YubiKey 5 NFC
YubiKey is een van de bekendere namen in de sleutelwereld. Hoewel fysieke beveiligingssleutels al jaren bestaan, maakte YubiKey ze populair bij een groot publiek. Eerdere sleutels waren vooral voor grote bedrijven interessant en hadden daarom propriëtaire protocollen en werkingen. Daar bracht het bedrijf Yubico verandering in. Niet alleen maakte het een sleutel voor commercieel gebruik, het was ook een van de ontwikkelaars van een nieuwe standaard voor tweetrapsauthenticatie.
Yubico verkoopt verschillende sleutels. De goedkoopste daarvan is een simpele u2f-sleutel: de Security Key, die ook met nfc wordt geleverd. De YubiKey 5-serie is interessanter. In de 5-serie zitten verschillende modellen met onder andere een usb-c- en een Lightning-aansluiting, maar belangrijker is dat ze naast u2f en fido2 ook andere protocollen ondersteunen, zoals voor smartcards en passwordless login, en dat je er open-pgp-sleutels op kunt opslaan. Daarom zit hier een YubiKey 5 bij, in dit geval met usb-a-aansluiting en nfc.
YubiKey heeft daarnaast een usb-c-sleutel en een sleutel met zowel usb-c als Lightning. Ook zijn er twee nanosleutels aanwezig met zowel usb-a als usb-c. YubiKey heeft een tool voor alle platforms om de sleutel te configureren en een totp-authenticatieapp voor zowel de desktop als mobiele platforms.
:strip_exif()/i/2003682596.jpeg?f=imagenormal)
Feitian K9 en BiosPass K27
Beveiligingsbedrijf Feitian gaat al een tijdje mee en heeft een hele rits beveiligingsleutels. Het bedrijf biedt ze in alle soorten en maten aan, met usb-a, usb-c, nfc en bluetooth. De meeste van de sleutels ondersteunen fido2.
We hebben een Feitian K9 bekeken, een simpele fido2-sleutel die veel wegheeft van Googles Titan-sleutel en de YubiKey 5. Wat vorm betreft zijn ze bijna niet te onderscheiden. Feitian heeft ook de K35 met usb-c als alternatief. De sleutel heeft een fysieke knop voor validatie, maar is verder niet echt te programmeren met bijvoorbeeld pgp-sleutels.
Daarnaast hebben we de Feitian BioPass K27 bekeken. Die onderscheidt zich met een vingerafdrukscanner op de stick zelf. De K27 is erg stevig en de enige sleutel waarvan we durven zeggen dat hij het lang volhoudt aan een sleutelbos zonder veel beschadigingen. Veel andere sleutels, zoals de YubiKey, de K9 en de Titan-sleutel van Google, hangen met hun usb-aansluiting blootgesteld aan de sleutelbos en het is niet ondenkbaar dat dat een keer misgaat.
Het probleem van de Feitian K27 is dat die niet werkt met Google-diensten. Gmail herkent de vingerafdruk ervan niet en is daardoor niet te koppelen.
CryptoKey OnlyKey
De OnlyKey ziet er het interessantst uit. Hij heeft namelijk zes fysieke knoppen, die werken als een pincode. Als je de OnlyKey in een nieuwe computer gebruikt, moet je eerst een pincode invoeren om hem te gebruiken. Die pincode is ook nodig om de sleutel te configureren én om hem te wipen.
Ook is interessant dat je de toetsen op de OnlyKey kunt programmeren om er een specifiek wachtwoord aan te koppelen. Dat kan ook met andere sleutels, zoals de YubiKey en de Feitian, maar die hebben maar één knop en kunnen dus maar één inlog onthouden.
De OnlyKey kan daarnaast OpenPGP- en ssh-sleutels opslaan, en met de bijbehorende tool kun je er bestanden en berichten mee versleutelen. De OnlyKey heeft een handige tutorialtool waarmee je de sleutel kunt instellen. De tekst verschijnt daarbij in een tekstverwerker als je een knop indrukt.
De software van de OnlyKey is op Windows, macOS en Linux te gebruiken.
/i/2003682586.png?f=imagenormal)
SoloKey
SoloKey begon in 2018 als een populair Kickstarter-project. Uniek aan de sleutel was, naast de relatief lage kosten van 20 euro, dat de firmware volledig open source was. Ook de firmware van OnlyKey is inmiddels open source. Solo baseerde de firmware op de STM32L442KC-chip, maar die kan gemakkelijk naar andere chips worden geport. De SoloKey is alleen bedoeld voor fido2-logins. Je kunt er geen extra logins of pgp-sleutels op opslaan. Daarom is er ook geen app nodig voor je desktop om de sleutel te configureren.
SoloKey heeft verschillende sleutels beschikbaar, met een usb-a- en een usb-c-aansluiting. Beide zijn ook verkrijgbaar met nfc voor gebruik op een telefoon, maar er is geen bijbehorende authenticatieapp beschikbaar voor Android om bijvoorbeeld totp-codes te gebruiken met de sleutel.
De SoloKey is goedkoop en dat merk je ook aan de bouwkwaliteit. Die voelt veruit het minst stabiel aan van alle sleutels. Je krijgt wel twee rubberen hoesjes bij de sleutel om hem te beschermen, maar ook daarmee voelen de sleutels aan als breekbare usb-sticks die je liefst niet de hele dag aan je sleutelbos hebt hangen.
:strip_exif()/i/2003682598.jpeg?f=imagenormal)
Kensington Verimark
De Kensington Verimark is vooral wat vorm betreft een wat vreemde eend in de bijt. Hij past namelijk niet aan je sleutelbos. De Verimark is een klein usb-stickje met usb-a-aansluiting. Die ondersteunt fido2-inlogs, maar heeft ook een vingerafdrukscanner. De Verimark heeft geen extra opties, maar werkt wel samen met inloggen via Windows Hello.
:strip_exif()/i/2003682600.jpeg?f=imagenormal)
Google Titan Security Key
Google zet al jaren stevig in op de beveiliging van zijn diensten. De Titan-beveiligingssleutel is daar onderdeel van. Het is Googles eigen securitysleutel, in opvallende witte Google-kleur. De Titan-sleutel is officieel niet in Nederland te koop, maar met een omweg kun je er makkelijk eentje bestellen. Je krijgt dan twee Titans thuisgestuurd. Een is een standaard usb-sleutel zoals de YubiKey, met een fysieke knop om op te drukken. De ander is een draadloze sleutel, die vooral handig is voor mobiel gebruik. Die sleutel heeft een druppelvorm en een grote fysieke drukknop.
Deze sleutel werkt met bluetooth. Dat maakt de sleutel wat handiger in gebruik voor mobiele apparaten, al heeft de usb-a-sleutel ook nfc. De bluetooth-sleutel heeft ook een usb-aansluiting zodat je hem op de pc kunt aansluiten - micro-usb, dat dan weer wel. Daarnaast worden de sleutels geleverd met een usb-c-naar-usb-a-convertor.
Googles sleutels zijn alleen te gebruiken met fido2, je kunt ze dus verder niet programmeren of customizen.
:strip_icc():strip_exif()/i/2004432442.jpeg?f=fpa_thumb)
:strip_exif()/i/2006237308.jpeg?f=fpa)
:strip_exif()/i/2004739682.jpeg?f=fpa)
:strip_exif()/i/2005355864.jpeg?f=fpa)
/i/2004857332.png?f=fpa)
:strip_exif()/i/2004668670.jpeg?f=fpa)
/i/2004526560.png?f=fpa)
/i/1238748185.png?f=fpa)
:strip_exif()/i/2001904311.jpeg?f=fpa)
/i/2001753841.png?f=fpa)
/i/2002127815.png?f=fpa)
:strip_exif()/i/2003990854.jpeg?f=fpa)
/i/2003077418.png?f=fpa)
:strip_exif()/i/2002834342.jpeg?f=fpa)
/i/2002126877.png?f=fpa)
/i/2002234353.png?f=fpa)