Universal 2nd factor

Al een tijdje zat ik met interesse te kijken naar security keys die te gebruiken waren vor multi factor authenticatie en tevens als smartcard voor GPG gebruikt konden worden. Hierbij wekte vooral de Yubikey NEO mijn interesse. Daardoor kwam ik ook op het spoor van de FIDO Alliance die zich bezig hield met het ontwikkelen van de U2F standaard. In de loop van 2014 zou er dus een NEO uitgebracht worden die deze standaard zou ondersteunen. De filialisering van de U2F standaard liep wat vertraging op en de vernieuwde NEO dus ook, maar eind september was het dus zover en heb ik dus meteen die vernieuwde NEO besteld en een paar dagen later netjes ontvangen.

Lastpass kon al met de Yubikey overweg in OTP mode, dus heb ik dat maar meteen geprobeerd. Ik gebruikte al two factor authentication m.b.v. de Google Authenticator app en kon eenvoudig de Yubikey toevoegen.

Via de browser log ik dan in via de Yubikey. Bij het openen gebruikersnaam en wachtwoord invullen. Daarna wrdt om de OTP code gevraagd. Dat is dus een kwestie van de Yubikey in een USB poort van de PC steken en de knop indrukken. Hierdoor wordt de code netjes in het invoerveld ingevuld, want de key gedraagt zich als een HID device en emuleert gewoon een keyboard.

Via de personalisation tools van Yubico, die overigens gewoon open source zijn, kon ik de Yubikey naar OTP+CCID mode omschakelen, waardoor deze zich ook als smartcard ging gedragen. Het uitvoeren van gpg –card-status gaf toen netjes de gegevens van de key weer, Nu moet ik alleen nog een GPG key genereren voor op deze key.

Maar toen kwamen Yubico en Google met de gezamenlijke mededeling over de ondersteuning van U2F in Chrome 38 en het gebruik ervan voor je Google account. Dus ik schakelde de Yubikey om naar OTP+U2F+CCID mode, zodat ik ook U2F kon gaan gebruiken. Meteen maar proberen om deze aan mijn account te koppelen, maar de key werd dus niet door Chrome herkend. Er bleek dus een bugje in Chrome te zitten, waardoor deze een beetje de weg kwijt raakt als een key zowel OTP als U2F ondersteunt. Deze bug bleek opgelost te zijn in Chrome 39, dus even naar de Chrome beta versie omgeschakeld om deze versie te krijgen. Toen kon ik de key dus wel netjes aan mijn account koppelen en stond hij dus netjes aan mijn account gekoppeld.

Nu was het dus gewoon een kwestie van uitloggen en opnieuw inloggen. We begonnen gewoon met het standaard login scherm, waarna niet meer om de authenticator code, maar om de key gevraagd werd.

Nu is het dus gewoon een kwestie van de key in de USB poort steken en het knopje indrukken. Geen codes meer intikken en ook niet moeten herhalen omdat je te laat bent met die code. Hopenlijk gaat U2F door veel bedrijven geïmplementeerd worden. Two factor is gewoon veiliger dan alleen een gebruikersnaam en wachtwoord en U2F werkt erg eenvoudig.

Advertenties

Auteur: Patrick Schmitz

Photographer, gamer, guitarist and software engineer.