Is een YubiKey veilig het niet je enige 2FA methode is?

Hangt erg af van hoe de dienst het inricht - en wat de mogelijkheden zijn van de betreffende hardware.

Ik denk dat je op zoek bent naar het concept ‘passkeys’: zoeken bij google naar 'passwordless authentication yubikey'. Wat dan dus wel moet worden ondersteund door en de dienst waar je inlogt en de apparatuur.

Ik ben hier beland omdat ik vanochtend vrijwel dezelfde vraag heb gesteld.

Ik heb 2 Yubikeys (1reserve/backup) gekocht in een impulsaankoop. 2FA ingesteld voor mijn e-mail en andere diensten. Op mijn desktop. Maar als ik op mijn mobiel of een andere dekstop/laptop inlog, vraagt hij niet om de Yubikey.

Ik zou denken dat het gebruik van de Yubikey verplicht moet zijn om in te loggen op die accounts, onafhankelijk van op welk apparaat je inlogt. Anders is het toch gewoon zinloos?

Is de Yubikey niet gewoon een extra MFA-optie, die ervoor zorgt dat je, bijvoorbeeld vanaf je desktop, niet elke keer een telefoon/app erbij hoeft te pakken om in te loggen?

Dus niet zozeer extra beveiliging (ik zou niet weten waarom een Yubikey veiliger zou zijn dan andere goede MFA opties), maar een stuk gemak als je veel inlogt met MFA vanaf een vaste plek?

Volgens mij is het idee o.a. dat een fysiek 2FA-object zoals een Yunikey je beschermt tegen phishing. Dat het feit dat je toegang nodig hebt tot een fysiek object veiliger is dan tot info (sms/2fa-code, etc.) die onderschept of per abuis (phoshong, social engenerring, etc) kan worden.

Het is heel erg afhankelijk van de service waarbij je de yuibikey gebruikt om in te loggen en welke methode ze gebruiken.

De yubikey is stap twee in het proces:
- iets wat je weet (wachtwoord)
- iets wat je hebt (token / pasje)
- iets wat je bent (vingerafdruk)

@ThomasBHJensen Als die dienste vervolgens de sessie 30 dagen of langer onthoudt, tsja...

ThomasBHJensen schreef op donderdag 26 september 2024 @ 13:43:
Volgens mij is het idee o.a. dat een fysiek 2FA-object zoals een Yunikey je beschermt tegen phishing. Dat het feit dat je toegang nodig hebt tot een fysiek object veiliger is dan tot info (sms/2fa-code, etc.) die onderschept of per abuis (phoshong, social engenerring, etc) kan worden.

Veiliger is relatief natuurlijk. De fysieke Yubikey kun je net zo goed kwijtraken of gestolen worden, etc.

Beiden hebben voor en nadelen.

jeroen3 schreef op donderdag 26 september 2024 @ 13:44:
[...]
@ThomasBHJensen Als die dienste vervolgens de sessie 30 dagen of langer onthoudt, tsja...

Dat maakt niet uit, zolang het apparaat waarop je inlogt maar in jouw beheer is (en niet een publieke of gedeelde pc bijvoorbeeld). Het voorkomt namelijk wel dat ik hier met jouw credentials kan inloggen op mijn apparaat. En dan is het gewoon prettig dat je maar eens in de maand je code hoeft te vernieuwen.

ThomasBHJensen schreef op donderdag 26 september 2024 @ 13:18:
Ik ben hier beland omdat ik vanochtend vrijwel dezelfde vraag heb gesteld.

Ik heb 2 Yubikeys (1reserve/backup) gekocht in een impulsaankoop. 2FA ingesteld voor mijn e-mail en andere diensten. Op mijn desktop. Maar als ik op mijn mobiel of een andere dekstop/laptop inlog, vraagt hij niet om de Yubikey.

Ik zou denken dat het gebruik van de Yubikey verplicht moet zijn om in te loggen op die accounts, onafhankelijk van op welk apparaat je inlogt. Anders is het toch gewoon zinloos?

Veel online diensten hebben de mogelijkheid om voor een bepaalde tijd 'ingelogged' te blijven, meestal iets van 30 dagen of iets dergelijks. Pas daarna zal er weer een mfa token gevraagd worden. Yubico, in deze, kan niks afdwingen, dat is geheel ter descretie van de dienst.

Mobiele devices (smartphone/tablet) maken tegenwoordig vaak gebruik van een moderne techniek als oauth2, waarbij eenmalig authenticatie via ww en eventueel mfa vereist is en daarna authenticatie via een token plaatsvind.

Het voordeel van de Yubikey is dat die phishing resistant is. Bij andere MFA methodes kun je via een proxy (EvilGinx2) de token stelen. Dat kan omdat op de MFA methodes als SMS, TOTP etc niet kunnen controleren via welke url jij probeer in te loggen. Een yubikey is bij mijn weten gekoppeld aan een URL en gaat daarom niet werken omdat die niet kan authenticeren als de url niet klopt. En dat is het geval als er een proxy tussen zit.

Ik stoei met precies hetzelfde probleem. Uiteindelijk is het het veiligst als je alleen yubikey hebt, maar dat is soms onmogelijk of heel lastig. De tweede stap is dus dat je dus nooit die TOTP optie gebruikt. Dan kun je ook niet gephisht worden. Dan rest alleen nog dat TOTP gekraakt wordt, die kans is volgens mij heel klein.

De vraag toont een belangrijk probleem. Zowel dienstverleners als gebruikers stellen geen duidelijke ondergrenzen door een nieuw middel te (laten) gebruiken. Het lijkt er meer om te gaan het te willen gebruiken omdat het veiliger kan of zou zijn, niet omdat het duidelijk genoeg veiliger is.

Als een bedrijf geen duidelijkheid geeft onder welke voorwaarden het volgens hun de toegang veilig(er) maakt, maar ook wat de risico's blijven of erger worde , kun je het maar beter aan ze vragen. Want een middel gaan gebruiken maakt het zonder dat soort duidelijkheid niet perse maar veiliger.

ThomasBHJensen schreef op donderdag 26 september 2024 @ 13:18:
2FA ingesteld voor mijn e-mail en andere diensten. Op mijn desktop. Maar als ik op mijn mobiel of een andere dekstop/laptop inlog, vraagt hij niet om de Yubikey.

Ik zou denken dat het gebruik van de Yubikey verplicht moet zijn om in te loggen op die accounts, onafhankelijk van op welk apparaat je inlogt. Anders is het toch gewoon zinloos?

Ten eerste: heb alleen de Yubikey als tweede factor (en een backup Yubikey als alternatief), dus niet ook authenticator app laat staan sms. Dan is dat de enige 2e factor. Je hebt bij inloggen 1 van de bekende tweede factoren nodig.

Dan waarom niet wordt gevraagd om de factor: hangt een beetje af van waar je het voor gebruikt. Een lokale standaard AD kent bij mijn weten geen MFA-mogelijkheid. Een Azure AD EntraID wel, net als vele andere online diensten. Vaak wordt -bij opnieuw inloggen op een al bekend device- afhankelijk van de instellingen niet elke keer de tweede factor gevraagd. Maar wel als je het op een ander apparaat zou proberen,

Ik snap je punt: het is vergelijkbaar met een voordeur met anti-trek cilinder en driepuntssluiting, terwijl de achterdeur met een kartonnetje is dichtgeklemd. Het zal wel bedoeld zijn als extra gemak voor de gebruiker ("kak, yubikey thuis laten liggen. Gelukkig kan sms ook"), maar is niet veiliger.

Echter is dat een keuze van de dienst waarop je wil inloggen en geen fundamentele eigenschap van de yubikey. Dus als je dat belangrijk vindt, moet je eerst bij de dienst kijken of je die keuze kunt forceren of niet.

De meeste diensten staan je toe om met 'een extra factor' in te loggen, welke dat is maakt niet uit. Als je er meerdere instelt, zullen ze allemaal even geldig zijn als extra factor.

Als je alleen je YubiKey wil gebruiken zul je dus andere factoren uit moeten zetten. Voordeel van MFA obv TOTP is dat het eigenlijk overal werkt waar je input kunt geven, zelfs commandline of op een heel oud apparaat, maar als je altijd op een apparaat inlogt waar je YubiKey werkt is dat prima.

Let wel even op; het idee van TOTP is dat iemand alsnog toegang nodig heeft tot je apparaat om obv je secrets een tijdelijke code te genereren. Apps als Authy maar ook het opslaan van TOTP-secrets in je wachtwoordmanager gaat daar tegenin.
Multifactor over SMS is nog onveiliger dan email (wat ook al onveilig is) want een SMS kunnen ze heel makkelijk afvangen als ze je telefoonnummer weten (daar hoeft geen social engineering of 'hack' aan te pas te komen).

Een YubiKey met FIDO2 staat ongeveer gelijk aan een TOTP-secret dat niet gesynct wordt over het internet, maar het gebruiksgemak van een YubiKey is hoger.

HoroHoro schreef op vrijdag 27 september 2024 @ 06:07:
@ThomasBHJensen
Ja dat weet ik. Maar mijn vraag was dus: wordt deze veiligheid niet compleet teniet gedaan door het feit dat je nog steeds kunt kiezen voor 2FA i.p.v. de Yubikey? Ik kan namelijk niet ALLEEN een Yubikey instellen als mijn 2FA methode.

Ik reageerde niet op jou, maar op Dido die zei: (ik zou niet weten waarom een Yubikey veiliger zou zijn dan andere goede MFA opties).

Also, ik zat met een vraag die erg op die van jou lijkt. Had hiervoor zelf een topic geopend, maar mods hebben er voor gekozen om mijn topic te sluiten en me aan te raden in deze topic door te praten. Dat levert dus op dat jouw en mijn vraag (die niet exact hetzelfde zijn) in deze topic door elkaar lopen, met onduidelijkheid voor iedereen tot gevolg.

ThomasBHJensen schreef op donderdag 26 september 2024 @ 13:43:
Volgens mij is het idee o.a. dat een fysiek 2FA-object zoals een Yunikey je beschermt tegen phishing. Dat het feit dat je toegang nodig hebt tot een fysiek object veiliger is dan tot info (sms/2fa-code, etc.) die onderschept of per abuis (phoshong, social engenerring, etc) kan worden.

Maar goed, dat zou dus alleen zo zijn voor services waar je alle andere methodes om in te loggen uit kan schakelen, en dat is vaak niet het geval.

Als je dat wel doet, kun je zelf ook niet meer bij de betreffende sevrice als je je Yubikey niet bij je hebt, en ik kan me wel situaties voorstellen waarin dat wellicht niet wenselijk is.

[ Voor 14% gewijzigd door Dido op 27-09-2024 08:42 ]

HoroHoro schreef op vrijdag 27 september 2024 @ 06:13:
[...]


Ja dat kan dus niet. Ik kan niet ALLEEN de yubikey als optie instellen. Dát is dus mijn vraag. Wat is dan nog de zin van een Yubikey?

Helemaal mee eens. De Yubikey is dus feitelijk zinloos. Wat mij betreft is de conclusie dat (iig in mijn geval) de Yubikey een zinloze aanschaf is geweest, waar ik meer over had moeten lezen voor ik 'm kocht.

De gedachte dat je door de Yubikey goed beschermd bent omdat je 'm altijd nodig hebt om in te loggen gaat dus niet op.


Erger nog, je beveiliging is zo zwak als je zwakste schakel en als je andere MFA-methodes niet kan uitzetten dan loop ik altijd met mn Yubikey op zak terwijl een eventuele aanvaller gewoon een andere (zwakkere) MFA kan proberen te omzeilen en de Yubikey niets extras biedt.


de yubikey is dan ipv een methode om beter te beveiligen feitelijk gewoon een blok aan mijn been, waar een aanvaller geen last van heeft.

ThomasBHJensen schreef op vrijdag 27 september 2024 @ 15:30:
Erger nog, je beveiliging is zo zwak als je zwakste schakel en als je andere MFA-methodes niet kan uitzetten dan loop ik altijd met mn Yubikey op zak terwijl een eventuele aanvaller gewoon een andere (zwakkere) MFA kan proberen te omzeilen en de Yubikey niets extras biedt.

Dat heeft niets van doen met Yubikey, maar met de dienst waar je inlogt. Het is prima mogelijk om alleen user+pass+Yubikey te accepteren. Dat men ook andere MFA-methoden aanbiedt doet daar niets aan af, die richt je dan simpelweg niet in.

Als bijv. altijd inloggen met user+pass+sms of bevestigingmail mogelijk is, dan is het inderdaad haast zinloos.

dank. balen maar het is niet anders. 133 euro leergeld betaald ;-)

Mfa wordt vaak gebypassed middels mitm, zoals mitmproxy

Ik vraag mij af of dat met een yubikey zou lukken.
Als dat niet kan, dan ben je dus wel stukje veiliger als je in phishing aanval zou trappen

laurens0619 schreef op zondag 29 september 2024 @ 19:50:
Mfa wordt vaak gebypassed middels mitm, zoals mitmproxy

Ik vraag mij af of dat met een yubikey zou lukken.
Als dat niet kan, dan ben je dus wel stukje veiliger als je in phishing aanval zou trappen

Klopt. Althans FIDO2 U2F, passwordless. Die zijn gebonden aan de domeinnaam.

AFAIK.

Het is dus nog steeds veiliger om een Yubikey te gebruiken naast bijvoorbeeld TOTP.

Je kunt, om het nog veiliger te maken, je TOTP na het instellen ook direct weer verwijderen. Een aanvaller moet dan ofwel de secret onderscheppen ofwel brute forcen.

De stelling dat en Yubikey onzinnig is bij de genoemde voorbeelden klopt niet.

Heb sinds kort een Token2 (concurrent van Yubikey) en was idd ook verbaast dat je ‘m niet als enige MFA methode kan instellen bij een hoop diensten.

Kan je net zo goed passkeys gebruiken op je telefoon. Die heb je immers toch altijd bij?

Vind ‘m wel ideaal voor het inloggen in Windows op bijv een zakelijke laptop.

Ik wil een Yubico zakelijk gaan gebruiken en alle medewerkers voorzien van een Yubikey. De vraag die bij mij opkwam was dus exact dezelfde: een beveilig is zo zo sterk als de zwakste schakel. Dus zal elke gebruiker in zijn Microsoft profile de overige methoden moeten uitschakelen.



Dat is zo te zien wel mogelijk in Windows. Elke medewerker zal ook een backup Yubikey moeten krijgen.
Maar wat als hij op kantoor komt en zijn key is vergeten en zijn backup key ligt nog thuis? Of dat om een of andere reden zijn account gereset moeten worden? Hoe kan je dat doen?
Normaal gesproken kan je in het AD een password resetten. Hoe werkt dat in dit geval?

@RobWest ik neem aan dat je zakelijk of een business abonnement beschikt en niet de consumentenversies gebruikt.

Meerdere sleutels uitdelen is dan niet per sé nodig voor de normale gebruikers. Je hebt altijd nog een beheerder die bij het verlies van een sleutel een reset van MFA kan uitvoeren waarna een nieuwe sleutel gekoppeld kan worden.

Daarnaast is mijn persoonlijke ervaring dat je maar zeldzaam MFA nodig hebt als je gewoon op hetzelfde device blijft werken. Dus als je de sleutel een keer vergeet zou er in een goed geconfigureerde omgeving geen enkel probleem moeten zijn voor alles wat werkt met EntraID.

En sleutel vergeten, dan kun je hetzelfde doen als kwijtraken, resetten en een nieuwe koppelen.

Yubikeys (en concurrenten) ondersteunen meerdere standaarden. Passkeys en U2F zijn daarin vrij populair en veiliger dan TOTP.

Het is afhankelijk van de dienst hoe ze dit implementeren. Bij Nextcloud en UniFi is het bijvoorbeeld prima mogelijk om ze als enige MFA methode in te stellen.

Soms dien je wel in de instellingen van je account te 'graven' en bijvoorbeeld TOTP te verwijderen voordat je "alleen maar" een Passkey of U2F kunt gebruiken, mocht je ze allebei ingesteld hebben.

Daarnaast is de dienst-specifieke implementatie ook hetgeen wat bepaalt wanneer je MFA dient te gebruiken; van elke sessie tot een keer per dertig dagen óf bij het inloggen vanaf een nieuwe locatie.

Mijn persoonlijke voorkeur is bij elke sessie. Ik heb een Nano altijd in mijn laptop zitten, dus die is zo "aangeraakt". Maar dat is uiteraard wel iets wat de dienst moet ondersteunen.

Overigens kan iets als een Secure Enclave (denk aan de Titan in Pixels en de TPM in een laptop) door applicaties ook als dusdanig gebruikt worden. Face ID op een iPhone en Windows Hello werken bijvoorbeeld zo.

RobWest schreef op maandag 12 mei 2025 @ 08:33:
Ik wil een Yubico zakelijk gaan gebruiken en alle medewerkers voorzien van een Yubikey. De vraag die bij mij opkwam was dus exact dezelfde: een beveilig is zo zo sterk als de zwakste schakel. Dus zal elke gebruiker in zijn Microsoft profile de overige methoden moeten uitschakelen.

[Afbeelding]

Dat is zo te zien wel mogelijk in Windows. Elke medewerker zal ook een backup Yubikey moeten krijgen.
Maar wat als hij op kantoor komt en zijn key is vergeten en zijn backup key ligt nog thuis? Of dat om een of andere reden zijn account gereset moeten worden? Hoe kan je dat doen?
Normaal gesproken kan je in het AD een password resetten. Hoe werkt dat in dit geval?

En wat denk je met een Yubikey te winnen?

Doorgaans mag/moet je aannemen dat gebruikers:
- Geen verstand (willen) hebben van beveiliging, dus de gekozen methode moet zo simpel mogelijk zijn
- Lui zijn, dus de gekozen methode moet minimaal extra werk opleveren
- Meer willen kunnen dan ze mogen, dus de gekozen methode moet lastig te omzeilen zijn.

Kijk ik dan naar jouw opmerking:

Dus zal elke gebruiker in zijn Microsoft profile de overige methoden moeten uitschakelen.

Dan past dat op geen enkele aanname. Je vraagt de gebruiker om de overige methoden uit te schakelen (hoe moet dat? dat kan ik niet), waarvan je er van uit gaat dat ze dat effectief doen (maar het werkt nu toch, dus waarom zou ik) en het niet terug gaan draaien (die pincode vond ik toch makkelijker).
Bovendien kan zo'n Yubikey in de USB-poort blijven zitten terwijl de gebruiker van de PC weg loopt en collega's (of de russische schoonmaker) kunnen inloggen door simpelweg even die key aan te raken. (En dan heb ik nog niet eens over het slopen van de USB-poort en/of de key door de laptop rücksichtslos in de tas te proppen.)

En tuurlijk, je kunt pincode vereisen op een reguliere Yubikey, maar die is natuurlijk zo afgekeken. Bovendien introduceert die pincode weer een ander probleem, een Yubikey waar te vaak een foute pincode aan doorgegeven wordt, maakt zichzelf onbruikbaar.

Zo kan ik nog wel even doorgaan. Maar waar het in het kort op neer komt:
• Denk eerst goed na over welke doelen je wilt behalen.
• Zoek daar vervolgens verschillende oplossingen bij
• Probeer door het oog van de gebruiker te kijken wat de verandering hem of haar kost danwel oplevert.
• Probeer tenslotte ook te kijken naar methodes die een gebruiker heeft om die nieuwe methode naar zijn of haar hand te zette, danwel te omzeilen.
En denk ook verder na; als de gekozen methode extra inzet van het personeel vereist, maar jij wel met redelijke zekerheid kunt stellen dat het echt de rechtmatige gebruiker is, kun je dan iets aan het personeel terug geven? Bijvoorbeeld door de logins van Office 365 en andere veelgebruikte apps te 'automatiseren' door een persoonlijk certificaat op de PC te plaatsen?

Dus de Yubikeys kun je zeker overwegen; maar wees je wel bewust van de mogelijkheden, de beperkingen en hoe gebruikers er mee omgaan. Immers, een Yubikey zonder ingestelde pincode die de macht heeft om er mee op een domain-account in te loggen slaat juist een krater in je beveiliging. Hoevaak wordt er wel niet een laptop uit een auto gejat? En hoe gemakkelijk zou dat voor de dader zijn om in te loggen wanneer de Yubikey in diezelfde laptoptas (of misschien wel de USB-poort) zit?

RiDo78 schreef op maandag 26 mei 2025 @ 12:25:
[...]

Ik heb voor mijzelf al de overige methoden uitgeschakeld, alleen aanmelden middels wachtwoord kan je niet verwijderen. MFA heb ik verwijderd en alleen authenticatie via een beveligingssleutel is aanwezig.
Als ik wil aanmelden via wachtwoord dan vraagt hij alsnog om authenticatie via Yubikey.
Meld ik mij direct aan middels de beveiligingssleutel dan vraagt hij niet meer om wachtwoord.

FIDO2 op een Yubikey is verplicht beveiligd met een pincode. Wat dat betreft is het ongeveer hetzelfde als wat gebruikers nu doen. Nu loggen ze in met een pincode met Windows Hello for Business. Dus een pincode afkijken zou nu ook kunnen, maar dat is niet de insteek.
Dus even inloggen door simpelweg even de key aan te raken kan niet.
Als een laptop wordt gestolen, dan zal de dief een pincode moeten ingeven, maar of dat nou de Windows pincode is of die van Yubikey is om het even.

6x foute pincode op een Yubikey, ja dan fabrieksreset op de Yubikey, prima toch.
Heeft een gebruiker zijn Yubikey vergeten? Dan krijgt hij een andere Yubikey en doen we een MFA reset. Mag hij de andere weer inleveren.

Kort gezegd: nu logt een gebruiker in middels zijn pincode op zijn laptop. Straks logt hij in door eerst de pincode van de Yubikey te geven en even aan te raken.

Doelstelling: het is onmogelijk om in te loggen op je account zonder de Yubikey

[ Voor 4% gewijzigd door RobWest op 08-06-2025 14:41 ]