2FA met Vingerafdruk:
Yubikey, de fabrikant van 2FA-keys heeft zopas de langverwachte usb-key gelanceerd die beschikt over een vingerafdruksensor.
Er zijn twéé modellen gelanceerd, de Yubikey C Bio met USB-C aansluiting, en de YubiKey Bio met een reguliere USB-A aansluiting. Als je beide vergelijkt zijn ze even groot als de voorgaande Yubikey 5 NFC. Je merkt wel een klein verschil dat de usb-c versie iets zwaarder is.
Het gebruik van een vingerafdruk is de laatste jaren bij de meeste mensen al wel bekend geraakt bij gebruik van een smartphone of tablet.
Dit laatste maakt dat je kan afstappen van die lange paswoorden die je telkens opnieuw moest ingeven op te telefoon of een bepaalde pin-code. Gewoon even je vinger op de sensor van bv je telefoon plaatsen en je toestel is ontgrendeld en klaar voor gebruik.
Nu heeft Yubico met de lancering van de Yubikey BIO eenzelfde soort oplossing gemaakt waarbij je snel en eenvoudig kan inloggen door middel van je vingerafdruk.
Als je al eerder een Yubikey hebt gebruikt moet je er wel rekening mee houden dat deze “bio-key” niet alle features heeft als de standaard key bv de Yubikey 5NFC.
Deze “bio” key heeft namelijk géén NFC ondersteuning, werkt niet samen met je smartphone.
Dus kan je je afvragen wat kan ik er dan wel mee?
Deze key is voornamelijk gelanceerd voor gebruik op een desktop (zowel Mac OS als Windows). Bijvoorbeeld in een kantooromgeving waar dat een werkstation wordt gedeeld door meerdere personen, of waarbij je op je persoonlijke desktop/laptop snel wil kunnen in- en uit-loggen.
De Yubikey BIO zal bij een eerste gebruik vragen om een PIN-code in te stellen. Deze pin-code moet je ingeven als je na 3 vinger-lees-pogingen de key opnieuw wil gebruiken. Vervolgens kan je maximaal 5 vingers inlezen in de sleutel. Aan te raden is dat je minstens één vinger van elk hand configureer.
Wanneer ik de Yubikey BIO in mijn smarthhone plug, krijg ik geen enkele notificatie. Ook wanneer ik de Yubico app open de melding dat deze key niet wordt ondersteund…. Het klopt dus zoals Yubico al aangaf dat deze key bedoeld is voor Desktop/laptop gebruik en niet voor een smartphone.
Voor gebruik op een pc geeft men aan om minimum windows 10 (1903 of later), Ubuntu 18.04 ofwel macOS Catalina te gebruiken.
Installatie:
Via de link: http://yubi.co/bio kom je op de installatie pagina voor je bio yubikey.
Mijn eerste poging via Firefox gaf geen resultaat, niet goed gelezen want er staat wel degelijk om Chrome OS te gebruiken voor de set up.
Van zodra ik de link open met Chrome, krijg ik direct de pop-up melding voor de registratie van mijn vingerafdruk. Na het ingeven van een pin-code start de leer-modus en na een 5-tal licht aanrakingen van de vingerafdruksensor is deze aangeleerd.
Outlook web-account:
Als eerste probeer ik op een iMAC mijn online microsoft account via de outlook webmail pagina.
Na eerst in te loggen in mijn account, en daarin vervolgens in de security pagina de sleutels toe te voegen sluit ik de browser volledig af. Als ik vervolgens een nieuwe browser open en naar www.outlook.com ga, krijg ik hier direct de optie om in te loggen met een beveiligingssleutel. Ik moet zelfs geen account-naam of email adres intypen :-) gewoon de Yubikey BIO even kort aanraken volstaat om direct in te loggen in de outlook applicatie via de browser. Dit gaat verbazingwekkend snel :-). Mocht je toch 3x een foutieve vinger gebruiken, of een slechte lezing krijgen moet je eerst je PIN-code van je Yubikey BIO ingeven, en vervolgens opnieuw je vingerafdruk lezen.
Bijkomende test op een windows10 PC, ook hier volstaat het om enkel de Yubikey BIO aan te raken om ingelogd te zijn op mijn outlook account. Dus ook hier moest ik geen accountnaam of dergelijke ingeven.
Als backup (voor geval dat ik de Yubikey Bio verlies, heb ik toch ook mijn Yubico Security Key NFC gekoppeld) Inloggen gaat ook hier vlot, enkel moet je wel telkens de pin-code van deze key ingeven gezien deze geen vingerprint kan lezen maar dat je enkel het koperen plaatje moet aanraken.
Windows 10 Login
Een 2e test is om snel in te loggen op een windows 10 PC, ook hier gaat het inloggen vlekkeloos met de Yubikey BIO, aanraken volstaat zonder user, pincode of paswoord te hoeven intypen.
Enkel pc opstarten, usb-key inpluggen, vingerafdruk laten lezen en je PC start verder op.
Bitwarden Password Manager
Volgende test voer ik uit met de passwoord manager “Bitwarden”. Hiervoor moet ik eerst naar de online account, waarbij ik de nieuwe YubiKey C Bio probleemloos kan aanleren via de FIDO2 - WebAuth beveiliging. Na registratie gaat het inloggen even snel als bij de standaard yubikey, en korte druk op de vingersensor en je kan zo inloggen op de online vault van Bitwarden.
Eenzelfde poging om in te loggen in de Bitwarden webvault met Firefox lukte niet, ook niet na controle dat 2FA en Security.webauth.u2F was ingeschakeld in de browser. (Wat blijkbaar soms niet standaard aan staat). Inloggen met de Yubikey 5C lukte dan weer wel probleemloos. Misschien zijn er toch nog extra settings voor werking van de Bio-key nog niet 100% in orde….
Hierna een test om met de bio key in te loggen op de Bitwarden applicatie van de iMac werkte niet. Bij de eerste poging op de iMac in combinatie met de Bitwarden applicatie geen resultaat.
De app heeft momenteel nog geen ondersteuning voor de Fido 2 aanmelding vermoed ik… Hopelijk brengt binnenkort een update dit wel in orde. Een tweede test via de smartphone app van Bitwarden werkt wel, maar nadien weer niet? Bug misschien? Afwachten….
De Registratie bij een online google account verloopt ook zeer vlot, identiek zoals met de standaard Yubikeys even aanraken, een naam geven en klaar!
Conclusie
Wil je wat "tech" spullen testen, of ben je het steeds beu je paswoord in te geven voor in te loggen?
Dan kan deze key je helpen voor een "quick-login" feature van je windows pc of online outlook account.
Persoonlijk denk ik dat deze key zeker een veilig hulpmiddel kan zijn bij gebruik van een pc in een openbare ruimte, of bv op kantoor waarbij meerdere mensen op eenzelfde pc werken. Ook kan het handig zijn als je uit veiligheidsoverweging je persoonlijke pc steeds "locked" als je even koffie gaat halen, en bij terugkomst een korte aanraking van de key je pc opnieuw ontgrendeld in plaats van opnieuw voor de zoveelste keer die dag je paswoord te hoeven ingeven.
Wil je 2FA uitgebreider gebruiker, voor bv ook OTP, facebook, Gmail en dit bv ook op je smartphone, kijk dan even naar de standaard Yubikey 5 series die hiervoor beter geschikt zijn.
