Yubico YubiKey 5Ci

Als eindgebruiker wilde ik alleen even mijn persoonlijke indrukken en ervaringen delen. Het is dus geen complete uitgebalanceerde review van alle technische aspecten.

De Yubikey 5ci is in tegenstelling tot de "gewone" 5 NFC en 5 Nano (met "ouderwetse" USB-A aansluiting) niet waterdicht. Hij is ook een fractie dikker. Hij is niet makkelijk aan een sleutelring te schuiven en voor de meeste carabiners is het gaatje iets te klein. Daarnaast ben ik toch bang dat hij op lange termijn het dagelijkse geweld aan mijn volle sleutelbos misschien niet overleeft. Zodoende heb ik hem met een lusje aan een carabiner in mijn rugzak zitten. Hij is verassend klein als je hem in werkelijkheid ziet. Bouwkwaliteit komt verder wel degelijk over, maar ik vind het jammer dat er niet een dopje op de aansluitingen zit.

In een review van PCmag van Augustus 2019 las ik dat de USB-C aansluiting niet goed zou aansluiten op een USB-C poort. Dit probleem is bij mijn Yubikey 5Ci niet aanwezig; hij sluit probleemloos aan op de USB-C poort van mijn laptop en oude Android telefoon. Ergens op Reddit las ik dat de eerste batch van de 5Ci niet helemaal fantastisch was (snel kapot); in diezelfde thread verontschuldigde iemand van Yubikey zich hiervoor en informeerde dat de bouwkwaliteit in de tussentijd is verbeterd. Dus wellicht dat daarbij ook de USB-C aansluiting is verbeterd. De lightning connector sluit overigens ook uitstekend aan (op de poort van mijn iPhone en iPad).

Ik gebruik een paar Yubikeys (waaronder deze), voor wat online accounts en voor een wachtwoorden manager. Het werkt allemaal uitstekend. Ik heb wat reviews gelezen van geërgerde gebruikers op Amazon.com, Amazon.de en bol.com, dat het allemaal te ingewikkeld zou zijn voor de "gewone" eindgebruiker.
Wellicht zijn er ingewikkelde toepassingen denkbaar, maar bij "gewoon" gebruik met apps/services die de Yubikeys ondersteunen werkt het eigenlijk probleemloos. Soms is het alleen zoeken in de betreffende app/service waar je de 2-factor authenticatie moet activeren, maar dat is dan meer een tekortkoming van de betreffende app/service.

Bij Google worden de Yubikeys (5-serie) ook aangeprezen voor passwordless inloggen. Een van de belangrijkste argumenten daarbij is dat er bij Google geen geslaagde hacks zouden zijn geweest sinds ieder personeelslid zo'n ding heeft. Echter, als je bij Google werkt zit je sowieso al waarschijnlijk in een afgebakende omgeving, en waarschijnlijk is er nog een aanvullend beleid voor het gebruik van de keys daar.

Maar, als particulier zou je Yubikey gestolen kunnen worden. Als deze dan in je rugzak aan een carabiner bungelt, en er persoonlijke gegevens in je rugzak zitten, dan zou iemand dus kunnen proberen om bijvoorbeeld je gmail adres te achterhalen, en te kijken of er met de gestolen key ingelogd kan worden. Iedereen zal voor zichzelf moeten bepalen waar de grootste risico's zitten, en of passwordless inloggen met een Yubikey echt de veiligste optie is.

Ik streef er (uiteraard) naar om zoveel mogelijk de FIDO2 U2F authenticatie te gebruiken. TOTP (temporary one time password) is in theorie wat minder veilig, en zou gephished kunnen worden, al is het risico daarop misschien beperkt.

Hoeveel meerwaarde 2FA met een Yubikey nou heeft ten opzichte van 2FA met een gratis app (zoals Google Authenticator of de Microsoft authenticator app) hangt denk ik vooral af van waar je inlogt en wie je bent. Gezond verstand en je apparaten veilig houden (up-to-date en evt security software) lijkt me minstens zo belangrijk.
Het lijkt me dus vooral een goede optie voor mensen die om de een of andere reden een extra risico lopen (of nemen) om gehacked te worden, en daarnaast voor de security-bewuste geeks.

Omdat ik geen onverwachte tekortkomingen ben tegengekomen (naast de hierboven opgesomde) en mijn Yubikey 5Ci verder uitstekend werkt en degelijk overkomt heb ik 5 sterren gegeven. Met de Yubikey 5NFC en Nano (USB-A variant) ben ik minstens even blij, omdat die ook nog eens waterdicht zijn en beter in een portemonnee zijn weg te stoppen.