:strip_exif()/i/2003884474.png?f=thumbmini)
:strip_exif()/i/2003854568.png?f=thumbmini)
:strip_icc():strip_exif()/u/604726/crop5f3b635b14ae7_cropped.jpeg?f=community)
Beste lezer,
Jaaaaren geleden ooit mijn eerste Yubikeys gekocht en nu de hele passkeys (en passwordless) dagen lijken aan te breken heb ik deze week twee nieuwe Yubikeys besteld, de 5C Nano en 5C NFC. Twee stuks, want net als bij reguliere backups; 1 backup is geen backup.
Al enige tijd maak ik gebruik van Vaultwarden, draait in Docker op een eigen server en dat bevalt prima. Binnenkort zal het bij Bit/Vaultwarden mogelijk worden om het hoofdwachtwoord te vervangen voor een passkey (Fido2 / Webauthn). Dat lijkt me een fantastische ontwikkeling daar het hoofdwachtwoord toch gewoon de zwakste schakel is in een wachtwoordmanager.
Waar het bij mij (en waarschijnlijk 99% van de mensen) mis gaat is het gemak om de 2FA codes op te slaan in dezelfde wachtwoordmanager. Gewoon uit gemak, want na het automatisch invullen van gebruikersnaam en wachtwoord volstaat een cmd-v / ctrl-v om de 6-cijferige code in te voeren en dat is natuurlijk handig, al vergaat daarmee tevens het hele 2FA principe van 'iets weten en iets hebben'. Ok, niet helemaal nutteloos, want een gelekt wachtwoord van 1 account betekent daarmee niet dat iemand zomaar kan inloggen, maar verre van 'best practice'.
/f/image/g9z8lGcoc0aVvQllssfoq3rw.png?f=fotoalbum_large)
Daar de nieuwe Yubikeys ook 32 2FA accounts kunnen opslaan ben ik bezig om alle 2FA codes te verhuizen van Vaultwarden naar beide Yubikeys. Maar nu zit ik even met een brainfart; op de Yubikeys kunnen naast de passkeys en 2FA functionaliteit óók 2 slots worden ingericht met diverse functies;
/f/image/wA2HWELwxvPIU45ZT18FSLcg.png?f=fotoalbum_large)
Je kunt dus met 1 (korte of lange) druk op de Yubikey automatisch een veelgebruikte 2FA (HOTP) laten invullen, maar ook een statisch wachtwoord. En die laatste zit ik een beetje over te twijfelen.
Wat zou het grote gevaar zijn wanneer ik bij alle websites die 2FA ondersteunen een zeer complex wachtwoord instel en datzelfde wachtwoord in de Yubikey programmeer?
Dus ik log ergens in;
- voer gebruikersnaam in
- tik op de Yubikey voor het complexe wachtwoord
- vervolgens kopieer en plak ik de 2FA vanuit de Yubikey
Stel dat iemand mijn gebruikersnaam en complexe wachtwoord weet te achterhalen, dan is de 2FA altijd maar 30 seconden geldig dus is de kans verwaarloosbaar dat iemand de juiste code gokt. Het gemak is evident, je hebt bij dergelijke websites geen wachtwoordmanager meer nodig en kunt overal inloggen als je maar je Yubikey bij je hebt.
Let wel; voor alle websites waar geen 2FA of passkeys beschikbaar zijn gaat dit verhaal natuurlijk niet op, ik doel echt op websites waar 2FA verplicht in te schakelen is.
Jaaaaren geleden ooit mijn eerste Yubikeys gekocht en nu de hele passkeys (en passwordless) dagen lijken aan te breken heb ik deze week twee nieuwe Yubikeys besteld, de 5C Nano en 5C NFC. Twee stuks, want net als bij reguliere backups; 1 backup is geen backup.
Al enige tijd maak ik gebruik van Vaultwarden, draait in Docker op een eigen server en dat bevalt prima. Binnenkort zal het bij Bit/Vaultwarden mogelijk worden om het hoofdwachtwoord te vervangen voor een passkey (Fido2 / Webauthn). Dat lijkt me een fantastische ontwikkeling daar het hoofdwachtwoord toch gewoon de zwakste schakel is in een wachtwoordmanager.
Waar het bij mij (en waarschijnlijk 99% van de mensen) mis gaat is het gemak om de 2FA codes op te slaan in dezelfde wachtwoordmanager. Gewoon uit gemak, want na het automatisch invullen van gebruikersnaam en wachtwoord volstaat een cmd-v / ctrl-v om de 6-cijferige code in te voeren en dat is natuurlijk handig, al vergaat daarmee tevens het hele 2FA principe van 'iets weten en iets hebben'. Ok, niet helemaal nutteloos, want een gelekt wachtwoord van 1 account betekent daarmee niet dat iemand zomaar kan inloggen, maar verre van 'best practice'.
:fill(white):strip_exif()/f/image/g9z8lGcoc0aVvQllssfoq3rw.png?f=user_large)
Daar de nieuwe Yubikeys ook 32 2FA accounts kunnen opslaan ben ik bezig om alle 2FA codes te verhuizen van Vaultwarden naar beide Yubikeys. Maar nu zit ik even met een brainfart; op de Yubikeys kunnen naast de passkeys en 2FA functionaliteit óók 2 slots worden ingericht met diverse functies;
:fill(white):strip_exif()/f/image/wA2HWELwxvPIU45ZT18FSLcg.png?f=user_large)
Je kunt dus met 1 (korte of lange) druk op de Yubikey automatisch een veelgebruikte 2FA (HOTP) laten invullen, maar ook een statisch wachtwoord. En die laatste zit ik een beetje over te twijfelen.
Wat zou het grote gevaar zijn wanneer ik bij alle websites die 2FA ondersteunen een zeer complex wachtwoord instel en datzelfde wachtwoord in de Yubikey programmeer?
Dus ik log ergens in;
- voer gebruikersnaam in
- tik op de Yubikey voor het complexe wachtwoord
- vervolgens kopieer en plak ik de 2FA vanuit de Yubikey
Stel dat iemand mijn gebruikersnaam en complexe wachtwoord weet te achterhalen, dan is de 2FA altijd maar 30 seconden geldig dus is de kans verwaarloosbaar dat iemand de juiste code gokt. Het gemak is evident, je hebt bij dergelijke websites geen wachtwoordmanager meer nodig en kunt overal inloggen als je maar je Yubikey bij je hebt.
Let wel; voor alle websites waar geen 2FA of passkeys beschikbaar zijn gaat dit verhaal natuurlijk niet op, ik doel echt op websites waar 2FA verplicht in te schakelen is.
/u/365254/crop62e2919a741c0.png?f=community)
:strip_icc():strip_exif()/u/79614/Family-Guy-Victory-is-Ours.jpg?f=community)
