Veilig inloggen zonder wachtwoord met FIDO2 security keys

Met een FIDO2 security key bescherm je al je accounts tegen phishing en trojans. Bij sommige services is het zelfs mogelijk om je zonder gebruikersnaam en wachtwoord aan te melden. Met sommige sticks kun je ook je e-mail versleutelen. We hebben enkele gangbare modellen van dit type beveiligingssleutel getest om een aanschaf makkelijker te maken.

De FIDO2-aanmeldprocedure lost veel problemen op. Je beschermt er je online-accounts mee tegen phishing, trojans en gestolen wachtwoorden. Je kunt het gebruiken als tweede factor naast je wachtwoord – of zelfs als vervanging van dat wachtwoord. Als een dienst de technische mogelijkheden van de nieuwe technologie goed ondersteunt, hoef je je gebruikersnaam en wachtwoord niet telkens meer in te vullen. Hoe handig dat kan zijn, kun je nu al uit­proberen met de ­Microsoft-diensten. Aanvankelijk werkte dat alleen met de Edge-browser, maar inmiddels heeft ­Microsoft het in Windows 10 mogelijk gemaakt om ook bij andere browsers zonder wachtwoord in te loggen.

Als je een FIDO2-stick gebruikt, dan klik je gewoon op ‘Aanmelden met Windows Hello of met een beveiligings­sleutel’.

De FIDO2-procedure is niet alleen erg handig, maar ook erg veilig. Je authentiseert je bij diensten met een zogenaamde beveiligingssleutel (ook wel authenticator genoemd). Een druk op de knop is vaak al voldoende om in te loggen. Als er meer beveiliging nodig is, dan kun je de FIDO-sleutel met een pincode ontgrendelen. Dat zorgt ervoor dat een onbevoegd persoon die je sleutel in handen krijgt niet zomaar op je account kan inloggen. Het principe is vergelijkbaar met een bankpas. Aangezien er slechts enkele incorrecte pogingen toegestaan zijn, is een viercijferige pincode voldoende.

Met FIDO2 is het ook mogelijk om langere alfa­numerieke pincodes te gebruiken. Die kun je bijvoorbeeld gebruiken als een dienst daarmee het invoeren van de gebruikersnaam en het wachtwoord volledig overbodig maakt. Nog handiger wordt het als je het invoeren van een pincode vervangt door biometrie en de veiligheidssleutel eenvoudigweg met een vingerafdruk ontgrendelt. De verificatie is altijd lokaal – de dienst krijgt de melding dat je jezelf geverifieerd hebt en dus betrouwbaar bent, maar krijgt je pincode of vinger­afdruk nooit doorgegeven. De technologie achter FIDO2 hebben we uitvoerig besproken in c’t magazine 11/2019 vanaf ­pagina 50.

Windows 10 kan FIDO2-sleutels zonder extra tools configureren. De instellingen zitten bij Windows 10 bij de aanmeldingsopties.

Hier bespreken we de beveiligingssleutels zelf. Die zijn in allerlei kleuren en vormen beschikbaar, maar het usb-stick-formaat komt het meest voor. De eenvoudigste varianten kosten ongeveer 25 euro en hebben een knop om het FIDO2-proces te bevestigen. Als er een pincode nodig is, dan wordt daar op de computer om gevraagd. Als je een paar euro meer uitgeeft, zijn er modellen met een vingerafdrukscanner, die een pincode overbodig maakt. Wat de aansluitingen betreft, hebben we zo’n beetje alles in huis gehaald wat er momenteel aangeboden wordt: er zijn beveiligingssleutels met USB-A, USB-C, Lightning, Bluetooth en NFC. Momenteel komt het aanbod voornamelijk van drie fabrikanten: Feitian, SoloKeys en Yubico. Elk van hen biedt verschillende modellen met verschillende combinaties van aansluitingen en functies. We hebben bijna alle FIDO2-beveiligingssleutels besteld die op dit moment leverbaar zijn en die uitgebreid getest.

Eenvoudige FIDO2-authenti­cators zoals deze Security Key van Yubico zijn er vanaf 20 euro.

Het belangrijkste selectiecriterium voor de pro­ducten was toekomstbestendigheid. Niet alle beveiligingssleutels ondersteunen bijvoorbeeld de mogelijkheid om in te loggen zonder een gebruikersnaam en wachtwoord. Dat biedt momenteel alleen Microsoft, maar op termijn gaan hopelijk ook andere diensten dit doen. Om dat te kunnen, moet de authenticator de encryptiesleutel die bij het registreren wordt gegenereerd door de dienst – de zogenaamde ­resident-key – al tijdens de registratie kunnen opslaan. Als een authenticator dat niet kan, wordt de ­encryptiesleutel versleuteld opgeslagen bij de dienstverlener. Vervolgens moet de authenticator als een gebruiker zich aanmeldt, eerst de sleutel bij de dienst ophalen. Daarvoor moet je op zijn minst je gebruikersnaam in­typen, anders kan de dienst de juiste sleutel niet vinden.

Een andere belangrijke functie is user-verification. Een dienst kan je verplichten om naast de authenti­cator ook een pincode, vingerafdruk of gezichtsscan te gebruiken. Dat gebeurt met name als er geen resident-key wordt benut. Als je op alle gevallen voor­bereid wilt zijn, kun je het beste een beveiligingssleutel gebruiken die de ­resident-key én user-verification ondersteunt. Zeker oudere authenticators kunnen het een noch het ander. Die zijn dan alleen ‘FIDO U2F’-gecertificeerd (ook wel FIDO1 genoemd) en werken niet als een dienst de bij FIDO2 geïntroduceerde functies gebruikt. U2F-authenticators worden nog steeds massaal verkocht, dus je moet goed opletten bij de aanschaf.

Als er een vingerafdruklezer op de beveiligingssleutel zit, hoef je geen pincode in te voeren.

De FIDO2-voorganger U2F is ontworpen als de tweede factor bij tweefactorauthenticatie. ­Daarmee kun je dus niet inloggen zonder wachtwoord. Omdat de standaard ouder is dan FIDO2, wordt hij echter door meer diensten ondersteund. Als je zoveel mogelijk accounts wilt beveiligen met een beveiligings­sleutel, kun je momen­teel nog niet om U2F heen. De standaard maakt gebruik van een andere browserinterface dan FIDO2, die zowel de authenticator als de browser moeten ondersteunen. Het goede nieuws is dat bijna alle FIDO2-­beveiligingssleutels ook U2F ondersteunen. Dat onderscheidt hen overigens van de interne beveiligingssleutels van Windows 10, Android en macOS (zie c’t 11/2019 op pagina 50).

Veel beveiligingssleutels gebruiken hun flexibele beveiligings-chip voor meer dan FIDO2 en U2F alleen. Yubico’s YubiKeys bieden allerlei extra functies op het gebied van security die met authenticatie en encryptie te maken hebben, zoals het genereren van eenmalige wachtwoorden volgens de OTP-methode en het gebruik als OpenPGP-smartcard. Het gebruik van de OTP-functie en inzet als OpenPGP-smartcard is in andere artikelen beschreven.

Met name de Solo-authenticators van SoloKeys zijn bijzonder toekomstbestendig: hun firmware is niet alleen gelicenseerd onder een opensourcelicentie, maar kan ook nog worden geüpdatet. Op die manier kan een fabri­kant later nieuwe functies toevoegen. Feitian is de enige fabrikant die beveiligingssleutels met bluetooth en een vingerafdrukscanner aanbiedt. Daar zijn de verschillen binnen het assortiment het grootst. We kwamen veel positieve dingen tegen, maar ook enkele waar we minder over te spreken waren.

De Solo-authenticators van SoloKeys zijn volledig opensource, zowel wat betreft de hardware als de software. Als je wilt, vind je op GitHub alles wat je nodig hebt om je eigen Solo-authenticator te maken en zelfs de firmware aan te passen. Maar dat is helemaal niet nodig, want de eindproducten van SoloKeys zijn goed gemaakt en met prijzen vanaf 20 euro horen de producten tot de goedkopere FIDO2-sleutels op de markt. Je koopt dan de klassieke USB-A-versie. De Solo met USB-C kost 5 euro meer. Als je meer flexibiliteit wilt en de Solo contactloos via NFC wilt gebruiken, kun je de Solo Tap kiezen. De USB-A versie hiervan met NFC kost 35 euro, de C-versie is ook weer 5 euro duurder.

Afgezien van de aansluitmogelijkheden zijn de Solo’s verder identiek. Ze werken met dezelfde firmware en er zit een STM32L432-microcontroller van STMicro­electronics in. De keys worden geleverd met twee siliconenhoesjes, een rode en een zwarte. Voor twee euro bestel je er een set met zes extra kleuren bij. Dat ziet er leuk uit, maar is bovendien erg handig als er in een huishouden of een bedrijf meerdere Solo’s in gebruik zijn. De Solo’s zijn met vlag en wimpel geslaagd voor onze FIDO2-­tests en zijn daarom ook geschikt om in te loggen zonder gebruikersnaam en wachtwoord, zoals dat nu al kan bij de diensten van Microsoft.

Het is bovendien de enige bij ons bekende authenticator waarvoor de fabrikant firmware-updates en nieuwe functies zal gaan leveren. De leverancier vertelde ons dat ze al bezig zijn met OpenPGP-ondersteuning, wat wordt bevestigd op het GitHub-account van het project. Hierdoor kan de Solo gebruikt worden als een virtuele smartcard voor OpenPGP, dus voor het veilig opslaan van de geheime encryptiesleutel. Klassieke toepassingen zijn het versleutelen en ondertekenen van mails en van bestanden. De YubiKeys kunnen dat al, maar die zijn een stuk duurder (zie pagina 48).

De Solo’s van SoloKeys zijn verkrijgbaar met USB-A en USB-C, en ook met NFC. Je kunt hoesjes in diverse kleuren kopen om ze makkelijk uit elkaar te houden.

De eenvoudigste manier om de firmware te up­daten is via de website update.solokeys.com, die daar blijkbaar de WebAuthn-API van de browser bij gebruikt. Afgezien van de FIDO2-dialoog die tijdens het proces continu opduikt, werkt dat perfect. De methode werkt echter niet op alle computersystemen goed en wordt daarom uitgefaseerd. Als alternatief kun je een commandline-programma gebruiken. Binnenkort moet het ook mogelijk zijn om de key via een GUI-tool te updaten (Solo Desktop). Als je met de firmware wilt experimenteren, is de Solo ook beschikbaar als Hacker Edition zonder vergrendelde bootloader. Die kun je later nog omzetten naar de reguliere versie.

Desondanks zijn er ook wat kritiekpunten. Je moet relatief veel kracht zetten om de knop op de Solo’s in te drukken, wat niet handig is omdat je de stick dan al snel in de usb-poort op en neer wrikt. Om schade te voorkomen, moet je de Solo tussen je duim en wijsvinger vastpakken en de knop indrukken. De USB-A-versie is zeer robuust, omdat de connector een integraal onderdeel van de printplaat is. De USB-C-connector is echter op de printplaat gesoldeerd en daardoor minder stabiel.

Yubico maakt al jarenlang encryptiesticks voor authenticatie en heeft veel ervaring op dat gebied. Het hele productassortiment is al FIDO2-compatibel. Het goedkoopste model is de blauwe USB-A Security Key voor circa 28 euro, die alle belangrijke FIDO2-functies heeft. Voor 7 euro meer koop je een NFC-versie. De Security Key heeft al onze tests doorstaan, inclusief het inloggen bij Microsoft zonder gebruikersnaam en wachtwoord. De afwerking is goed en de stick is robuust. Volgens de fabrikant zou zelfs water de stick niet beschadigen. De knop kun je activeren door hem zacht in te drukken zonder dat je kracht hoeft te gebruiken.

Bij Yubico heb je keuze te over: naast de blauwe Security Keys biedt het bedrijf ook voor FIDO2 geschikte YubiKeys met allerlei extra functies.

Je kunt de stick configureren met Windows 10 of YubiKey Manager (Windows, macOS, Linux). Onder Windows heeft die software minimaal administratorrechten nodig. Let goed op als je een stick bestelt, er is ook een versie van de Security Key zonder FIDO2 die alleen de oudere U2F-methode ondersteunt. Het nieuwe model verschilt alleen van zijn voorganger door een 2 aan de buitenkant – die bevindt zich boven de knop. De NFC-versie is alleen beschikbaar met FIDO2.

Als je naar meer op zoek bent kun je ook bij Yubico terecht. De YubiKey 5-serie is niet alleen FIDO2-compatibel, maar wordt ook geleverd met veel nuttige extra’s. De sticks kun je als OpenPGP-smartcards gebruiken. Ze ondersteunen de PIV-standaard. Je kunt er eenmalige wachtwoorden volgens de OTP-methode mee genereren. Die kun je bij sommige webdiensten als tweede factor gebruiken of om er een wachtwoordbeheerder zoals KeePass mee te beveiligen (zie pagina 44). Bovendien helpen de YubiKeys je door lange, statische wachtwoorden te onthouden, bijvoorbeeld om de harde schijf te ontgrendelen. Alle functies worden beheerd door YubiKey Manager. Daarmee kun je ook verschillende functies aan de knop toewijzen, bijvoorbeeld door in te stellen dat de knop één keer kort indrukken of hem langer ingedrukt houden verschillende acties in gang zet.

Het goedkoopste model in de Yubico 5-serie is de YubiKey 5 NFC voor circa 55 euro. Uiterlijk lijkt hij op de Security Key, maar hij is zwart. De stick heeft een USB-A-aansluiting en NFC. Voor enkele euro’s meer koop je de YubiKey 5 Nano. Van die versie bestaat alleen een model met een USB-A-aansluiting. Hij ­verdwijnt ­bijna volledig in de usb-poort. Je kunt hem dan in een usb-poort aan de zijkant van een laptop steken en daar lekker laten zitten. Je krijgt hem ook niet makkelijk meer uit de poort. Er steekt dan een koperkleurig contact­oppervlak uit, dat als knop dient.

Hetzelfde geldt voor de 5C Nano met USB-C-­connector. Die is echter alleen aanraakgevoelig op twee kleine plekken aan de boven- en onderzijde van de stick, waardoor je hem minder snel per ongeluk activeert. De kleine USB-C versie kost circa 70 euro. Als je niet van plan bent de YubiKey permanent in je laptop te laten zitten, is het handiger om voor de grotere 5C te gaan en die aan je sleutelbos te laten hangen. Die biedt voldoende grip om hem na gebruik makkelijk weer los te koppelen.

Met NFC kun je beveiligingssleutels ook draadloos gebruiken bij smartphones of pc’s.

Qua functionaliteit zijn alle momenteel verkrijg­bare YubiKey-modellen identiek. Als je ze koopt, moet je er wel op letten dat je er een uit de actuele generatie koopt, want aan de buitenkant kun je ze nauwelijks onderscheiden van hun voorgangers. Het is vervelend als je per ongeluk een verkeerde koopt, omdat de oude modellen FIDO2 niet ondersteunen. Bij twijfel kom je via de YubiKey Manager erachter welk model het is.

Ten slotte is er dan nog de YubiKey 5Ci, een beetje een vreemde eend in de bijt. Met een prijskaartje van zo’n 80 euro is dat momenteel het duurste model. De stick heeft twee aansluitingen: aan de ene kant een USB-C-connector en aan de andere kant een Lightning-poort, waarmee hij ook op iPhones en iPads aan te sluiten is. Dat betekent dat je FIDO2 onder iOS kunt gebruiken, mits je de Brave-browser uit de App Store installeert. In de toekomst moet het ook voor iPhone-­gebruikers makkelijker worden om FIDO2 te gebruiken via NFC. Als je nog even geduld hebt, kun je je dus de aanschaf besparen van de dure 5Ci-versie.

De firmware van de YubiKeys is stevig dicht­gespijkerd en kan niet worden geüpdatet. Daardoor is het mogelijk dat je een stick met verouderde firmware koopt die al langer op het schap heeft gelegen.

De derde grote fabrikant van FIDO2-beveiligings­sleutels is Feitian. Het assortiment aan producten van het bedrijf is groot en verwarrend, maar als je je daar doorheen worstelt kom je enkele spannende apparaten tegen – zoals beveiligingssleutels met vingerafdruk­lezers en bluetooth-ondersteuning. Omdat de producten in Europa moeilijk te krijgen zijn, hebben we ze besteld bij de webshop van de Chinese fabrikant.

Feitian heeft ook eenvoudige FIDO2-authenti­cators in zijn assortiment, zoals de ePass FIDO (A4B) met USB-A-connector voor zo’n 25 euro. De stick heeft de vorm van een sleutel en ligt comfortabel in de hand. De knop is bijzonder elegant verwerkt, die is namelijk onzichtbaar. Je hoeft alleen maar de plastic bovenzijde op het gemarkeerde punt aan te raken. De stick heeft onze testscenario’s zonder enig probleem doorlopen.

We hebben een slechte koop gedaan met de qua uiterlijk vergelijkbare NFC-versie met de naam K9, die iets goedkoper is. Hoewel hij volgens de product­pagina FIDO2 zou moeten ondersteunen, ondersteunt dit model alleen de oudere U2F-standaard. Ook het USB-C model K21 van ongeveer 45 euro was niet bepaald ­indrukwekkend. De stick werd wel herkend door de ­FIDO2-interface van de besturingssystemen en browsers, maar werkte niet. We hebben die twee miskopen niet in de tabel opgenomen.

Ook Feitian biedt een ruim arsenaal aan FIDO2-sleutels, waaronder modellen met bluetooth. Maar die twee modellen kun je beter links laten liggen.

We lieten ons daar echter niet door ontmoedigen en hebben ook de andere drie apparaten uit de levering getest, die allemaal zijn voorzien van een vingerafdruklezer. De twee beveiligingssleutels BioPass FIDO USB-A (K27) en BioPass FIDO USB-C (K26), elk circa 75 euro, lijken aan de buitenkant niet erg op elkaar, maar zijn duidelijk uit hetzelfde hout gesneden. Bij onze uitgebreide tests gedroegen ze zich identiek. De USB-A-versie is metallic-goud, terwijl de behuizing van de USB-C-­versie vooral uit matzwart plastic bestaat. In beide gevallen is de afwerking van hoge kwaliteit en voelen de apparaten prettig aan. Om de vingerafdruklezer te kunnen gebruiken, moesten we eerst een pincode instellen. De configuratie konden we met Windows 10 doen zonder dat daar extra tools voor nodig waren. In het dagelijks gebruik werkte de vingerafdrukauthenticatie betrouwbaar en zonder problemen. De keren dat er om een pincode werd gevraagd, konden we een van de eerder geregistreerde vingers gebruiken. Dat was het geval met het zonder wachtwoord aanmelden bij Microsoft of wanneer een webapplicatie een ‘gebruikersverifi­catie’ vereist. Of een authenticatie voldoende heeft aan een druk op de knop of dat er een gebruikersverifi­catie nodig is, herken je aan de knippersnelheid van het ledlampje. Als de vingerafdruk gecontroleerd wordt, knippert hij snel, anders knippert hij langzaam. Bij U2F-acties wordt de vingerafdruk altijd geverifieerd.

De AllinPass FIDO2 is een ware alleskunner: de beveiligingssleutel heeft het formaat van een garagedeurafstandsbediening, ondersteunt NFC en bluetooth, en is ook nog voorzien van een USB-C-aansluiting. Bovendien zit er een vingerafdrukscanner op. Voor dat alles moet je wel aardig diep in de buidel tasten: hij kost bijna 170 euro. Bij de test met Windows 10 werkte de AllinPass prima, we konden FIDO2 via usb, NFC en bluetooth gebruiken. In de bluetooth-modus viel de beveiligingssleutel echter na enkele seconden in slaap en moesten we hem weer wekken door op de knop aan de rechterzijde te drukken. De AllinPass FIDO2 is de enige beveiligingssleutel uit deze test die niet backward-­compatible is met de nog steeds gangbare U2F-standaard. Bovendien hebben we het apparaat niet betrouwbaar kunnen gebruiken onder een ander besturingssysteem dan Windows, ongeacht de gebruikte interface. De
andere authenticators werken meestal op andere platforms zonder verder gedoe. Het totaalbeeld is dan ook gemengd. Als een bluetoothverbinding geen vereiste is, kun je beter op zoek gaan naar een andere beveiligingssleutel.

In deze tabel hebben we de kenmerken en beoordelingen van de geteste FIDO2 security keys verzameld. Klik op de tabel voor een vergroting (in pdf-formaat).

Het aanbod van FIDO2-beveiligingssleutels is aangenaam groot. Onder de hier genoemde producten is er vermoedelijk voor ieder wat wils: als het gewoon moet werken, is de goedkope en robuuste FIDO2-versie van de Yubico Security Key een goede keuze. Die kun je ook geven aan vrienden en familieleden om hun belangrijkste accounts veilig te stellen. Als je waarde hecht aan opensource en updatemogelijkheden, zijn de SoloKeys de beste keuze. De YubiKeys uit de 5-serie bieden een breed scala aan functies. Die kun je nu al gebruiken om PGP-sleutels voor het versleutelen van e-mail te beheren (zie pagina 48). Vingerafdrukscanners en een hoogwaardige afwerking vind je bij de BioPass-sticks van Feitian.

Yubico brengt ook een YubiKey met vingerafdruklezer op de markt.

Indien je in dit assortiment de juiste authenti­cator nog niet hebt kunnen vinden, dan is het wellicht de moeite waard om nog even te wachten. Op zeer korte termijn gaat de SoloKeys Somu met USB-A verschijnen. Die stick combineert het kleine formaat van de Yubi­Key 5 Nano met de opensource firmware van de Solo. Ook de in Berlijn gevestigde fabrikant Nitrokey wil dit jaar nog een FIDO2-authenticator presenteren. Het apparaat zal met de Solo-firmware werken. Nitrokey heeft aan de ontwikkeling daarvan bijgedragen. Beide zitten in een prijsklasse van 30 tot 40 euro. Yubico zit ook niet stil en heeft twee nieuwe FIDO2-beveiligingssleutels aangekondigd: de Yubikey 5C NFC met USB-C en NFC, en de YubiKey Bio, de eerste YubiKey met vinger­afdrukscanner. Voor beide modellen heeft de fabrikant nog geen prijzen of data genoemd.

(Ronald Eikenberg en Daniel Dupré, c’t magazine)

Blijf op de hoogte van de nieuwste informatie en tips!
Schrijf je in voor de nieuwsbrief: