Yubikey - Ervaringen

een collega van mij heeft er eentje en moet zeggen dat het leuk werkt.
Heb er zelf geen ervaring me.
Weet wel dat er nog wat lichte quirks zijn onder linux in combinatie met pam moet de key er continu in zitten.

Zelf gebruik ik er 1 al meer dan een jaar,

Echter voor een 64 karakter lang static password.
OTP heb ik mee zitten testen en dat werkt ook prima!

sorry, maar ik begrijp niet precies wat dit apparaat doet? creeërt het nou een wachtwoord voor je of zo? lijkt me wel een interresant ding.

In z'n simpelste vorm is het een soort virtueel toetsenbord dat een statisch wachtwoord bevat. Druk op de knop en het ingestelde wachtwoord wordt uitgepoept in het invulveld wat op dat moment de focus heeft.

De Yubikey biedt ook mogelijkheden voor multi-factor-authenticatie, maar daarvoor moeten applicaties geschikt gemaakt worden. LastPass kan hier bijvoorbeeld mee overweg.

Erg late reactie, maar ik gebruik al tijden in een yubikey in combinatie met lastpass:

http://helpdesk.lastpass....s/yubikey-authentication/

Heeft iemand van jullie ervaring met de YubiKey VIP?

Voor zover ik begrepen heb heeft deze 2 slots, waardoor je een een static password en een OTP naast elkaar, of zelfs 2 verschillende 2 static passwords in 1 device kan combineren, en dat voor dezelfde prijs

Leeft dit nou niet? Ik heb er ook een aangeschaft. Ik wil erg graag veilig werken, vooral omdat je steeds meer hoort dat overal de boel gehacked wordt enzo. Via de Google Authenticator kun je ook al veilig inloggen zonder angst te hebben voor keyloggers, maar zo is het ideaal natuurlijk.

Ik heb 'm net, en ben nog eea aan het ontdekken, dus het zou leuk zijn als meer mensen hier hun ervaringen en pro-tips delen.

Mijn pro-tip is om het statische wachtwoord (wat je kunt instellen met de utility) niet alleen als dusdanig te gebruiken, maar altijd in combinatie met nog een deel (passphrase) wat je zelf intikt. Want als iemand je yubikey in handen heeft kan ie mogelijk toegang krijgen tot je systemen.

Die passphrase zou je ook kunnen 'opdelen' in twee stuken, en daar tussen het static yubikey password erin zetten. Dan krijg je zoiets als dit:

Tweakers is een leuke site K4G"Yu%5E7F{&4Gg!NTeW*j.8"6/x,{vR4#K8WcCdHek%A:/f< voor de echte hobbyist.

Het beste van twee werelden: een makkelijk te onthouden passphrase, inclusief een hoop random non-dictionary bagger voor extra entropy.

Let wel dat je als je yubikey als static key gaat gebruiken,, je dan niet meer gebruik kan maken van de 'cloud' two-factor authenticatie op basis van OTP. Dan zul je er dus eentje bij moeten halen, dat is ook de reden waarom ik een zwarte en een witte heb.

Verder moet je in de gaten houden dat het 'gewoon' een usb toetsenbord is. Het gaat je dus niet beschermen tegen keyloggers, dat blijft dus altijd wel een risico (dat je weer eventueel kunt ondervangen met gebruik van certificaten, etc).

ebia schreef op zaterdag 02 maart 2013 @ 09:43:
Mijn pro-tip is om het statische wachtwoord (wat je kunt instellen met de utility) niet alleen als dusdanig te gebruiken, maar altijd in combinatie met nog een deel (passphrase) wat je zelf intikt. Want als iemand je yubikey in handen heeft kan ie mogelijk toegang krijgen tot je systemen.

Dat is inderdaad zoals ik 'm ook wil gebruiken voor sites en systemen die niet specifiek de Yubikey ondersteunen. Alleen jammer dat je dan nog steeds niet beschermd bent tegen keyloggers, maar dat was je dan toch al niet en voegt de Yubikey niets toe (en doet er niets aan af ook). Het is in ieder geval een onmogelijk te gokken wachtwoord.[/quote]
Let wel dat je als je yubikey als static key gaat gebruiken,, je dan niet meer gebruik kan maken van de 'cloud' two-factor authenticatie op basis van OTP. Dan zul je er dus eentje bij moeten halen, dat is ook de reden waarom ik een zwarte en een witte heb.[/quote]
Ik moet dat soort dingen nog even goed uitvogelen, voordat ik iets echt ga vastleggen.

Ik gebruik nl ook Lastpass en die kan ik ook in combinatie met Google Authenticator gebruiken. Nou vind ik zelf de Authenticator vaak handiger omdat ik mijn smartphone altijd 'op de man' heb en als ik thuis ben mijn sleutelbos aan de deur hangt. Ik moet dus iets verzinnen om die Yubi altijd bij met te hebben, anders kom je ineens nergens meer in...

Ik zit ook wel eens bij klanten die van alles hebben geblokkerd, zoals USB poorten, uit veiligheidsoverwegingen. Maar je, het keyboard en muis hangen er ook aan, dus wie weet mag een keyboard wel. Ik heb dus nog wel eea uit te zoeken en te experimenteren voordat ik er helemaal uit ben hoe ik de Yubi ga gebruiken. De mogelijkheden zijn in ieder geval legio!

mphilipp schreef op zaterdag 02 maart 2013 @ 12:44:
[...]

Dat is inderdaad zoals ik 'm ook wil gebruiken voor sites en systemen die niet specifiek de Yubikey ondersteunen. Alleen jammer dat je dan nog steeds niet beschermd bent tegen keyloggers, maar dat was je dan toch al niet en voegt de Yubikey niets toe (en doet er niets aan af ook). Het is in ieder geval een onmogelijk te gokken wachtwoord.

Jep. Het is ook maar net hoe je hem gaat gebruiken. In de pre-boot van Truecrypt bijvoorbeeld zie ik niet zo snel een keylogger komen, maar onder Windows (zeker als het niet je eigen computer betreft) weet je het maar nooit.

Hier staat hoe en wat met Truecrypt: http://static.yubico.com/...rueCrypt%202011-03-23.pdf

[...]
Ik moet dat soort dingen nog even goed uitvogelen, voordat ik iets echt ga vastleggen.

Ik gebruik nl ook Lastpass en die kan ik ook in combinatie met Google Authenticator gebruiken. Nou vind ik zelf de Authenticator vaak handiger omdat ik mijn smartphone altijd 'op de man' heb en als ik thuis ben mijn sleutelbos aan de deur hangt. Ik moet dus iets verzinnen om die Yubi altijd bij met te hebben, anders kom je ineens nergens meer in...

Dat is zeker een punt. Als je nu al Google Authenticator gebruikt, en je bent daar blij mee, zou ik het niet zo snel veranderen. Met Lastpass is niet zoiets mogelijk als triple factor, dus allebei tegelijk kan sowieso niet. Het ene systeem is niet bepaald beter dan het andere.

Wel zou ik proberen een scheiding te maken in het gebruik van je two-factor devices. Want stel je gebruikt op je Google Apps ook authenticator, en je kunt om wat voor een reden dan ook niet meer in je mail (en je hebt je back-up codes niet bij de hand), heb je dus ook direct een probleem met het inloggen op Lastpass (want je authenticator is er immers niet).

Door twee verschillende systemen te gebruiken hou je dus een beetje in de hand dat je niet compleet machteloos bent in geval je zo'n device kwijt bent of niet bij de hand hebt.

Zelf gebruik ik de Yubikey (en mijn ePass2003 token) alleen thuis. Wil ik zonodig 'mobiel' Lastpass gebruiken dan doe ik dat wel via mijn smartphone met de app (heb je ook premium voor nodig). Inderdaad geen two-factor, maar je moet op z'n minst als door het codeslot van m'n toestel heen voor je uberhaupt ergens kan beginnen (en dan heb ik al lang m'n master password gewijzigd).

Overigens kun je weer als je een two-factor methode gebruikt je account 'beschermen' tegen aanloggen vanaf andere toestellen dan jij hebt toegestaan, en deze dus alleen beperken tot je eigen smartphone en/of tablet om het weer een stapje veiliger te maken.

Door het thuislaten voorkomt dus ook dat ik die dingen vergeet, of altijd meezeul aan een sleutelbos. En voor het lezen van mijn e-mail op een externe locatie kan ik dan met Google Authenticator aan de gang als het moet. Of natuurlijk ook weer op de smartphone.

Het is ook maar net waar je hem gebruikt. Zelf zit ook nog al eens bij klanten waarvan ik bijna zeker weet dat die 100% loggen wat je doet op een PC. In zo'n geval is two-factor natuurlijk een must, of je moet gewoon in zijn geheel laten om op zo'n computer in te loggen op je eigen accounts.

Ik zit ook wel eens bij klanten die van alles hebben geblokkerd, zoals USB poorten, uit veiligheidsoverwegingen. Maar je, het keyboard en muis hangen er ook aan, dus wie weet mag een keyboard wel. Ik heb dus nog wel eea uit te zoeken en te experimenteren voordat ik er helemaal uit ben hoe ik de Yubi ga gebruiken. De mogelijkheden zijn in ieder geval legio!

De Yubikey wordt gewoon gegroepeerd in de device manager als HID Keyboard Device. Dus tenzij ze specifiek een device ID gefilterd hebben gaat het vrijwel in de meeste gevallen wel goed. Ik ben nog nooit tegengekomen dat het niet werkte in ieder geval, ook in omgevingen met flink dichtgetimmerde AD policies.

Lastpass is wat dat betreft een aardige backup, want voor de sites waar je de Yubi gebruikt om een ingewikkeld password te maken (met een eigen toevoeging), heb je altijd die Lastpass die het ww voor je invult en als je ergens anders bent, kun je de Yubi gebruiken. Voor Google zaken gebruik ik liever mijn Authenticator, want die is echt altijd veilig.

Ik heb 'm ook een beetje gekocht als experimenteerding, gewoon om te kijken hoe zoiets werkt en uit te vogelen hoe zoiets ook in de praktijk werkt. Iedereen werkt toch weer anders dus je moet zelf zien hoe zo'n ding in je eigen routine past. Ik wil idd ook een TrueCrypt deel maken op mijn systeem en dan is de Yubi ideaal denk ik.

Zelf zegt Yubi dat je een tweede key moet hebben als je 'm echt voor hele belangrijke dingen gebruikt en dan die 2de hetzelfde programmeren. Want als je 'm voor TrueCrypt gebruikt en je Yubi is weg of kapot, ben je het bokje natuurlijk... Daarom wil ik nog even niet mijn hele machine ermee op slot zetten. Op zich heeft Windows Logon beveiligen met de Yubi geen zin tegen mensen die echt graag je spullen willen hebben, want als ze met een rescue cd opstarten, is alle data te benaderen. Tenzij je alles met TrueCrypt hebt encrypted natuurlijk.

mphilipp schreef op zaterdag 02 maart 2013 @ 20:44:
Zelf zegt Yubi dat je een tweede key moet hebben als je 'm echt voor hele belangrijke dingen gebruikt en dan die 2de hetzelfde programmeren. Want als je 'm voor TrueCrypt gebruikt en je Yubi is weg of kapot, ben je het bokje natuurlijk... Daarom wil ik nog even niet mijn hele machine ermee op slot zetten. Op zich heeft Windows Logon beveiligen met de Yubi geen zin tegen mensen die echt graag je spullen willen hebben, want als ze met een rescue cd opstarten, is alle data te benaderen. Tenzij je alles met TrueCrypt hebt encrypted natuurlijk.

Een tweede key kan wel, maar is niet nodig als je dat static password gewoon uitprint en ergens opbergt. Dat is niet veiliger of onveiliger dan een tweede yubikey erop nahouden, immers of dat static wachtwoord nu op papier staat of op die yubikey maakt weinig verschil. Als iets of iemand dat wachtwoord vindt dan kan ie er toch niks mee, ivm de combinatie met de passphrase (dat dus wel toepassen!).

Als je het echt gek wilt maken dan sla je zo'n twee key, of een printje van het wachtwoord, op in een keysure keycontroller. Dat is een kastje wat je moet slopen om het weer open te krijgen. Zodat je kunt zien dat je wachtwoord is gecompromitteerd en dat het dus tijd wordt om die te vernieuwen Ware het niet dat als dat gebeurt in je eigen woning je beter ook even kunt kijken naar sloten van je voordeur, etc

Logon beveiliging is eigenlijk niet echt interessant op je thuis pc, daar waar al je data waarschijnlijk ook op staat. Fysieke toegang tot een systeem betekend eigenlijk altijd automatisch gecompromitteerde data (tenzij full-encrypted dus). Logon security (al dan niet met two-factor authentication) is dus meer bedoelt in een kantooromgeving waar makkelijke fysieke toegang tot systemen juist één van de belangrijkste eisen zijn (of iig een gegeven is). De meest kritische data staat immers niet op de werkstations maar op centrale systemen (met hun eigen beveiliging).

Als je dan toch logon security wilt implementeren, dan zou ik daar eerder een smartcard of token voor nemen, zoals deze http://www.gooze.eu/feitian-pki-smartcard-ftcos-pk-01c. De eerder genoemde ePass2003 is in feite hetzelfde ding, maar dan geïntegreerd als usb stick, met een losse smartcard heb je ook een afzonderlijke smartcard reader nodig. Behalve dat je logon security kunt inregelen met zo'n kaart of token, kun je er ook nog wat losse certificaten opzetten, bijvoorbeeld als je regelmatig SSH verbindingen opzet vanuit PuTTY bijvoorbeeld of voor VPN connecties.

ebia schreef op zaterdag 02 maart 2013 @ 23:40:
[...]
Een tweede key kan wel, maar is niet nodig als je dat static password gewoon uitprint en ergens opbergt.

Nee, het ging niet persé over een static password geloof ik. Als je 'm voor windows logon gebruikt met hun tooltje. Dan staat ie in challenge-respons mode with variable input. Dan genereert ie iedere keer weer iets anders, dus als je 'm kwijt bent, is het gebeurd...