YubiKeys met 5.7-firmware kunnen dubbel zoveel totp-tokens opslaan

Yubico is begonnen met de verkoop van beveiligingssleutels met nieuwe firmware. Die nieuwe firmware is beschikbaar op de YubiKey 5-serie en kan in totaal 190 credentials opslaan, waaronder dubbel zoveel totp-codes. Ook zitten er verbeteringen in zoals sterkere pincodebeveiliging.

Yubico verkoopt voortaan zijn recentste YubiKeys uitsluitend met de YubiKey 5.7-firmware, schrijft het bedrijf. Dit geldt voor alle YubiKeys in de 5-serie, zowel met USB-A- als USB-C-aansluiting, evenals voor de oudere Security Keys. Ook de Enterprise Editions-sleutels krijgen ondersteuning voor de nieuwe firmware.

De grootste veranderingen zitten in de firmware voor de YubiKey 5-modellen. Daar komt onder andere verbeterde pinbeveiliging op. Zo kunnen organisaties in de toekomst sterke pincodes afdwingen of bepaalde instellingen, zoals makkelijk raadbare pincodes als '1234', verbieden. Ook komt er voor zakelijke gebruikers attestation op de sleutel te staan, zodat beheerders de sleutels kunnen volgen en kunnen afdwingen dat gebruikers alleen sleutels gebruiken die door de organisatie worden uitgegeven.

De mogelijk belangrijkste wijziging is dat de sleutels meer credentials kunnen opslaan. Het aantal passkeys gaat omhoog van 25 naar 100. De opslagcapaciteit voor tokens voor time-based one-time passwords verdubbelt van 32 naar 64. Verder kunnen gebruikers 24 PIV-certificaten opslaan. De sleutels krijgen ook ondersteuning voor sterkere RSA-keys, waaronder RSA-3072, RSA-4096, Ed25519 en X25519.

Reacties (59)

Echnon 22 mei 2024 10:40

Voordat iemand het vraagt:

Yubico periodically updates the firmware to take advantage of features and capabilities introduced into the ecosystem. YubiKeys are programmed in Yubico’s facilities with the latest available firmware and once programmed cannot be updated to another version. The firmware cannot be altered or removed from a YubiKey.

Waarom ze dan de naam van het product zelf niet veranderen is mij ook niet helemaal duidelijk.

Zezura @Echnon • 22 mei 2024 10:42

Dus je kan zelf de firmware niet updaten?
Dan had ik idd gewoon de naam veranderd of versie nummer.

Llopigat @Zezura • 22 mei 2024 10:45

Niet meer. Dat kon met de Yubikey Neo (3) origineel wel maar er werd op een gegeven moment een kwetsbaarheid ontdekt waarbij ze die functie bij latere versies van de Neo weg hebben gelaten.

Stom genoeg bleek juist bij de Neo een enorme kwetsbaarheid te zitten waarbij hij acties zelfs zonder ingegeven pincode uit kon voeren in sommige applets (OpenPGP als ik het me goed herinner) waardoor je hem gratis om kon ruilen omdat je die dus zelf niet meer kon updaten. De latere 4 en 5 hebben dus nooit updatebare firmware gehad. En van de Neo alleen de eerdere versies.

Al denk ik dat deze nieuwere versies ook gewoon meer opslag hebben. Al die extra slots komen niet uit het niets natuurlijk. Ik vind ook dat ze gewoon een nieuwe naam zouden moeten gebruiken want nu weet je niet wat je precies koopt.

[Reactie gewijzigd door Llopigat op 22 juli 2024 21:24]

schraal

@Llopigat • 22 mei 2024 11:45

Ik vind ook dat ze gewoon een nieuwe naam zouden moeten gebruiken want nu weet je niet wat je precies koopt.

Als je via Yubico zelf bestelt, dan vindt je bij de specificaties wel de informatie waaraan je kunt zien dat je de nieuwste versie koopt (met firmware 5.7). Maar dat is niet bij alle shops zo inderdaad.
En achteraf kun je het zien door in de app bij de kenmerken van de ingelogde sleutel te kijken.

Llopigat @schraal • 22 mei 2024 12:10

Ja ik weet dat je dat in de software kan zien. Maar in dit geval is het verschil zo groot (met name de 25 passkeys waren echt een beperking) dat ik niet snap dat ze er niet gewoon een nieuw labeltje "yubikey 6" aan hangen. Dan is het ook bij derde verkopers gewoon duidelijk. Ik koop ze zelf meestal via Amazon.

Overigens is yubico pas helaas overgenomen door een investeringsmaatschappij dus ik ben een beetje bang dat er op een gegeven moment abonnementen vereist gaan worden. Dat soort maatschappijen zijn daar namelijk dol op. Maar het is nog niet gebeurd in elk geval en op de bestaande keys kunnen ze dat ook niet doen. Dus geen reden om ze niet te kopen, het is wel iets dat ik mee zou nemen in de overweging als ik nu nog in het ecosysteem zou stappen. Met name op het gebied van diensten.

[Reactie gewijzigd door Llopigat op 22 juli 2024 21:24]

Bor Coördinator Frontpage Admins / FP Powermod @Zezura • 22 mei 2024 11:40

Dus je kan zelf de firmware niet updaten?

Vanuit security oogpunt kan je de firmware van een Yubikey niet updaten. Yubikeys werken al jaren met versies. Heb je echt een andere firmware versie nodig dan zit er niets anders op dan een nieuwe te kopen.

latka @Bor • 22 mei 2024 12:51

Klinkt toch meer als een planned obsolescence model... Vanuit security oogpunt niet kunnen updaten is wel behoorlijk dubieus.

Bor Coördinator Frontpage Admins / FP Powermod @latka • 22 mei 2024 12:53

Dat is helemaal niet dubieus. Wanneer je de firmware niet kan programmeren kan je deze ook niet aanpassen met kwaadaardige bedoelingen. Dit is al een hele lange tijd zo. Zie ook Llopigat in 'YubiKeys met 5.7-firmware kunnen dubbel zoveel totp-tokens opslaan'

rko4u @Bor • 22 mei 2024 16:02

Daar hadden sommige sticks (en kaartjes) vroeger van die kleine schakelaartjes voor, zodat je niet kon schrijven wanneer dat niet gewenst was. Nu je de firmware niet kan updaten, kan je ook beveiligingslekken niet dichten.

Hermy4321 @Bor • 22 mei 2024 16:03

blijft dubieus, ik update niet een ander toch...

latka @Bor • 22 mei 2024 16:19

En wat dan met je TPM chip op je mobo waar je de bios van kunt flashen. Het klinkt heel erg als security through obfuscation. Ik snap dat het moeilijker is, maar het kon eerst wel, toen hack en nu niet meer. Dat klinkt echt heel erg als Excel management en verplicht vervangen omdat we niet weten wat we doen.

RobertMe

Yubico

@Zezura • 22 mei 2024 11:41

Nee, het niet kunnen updaten van de firmware is uit veiligheid. Naast dat er ook weer beveiligingsproblemen kunnen zitten in het update proces opent het ook de deur voor malafide firmwares die de data op de key kunnen uitlezen. Daarom dat YubiKey deze functionaliteit niet heeft.

latka @RobertMe • 22 mei 2024 12:51

"het niet kunnen updaten van de firmware is uit veiligheid" dat zou Microsoft ook graag doen: nee, windows update kan niet, want dat is niet veilig.

Bor Coördinator Frontpage Admins / FP Powermod @latka • 22 mei 2024 16:35

Je trekt het hier in het belachelijke, dat is echt niet nodig. Een Windows installatie is wel heel wat anders dan een security key / token. In die wereld is het helemaal niet raar dat firmware niet te updaten is. Hoeveel hardware tokens / TOTP generatoren ken jij waarbij dat wel kan? Elke extra mogelijkheid is een potentieel aanvalsoppervlak. Niet kunnen updaten hoeft geen issue te zijn wanneer je weet wanneer je keys moet blokkeren en vervangen.

[Reactie gewijzigd door Bor op 22 juli 2024 21:24]

avlt @Echnon • 22 mei 2024 12:01

Hoe zit het met backup? Wat me tegenhoudt om zo'n ding te gebruiken is de kwetsbaarheid. Wat als ik hem verlies of hij raakt defect.

lilmonkey

@avlt • 22 mei 2024 12:17

Daarom altijd een tweede hebben en alles dubbel registreren. Helaas zijn er nog services waar je er maar één kan toevoegen (*kuch*LastPass*kuch*).

lowfi @lilmonkey • 22 mei 2024 16:38

Wie gebruikt dan ook (nog) lastpass. Die zijn al zo vaak de fout in gegaan.

lilmonkey

@lowfi • 22 mei 2024 16:57

De manier waarop ze op incidenten hebben gereageerd is zeker niet prijzenswaardig maar dat neemt niet weg dat er tot nog toe, ondanks alle indicenten, nog steeds geen wachtwoorden zijn prijsgegeven. Dus ergens spreekt dat ook gewoon vóór ze.

Loekie

@lilmonkey • 22 mei 2024 15:03

Wb Lastpass is dat niet meer: ik heb er atm 3 gekoppeld.

lilmonkey

@Loekie • 23 mei 2024 22:32

Top, goed om te weten.

beerse @avlt • 22 mei 2024 16:07

Zie de yubikey als een wachtwoord. Als je die kwijt raakt...

Zie het iets eenvoudiger: De yubikey is een factor in de multi factor authenticatie. Als je die goed/netjes inricht zou iedere factor een methode moeten hebben om issues te omzeilen. Dat hoeft geen backup te zijn, dat kan ook een andere stapel factoren om te authenticeren.

Concreet zie ik de passkey die je via je eigen computers (ios, android en zo) kan configureren als alternatief/backup voor passkey. Of andersom natuurlijk.

Bor Coördinator Frontpage Admins / FP Powermod @avlt • 22 mei 2024 16:36

Hoe zit het met backup? Wat me tegenhoudt om zo'n ding te gebruiken is de kwetsbaarheid. Wat als ik hem verlies of hij raakt defect.

Een backup maken is niet mogelijk. De security info kan niet van de key gehaald worden (veiligheid). Je dient daarom altijd zelf zorg te dragen voor een fallback mogelijkheid, bijvoorbeeld een 2e key die je op een veilige plaats bewaard.

RiDo78 @avlt • 22 mei 2024 17:59

Zoals hieronder al gezegd, een backup maken is niet mogelijk en je kunt het beste een reservekey hebben.

Er zitten verschillende functies op een Yubikey die redelijk onafhankelijk van elkaar zijn en ze zijn ook niet allemaal via de grafische Yubico software ontsloten; die zijn vooral voor professionele gebruikers en/of zakelijke omgevingen.

Een van die functies is bijvoorbeeld dat de Yubikey *zelf* in staat is om een private-key te maken, bijvoorbeeld voor PGP/GPG. Die private key die zal dan nooit de Yubikey verlaten, maar je kunt er natuurlijk wel een challenge naar sturen om te kijken of de private-key bij de public-key past. Voor deze door de key zelf gegenereerde private-key is het ook mogelijk om een attestation van de key te krijgen waarmee de key 'bewijst' dat de private-key nooit de Yubikey verlaten heeft. Met andere woorden, er is maar één kopie van die private-key in omloop.

Het feit dat je geen backups van deze keys kunt maken is dus 'works as designed'.

Sterker nog, als jij bijvoorbeeld je Apple account wilt beveiligen met Yubikeys (of andere soortgelijke hardwaretokens), heb je er meerdere (minimaal 2) nodig anders kom je nieteens door de setup heen. Zo dwingen partijen je om te zorgen dat je een backup hebt. Raak je (bijvoorbeeld door een brand) ineens al je Apple apparaten kwijt? Dan heb je een van de hardware-tokens nodig om weer in te loggen op je Apple account. Dus het is ook niet handig om alle tokens op dezelfde plaats te hebben.

In mijn geval heb ik 4 keys:
- Black (privé, aan mijn sleutelbos)
- Orange (zakelijk, in mijn kluisje op het werk)
- Blue (van mijn vrouwtje, aan haar sleutelbos)
- Red (In een lade thuis).
Dus:
Op mijn werklaptop en -accounts werken de Orange en de Black keys
Op mijn prive apparaten en -accounts werken de doorgaans Black en Red keys en voor de belangrijkste accounts werken alle keys.
Op mijn vrouw haar apparaten werken Blue en Red en voor de belangrijkste accounts werken ook alle keys (ja, ook die van mijn werk).

Dus een backup maken kan weliswaar niet, maar je kunt in de meeste gevallen wel meerdere keys gebruiken. En dat... is best logisch. De ketting is immers zo sterk als de zwakste schakel.

Tweaker36 @Echnon • 22 mei 2024 10:43

Dankjewel, die info miste ik in het artikel.

Ergens begrijpelijk dat de firmware van deze security keys niet zelf te updaten valt, maar het zou wel zo handig zijn als ze er dan een revisie nummer aan toekennen, zodat je exact weet welke key wat kan.

Meneer Den Uyl @Tweaker36 • 22 mei 2024 15:40

Bijvoorbeeld een revisienummer als 5.7?

lenwar

22 mei 2024 10:50

De sleutels krijgen ook ondersteuning voor sterkere RSA-keys, waaronder RSA-3072, RSA-4096, Ed25519 en X25519.

Eigenlijk is het vreemd dat ze dit nu pas implementeren. Dit soort sleutels worden op allerlei plaatsen gebruikt, waar ze allang formeel de 'voorkeur' of 'eis' hebben voor 4k-sleutels wanneer RSA gebruikt wordt, of sterker nog, waar hogere elliptic curve als voorkeur/eis is.

Maar goed. Beter laat dan nooit zeggen we maar

Ik heb een tijdje terug bij Tweakers een Yubikey gewonnen. (Omdat de eigenlijke winnaar hem niet wilde, omdat hij niet lang daarvoor ook a iets had gewonnen. Nogmaas bedankt!!) Wat me opviel, was hoe weinig diensten de Yubikey ondersteunen.
Works with Yubikey. Niet zo zeer de schuld van Yubico natuuriljk, maar eigenlijk wel jammer, want het zijn echt hele geinige apparaatjes.

Tralapo @lenwar • 22 mei 2024 11:28

Ik gebruik ze eigenlijk voornamelijk voor reguliere 2FA met de bekende codes in combinatie met Yubico Authenticator. Dat komt nog uit de tijd dat Google Authenticator niks kon synchroniseren en ik een week bezig was met toegang krijgen tot mijn accounts nadat mijn telefoon er spontaan mee ophield.

Recent ben ik bezig met passkeys, maar de capaciteit op de keys was daar tot nu echt te laag voor.

[Reactie gewijzigd door Tralapo op 22 juli 2024 21:24]

lenwar

@Tralapo • 22 mei 2024 11:34

Ik vind persoonlijk juist dat stukje (het gebruik icm Yubico Authenticator) juist weer zo'n net-niet-oplossing. Dan heb je een stukje crypto-hardware in handen waar je echt hele leuke dingen mee kan doen, en dan gebruik je het als sleutel naar een app, waar je TOTP uit vist.

Goed dat het kan hoor, maar het voelt een beetje alsof we dan bewust niet de mogelijkheden/capaciteit van de hardware gebruiken.

Ik heb zelf m'n TOTP-codes in m'n password-vault (enpass) zitten. Daar is natuurlijk best wel wat op aan te merken. Als iemand m'n telefoon heeft, hem kan deblokkeren en ook nog in m'n Enpass komt, dan kan ie gelijk overal bij. Als dit gescheiden is, is dat natuurlijk wel beter, maar of ik dan Yubico Authenticator of een andere app gebruik, maakt dan ook niet heel veel meer uit. (gezien ik m'n Yubikey toch altijd in de buurt van m'n telefoon moet houden voor dagelijks gebruik).

Ultraman Moderator VB @lenwar • 22 mei 2024 11:47

Je kunt die Yubico Authenticator ook op je PC draaien. Yubikey in USB slot en je kunt de keys op de PC zelf copy-pasten. En dan kun je zelfs verder gaan met een browser Add-on waarmee net als een password manager je de OTP zo kunt laten invullen.

Tralapo @Ultraman • 22 mei 2024 12:40

Ik heb een Nano vast in mijn PC zitten voor deze use-case. Misschien niet echt de bedoeling, maar als ze erbij kunnen zijn ze ook al ongeoorloofd in mijn huis.

SirLenncelot @lenwar • 22 mei 2024 11:47

De TOTP op de key is dan ook alleen voor als een platform de key-functionaliteit niet ondersteund. En helaas zijn er dat nogal wat. Wat ik hierin vooral mis is een makkelijke manier om meerdere keys te synchroniseren. Zo heb ik een backup key en voor de TOTP moet ik die altijd apart instellen. Elke maand krijg ik een reminder om dit te doen, en dan kopieer ik de seeds er naartoe. Maar daar zou toch een fijnere functie voor kunnen bestaan. Twee keys in een apparaat en dan syncen ofzo.

RobertMe

Yubico

@lenwar • 22 mei 2024 11:47

en dan gebruik je het als sleutel naar een app, waar je TOTP uit vist

Dit is niet waar. De secret op basis waarvan de TOTP wordt gegenereerd staat in de YubiKey en de YubiKey genereert dus ook alle TOTP codes. De YubiKey is dus geen sleutel om de authenticator app te ontgrendelen, maar het opslagapparaat.
Waarbij het dus ook prima mogelijk is om dezelfde YubiKey op meerdere apparaten te gebruiken en dus overal de (zelfde) TOTP codes er uot te halen.

Blijft uiteraard wel staan dat de YubiKey een veel capabeler apparaat is dan alleen maar TOTP codes te genereren, daar niet van. Maar het ding zelf ondersteund (ook) echt TOTP, en het is dus geen sleutel die alleen maar toegang verleend tot de Authenticator app (waarbij de opslag in de app zou zitten).

lenwar

@RobertMe • 22 mei 2024 12:12

Je hebt gelijk. Ik verwoorde mezelf heel rot (tot op het niveau dat het zelfs niet klopte

). De tokens worden inderdaad op de key opgeslagen en ze komen beschikbaar via de Yubico-app.

Het OS haalt de data uit de app (om te kunnen copy-pasten), de app haalt de data uit de key.

Maar je bevestigd wel precies mijn punt. Die YubiKey kan echt heel interessante dingen. En dan slaan we er (even kort door de bocht) een handje vol TOTP-secrets in op

. 64 secrets is theoretisch heel weinig, maar gezien hoe weinig webdiensten TOTP gebruiken zou dit denk ik wel voor de meeste gebruikers voldoende kunnen zijn.

Tralapo @lenwar • 22 mei 2024 12:39

Nee uiteraard eens, waar het kan gebruik ik de key zelf als 2FA. Maar t.o.v. TOTP zijn die plekken schaars.

Haribo112 @lenwar • 22 mei 2024 10:58

Het begint wel steeds meer te komen. Inmiddels gebruik ik mijn Yubikey voor mijn zakelijke Microsoft account, Nextcloud, Bitwarden, Cloudflare, SSH-toegang tot servers, en Gitlab. Bijna mijn hele zakelijke 'software stack' kan er mee overweg.

lenwar

@Haribo112 • 22 mei 2024 11:29

Klopt. Het wordt wel beter, maar het blijft voornamelijk bij wat functioneel 'technische diensten'. Als je kijkt naar m'n linkje (Works with Yubikey), dan zie je vooral 'technische' zaken, zoals je zelf ook al noemt.

Dit zorgt er dan voor dat het voornamelijk bruikbaar wordt voor zakelijk gebruik.

Wat ik mis, is de mogelijkheid om het mechanisme 'overal' te kunnen gebruiken. Dus bol.com, tweakers.net, ns.nl, m'n bank, enz.

FitTiv @lenwar • 22 mei 2024 11:56

Yubikey ondersteunt Chrome (helaas geen FF), waarmee je met je Yubi ala een hoofdwachtwoord je browserpasses kan unlocken. Dan ben je gedekt voor websites.

lenwar

@FitTiv • 22 mei 2024 12:04

Nou nee. Dan zijn met website-accounts nog steeds 'slechts' beveiligd met een gebruikersnaam en wachtwoordcombinatie. Ik kom alleen zelf wat moeilijker bij die wachtwoorden.

Die Yubikey kan als inlogmethode of als tweede factor worden gebruikt voor o.a. webdiensten. En het is jammer dat het zo weinig wordt gebruikt voor generieke diensten.

MetalSonic 22 mei 2024 11:00

Hier gebruiken we ook de Yubikey. Heb nu ééntje met USB C en ééntje USB B. Je moet de code invullen en je moet dat ding aanraken. Helaas is het heel simpel want het herkend geen vinger afdruk. Jij kan de core invullen en een collega kan het aanraken en dan zit je in het systeem.

gimbal @MetalSonic • 22 mei 2024 11:13

Yubikey Bio heeft wel ondersteuning voor die vingerafdruk, overigens. Het gaat wel ver, voor de meeste mensen is het "je moet iets weten en je moet iets hebben" genoeg - de standaard yubikeys voldoen daar prima aan. De bio is goed voor systemen waar toegang echt hard een audit trail moet opleveren. Medische systemen bijvoorbeeld.

CH4OS @MetalSonic • 22 mei 2024 11:13

USB-B? Ik neem aan dat je USB-A bedoelt, gezien USB-B nauwelijks meer gebruikt wordt (werd meestal bij scanners en dergelijke grotere apparaten gebruikt).

beerse @CH4OS • 22 mei 2024 16:12

usb-a is voor de computer kant, usb-b voor de kant van het randapparaat. Zie Wikipedia: USB hardware. Hier wordt ongetwijfeld usb-b-mini of usb-b-micro bedoeld voor aansluiting op mobiele telefoon bijvoorbeeld.

RobertMe

Yubico

@MetalSonic • 22 mei 2024 12:25

Het doel van YubiKey is niet om alle in een keer af te dekken. Er zijn 5 mogelijke factoren. Kennis, bezit en "wat je bent".

Kennis is bv een gebruikersnaam en wachtwoord, of een pincode.
Bezit is bv een hardwaretoken, of iets gekoppeld aan / opgeslagen op zeg een telefoon.
"Wat je bent" is biometrie dus vingerafdruk, gezichtsherkenning.

De YubiKeys zijn dus voor de "bezit" factor. Je toont hiermee aan dat je in het bezit bent van een geautoriseerd apparaat.
Met de (optionele) pincode autoriseer je eigenlijk het gebruik van de YubiKey, middels de factor kennis.
Waar jij naar vraagt is de factor "wat je bent", en die zit er niet op (behalve de Bio dan).

Maar de vraag is ook min of meer of je dat allemaal op een hardware token generator moet hebben. Immers zou je de factoren ook kunnen afdekken op de plek waar je het gebruikt. Als je op een website inlogt middels passkeys met de YubiKey als passkey device dan is het v.w.b. de website nog steeds 1FA (bezit van...). Onafhankelijk van hoe "zwaar" de YubiKey beveiligd is.
Als je zowel bezit als "wat je bent" wilt testen zou je dat op die website(s) / ... dus ook als twee onafhankelijke stappen kunnen instellen. Waarmee je dus ook beschermd blijft als een van de factoren "lekt".

The Zep Man @RobertMe • 22 mei 2024 12:34

Het doel van YubiKey is niet om alle in een keer af te dekken. Er zijn 5 mogelijke factoren. Kennis, bezit en "wat je bent".

Kennis is bv een gebruikersnaam en wachtwoord, of een pincode.

Een gebruikersnaam is geen authenticatiefactor. Het is een identificatiefactor die vervangen kan worden (zoals door wat in de WebAuthn-standaard ondersteund wordt maar wat nauwelijks gebruikt wordt). "Wachtwoord of een pincode" zijn wel mogelijke authenticatiefactoren.

[Reactie gewijzigd door The Zep Man op 22 juli 2024 21:24]

rbr320 @The Zep Man • 22 mei 2024 21:02

Vanwege de komma in de zin mag aangenomen worden dat je de zin moet lezen als "(gebruikersnaam en wachtwoord) of (een pincode)"

RefriedNoodle @RobertMe • 24 mei 2024 00:13

Er zijn 5 mogelijke factoren. Kennis, bezit en "wat je bent".

Bedankt voor je heldere uitleg! Maar je noemt er maar 3 van de 5. Ik was toch even benieuwd en na wat gegoogle kwam ik hier uit, wat ik ook wel een heldere (ook voor security-leken) uitleg geeft.

4 en 5 zijn (volgens die site) "waar je bent" (geofencing, IP-adres validatie) en "gedrag" (zoals keystrokes en muisbewegingen). Bedoelde je die?

Magnum1982 22 mei 2024 14:37

Ik wist niet dat die beperking erop zat. Met de huidige/vorige firmware zit je dan toch wel met een beperking, ik kan me best inbeelden dat 85 best laag is, en dat een groep gebruikers hier tegenaan kan lopen. Spijtig dat je dan diezelfde key, die hardwarematig wél capable is, niet kan upgraden.

macfreak1306

22 mei 2024 15:23

Ojee geen idee hoe ik heb gemist dat er maar een beperkt aantal passkeys kunnen worden opgeslagen op mijn 2 keys, ook al is het wel logisch als je erover nadenkt haha. Gelukkig heb ik voor nu nog 6 slots over, en het lijkt erop dat deze voorlopig niet gevuld zullen worden voor mij persoonlijk. Te weinig sites die ik gebruik ondersteunen passkeys.

Inderdaad wel jammer dat het bij de derde partij verkopers, waaronder de officiele die op de Yubikey site zelf genoemd worden niet aangeven welke versie van de firmware je koopt. Heeft iemand hier ervaring met het bestellen bij Yubikey zelf naar Nederland? Wat zijn de levertijden en met welke vervoerder komt 'ie deze kant op?

mutley69 22 mei 2024 21:38

Yubico firmwares nog altijd niet updatebaar? Dat wil zeggen sleutel binnen sturen, om een upgrade te krijgen? Dan moet ik die Yubico sleutel gewoon niet. Dat ze maar 's kijken naar de open-bron alternatieven die kunnen dat al lang (zij het dat ze wat minder features hebben)!

sdziscool @mutley69 • 23 mei 2024 00:32

Updatebare firmware is een heel groot security risk/probleem. Probeer maar een structuur te vinden waardoor alle yubikeys geupdate kunnen worden, maar alleen met officiële firmware.

Wat er gebeurt is dat er altijd ergens een losse sleutel (of meer) ergens centraal bij yubikey terechtkomt die iedereen die ooit bij die key kon/kan komen volledig toegang geeft tot alle yubikeys dmv een firmware update. Veel schadelijker dan ze gewoon as is leveren.

jaenster

@reinier666 • 22 mei 2024 10:44

Mocht je na het googlen denken "JA! Dit is de oplossing".
Zorg dat je er twee haalt, als er een stuk gaat heb je best wel een probleem.

Ypho @jaenster • 22 mei 2024 11:04

Ter aanvulling, je kunt dus NIET je ene YubiKey klonen naar een tweede (behalve TOTP, static password en de challenge-response). Het idee is dus dat je beide YubiKeys registreert als device om aan te melden (bv GitHub). Dus twee losse keys die je registreert. Als dan een van de twee stuk gaat, kun je de tweede nog gebruiken.

gimbal @Ypho • 22 mei 2024 11:09

Dat is nog steeds niet het hele verhaal; 1 hou je op zak en 1 stop je in je kluis die je natuurlijk niet hebt

Maar het gaat om het idee. Berg de tweede ergens veilig op.

Spac3ko3k @reinier666 • 22 mei 2024 10:47

Dat staat eigenlijk in de eerste zin, een beveiligingssleutel.
Je kan als ik correct ben die stick gebruiken om op je pc, bepaalde applicaties of websites in te loggen.

Anoniem: 718943 @reinier666 • 22 mei 2024 10:51

Toch, die dingen bestaan al meer dan 15 jaar. Ik vraag me altijd af, bij sites met een specifiek domein, welke aanname je kunt doen, als het gaat om de kennis van je publiek.

gevoelig @Anoniem: 718943 • 22 mei 2024 17:36

Tja ik ben het wel eens met de poster. Ik snap je hoeft niet alles uit te leggen. Maar kan het zelf een korte inleidende uitleg wel waarderen. Eén of twee zinnen kan ik prima overheen lezen als ik de kennis heb.

Daarbij bestaan ze al 15 jaar maar pas sinds een paar jaar meer onder de aandacht. En nog steeds niet genoeg voor het grote publiek.

Llopigat @reinier666 • 22 mei 2024 10:52

Een Yubikey is een hardware token om je aan te melden en digitale sleutels op te slaan.

Op dit item kan niet meer gereageerd worden.

YubiKeys met 5.7-firmware kunnen dubbel zoveel totp-tokens opslaan

Lees meer

Reacties (59)

Sorteer op:

Weergave: