Yubico begint met leveren verbeterde Yubikey Bio met ruimte voor meer passkeys

Yubico is begonnen met het leveren van een verbeterde Yubikey Bio. Deze krijgt de nieuwe firmwareversie 5.7 en biedt onder andere meer ruimte voor passkeys. De securitykey komt beschikbaar in USB-A- en USB-C-varianten.

Yubico noemt zijn nieuwe securitykey de YubiKey Bio FIDO Edition. De fabrikant zegt in een bijgewerkte blogpost dat deze vanaf nu wordt geleverd aan klanten. De USB-A-variant kost op de website van Yubico 108,90 euro inclusief btw, terwijl de prijs van de USB-C-versie op 114,90 euro inclusief btw ligt.

De voornaamste toevoeging aan de nieuwe Bio-varianten, is de upgrade naar firmwareversie 5.7. Daardoor krijgen ze meer opslagruimte voor credentials. Gebruikers kunnen bijvoorbeeld tot 100 passkeys opslaan op een enkele beveiligingssleutel, waar dat er voorheen nog 25 waren. Net als de voorgaande YubiKey Bio, biedt deze nieuwe variant geen totp-ondersteuning voor traditionelere tweefactorauthenticatie.

Firmware 5.7 voert ook verbeterde pinbeveiliging door, waardoor simpele pincodes als '1234' niet meer kunnen worden ingesteld. De nieuwe YubiKey Bio beschikt opnieuw over een vingerafdrukscanner voor biometrische authenticatie.

Yubico bracht eerder al bijgewerkte 5.7-versies van onder meer de YubiKey 5-serie uit. De firmware van YubiKeys wordt in de fabriek geïnstalleerd en kan daarna niet meer worden bijgewerkt. Bestaande sleutels van Yubico krijgen dus geen upgrade naar de nieuwe firmwareversie.

Correctie, woensdag - In het artikel werd eerder vermeld dat de nieuwe YubiKey Bio 'meer ruimte voor (...) totp-credentials biedt'. Zoals ook in het artikel vermeld stond, ondersteunt deze securitykey echter geen totp. Het artikel is hierop aangepast.

YubiKey Bio met firmwareversie 5.7 — Bron: Yubico

Reacties (88)

Taro Moderator General Chat / Wonen & Mobiliteit 13 augustus 2024 21:13

Een maandje geleden 2 YubiKeys gekocht bij een webshop, aangenomen dat ik er 64 keys op kan opslaan zoals in de specs stond en dat aantal heb ik ook wel ongeveer nodig. Ontvang ik ze thuis, zie ik aan een aantal verpakkingsstickers dat het een batch uit begin 2023 betreft, maar toen wist ik nog niet beter en ben doorgegaan met de installatie. Na het aanmaken van +-15 keys zag ik ineens ergens dat er een limit van 32 stuks op zat. Verder onderzoek gedaan en op https://support.yubico.co...-register-my-YubiKey-with terechtgekomen. Daar staat:

YubiKey 5 Series firmware 5.7+
OATH-TOTP - the YubiKey 5's OATH application can hold up to 64 OATH-TOTP credentials (AKA authenticator codes).

YubiKeys 5 Series with firmware 5.0-5.6
OATH-TOTP - the YubiKey 5's OATH application can hold up to 32 OATH-TOTP credentials (AKA authenticator codes).

Ik heb dus inderdaad die met de oudere firmware...

Contact opgenomen met de webshop of ze 2 stuks uit de nieuwe serie willen opsturen, dan kan ik ze direct omzetten en hoef ik niet tijdelijk terug naar een andere oplossing. Dat kan niet, want ze hebben alleen een oude batch met de oude firmware.... Nu kan ik eigenlijk niet anders dan ze direct bij Yubico te bestellen zodat ik zeker weet dat ik de nieuwe firmware krijg, daarna de 15 accounts overzetten en dan de 2 met de oude firmware terugsturen waar ik gelukkig wel mijn geld voor terugkrijg.

Technisch kunnen er prima 64 keys op, maar de firmware is dus niet te updaten. Ik begrijp wel waarom, want dan kan je inderdaad een eigen firmware schrijven die iets met de opgeslagen keys kan doen, maar nu kan je er op rekenen dat iedere oplettende gebruiker geen producten meer uit de oude batch wil hebben en die producten dus uit de roulatie zullen moeten worden genomen. Of mogelijk kunnen ze terug naar Yubico die er wel een nieuwe firmware op kan zetten....

Let dus bij het ontvangen op welke firmware je hebt en open de verpakking niet als je een oude batch hebt en aan 32 keys niet voldoende hebt.

Afijn, wat een gedoe en tijdsverspilling, nou mag ik die websites weer langs om nieuwe passkeys aan te maken. Verder wel een prima product met prima software.

michelr @Taro • 14 augustus 2024 10:01

Goed punt van attentie, zou gewoon keys met geopende verpakking terug sturen (tenzij bedrijfsmatig gekocht) - je hebt als consument gewoon 14 dagen bedenktijd.

Aldy @michelr • 14 augustus 2024 15:40

Als de webshop daarmee adverteert heb je niet alleen als consument het recht om deze terug te sturen, maar ook als het bedrijfsmatig is aangekocht. Dit is wat @Taro schreef: "zoals in de specs stond" en dan ga ik ervan uit dat dit bij het product stond.

slijkie 13 augustus 2024 19:49

Het is ronduit belachelijk wat Yubico doet, in de formfactor zouden er 10.000+ keys op kunnen. Idem met de TOTP secrets.

Dit doen ze puur en zuiver om weer een volgend model aan te kunnen smeren. Zodra er een goed (niet Google) alternatief is voor een hardware key ben over.

laurxp @slijkie • 13 augustus 2024 23:31

Nee, wat belachelijk is, is dat de grote techbedrijven er bewust voor kiezen om hardwaretoken zo lastig mogelijk te maken.

"Passkeys" zijn niks meer dan een FIDO2 implementatie. Het enige verschil is dat er een flag aan is gezet, die het verplicht om wat metadata op de sleutel op te slaan. De reguliere FIDO2-variant slaat deze metadata op de server op. Hierdoor kan een triviale hardwaretoken worden gebruikt op een oneindig aantal websites: in plaats van 1 secret per website, heb je één hoofdsecret dat wordt gebruikt om dynamisch met die metadata de per-website secret te achterhalen.

Op papier lijkt het wellicht alsof Yubikey de klanten oplicht, maar dat is niet het geval. Ze gebruiken speciale security-chips in hun hardwaretokens, en deze hebben nou eenmaal niet zo veel opslagruimte. In tegenstelling tot flashchips is het een héél stuk lastiger om de opslagruimte op deze chips uit te breiden. En voordat Google en Apple begonnen met hun Passkey-campagne om iedereen vast te binden aan hun ecosysteem was dit dus gewoon geen probleem omdat er weinig opslagruimte nodig was!

teek2

@laurxp • 14 augustus 2024 13:36

En als je gewoon je passkeys in Proton Pass of Bitwarden zet en dan die unlocked met je yubikey, is dat niet net zo veilig?

Misschien is er een andere reden dat je dat niet wilt…

CollisionNL @teek2 • 14 augustus 2024 14:48

Dit zou ik ook willen weten! Ik gebruik zelf Bitwarden en wil af van 1 complexe passkey om in te loggen. Wellicht dat de Yubikey icm BW hiervoor inzetbaar is.

Mausssie @teek2 • 14 augustus 2024 14:48

Zou doe ik het nu ook. Ben heel benieuwd of er een 'goede' reden is om dit niet zo te doen.

michelr @teek2 • 14 augustus 2024 18:43

Ik zou nog eens nazoeken wat "device-bound" inhoudt. Als je je passkey in elke willekeurige medium kan opslaan, is er 1) geen controle op cq garanties 2) de mogelijkheid dat je dat ding gaat delen. Dat laatste is nou net niet de bedoeling.

[Reactie gewijzigd door michelr op 14 augustus 2024 18:48]

lowfi @slijkie • 13 augustus 2024 20:07

Gekker/belachelijker vind ik dat de firmware niet geüpdatet kan worden van oude keys…

Llopigat @lowfi • 13 augustus 2024 21:15

Dat kon vroeger wel. Tijdens de Yubikey Neo (Yubikey 3) productie zijn ze daarvan afgestapt.

Heel stom want juist toen kwam er een grote kwetsbaarheid in de OpenPGP applet voor (de pincode werd niet echt geverifieerd dus je kon zonder pincode elke key gebruiken!). En toen hebben ze een heleboel sticks moeten omruilen omdat ze niet meer geupdate konden worden.

Jammer dat ze die functie net hadden verwijderd. Natuurlijk kan je best firmware updates doen op een veilige manier (door die te ondertekenen en de stick te laten valideren voor de update gebeurt).

[Reactie gewijzigd door Llopigat op 13 augustus 2024 23:09]

closefuture @Llopigat • 13 augustus 2024 22:04

Natuurlijk kan je best firmware updates doen op een veilige manier (door die te ondertekenen en de stick te laten valideren voor de update gebeurt).

Dat wil niet zeggen dat het waterdicht is. Wat als de signing key gestolen word? Of er een fout in de implementatie voor de verificatie van ondertekening zit? Etc. Als je helemaal geen updates toestaat dicht je 99% van de mogelijke aanvals invalshoeken.

Llopigat @closefuture • 13 augustus 2024 22:15

Nee maar nu is het ook niet waterdicht want als er nu een vulnerability wordt gevonden kan je je stick weggooien. En niet iedereen weet dat immers. Veel mensen blijven hem gewoon gebruiken omdat ze het nieuws niet volgen. En dat is dus precies wat er gebeurd is.

[Reactie gewijzigd door Llopigat op 13 augustus 2024 23:09]

michelr @Llopigat • 14 augustus 2024 10:05

Bron of is het nog theoretisch?

[Reactie gewijzigd door michelr op 14 augustus 2024 10:06]

Llopigat @michelr • 14 augustus 2024 10:14

https://developers.yubico...dvisory%202015-04-14.html

michelr @Llopigat • 14 augustus 2024 10:20

Ah dat. Was al weer even geleden

Wat Yubico wel doet is "zonder morren" bij zo'n security incident keys kostenloos vervangen.

closefuture @Llopigat • 18 augustus 2024 09:58

Mijn punt is dat het niet zo binair als jij schetst met: "Natuurlijk kan je best firmware updates doen op een veilige manier". Uiteindelijk komt het neer op hoeveel "aanvalsoppervlak" je comfertabel mee bent. En een update mechanisme voegt behoorlijk wat aanvalsoppervlak toe.

Je moet je ook bedenken dat je dat Yubico ook rekening moet houden met fysieke aanvallen zoals side-channel attacks.

RobertMe

Yubico

@lowfi • 13 augustus 2024 20:09

Dat is niet zo gek. Als de firmware geupdate kan worden kan er ook malafide firmware voor uit komen. En "erger", neemt de complexiteit van de firmware dusdanig toe dat ook de kans toeneemt dat gegevens uitlekken of verloren gaan.

Sure, als gebruiker zag ik het liever ook anders. Maar van uit beveiligingsperspectief begrijp ik het wel.

kodak @RobertMe • 13 augustus 2024 20:32

Met het niet kunnen updaten zorgt het bedrijf er omgekeerd net zo goed voor dat gebruikers tekortkomingen krijgen waar het bedrijf geen verantwoordelijkheid voor neemt. En dat lijken ze vooral te doen om proberen te verdienen aan verkoop van compleet nieuwe hardware.

Er zijn daarbij prima veilige manieren te implementeren om wel de firmware bij te werken. Dat doet men zelfs bij veel belangrijkere systemen, juist omdat tekortkomingen in de firmware niet zomaar minder belangrijk zijn dan de kans op malware of fouten bij updaten door de gebruikers of nieuwe hardware willen verkopen.

Patrick1995 @kodak • 14 augustus 2024 00:35

En het creëert ook nog eens allemaal extra e-waste.
Die oude sticks kunnen allemaal de vuilnisbak in...

michelr @Patrick1995 • 14 augustus 2024 10:05

Niet iedereen heeft deze variant nodig. Genoeg toko's waarbij werknemers met een lagere eis aan aantal keys qua opslag uit de voeten kunnen (of dedicated keys voor bepaalde access). Die kunnen prima uit de voeten met de vorige editie.

kodak @michelr • 14 augustus 2024 11:36

Het feit dat gebruikers oude hardware blijven gebruiken is alleen niet slechts door het hebben van lage eisen. Het komt ook neer op onnodig moeten afschrijven, op herhaalde aanschafkosten, op beheerkosten, op onwetendheid, op afval besparen, eisen verlagen enz. Allemaal kenmerken waarbij yubico afdwingt dat als hun oude product niet meer past ze er alleen maar op uit zijn dat je hun nieuwe hardware koopt. En zelfs al wil je dan geen product van yubico meer vanwege hun houding, dan nog zit je met de problemen die yubico voor een groot deel veroorzaakt.

[Reactie gewijzigd door kodak op 14 augustus 2024 11:50]

michelr @kodak • 14 augustus 2024 18:42

Prima, maar ik reageerde op "e-waste". Je zit nu net te doen alsof er een complot zit achter de mogelijkheid firmware niet bij te werken. Er is een legitieme reden dat je die niet kan bijwerken. Dus of wil je veilige passkeys waar je zelf niet aan kan rommelen met op termijn wat afval, of wil je onveilige passkeys? Kies maar.

kodak @michelr • 14 augustus 2024 22:10

Ik stel op geen enkele manier dat het een samenzwering of complot is. Wel dat het bedrijf niet zomaar de beste redenen heeft, zeker aangezien er behoorlijk wat nadelen voor anderen aan hun houding kleven. En of hun houding legitiem is valt sterk te betwijfelen, juist omdat ze zelf geen verantwoording afleggen en de wetgeving zich niet voor niets richt op kunnen updaten.

Aldy @kodak • 14 augustus 2024 15:48

Je zou toch minimaal verwachten dat er beveiligingsupdates opgezet kunnen worden. Hierdoor maak je het gewoon een net zo'n onveilig product als de eerste de beste camera die aan internet hangt en geen updates krijgt.
En voordat iemand schrijft dat de stick niet aan internet hangt, elke keer dat je de stick in een apparaat steekt kan er iets op het apparaat staan waardoor de stick uitgelezen kan worden / onbruikbaar wordt o.i.d.

ibmpc @lowfi • 13 augustus 2024 20:22

Vind ik eigenlijk juist goed. Een firmware upgrade mogelijkheid zou de attestatie ondermijnen.

Bor Coördinator Frontpage Admins / FP Powermod @ibmpc • 13 augustus 2024 21:27

Een firmware upgrade mogelijkheid zou de attestatie ondermijnen.

Waarom en op welke manier? Kan je deze stelling onderbouwen?

!nFerNo @Bor • 13 augustus 2024 21:49

https://www.yubico.com/blog/secure-hardware-vs-open-source/

MrFax @!nFerNo • 14 augustus 2024 01:49

Zorg er dan voor dat je de keys kan omruilen ofzo en dat ze de oude keys zoveel mogelijk recyclen, want dit is geen doen met die e-waste.

Maar toch, een losse device zonder enige vorm voor connectiviteit is toch eigenlijk genoeg? Je zou een camera kunnen inbouwen om makkelijk keys op te slaan in de vorm van QR en voor de rest alles zonder USB data lines (alleen stroom voor opladen?) of Wifi of wat dan ook.

[Reactie gewijzigd door MrFax op 14 augustus 2024 01:52]

!nFerNo @MrFax • 14 augustus 2024 10:00

Je kan ook eens kijken naar Nitrokeys ipv Yubikeys. 't is niet omdat het ene bedrijf aangeeft dat het attestation aantast dat een ander daarin volgt.

Bor Coördinator Frontpage Admins / FP Powermod @!nFerNo • 13 augustus 2024 21:53

Die verschillen ken ik. Ik zie graag een bron waarin de attestation daadwerkelijk wordt aangestipt van rian.

GertMenkel @slijkie • 13 augustus 2024 20:34

Als je een normale flashchip gebruikt wellicht, maar als het goed is zitten de keys in opslag die je niet gewoon kunt uitlezen en dumpen met een Raspberry Pi en vijf draadjes.

Qua alternatieven zijn er genoeg, maar niet iedereen vertrouwt de alternatieven. Verder kun je via CTAP je telefoon voor duizenden keys gebruiken zonder enige account sync, dus iedere moderne telefoon is al een concurrent van ze.

Llopigat @GertMenkel • 13 augustus 2024 23:11

Als je een normale flashchip gebruikt wellicht, maar als het goed is zitten de keys in opslag die je niet gewoon kunt uitlezen en dumpen met een Raspberry Pi en vijf draadjes.

Klopt. In de Yubikey 5 zit alleen een Infineon chip en verder niks (nouja alleen een LED en een NFC booster). Geen aparte flash chip: http://www.hexview.com/~scl/neo5/

Dit is ook een hardened controller: https://www.infineon.com/...ntrollers/?redirId=263775 dus daar kan je zeker niet zomaar wat draadjes aan hangen en de data uit slurpen.

Grappig wel trouwens dat de onderdelen ongeveer $5 kosten en de stick voor 50 wordt verkocht...

Dat is wel heel veel marge.

[Reactie gewijzigd door Llopigat op 13 augustus 2024 23:12]

Bor Coördinator Frontpage Admins / FP Powermod @Llopigat • 14 augustus 2024 09:30

Grappig wel trouwens dat de onderdelen ongeveer $5 kosten en de stick voor 50 wordt verkocht... Dat is wel heel veel marge.

Dit is wel heel kort door de bocht. Sinds wanneer wordt de prijs van een product bepaald door enkel de kosten van de onderdelen? Wat denk je van de kosten van ontwikkeling, testen, certificatie, promotie, goed opgeleid en gescreend personeel etc. Hierna komt de marge nog om de hoek kijken. Het is een commercieel product dus het is min of meer 'wat de klant er nog voor over heeft'.

[Reactie gewijzigd door Bor op 14 augustus 2024 09:41]

nandervv @Bor • 14 augustus 2024 09:40

En ook dat is een beetje de verkeerde manier van er naar kijken. De prijs wordt ge-informeerd door wat de klant er voor wil geven, wat weer afhangt van het aantal goede concurrenten.

Hakker @Bor • 14 augustus 2024 14:55

Valt wel mee ik heb Yubikey 5's voor 12 euro de stuk gekocht bij een promotie en ja zelfs dan maken ze er nog winst op.

Bor Coördinator Frontpage Admins / FP Powermod @Hakker • 14 augustus 2024 15:44

Dat is een heel ander model. De BIO varianten zijn altijd al behoorlijk duurder geweest.

GertMenkel @Llopigat • 14 augustus 2024 11:44

Grappig wel trouwens dat de onderdelen ongeveer $5 kosten en de stick voor 50 wordt verkocht... Dat is wel heel veel marge.

Er zit een hele hoop R&D om de Yubikeys heen in de vorm van software en hun eigen onderzoek naar de veiligheid van die software. Ook wordt er flink geld geïnvesteerd in marketing zodat websites hun keys ondersteunen. Het is niet lang geleden dat naar U2F werd gerefereerd als "inloggen met Yubikey" op diverse websites.

Waar ze het meeste geld aan verdienen moet wel hun reputatie zijn. Iedereen kan een Infineon-chip op een PCB vastmaken, maar toch is het makkelijker je baas te overtuigen dat Yubikey veilig is dan dat LlopigatKey veilig is. Hoe meer bedrijven een goede reputatie voor hun eigen Infineon-keys krijgen, hoe lager de vraagprijs van dit soort hardware zal zijn. Dan moeten er alleen wel concurrerende bedrijven opstarten, en op Nitrokey (die overigens anders werkt intern) na ken ik er geen.

Sebazzz

@slijkie • 13 augustus 2024 20:14

Het is meer belachelijk dat de passkey specificatie dit kennelijk eist. WebAuthn, wat de voorloper is van passkeys, die kon je namelijk oneindig gebruiken met Yubikey, omdat de Yubikey ondertekent waardoor er niets opgeslagen hoeft te worden.

jvd-nl @Sebazzz • 13 augustus 2024 21:18

WebAuthN ondersteunt zowel discoverable als non-discoverable credentials, met elk hun eigen voor- en nadelen.

PassKeys zijn per definitie discoverable. Dit vereist daarmee opslag van een specifieke sleutel.

Llopigat @slijkie • 13 augustus 2024 22:49

Zou me niet verbazen inderdaad. Ze zijn net ook overgenomen door een investeringsmaatschappij en die willen natuurlijk geld retour zien.

Bor Coördinator Frontpage Admins / FP Powermod @slijkie • 14 augustus 2024 09:27

Het is ronduit belachelijk wat Yubico doet, in de formfactor zouden er 10.000+ keys op kunnen. Idem met de TOTP secrets.

Dit doen ze puur en zuiver om weer een volgend model aan te kunnen smeren. Zodra er een goed (niet Google) alternatief is voor een hardware key ben over.

De formfactor is hier toch niet bepalend? Het formaat en de vorm zegt niets over de technische implementatie en de gebruikte chips. Er moet informatie worden opgeslagen bij het gebruik van deze passkeys. De ruimte daarvoor is nou eenmaal beperkt.

Ik zie graag een objectieve onderbouwing van de statement dat men opzettelijk beperkingen implementeert om 'volgend jaar weer een nieuw model aan te smeren'. De meeste tot vrijwel alle gebruikers kopen echt niet elk jaar een nieuwe Yubikey hoor.

sdziscool 13 augustus 2024 20:00

Ben ik te paranoïde als ik zeg dat ik geen fan ben van bio verificatie? Ik hoef maar te liggen slapen en je kan alle spullen unlocken zonder mijn knowledge of consent. Aan de andere kant als bij mij kunnen komen terwijl ik slaap is het waarschijnlijk niet de tijd om me zorgen te maken over digitale veiligheid.

Snow_King

@sdziscool • 13 augustus 2024 20:06

Dat laatste. Want je moet fysiek deze sleutel in handen hebben en ook jou biometrie er bij hebben, dat is best wel complex.

Mijn Google en Microsoft accounts zijn passwordless. Alleen mijn 2 Yubikeys kunnen er in. Die moet je fysiek in handen zien te krijgen. Succes daar mee. Dat doet een hacker uit China of Rusland niet eventjes. Ik ben ook niet belangrijk genoeg om een team op mij af te sturen om mijn Yubikeys te komen stelen.

Mijn iCloud account is ook beveiligd met een Yubikey, zelfde verhaal dus daar. Wil je mijn iCloud in? Sleutel fysiek in handen zien te krijgen!

Ik vind het veel veiliger dan een wachtwoord.

mbhoek @Snow_King • 13 augustus 2024 23:53

Wat is je backup plan voor als je je Yubikey kwijt raakt of stuk gaat?
Dat is namelijk het enige waar ik nog geen goed gevoel bij heb.

Snow_King

@mbhoek • 14 augustus 2024 03:09

Heb er minimaal 2 gekoppeld aan mijn accounts

Bor Coördinator Frontpage Admins / FP Powermod @mbhoek • 14 augustus 2024 09:35

Wat is je backup plan voor als je je Yubikey kwijt raakt of stuk gaat?

Om die reden wordt geadviseerd om altijd minimaal twee keya te hebben. Je loopt daar praxtisch wel tegen een probleem aan gezien diverse diensten niet de mogelijkheid bieden meer dan 1 key te registreren. Ook zie je diverse implementaties die het wel mogelijk maken een key te registreren maar niet de optie bieden om onveiliger opties uit te schakelen. De beveiliging is dan afhankelijk van de minst goede optie.

Er zijn helaas nog steeds diverse technische problemen bij het gebruik van dit soort oplossingen.

daredevil__2000 @mbhoek • 14 augustus 2024 09:44

Ik heb dan ook gewoon 2 Yubikeys gekoppeld staan aan mijn accounts. En voor beheer accounts ligt er altijd nog als backup een break the glas admin account in de kluis.

rr7r @mbhoek • 15 augustus 2024 13:53

Vaak is er dan accountherstelprocedures, bij tenminste Google (ook bij APP) en Apple (herstelcode of herstelcontact), waarmee de beveiligingssleutels niet langer noodzakelijk zijn. De post waarop je reageert is misinformatie. Helaas ben ik de enige die hem -1 heb gegeven.

moonlander @Snow_King • 13 augustus 2024 21:31

Dan wordt er geweld gebruikt, raak je bewusteloos. Gaan de boeven hun gang

Snow_King

@moonlander • 14 augustus 2024 08:03

Die kans is toch wel een heeeeeel stuk kleiner dan een hacker die van achter zijn toetsenbord ergens op wil inbreken

klakkie.57th @Snow_King • 13 augustus 2024 22:45

Het feit dat je het in een pc moet pluggen is defacto al iets wat ik niet vertrouw. Wat als ze je key vervangen door een exact kopie maar dan 1 die malware injecteert op je pc ? Voor je het weet is heel je netwerk geïnfecteerd.

Aangezien velen van ons op de it afdeling van grote bedrijven werken zijn we net het perfecte target

[Reactie gewijzigd door klakkie.57th op 13 augustus 2024 22:46]

RobertMe

Yubico

@sdziscool • 13 augustus 2024 20:13

Waarschijnlijk* kun je ook een pincode instellen op de key. Waarbij in ieder geval afhankelijk van de website / het gebruik het verplicht is om de pincode in te vullen om de key te ontgrendelen. Dus als je ligt te slapen moeten ze vooraf al je pincode hebben weten te achterhalen. Of als ze toch al in je slaapkamer staan, grote kans dat ze je dan ook wel kunnen bedreigen om de key + vingerafdruk + pincode af te staan

Alleen de politie kan je wel dwingen om de vingerafdruk te gebruiken, maar niet om een wachtwoord / pincode af te staan.

* Op de 5 NFC kan dat in ieder geval wel

[Reactie gewijzigd door RobertMe op 13 augustus 2024 20:14]

nullbyte @sdziscool • 13 augustus 2024 22:14

Het is jaren geleden al gelukt om vingerafdrukken na te maken van een foto.
Het is een schijnveiligheid.

Bor Coördinator Frontpage Admins / FP Powermod @nullbyte • 14 augustus 2024 09:37

Succes om op die manier binnen te komen op een Yubikey Bio. Naast de vingerafdruk is er ook een kennisfactor. Daarbij zijn er bij diverse vingerafdruk scanners maatregelen tegen nagemaakte vingerafdrukken. Waarom denk je dat vingerafdrukken meer en meer gebruikt worden om toegang te beveiligen, ook in zakelijke en high secure omgevingen? Dat is niet omdat het schijnveiligheid betreft.

[Reactie gewijzigd door Bor op 14 augustus 2024 09:38]

kodak @Bor • 14 augustus 2024 17:19

Dat andere biometrische sensoren moeilijk te foppen zijn is niet relevant. Het punt is dat een sensor niet zomaar betrouwbare bescherming geeft en we niet lezen hoe betrouwbaar deze deze wel/niet is. We lezen vooral de suggestie alsof het veilig(er) is. Het bedrijf levert alleen geen enkel bewijs. Ze stellen hooguit dat ze zelf van mening zijn dat na eigen onderzoek hun product minder gevoelig voor fingerprint spoofing zou zijn dan van hun concurrentie. En voor we nu stellen dat men niet zomaar beweringen doet en het tegendeel niet is bewezen: Je koopt toch ook geen reddingsvest omdat een verkoper een bewering doet over de kwaliteit zonder enig bewijs? Of moet er eerst iemand verdrinken voordat je aan de betrouwbaarheid gaat twijfelen?

Shuriken @nullbyte • 14 augustus 2024 10:11

Een beetje fatsoenlijke vingerafdruk lezer, doet aan liveness detection. In dat geval, veel succes met je foto.

ibmpc @sdziscool • 13 augustus 2024 20:51

Van een wachtwoord met MFA heb je juist dat mensen kunnen inloggen zonder knowledge of consent. Met een Yubikey wordt dat proces veel moeilijker gemaakt. Ik werk dagelijks met evilginx en het is echt zorgwekkend hoe makkelijk het is om een wachtwoord met MFA te omzeilen en persistent access te krijgen. Een FIDO2 sleutel beschermt vooralsnog goed tegen tools als evilginx.

klakkie.57th @ibmpc • 13 augustus 2024 22:49

Met evilgnx is er toch nog altijd het social engineering gedeelte, fishing mail, fake telefoon. Die mensen gaan dan net zo goed die stick inpluggen lijkt me.

Of mis ik nu iets ?

[Reactie gewijzigd door klakkie.57th op 13 augustus 2024 22:51]

Verwijderd @klakkie.57th • 14 augustus 2024 03:02

De stick werkt alleen op een inlogscherm waarbij de website het juiste adres heeft, dus de sociale ingenieur zal extra werk moeten verrichten om dat te omzeilen.

MSteverink 13 augustus 2024 21:23

Het aantal mogelijke pincodes wordt kleiner. Dat is toch just minder veilig?

Llopigat @MSteverink • 13 augustus 2024 23:04

Nee. Want de yubikey limiteert die tot een vast aantal pogingen (ik dacht 6). Daarna blokkeert hij zich. Net als bij je pinpas bijvoorbeeld. Eigenlijk heeft het enorm veel gemeen met de chip op je pinpas, of een SIMkaart. Het is eigenlijk gewoon een USB smartcard met een iets ander protocol. Het sleutelmateriaal zit in de chip en kan er niet uit (het is ook 'hardened' tegen methoden om de sleutel er uit te prutsen).

Dit in tegenstelling tot een gewoon wachtwoord wat vaak wel tijdelijk geblokkeerd wordt na een paar pogingen, maar niet voorgoed. Bovendien: Een wachtwoord dat onderschept wordt, kan hergebruikt worden door iedereen die het ziet, zelfs iemand die over je schouder kijkt terwijl je het intypt. Bij een Yubikey moet je altijd de key zelf hebben omdat deze niet gekopieerd kan worden, en hij een vraag/antwoord spelletje doet met de site. Hierdoor kan het niet onderschept worden door een andere site (dan klopt het "spelletje" niet meer) en zelfs als je alle data die heen en weer gaat onderschept, kan je daar toch helemaal niks mee.

Het blokkeren en het uniek zijn (niet gekopieerd kunnen worden) is dus wel de reden dat je altijd een andere manier van toegang moet hebben voor het geval je yubikey wordt gestolen, geblokkeerd, je hem in de plomp laat vallen enz. Dit kan een tweede yubi zijn (wat helaas niet elke site ondersteunt) maar ook bijvoorbeeld een recovery code wat sommige sites doen.

[Reactie gewijzigd door Llopigat op 13 augustus 2024 23:07]

svennd @MSteverink • 14 augustus 2024 11:19

Ja en nee, hoe meer je weet over een geheim hoe minder veilig het is maar ze zullen vast andere controles hebben waardoor het geheim minder belangrijk is.

michelr 14 augustus 2024 10:22

Voor wie een doel zoekt: Die oude FIDO2 keys zijn prima bruikbaar voor je break-glass accounts, wat tegenwoordig voor oa Azure eindelijk een recommended practice is.

Bor Coördinator Frontpage Admins / FP Powermod @michelr • 14 augustus 2024 11:00

Aan de andere kant is het ook best practice om te beperken welke keys je binnen een omgeving mag en kan gebruiken en hierbij minder veilige versies niet toe te staan. Op termijn zijn die oude Fido-2 keys helaas e-waste.

michelr @Bor • 14 augustus 2024 11:04

Eens, maar voor korte termijn beter dan menig organisatie die nu break-glass accounts - als ze die al hebben - met alleen een "moeilijk" wachtwoord beveiligd heeft.

ibmpc 13 augustus 2024 20:20

De gemiddelde gebruiker heeft al meer dan 25 passkeys. Ik heb er al twee aan mijn sleutelbos door deze beperking. Vroeger moest je de USB-A altijd omdraaien want de eerste poging was altijd verkeerd om, nu moet je altijd twee Yubikeys proberen omdat de eerste altijd de verkeerde is.

Bor Coördinator Frontpage Admins / FP Powermod @ibmpc • 13 augustus 2024 21:20

De gemiddelde gebruiker heeft al meer dan 25 passkeys.

Hoe kom je daar nu weer bij? Wat tel je in dit geval als passkey? Passkeys zijn min of meer vrij recent. De gemiddelde gebruiker haalt de 25 doorgaans niet. Dat is dan ook de reden waarom Yubico deze limiet nu pas ophoogt.

Er is inmiddels ook alweer behoorlijk wat kritiek rond passkeys: Our Glorious Password-less Future Is Being Destroyed By Greed Passkeys were meant to make things simpler, not harder

[Reactie gewijzigd door Bor op 13 augustus 2024 21:22]

Llopigat @Bor • 13 augustus 2024 23:01

Het probleem met passkeys is dat je al gauw vastzit aan de implementatie van Google en Apple. Dat is absoluut NIET wat ik wil, ik wil nooit afhankelijk zijn van een derde partij voor toegang. Dat is 100% onacceptabel.

Je kan een Yubikey wel gebruiken als passkey, maar je hebt dan wel een tweede nodig voor als je de eerste kwijtraakt. En veel sites weigeren een tweede aan te nemen. Bovendien blokkeren sommige sites (zoals PayPal) zelfs alle implementaties behalve die van Google en Apple, door dit te checken via de browser. Gebruik je firefox of bitwarden, nope.

Ascathon @ibmpc • 13 augustus 2024 20:37

25!
Ja ik heb veel MFA accounts maar passkeys, dat is nog wel vrij recent. Van zoveel sites heb ik dat nog niet aangeboden gekregen.

Blizz @Ascathon • 13 augustus 2024 21:07

Ik merk dat de optie er steeds vaker is, maar het niet actief wordt aangeboden of geadverteerd. Vergelijkbaar met dat je soms merkt dat een dienst al langere tijd een nieuwe 'login met' optie aanbiedt.

Ik heb zelf denk ik bij een twintigtal websites passkeys, maar de gemiddelde gebruiker zie ik dat aantal nog niet halen. Misschien wordt het ook niet nodig geacht bij apps en diensten waar je een 'login met' van Apple of Google gebruikt, want dat komt in de praktijk neer op een voor de gebruiker exact hetzelfde loginproces (nou ja, in ieder geval op iOS en macOS is het vrijwel hetzelfde).

ibmpc @Blizz • 13 augustus 2024 21:16

Ik lees ook pas in dit bericht dat Google blijkbaar ook volledig wachtwoordloos gaat. Mijn Google account is namelijk wel beschermd met een Yubikey, maar het wachtwoord zit er helaas nog wel op. Maar blijkbaar kun je net als in Hotmail je wachtwoord van je Google account helemaal uitzetten.

Bor Coördinator Frontpage Admins / FP Powermod @ibmpc • 14 augustus 2024 10:50

Mijn Google account is namelijk wel beschermd met een Yubikey, maar het wachtwoord zit er helaas nog wel op.

Dat probleem heb je helaas nog steeds bij heel erg veel diensten die passkeys ondersteunen; het is er meestal naast waardoor de minder veilige methode ook beschikbaar is om aan te vallen. Het aantal diensten waar je enkel met passkeys kan inloggen ligt nu nog erg laag maar zal in de toekomst mogelijk stijgen.

Blizz @ibmpc • 15 augustus 2024 11:23

Even gekeken en dat zie ik er niet staan. Als ik naar de wachtwoordoptie ga bij Google, dan kan ik het alleen wijzigen.

Edit: Wel heb ik 'wachtwoord overslaan als dat mogelijk is' ingeschakeld en dat kan dus als je een veiligheidssleutel hebt ingesteld, zou ook met Yubikey moeten werken.

Bij Microsoft ben je wel vereist hun authenticator app te gebruiken, dus om je wachtwoord echt te verwijderen moet je je wel in hun tuin bevinden zeg maar.

[Reactie gewijzigd door Blizz op 15 augustus 2024 11:25]

Llopigat @Blizz • 13 augustus 2024 22:58

Ik merk dat de optie er steeds vaker is, maar het niet actief wordt aangeboden of geadverteerd. Vergelijkbaar met dat je soms merkt dat een dienst al langere tijd een nieuwe 'login met' optie aanbiedt.

Mja maar vaak is het wel heel erg dom geimplementeerd.

Zie bijvoorbeeld PayPal. Daar kan je niet een Yubikey as passkey (dus passwordless, niet als 2FA) aanmelden, je kan alleen de implementatie van Google en Apple gebruiken. Firefox en bijv. Bitwarden passkeys wordt ook actief geblokkeerd hiervoor

Ook kan je maar 1 enkele passkey gebruiken, wat bij gebruik met fysieke Yubikeys natuurlijk niet handig is (je wil er altijd eentje als backup).

Het is heel dom gedaan daar allemaal. 2FA via Yubikey werkt nu eindelijk wel, maar ook daar kan je weer maar 1 key aanmelden. Zucht, wat een prutsers. En ik krijg zelfs vaak de vereiste om SMS 2FA te gebruiken, dat kan je niet uitzetten want "PSD2 vereist dit". Ik weet niet precies wat die standaard inhoudt maar als het SMS 2FA verplicht dan is het pure rotzooi natuurlijk.

[Reactie gewijzigd door Llopigat op 13 augustus 2024 22:59]

Blizz @Llopigat • 15 augustus 2024 11:27

Bij 1Password krijg ik bij elke nieuwe passkey die Apple aanmaakt de optie om het op te slaan, effectief heb ik dus elke passkey die ik op de Mac aanmaak ook in 1Password staan. Op iPhone overigens niet, want daar vindt het plaats in apps en in dat proces kan 1Password niet tussenbeide komen.

Miglow @ibmpc • 13 augustus 2024 20:37

USB-A past op drie manieren. 1e niet, 2e niet, toch de eerste.

MulMonkey @Miglow • 14 augustus 2024 08:14

Hoewel ik geen bron kan vinden die dit ondersteunt, kan ik dit zeker beamen.

stijnos1991 13 augustus 2024 19:50

Die is behoorlijk aan de prijs zeg. Bijna 2x zo duur als de oude edities van de 5c...

Tralapo @stijnos1991 • 13 augustus 2024 21:49

De Bio heeft een vingerafdrukscanner en is dus heel wat anders dan de reguliere 5C.

Llopigat 13 augustus 2024 21:31

Jammer dat de Yubikey Bio nog steeds geen andere applets ondersteunt. Zoals de OpenPGP en PIV functies.

Ik gebruik ze allemaal door elkaar. Webauthn/FIDO2, OpenPGP en PIV. Hebben allemaal hun eigen nut. OpenPGP gebruik ik nog het meeste, niet voor emails overigens maar voor wachtwoordmanager en SSH logins. Zolang dat er niet op kan heb ik helaas niks aan de Bio. FIDO2 is leuk maar het is nog veel te slecht ondersteund.

[Reactie gewijzigd door Llopigat op 13 augustus 2024 21:31]

nullbyte 13 augustus 2024 22:16

Te duur, te veel opgelegde beperkingen. Ik doe het zonder.

seanpaul 14 augustus 2024 01:24

Ik wil er al jaren eentje. Er zijn echter 2 redenen die me telkens weer afschrikken:
- Prijs
- Blijkbaar, het nodig hebben van een backup yubikey, voor het geval de yubikey kapot gaat, of zoek raakt

Op dit item kan niet meer gereageerd worden.

Yubico begint met leveren verbeterde Yubikey Bio met ruimte voor meer passkeys

Lees meer

Vergeet je wachtwoord

Reacties (88)

Sorteer op:

Weergave: