Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door Wout Funnekotter

Hoofdredacteur

Win een YubiKey in de Abo-loterij en check de inhoud van het komende magazine

21-02-2018 • 10:03

60 Linkedin Google+

Binnenkort verschijnt weer een nieuwe editie van het Tweakers Magazine, het gecombineerde tijdschrift met het blad van Hardware.Info dat tweemaandelijks bij de abonnees van Tweakers op de mat ploft. In deze Abo-update geven we je een sneak peek van wat je in de komende editie kunt verwachten. Ook hebben we weer een aantal mooie prijzen te verloten.

In deze editie van het blad, die op 2 maart op de mat valt, gaan we verder met onze .Build-serie, waarin we je meenemen langs de constructie van een product. Maakten we vorige keer nog een handgebouwd mechanisch toetsenbord, dit keer leggen we je uit hoe je zelf een drone bouwt. Onder andere het frame, de motoren, de propellers en de accu's komen aan bod. Wat is er allemaal te krijgen? En waar zitten de verschillen? Dat lees je allemaal in deze .Build.

Onze zelfbouwdrone tijdens een testvlucht

Ook hebben we in deze editie een uitgebreid interview met onze nieuwe communitymanager Ginz. Hij is sinds 2002 lid van Tweakers en heeft in de afgelopen jaren verschillende functies in de techindustrie bekleed, voor LG en Wileyfox. Zijn naam doet bij sommigen van jullie wellicht een belletje rinkelen. Dat is niet gek, want tussen 2007 en 2013 was Ginz moderator op het Forum en hij was ook de eerste Tweaker die we interviewden voor onze videoserie Gathering of the Tweakers.

Verder vind je in het blad content over blockchains. Veel mensen hebben het erover, sommigen bezitten wat muntjes en een klein deel snapt hoe het werkt. Voor de echte kenners hebben we de puzzel geheel in het teken van blockchains gezet, en het is daarom een pittige geworden. Ook behandelen we in een achtergrondverhaal drie initiatieven die gebaseerd zijn op blockchaintechnologie, om de technologie wat tastbaarder te maken.

Weggeefactie

Er zijn inmiddels weer meer dan twee maanden verstreken sinds we een mooie sloot prijzen hebben weggeven aan onze abonnees, dus is het de hoogste tijd voor weer een weggeefactie. We verloten de prijzen onder alle Hero- en Elite-abonnees. Op 28 februari trekken we een aantal namen uit de abonneedatabase en nemen we contact op met de gelukkige winnaars. Ben je nog geen lid, maar word je dat wel voor 28 februari, dan ding je nog mee.

De prijzenpot bevat ditmaal vijf unieke, Tweakers-branded YubiKey NEO-beveiligingssleutels met een waarde van vijftig euro. Deze kun je gebruiken als hardwarematige tweede stap bij tweetrapsauthenticatie, zowel via de usb-poort als via de ingebouwde nfc-chip. Zo weet je zeker dat jouw accounts niet zomaar door kwaadwillenden overgenomen kunnen worden. Daarnaast verloten we nog twee Tweakers-goodiepakketten.

Tof! Ik wil dit ook

Ben jij benieuwd naar al deze verhalen en wil je ook toegang tot alle voordelen die een Tweakers-abo je biedt? Sluit dan vandaag nog een Tweakers Hero- of Elite-abonnement af. Dan krijg je zes keer per jaar het Tweakers-magazine, toegang tot alle karmafeatures, zoals custom css, kortingen bij verschillende organisaties, voorrang bij de kaartverkoop van Tweakers-evenementen, het abofest, live stats over je gedrag op de site, controle over de weergave van reclame op de site en nog veel meer. Je bent al Hero-abonnee vanaf 3,75 euro per maand. Dus waar wacht je nog op? Ga naar de aboshop, sluit een Hero- of Elite-abonnement af en geniet van alle extra’s.

Reacties (60)

Wijzig sortering
hmm.. in bv de trezor handleiding staat zeer specifiek geen hardware wallet te vertrouwen die niet rechtstreeks van fabrikant zelf komt.
lees: die dus niet handen van derden zijn geweest die er malicious software op zouden kunnen hebben gezet en dus de verpakking nog geheel intact is inclusief alle seals.

er zijn verhalen bekend van mensen die claimen dat ze al hun coins kwijt zijn geraakt na een tweedehands key te hebben gekocht:
https://cointelegraph.com...nd-ledger-hardware-wallet
https://news.bitcoin.com/...t-supplied-by-a-reseller/

de vraag is dan ook in deze of de " Tweakers-branded YubiKey NEO" gebranded is door Yubi zelf of daadwerkelijk ook buiten Yubi om door mensen zijn aangeraakt zoals de tweakers redactie, tweakers schoonmakers, mensen die de Tweakers-branding hebben gedaan etc.. etc.. en daarmee dus de keys per definitie meteen niet meer te vertrouwen zijn?
Dit is wel iets heel anders. Ten eerste moet je natuurlijk altijd een nieuwe key genereren op een tweedehands token.

Ja, je kan er eventueel wat malware op zetten die het aantal te genereren keys beperkt (een beetje zoals het bedrijf RSA destijds heeft gedaan met DUAL_EC_DRBG) maar dit is behoorlijk lastig bij Yubikeys (Neo's van de laatste jaren zijn niet meer te updaten namelijk, alleen de allereerste Neo versies konden dat).

Ten tweede zijn dit algemene authenticatie tokens dus je hebt er meer voor nodig om ze te misbruiken dan alleen de sleutel. Username, server of web adres. Dat is bij een bitcoin wallet heel anders, heb je de wallet key (of recovery) dan heb je de coins.

Het geval hierboven (beide gevallen gaan over hetzelfde geval) draaien om een meegeleverde recovery key die door de leverancier is opengemaakt en vervolgens gekopieerd. Yubikeys hebben geen recovery key. Je kan alleen een nieuwe sleutel aan laten maken.

En ja Yubico doet zelf branding, weet niet zeker of dit in dit geval is gedaan natuurlijk.

[Reactie gewijzigd door GekkePrutser op 21 februari 2018 17:43]

[...] Dat is bij een bitcoin wallet heel anders, heb je de wallet key (of recovery) dan heb je de coins.
Hier ga ik je even moeten verbeteren, want dit is NIET waar. Bij bitcoin worden keys altijd in pairs 'uitgegeven'. Te weten: een public key (vaak ook je 'wallet address' genoemd), en je private key. Deze laatste gebruik je om jouw eigen digital signature (je digitale handtekening) te maken en je transactie te ondertekenen. Pas dan is hij geldig en wordt hij door het bitcoin netwerk geaccepteerd.

Je kant het een beetje als volgt zien:
- Public key: je rekeningnummer;
- Private key: je pincode.
Je rekeningnummer geef je aan mensen om geld naar jou over te laten maken, die deel je met mensen. De private key daarentegen, wil je ten alle tijden, onder alle omstandigheden alleen voor jezelf houden. Komt iemand hier achter, dan kunnen ze je public key achterhalen en kunnen ze 'namens jou' een transactie ondertekenen en je coins wegsluizen.
Ja dat weet ik, maar de wallet key is dus de private key, niet de public.

Daarom hem je juist die hardware wallet, om je private key geheim te houden.
Dit was een Ledger Nano S. Als je die even een keer extra reset zodra je hem binnen krijgt zit je 100% veilig.
Dit was een Ledger Nano S. Als je die even een keer extra reset zodra je hem binnen krijgt zit je 100% veilig.
Daarbij neem je aan dat het een ongemodificeerde Ledger Nano S is, waarbij de 'reset' functie niet is veranderd. ;)

[Reactie gewijzigd door The Zep Man op 22 februari 2018 17:27]

Op de hardware van ledger zitten beveiligingen en checks..
Zodra iets fysiek is gecompromitteerd moet aangenomen worden dat het product niet meer veilig is.
Volgens mij kun je ze valideren op de Yubico site en hun personalisatie tool. Maar wat zou er mis kunnen gaan? Tweakers thuis opzoeken en de key stelen? Volgens mij zijn ze ook al een tijd niet meer te upgraden qua firmware, wat het risico ook beperkt.
Ik heb zelf eentje die helaas alleen U2F doet (via NFC) van een ander merk waar een NXP chip in zit.

[Reactie gewijzigd door darkfader op 21 februari 2018 17:48]

Wie zegt dat iemand bij Tweakers niet als nevendienst het verkopen van malware heeft? Je weet het nooit 100% zeker of iedereen zo integer is al dat die zegt die is. Zeker op basis van cyber security moet je men zo min mogelijk vertrouwen.
Als YubiCo de hardware implementatie goed heeft gedaan is dit (e.g. mitm, sleutels doorsturen etc) niet te doen zonder de hardware aan te passen door een heel ander apparaat of emulator als ze geen applets ondersteunen, en moet er een manier zijn om dit te verifieren (is er niet echt heb ik een vermoeden).

Je maakt dus een goed punt: Vertrouw nooit een derde partij waarvan de hardware niet te valideren valt. De valdiatie moet overigens wel first party zijn, en het liefst meerdere of alle ketens bevatten (chain bouwen van producent en distributeur en verkoper). Ik ga er expliciet niet in hoe dit moet omdat hier meerdere mogelijkheden voor zijn en het nogal ligt aan het soort product.

First party smartcards zijn helaas niet makkelijker te krijgen maar wel goedkoper.
In het algemeen heb je gelijk. Ik heb om die reden ook al mijn Yubikeys via Yubicos webshop gekocht, omdat ik mij er meer gerust bij voel om direct van de fabrikant te kopen. Maar het lijkt mij zeer waarschijnlijk dat deze actie vanuit Yubico zelf komt, en de voortzetting daarvan ook tot in bepaalde mate wordt gemonitord. Toevallig zijn er recentelijk ook gelijkwaardige acties opgezet op Wired en Ars Technica, waarbij nieuwe abonnees een gratis Wired of Ars branded Yubikey krijgen. En Yubico is erg trots om dat te vermelden op hun blog op hun website.
De verhalen waar jij naar refereert gaat over een hardware wallet voor het opslaan van verschillende crypto currencies. De yubikey NEO is geen hardware wallet maar meer een authenticatie token. Je kunt deze inzetten als one time password, FIDO U2F of als smartcard.

Ik snap even niet wat dit met elkaar te maken heeft?
Hoi @GiLuX, je kunt een volledig nieuwe key laten maken door je yubikey:
https://www.yubico.com/su...les/reset-applet-yubikey/

Uiteraard is het theoretisch mogelijk dat tweakers de hardware heeft aangepast of totaal andere look-a-like hardware levert (al dan niet bewust, door een hacker die langs kwam).

De Yubikey wordt niet verzegeld verzonden, dus loop je altijd modificatie of replacement risico als je hem ontvangt via de post.
Waar je rekening mee moet houden is wat de attack vector is voor Tweakers en/of gerelateerde partijen gecombineerd met de kans op succes vs het risico op ontdekking.

Denk niet dat dit reeel is.
Die Yubikey Neo's zijn geweldig, ik gebruik ze om in te loggen op SSH (OpenPGP keys er op). Heb het nu ook aan de praat op Android via RFID (via aangepaste versies van OpenKeyChain en ConnectBot).

Zou het misschien mogelijk zijn om die Tweakers branded Yubikeys ook te verkopen? O+

[Reactie gewijzigd door GekkePrutser op 21 februari 2018 10:39]

in hoeverre is het gebruik van zo een key handiger dan bijv een Password manager waar je ook keys in kan opslaan e.d.?
Op een yubikey neo kan je trouwens niet een heleboel paswoorden opslaan zoals in bijvoorbeeld een password manager. Je hebt 3 modes:
  • One-Time paswoord (veranderend via Yubikey mechanisme, HOTP standaard (ongeveer zoals Google Authenticator maar dan zonder tijdafhankelijkheid omdat de yubikey geen batterij heeft voor een klok), of statisch wachtwoord. Dit gebruik je door het aanraakvlakje aan te raken. Je kan er eventueel twee opslaan (eentje stuur je door hem kort aan te raken en eentje met lang aanraken). Dit is de "originele" Yubikey mode. De allereersten hadden alleen deze.
  • FIDO U2F wat sommige webdiensten ondersteunen (via Chrome) puur als tweede factor
  • Smartcard via PIV of OpenPGP. In dit geval gebruik je dat om een RSA keypair veilig te genereren en te gebruiken.
Een enkele yubikey kan alle 3 modes tegelijk bevatten.

Edit: Sorry: Ik wou mijn bovenstaande reactie uitbreiden maar heb per ongeluk een nieuwe aangemaakt.

[Reactie gewijzigd door GekkePrutser op 21 februari 2018 11:29]

De Yubikey NEO bevat deze 3 modes tegelijk. :o
Ja klopt, je moet ze alleen wel met een tooltje aanzetten.
De Ubikey heb je nodig tbv 2FA. Je hebt dus sowieso nog een password nodig, die je al dan niet kan opslaan in de password manager. Het is dus een extra laag ter beveiliging van accounts voor diverse diensten die 2FA aanbieden.

EDIT:
In de SSH-context heb je door keys wat meer controle op wie erbij kan. Je stelt dan immers in, dat key X behoort aan user Y, daardoor kan met key X alleen ingelogd worden als user Y. Met een password op de (private) key kun je het nog verder beveiligen.

[Reactie gewijzigd door CH4OS op 21 februari 2018 11:03]

Niet als je inlogt op SSH door middel van een key. Dan is het de enige authenticatie methode (dus geen 2FA), al moet je wel een PIN invoeren die de yubikey lockt na 3 foute pogingen.

Je gebruikt dus geen paswoord en als de stick er in zit en unlocked is (dus PIN succesvol ingevoerd) kan je op verschillende servers inloggen zonder een paswoord in te voeren. Dat is een van de voordelen ervan. Bovendien kan je het ook doorsturen via de SSH sessie zelf (Agent Forwarding) Ik gebruik dat ook voor sudo toegang door middel van een pam module (libpam-ssh-agent-auth), in combinatie met een TOTP key (denk RSA SecureID of Google Authenticator).

Je kan trouwens geen paswoord op een smartcard (wat yubikey ook is) private key zetten, maar je hebt dus wel die pinbeveiliging die juist beter is omdat hij niet gebruteforced kan worden.

[Reactie gewijzigd door GekkePrutser op 21 februari 2018 11:41]

Dat is waar, maar waarom zou je als je ook met certificaten in kan loggen?
Die certificaten (hoef) je natuurlijk niet altijd bij de hand te hebben, zo wil ik nog weleens SSH inloggen op mn iphone of ipad, of op de loaner van t werk....

Als de certificaten rechstreeks van dezelfde server komen is het nog niet echt 2FA als je het mij vraagt ;)

[Reactie gewijzigd door Mopperman op 22 februari 2018 12:09]

Het kan ook een gevoel van schijnveiligheid geven. Ik had een yubikey gekocht voor mijn MtGox account. Toch heeft dat niet veel geholpen om mijn account veilig te houden.
Beveiliging is zo sterk als de zwakste schakel :) In dat geval was dat MtGox.

Sowieso zou ik nooit mijn coins op een exchange bewaren. Ik haal ze er altijd gelijk af en stop ze in een eigen wallet.
Ik neem aan dat je "key" in de context van SSH bedoelt. Keys zijn veiliger, omdat ze minder makkelijk te brute-forcen zijn dan wachtwoorden. Daarnaast zijn ze ook makkelijker in gebruik. Je hoeft namelijk per sessie maar één keer je key te unlocken, waarna je verder geen extra handelingen meer uit hoeft te voeren per nieuwe SSH verbinding.

Daarnaast kan je een SSH key terugtrekken zonder wachtwoorden aan te passen. Bij geautomatiseerde systemen kan je dus de toegang voor een ander systeem terugtrekken zonder dat dit de toegang voor andere systemen verstoort.

Zie ook deze thread: https://superuser.com/que...n-password-authentication
Omdat je SSH key daar nooit uit gekopieerd kan worden: De private key wordt gegenereerd in de stick zelf, je kan hem er nooit uit krijgen. Je kan wel bewijzen dat je hem hebt door er een berekening mee uit te voeren.

Daarmee is de stick uniek, anders dan een paswoord bijvoorbeeld wat iedereen die het weet kan opschrijven en verspreiden. Elke server waar je je paswoord invoert, heeft alles wat die nodig heeft om zich voor te doen als jij. Ook bij een een RSA keypair zoals je dat in bijv. PuTTY gebruikt kan dit, als het een bestand is kan je het gewoon kopieren (en moet je wel het paswoord loggen of bruteforcen).

Bij een smartcard of yubikey met smartcard kan dat dus niet. Dat maakt ze uniek en dat is precies wat je wil met authenticatie.

[Reactie gewijzigd door GekkePrutser op 21 februari 2018 11:43]

Top, ben net lid geworden. Ben nl benieuwd naar het magazine :)
Heb de mijne vandaag vernieuwd, was vergeten te verlengen, krijg je ineens een mail in je inbox dat het verlopen is.
Ik ben ook zojuist voor het eerst lid geworden, ben benieuwd naar het magazine en voor de kosten vallen erg mee. :)
Voor wanneer moet je uiterlijk abo worden als je het magazine wil ontvangen in maart? Of ben je sowieso te laat :). En begrijp ik goed dat de content in het magazine exclusief voor print is of komt dit uiteindelijk ook online?

[Reactie gewijzigd door Ronwiel op 21 februari 2018 10:18]

Als je na het lid worden even een mailtje stuurt naar abonnee@tweakers.net, sturen we je het meest recente nummer na :)
Sommige content komt een maand later pas op de site. Zo heb ik ooit een review gezien, waarbij expliciet vermeld stond, dat hij een maand eerder al in de papieren versie stond. :)
Voor 28 februari volgens het artikel ;)
Volgens mij gaat dat alleen om de lotterij ;).
Ik heb een Hero abonnement, maar ik kan alleen maar kiezen voor 'word hero' of 'word elite'. Of ding ik automagisch mee?
Als bestaande Abo doe je natuurlijk mee :)
Dan is het goed. :P
Je zit veilig:
We verloten de prijzen onder alle Hero- en Elite-abonnees. Op 28 februari trekken we een aantal namen uit de abonneedatabase en nemen we contact op met de gelukkige winnaars.
Wat zijn de plannen eigenlijk met Tweakers en HW.info? Gaan deze steeds meer naar elkaar toegroeien of blijven het aparte sites?

Op management niveau is het samenvoegen altijd beter, maar niet altijd beter voor de community. ;)

Verder zou ik het niet erg vinden als er een soort Patreon zou zijn voor T.net. Ik vind die abonnementen gewoon niet zo fijn.
Blijven gewoon twee losstaande sites met eigen identiteit en redacties. Op andere vlakken (sales/marketing bijv) wordt wel gekeken hoe er zo efficiënt mogelijk voor beide titels gewerkt kan worden.
Gebruik zelf een Yubikey i.s.m. LastPass.

Ik overweeg om Hero te worden, maar heb een vraagje.

Jaarlijkse incasso levert 5 euro korting op, maar kan enkel bij Nederlandse banken. Kan dit niet via België ?
Tegenwoordig heb je toch Europese incasso, niet ?
Onze paymentprovider ondersteunt op dit moment helaas alleen incasso's vanuit Nederland.
Voor degene die zo'n yubikey niet winnen maar wel willen (ik zit al een tijdje te kijken of ik er 1 wil kopen of niet), gaat deze tweakersversie ook verkocht worden o.i.d.? Ik houd me in dat geval wel aanbevolen :D
Een mogelijk interessant alternatief: https://www.themooltipass.com. Hierin kan je o.a. meerdere wachtwoorden kwijt. Wel wat groter.
Niemand krijgt sedert de EU de regels rond dom's heeft aangepast nog toegang tot mijn bankrekeningen. Da's jammer - want had u een andere methode - dan was ik wellicht lid geworden. Ik sta nooit incasso's toe. Geen enkele leverancier krijgt van mij een blanco cheque.
Hoe spijtig het ook is - want die Fido-sticks zijn echt wel een topaanbieding - m'n principes ga ik er niet voor opzijschuiven.
Incasso is gelukkig niet verplicht; iDeal, PayPal, Bancontact, creditcard en bankoverschrijving zijn ook mogelijk :)
magazine leest wel lekker weg! smakelijke artikelen en inhoud. combinatie met hw.info en tweakers bevalt hier goed.

Op dit item kan niet meer gereageerd worden.


Apple iPhone 11 Nintendo Switch Lite LG OLED C9 Google Pixel 4 FIFA 20 Samsung Galaxy S10 Sony PlayStation 5 Elektrisch rijden

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True