lijken te vergeten is dat anderen deze alsnog kunnen gebruiken met je vinger. De vraag is dan natuurlijk of die vinger nog aan je vast zit of niet...

Of ze maken een eigen afdruk van jou Bio data die je overal achterlaat. Wellicht niet zo realistisch qua tijd/kosten voor een kleine computervredebreuk, maar als dit toegang geeft tot belangrijke systemen en/of geld, dan is dat een prima optie voor mensen die niet zo fan zijn van bloed en rondslingerende lichaamsdelen...

;-)

slijkie @Cergorach • 11 november 2020 12:43

Klopt, maarja, nu kunnen ze ‘zonder’ mijn vinger het gebruiken.

GHorsie @Cergorach • 11 november 2020 18:10

En als we het dan toch over veilig/privacy hebben...

Een instantie zoals de politie mag zonder problemen je vingerafdruk gebruiken om zich toegang te verlenen, maar iemand niet dwingen om de toegangscode te delen

https://www.nu.nl/interne...druk-te-ontgrendelen.html

Cergorach @GHorsie • 11 november 2020 18:18

En als we het dan toch over veilig/privacy criminaliteit hebben...

I fixed it for you! ;-)

ari

@Cergorach • 11 november 2020 18:37

Of men neemt een wapen naar keuze om medewerking van de bezitter van de sleutel of code aan te moedigen... 'bigger army diplomacy' heet dat in een wat grotere context.

flippy @slijkie • 11 november 2020 12:41

de vinger hoeft niet aan de rest van jou vast te zitten om deze key te gebruiken....

kodak @slijkie • 11 november 2020 13:09

Waarom denk je dat het veiliger is? Het accepteren van de vingerafdruk heeft niet perse beperkte acceptatie vanwege de techniek maar ook omdat het juist niet zomaar veiliger of zelfs maar even veilig zou zijn. Er zit nogal een verschil in iets wat jij alleen weet (en moeilijk te raden is) en iets wat je hebt of bent. Want in het geval van een vingerafdruk is al vaker gebleken dat het probleem vooral zit dat de sensor te foppen is of niet veel moeite nodig is om je vinger te gebruiken. Ben je je key kwijt dan hoef je je bij iets wat je weet (en moeilijk te raden is) niet snel zorgen te maken. Maar hoe zorg je er voor dat iemand die bij je key kan daar met die sensor genoeg zekerheid over hebt?

RVervuurt 11 november 2020 11:38

Betekent dit, dat die diensten die deze Yubikey ondersteunen, ook de vingerafdruk-scanner van de computer kunnen gebruiken? Of zit die, bijvoorbeeld op de Macbook, teveel in z'n eigen enclave om te kunnen worden gebruikt voor andere doelen dan op OS-niveau dingen goedkeuren?

Zyphlan @RVervuurt • 11 november 2020 11:43

De dienst waar ze het over hebben is FIDO

.

Dus je moet even kijken.

https://fidoalliance.org/

RobertMe

Yubico

@RVervuurt • 11 november 2020 12:02

Neen. De vingerafdruk is nodig om bv de private data die op de YubiKey staat uit te lezen / om de authenticatie actie te autoriseren. Op het moment dat de computer een "ping" kan sturen naar de YubiKey dat het geautoriseerd is betekend dat dus ook dat deze "ping" malafide kan zijn. Bij de huidige YubiKeys werkt het min of meer hetzelfde. Daar zit een touch button op die je even moet aanraken om de login te bevestigen. Ook in dat geval dus zodat er bevestiging is dat de gebruiker daadwerkelijk de autorisatie actie wil uitvoeren.

SinergyX 11 november 2020 12:04

Ik blijf er bij, wat ook bij usb-a model zo is, drukken op een zwevende usb-device is vragen dat er iets kapot gaat, helemaal met een usb-c aansluiting.

ppl @SinergyX • 11 november 2020 12:40

Drukken? Dan doe je toch echt iets verkeerd. Het enige wat je hoeft te doen is die goudkleurige schijf aan te raken. Het is geen drukknop dus druk is nergens voor nodig.

Het verschil tussen dit model en de anderen is dat deze informatie over je vingerafdruk heeft en de andere niet. Het is nog steeds een kwestie van aanraken en niet van drukken.

Overigens zit er bij de kleine USB-C modellen er geen goudkleurige schijf maar heb je 2 goudkleurige staafjes aan de zijkanten. Daar is het een kwestie van de key tussen duim en wijsvinger houden en klaar. Geeft een beetje een gedoe om de key eruit te halen, je zult hier de boven- en onderkant moeten vastpakken anders gaat de key af.

Ventieldopje @SinergyX • 11 november 2020 12:09

Als deze ultrasoon werkt dan hoef je dus helemaal niet hard te drukken of zelfs helemaal niet te drukken. Of deze dat is kon ik zo niet zeggen maar dat mag ik toch hopen

Met USB-C is dit gelukkig geen probleem!

Harrij @SinergyX • 11 november 2020 12:21

Je kan de nano uitvoering gebruiken, die is werkelijk echt klein en kan niet kapot door 'drukken'! Eruit halen is wel lastiger. Bij mijn Mac tenminste, want hij zit goed vast....

dehardstyler @SinergyX • 11 november 2020 12:40

Betreft de USB-C aansluiting ben ik het niet met je eens. De USB-A versie is inderdaad wel een soort van hefboom die vol tegen de interne connector van de laptop / desktop aandrukt. Maar zoals in het plaatje hierboven te zien is, is de USB-C connector wel gewoon een volledig "ronde" aansluiting. Zo druk je dus niet perse op de interne connector, maar maak je gebruik van het hele USB slot, wat de druk op de interne connector zou moeten verminderen.

Von Henkel 11 november 2020 11:43

Om op die manier gewicht uit te oefenen op een USB poort lijkt me niet zo slim.
Dan vind ik een vingerafdrukscanner aan de zijkant toch een stuk beter.

!GN!T!ON @Von Henkel • 11 november 2020 12:30

Mwoh heb er al 6 jaar een lange yubikey met een knop er op. Nooit problemen mee gehad.

HakanX 11 november 2020 11:44

Hoe handig is je vingerafdruk als wachtwoord welke je zowel op die key als overal op bv de laptop kan vinden? Je kan hem ook niet meer wijzigen..

RobertMe

Yubico

@HakanX • 11 november 2020 12:10

Hoe bedoel je dit? Bedoel je met het vinden de fysieke afdruk (die op het apparaat achter zal blijven door aanraken), of de digitale opslag? In het laatste geval: er wordt geen "foto" van de vingerafdruk opgeslagen, maar een unieke code gebaseerd op de afdruk, het is dus niet zo dat je de foto kunt "uitlezen". En qua "hergebruik" van een vingerafdruk door hem bv met een folie en wat poeder over te zetten zijn er volgens mij ook wel wat manieren om dat te voorkomen (bv detecteren van doorbloeding).

Daarnaast is de YubiKey niet letterlijk een wachtwoord, maar zit er meer in/achter. Bv de FIDO2 standaard zoals die nu op het web wordt uitgerold (en dus al ondersteund worden door bv een Google) werkt met public/private key cryptografie. Bij het instellen wordt eenmalig een public/private key pair gegenereerd door de YubiKey zelf. De private key slaat die op in de hardware, en de public key wordt doorgegeven naar de website. Bij volgende inlogpogingen stuurt de website een unieke code, die wordt doorgezet naar de YubiKey, die, na bevestiging (oude versie "druk op de knop" deze Bio dan via vingerafdruk), die vervolgens die unieke code versleuteld met de private key die bij die website hoort. Vervolgens wordt dat versleutelde resultaat weer terug gestuurd naar de website, waarna de website op basis van de eerder ontvangen en opgeslagen public key de versleuteling er weer vanaf kan halen en kan controleren of het resultaat daarvan weer gelijk is aan de unieke code die die aan het begin van de procedure stuurde.
Het "lekken" van een vingerafdruk is dus alleen een probleem op het moment dat een kwaadwillende ook toegang heeft tot je YubiKey (en in het geval ook nog eens je traditionele gebruikersnaam en wachtwoord weet). En op het moment dat je erachter komt dat je YubiKey kwijt is kun je (via alternatieve login methode / backup YubiKey / ...) ook nog op die websites inloggen en de verloren YubiKey verwijderen.

ari3 @RobertMe • 11 november 2020 13:07

Het apparaat zal inderdaad een hash van de foto opslaan. Voordat je een hash kunt bereken moet de vingerafdruk wel gedigitaliseerd worden. Dit betekent dat er in het geheugen van de Ubikey (tijdelijk) een bitmap staat van de vingerafdruk die potentieel (door bijv. gehackte firmware) onderschept kan worden en via de USB poort uitgelezen kan worden. Nu zal Ubikey wel zeggen dat dit niet mogelijk is, maar zulke claims zouden eigenlijk onafhankelijk getoetst moeten worden om geloofwaardig te zijn.

Het gebruik van vingerafdrukken voor authenticatie blijft om deze reden een slecht idee. De foto van jouw vingerafdruk hoeft maar één keer te lekken om hem de rest van je leven onbruikbaar te maken.

[Reactie gewijzigd door ari3 op 22 juli 2024 21:24]

RobertMe

Yubico

@ari3 • 11 november 2020 13:17

door bijv. gehackte firmware

De vraag is natuurlijk of dat kan. Want er is geen firmware upgrade mogelijkheid. In die zin zal het dus ook knap lastig zijn om een andere, gehackte, firmware er op te zetten. Daarnaast zou het ook best kunnen dat de scanner (incl. opslag van de hash van de vingerafdruk) weer losgekoppeld zijn van de microcontroller die gebruikt wordt voor USB, opslag van FIDO sleutels, GPG etc. Dan wordt het sowieso al een stuk moeilijker om überhaupt aan de vingerafdrukscanner te komen. Hetzelfde als dat het ook bij laptops en telefoon werkt, de vingerafdrukscanner hebben hun eigen opslag van de vingerafdruk(hashes) etc waardoor het een stuk moeilijker is om daar toegang toe te krijgen. Het is echt niet zo dat je in Windows even een bestandje terug vind waarin de hash(es) van vingerafdrukken staan. Dat zit allemaal ingebakken in een stukje hardware dat hoort bij de vingerafdrukscanner en strict gekoppeld is.

Dus ja, natuurlijk opent het een beveiligingsrisico, maar de kans op (actief) misbruik lijkt mij heel dicht bij 0 te liggen.

royalt123 11 november 2020 11:55

Ik wacht hier al een tijdje op! Laat ze maar snel uitbrengen

Justevo 11 november 2020 12:18

Elke keer zo op de bovenkant drukken als ie in de USB poort van je laptop zit? Dat kan nooit lang goed gaan. Je ziet hem in het filmpje ook al licht buigen.

ap3nr0ts

11 november 2020 12:39

Waarschijnlijk een domme vraag, maar stel dat ik dit ding wil gebruiken voor mijn Windows 10-pc met lokale account. Kan ik hem dan gewoon in mijn usb-poort steken, mijn vinger erop leggen, en Windows zo verder automatisch laten inloggen? Dat zou ik wel een praktische security layer vinden.

GekkePrutser

Yubico

11 november 2020 12:43

Tja, ze lopen al een jaar plaatjes te tonen. (Hier wat plaatjes uit November 2019, MS Ignite). Edit: Oh die was ook genoemd in het artikel zie ik. Alleen nu zijn het geen renders meer. Nou, na meer dan een jaar mag dat ook wel

Ik wacht hier al lang op.

Kom eens met prijs/beschikbaarheid. Yubico was vroeger een dynamisch bedrijf dat snel kon schakelen maar nu worden ze traag en log. Jammer. Het is dat de concurrenten niet zulke gelikte software hebben voor prive gebruikers anders was ik al overgestapt.

[Reactie gewijzigd door GekkePrutser op 22 juli 2024 21:24]

Op dit item kan niet meer gereageerd worden.

Yubico toont USB-C-variant van YubiKey Bio met vingerafdrukscanner

Lees meer

Kingston Ironkey VP80ES Review

Beveiligingssleutels onder de loep

Reacties (65)

Sorteer op:

Weergave: