Yubikey Bio: FIDO2-stick met vingerafdruksensor


Beveiligingshardwarefabrikant Yubico heeft de ontwikkeling van zijn FIDO2-stick met vingerafdruksensor afgerond en biedt de Yubikey Bio in zijn winkel aan – in een variant met USB-C en één met USB-A aansluiting. Geïnteresseerden moesten langer wachten op het verschijnen van de Yubikey Bio: in november 2019 presenteerde het bedrijf de stick op de Ignite-conferentie van Microsoft. In september 2020 is de Yubikey 5C NFC met NFC-interface voor gebruik op bijvoorbeeld mobiele telefoons uitgebracht.

De nieuwe Yubikey Bio werkt als een FIDO2-authenticator, die in veel webservices als tweede factor en soms ook als enkele factor, dus zonder wachtwoord, kan worden gebruikt. Het activeert echter alleen FIDO2-registratie als u de pincode invoert of de getrainde vinger op de sensor legt. Een bijna twee jaar oude demovideo van Yubico laat zien hoe de Yubikey Bio werkt.

Er is een soortgelijk apparaat, bijvoorbeeld onder de naam Goldengate van de fabrikant eWBM. Over het algemeen is de hardware-ondersteuning voor FIDO2 nu erg goed: naast de talrijke sticks van verschillende fabrikanten (met de NitroKey heeft zelfs een open source-stick) kunt u ook de Trusted Platform Module (TPM) gebruiken die in veel notebooks, smartphones en tablets is ingebouwd als authenticator en hoeft u het zonder extra hardware te doen. Het eindapparaat wordt zo de sleutel voor het inloggen. Dit werkt al met Windows, macOS, iOS en Android. Op iPhone, macBook, Windows-notebooks en Android-mobiele telefoons met sensoren is de toegang tot de FIDO2-functie beveiligd met een vingerafdruk. Veelgestelde vragen over FIDO2 en hardware- en softwareondersteuning beantwoord een gedetailleerde FAQ.

Demo van de Yubikey Bio uit 2020

Met de Yubikey Bio en de andere zwarte sticks uit de Yubikey 5-serie richt Yubico zich vooral op zakelijke klanten die op zoek zijn naar een alternatief voor een puur op wachtwoord gebaseerde oplossing. Tot nu toe ontbreekt het echter aan services in de bedrijfsomgeving waarmee FIDO2 (of WebAuthn, zoals de standaard in de browser wordt genoemd) gebruikt kan worden. Bij grote providers als Google, GitHub, Facebook of Twitter kan FIDO2 al als tweede factor ingezet worden, maar simpel wachtwoord login domineert nog steeds in veel applicaties die in bedrijven worden gebruikt.

Het is geen toeval dat Yubico de stick presenteerde op het Microsoft corporate customer event Ignite in 2019. Microsoft probeert al jaren wachtwoordloze logins aantrekkelijker te maken. Op Microsoft.com en de Azure Active Directory FIDO2 kan ook als enige factor worden gebruikt. Bedrijven kunnen de Azure Active Directory gebruiken als platform voor eenmalige aanmelding voor andere services.

Buiten de kringen van die-hard IT-beveiligingsfans zijn met name FIDO2 en second factors in het algemeen nog nauwelijks wijdverbreid. Hoewel wachtwoordbeveiligingsproblemen regelmatig aan het licht komen in de vorm van gelekte wachtwoorddatabases en phishing-aanvallen, profiteert slechts een minderheid van de tweede factor. Ondanks de goede hardware-ondersteuning lost FIDO2 lang niet alle problemen op: Critici van de standaard klagen dat er geen goede oplossing is voor het verlies van de authenticator (of het nu een stick of notebook met TPM is).

Aan de ene kant is er geen back-up van de privésleutel van de authenticator, dus je kunt deze niet klonen – in plaats daarvan moet je altijd meerdere authenticators in de services trainen en er een op een veilige plaats bewaren. In geval van verlies moet de authenticator zorgvuldig worden verwijderd uit alle services. Aan de andere kant is het vrij onwaarschijnlijk dat een vinder de accounts kan overnemen zolang een pincode- of vingerafdrukvergrendeling is geactiveerd. Uiterlijk na acht mislukte pogingen wordt de toegang door de hardware geblokkeerd, zodat deze alleen kan worden gereset en opnieuw geregistreerd.


(jam)



Source link

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.

%d bloggers liken dit: