• Byte
  • Registratie: September 2010
  • Niet online
Vanochtend ben ik op zoek gegaan naar een Yubikey. Uiteindelijk de Yubikey 5c NFC gevonden, maar toch even gekeken of hij elders goedkoper is. Ik kwam op een tweedehands marktplaats (zal i.v.m. regels niet aangeven waar) een post tegen waarin de Yubikey voor €23,- incl. verzending/btw verkocht werd. Omdat dit rond de €40,- scheelt toch de keuze genomen om dit eens te proberen. Er worden meerdere Yubikeys (aantallen, niet soorten/types) aangeboden door deze verkoper. Volgens hem zijn deze tweedehands/refurbished. Dit laatste lijkt mij niet, ik denk dat het economisch niet interessant is om deze te refurbishen.

Uiteraard reset ik het apparaat naar fabrieksinstellingen zodra ik hem in mijn handen heb. Zijn er verder nog zaken waar ik op moet letten wanneer ik hem in gebruik neem?

Acties:
  • +1 Henk 'm!

  • HKLM_
  • Registratie: Februari 2009
  • Laatst online: 22:09
Het hangt er vanaf welke firmware ze draaien alles onder 5.7 zou ik links laten liggen ivm dit verhaal.

https://www.bleepingcompu...ne-yubikey-fido-keys/amp/

Cloud ☁️


Acties:
  • +1 Henk 'm!

  • Byte
  • Registratie: September 2010
  • Niet online
HKLM_ schreef op donderdag 26 september 2024 @ 15:29:
Het hangt er vanaf welke firmware ze draaien alles onder 5.7 zou ik links laten liggen ivm dit verhaal.

https://www.bleepingcompu...ne-yubikey-fido-keys/amp/
Dat is een hele goede. Niet geweten dat deze security flaw bestond. Zover ik kan zien kun je deze keys niet upgraden naar een nieuwe firmware, dus ik zal wel kijken welke versie erop zit. De kans dat dit misbruikt wordt is erg klein en is voor nu wel een risico welke ik wil nemen. Mocht ik hem inderdaad vaker gebruiken dan koop ik op een later moment een nieuwe via Yubico zelf.

Bedankt voor het posten!

  • pennywiser
  • Registratie: November 2002
  • Laatst online: 10-05 15:36
https://www.yubico.com/support/security-advisories/

https://www.theverge.com/...ility-side-channel-explot

Ik kan mijn Yubikey 4 dus beter weggooien?

[ Voor 60% gewijzigd door pennywiser op 26-09-2024 15:42 ]


Acties:
  • +1 Henk 'm!

  • Byte
  • Registratie: September 2010
  • Niet online
Ik kwam er ook pas door @HKLM_ achter. Of je je bestaande key weg moet gooien hangt denk ik een beetje af hoe strenge beveiligingseisen jij of je bedrijf stelt. Zelf heb ik hem puur voor privégebruik en is het een risico welke ik wil nemen. De kans dat iemand fysiek toegang krijgt tot de sleutel is erg klein. Landen waar de regering/overheid wat minder soepel is bezoek ik sowieso niet. Ik gebruik hem voorlopig gewoon.

Acties:
  • +1 Henk 'm!

  • pennywiser
  • Registratie: November 2002
  • Laatst online: 10-05 15:36
Byte schreef op donderdag 26 september 2024 @ 15:44:
[...]


Ik kwam er ook pas door @HKLM_ achter. Of je je bestaande key weg moet gooien hangt denk ik een beetje af hoe strenge beveiligingseisen jij of je bedrijf stelt. Zelf heb ik hem puur voor privégebruik en is het een risico welke ik wil nemen. De kans dat iemand fysiek toegang krijgt tot de sleutel is erg klein. Landen waar de regering/overheid wat minder soepel is bezoek ik sowieso niet. Ik gebruik hem voorlopig gewoon.
Wat relativering:

https://www.reddit.com/r/...lnerable_but_it_probably/

  • Byte
  • Registratie: September 2010
  • Niet online
Precies! Ik zou het risico niet nemen al zou ik reizen naar landen die het wat minder nauw nemen met privacy en je digitale spullen doorzoeken/scannen bij aankomst. Ik wil gewoon eens kijken of dit product mij verder kan helpen om mijn sleutels netjes op te slaan. Momenteel wordt dit via een wachtwoordmanager gedaan. Mijn 2FA sleutels en passkeys staan nu in dezelfde database. Dit wil ik gaan scheiden met deze sleutel en lijkt mij voor deze doeleinden meer dan prima!

Acties:
  • +1 Henk 'm!

  • jurroen
  • Registratie: Mei 2012
  • Laatst online: 22:59

jurroen

Security en privacy geek

Als iemand die voornamelijk in de vrij technische cybersecurity werkt én leeft vind ik dit een tof topic. Die relativering is verfrissend - maar ook noodzakelijk.

Ja, er is een kwetsbaarheid in de Yubikeys. En ja, vrij nasty. Maar de gemiddelde gebruiker die niet naar schimmige landen reist, geen target is van APTs, zal daar geen last van ondervinden.

Het is zoveel beter om wél een Yubikey met kwetsbare firmware te gebruiken (met WebAuthn/FIDO2) voor de normale gebruiker, dan dat niet te doen vanwege een kwetsbaarheid waar zij zeer waarschijnlijk geen enkele last van hebben.

Om de kwetsbaarheid te misbruiken is er échte fysieke toegang nodig. Een CT scanner bij de Douane op (vlieg)reis naar een ander EU land is daar niet voldoende voor. Verre van.

En ik ben blij dat er mensen zijn zoals @Byte. Met dat stukje relativering. Want het is maar al te gemakkelijk om door te schieten naar een volledig onrealistische, extreem paranoïde mindset. Juist dat kan zorgen voor meer onveiligheid.

Ongevraagde verzoeken per DM beantwoord ik niet, sorry


Acties:
  • 0 Henk 'm!

  • Byte
  • Registratie: September 2010
  • Niet online
jurroen schreef op maandag 30 september 2024 @ 00:01:
Als iemand die voornamelijk in de vrij technische cybersecurity werkt én leeft vind ik dit een tof topic. Die relativering is verfrissend - maar ook noodzakelijk.

Ja, er is een kwetsbaarheid in de Yubikeys. En ja, vrij nasty. Maar de gemiddelde gebruiker die niet naar schimmige landen reist, geen target is van APTs, zal daar geen last van ondervinden.

Het is zoveel beter om wél een Yubikey met kwetsbare firmware te gebruiken (met WebAuthn/FIDO2) voor de normale gebruiker, dan dat niet te doen vanwege een kwetsbaarheid waar zij zeer waarschijnlijk geen enkele last van hebben.

Om de kwetsbaarheid te misbruiken is er échte fysieke toegang nodig. Een CT scanner bij de Douane op (vlieg)reis naar een ander EU land is daar niet voldoende voor. Verre van.

En ik ben blij dat er mensen zijn zoals @Byte. Met dat stukje relativering. Want het is maar al te gemakkelijk om door te schieten naar een volledig onrealistische, extreem paranoïde mindset. Juist dat kan zorgen voor meer onveiligheid.
Zal zeker niet zeggen dat ik niet heb staan twijfelen over de aanschaf van een Yubikey via deze verkoper. Het ging mij vooral over het risico dat men schadelijke firmware op zo'n ding zet, het is tevens een tweedehandsverkoper. Eerder heb ik begrepen dat dit soms nog weleens bij cryptowallets gebeurd en dat men om deze reden aanraad om via de officiële verkoper te kopen.

Daarnaast kwam ik ook pas achter de kwetsbaarheden na het plaatsen van dit topic. Ik denk niet dat het echt een verschil had gemaakt in mijn keuze. Ik heb er nu €23 voor betaald i.p.v. ~€66, dit vind ik dan ook een kleine investering. Speciaal voor het NFC model gekozen omdat mijn telefoon alleen lightning heeft en ik mijn wachtwoordmanager zowel op laptop als mobiel gebruik..

Zodra dat ding binnen is (ik verwacht deze week) reset ik dat ding meteen naar fabrieksinstellingen en ga ik er lekker mee stoeien O-)
Pagina: 1