De Yubikey is een kleine usb-stick die kan worden gebruikt als token voor tweestapsverificatie. Android Planet neemt de Yubikey Neo onder de loep, die van nfc is voorzien en met een Android-app samenwerkt.
Lees verder na de advertentie.
Het beste beveiligingsadvies dat je een internetgebruiker kunt geven, is het inschakelen van tweestapsverificatie. De meeste grote internetdiensten ondersteunen deze extra beveiligingslaag, die het voor kwaadwillenden zeer lastig maakt om jouw account te hacken. Tweestapsverificatie zorgt ervoor dat de gebruiker naast het gebruikelijke e-mailadres en wachtwoord ook een eenmalig gegenereerde inlogcode moet invoeren. Deze code ontvang je meestal via sms of een speciale authenticatie-app, maar het is ook mogelijk om een beveiligingssleutel als de Yubikey te gebruiken. In plaats van een code in te voeren, stop je de Yubikey in een usb-poort en tik je erop.
Er zijn drie verschillende Yubikeys voor consumenten te koop: het standaardmodel, de Edge-variant en een Neo-versie. Alle Yubikeys zijn in een normaal of nano-formaat te koop, afhankelijk van de grootte die jij fijn vindt. Het grote verschil tussen de drie Yubikeys zit ‘m in de functies. De goedkoopste Yubikey wil je eigenlijk niet hebben, omdat deze geen Google-accounts ondersteunt. Kies dus voor de Yubikey Edge of Neo, waarvan laatstgenoemde het grote voordeel heeft dat ‘ie over nfc beschikt en daarmee samen kan werken met een Android-smartphone en -app.
Het design van de Yubikey Neo
De Yubikey’s zien er allemaal hetzelfde uit: een kleine, dunne usb-stick met een goudkleurig rondje. Deze inkeping is aanrakingsgevoelig en laat de gebruiker de Yubikey gebruiken. Door erop te drukken activeer je de usb-stick en kun je inloggen bij diensten waar je tweestapsverificatie hebt ingesteld. Volgens Yubico, de maker van de Yubikey, kunnen de usb-sticks tot wel 100.000 keer in een usb-poort worden gestopt. Ook zijn ze water- en stofbestendig, waardoor je ‘m gemakkelijk aan je sleutelbos kunt hangen. Daar is de opening ook voor bedoeld.
Het icoontje in het midden van de Yubikey Neo laat zien dat de usb-stick nfc ondersteunt. Nfc staat voor Near Field Communication, een technologie die met name in smartphones wordt gebruikt om bijvoorbeeld draadloos te betalen of bestanden over te zetten. Door de Yubikey Neo tegen de achterkant van je smartphone te houden, maakt de usb-stick verbinding met je mobiele toestel. De firmware van de Yubikey hoeft daarbij niet te worden geüpdatet. Yubico heeft de software compleet vergrendeld, waardoor kwaadwillenden de usb-stick niet kunnen manipuleren.
Installatie en functies
De Yubikey Neo is plug-and-play. Zo simpel is het: je stopt ‘m in een usb-poort en kunt ‘m direct gebruiken. Geen software nodig, en het maakt ook niet uit op welk besturingssysteem je de usb-stick gebruikt. Je surft vervolgens naar de website die tweestapsverificatie met een beveiligingssleutel ondersteunt – in mijn geval zijn dat Google en LastPass – en voegt de Yubikey Neo toe door naar de accountinstellingen te gaan, een nieuwe sleutel toe te voegen en vervolgens op de Yubikey Neo te drukken.
De Yubikey Neo werkt One Time Password (OTP)-systeem. Elk wachtwoord wordt bij OTP maar één keer gebruikt, waarbij de eerste reeks karakters altijd hetzelfde zijn. De rest van het wachtwoord, een enorme lange reeks willekeurige tekens middels 128-bit AES-encryptie, zorgt ervoor dat je wordt ingelogd. De server van de dienst checkt of het hele lange wachtwoord dat de Yubikey Neo automatisch invoert klopt bij de identiteit van de stick, en logt je vervolgens in. Er is door de krachtige versleuteling geen manier om het inlogproces van de Yubikey Neo na te bootsen.
De volgende keer dat je op een nieuw apparaat inlogt bij LastPass of Google, kun je de Yubikey in de usb-poort steken om de tweestapsverificatie te doorlopen. Mocht iemand jouw inloggegevens in handen krijgen, hebben ze nog steeds de Yubikey nodig om in te loggen. Daarnaast gaat het inloggen met een Yubikey Neo een stuk sneller dan wachten op een code en deze cijfer voor cijfer in de browser in te voeren.
Het verschil tussen de Yubikey Neo en andere (OTP)-apparaatjes, zoals hierboven te zien, is best groot. Het bovenste apparaatje wordt gebruikt bij een grote Nederlandse nieuwswebsite voor tweestapsverificatie, daaronder ligt de Yubikey Neo die ik als persoonlijk OTP-apparaat gebruikt. De Yubikey Neo is mooier, eleganter en fijner in gebruik. Het bovenste apparaatje toont namelijk bij een druk op de knop een code die je moet invoeren, terwijl de Yubikey Neo je automatisch inlogt.
Yubikey in dagelijks leven
Maar als je op je pc en laptop hebt ingelogd bij Google en LastPass, wat kun je dan nog meer met de Yubikey Neo? Eigenlijk best veel. Het grootste voordeel van de beveiligingssleutel is de toevoeging van nfc en ondersteuning voor de zogeheten Authenticator. Laatstgenoemde is een manier om codes te generen die je kunt gebruiken om in te loggen. Misschien gebruik je Google Authenticator al voor tweestapsverificatie; Yubico heeft zijn eigen Authenticator-app.
Met de Yubico Authenticator is het mogelijk om via qr-codes diensten die tweestapsverificatie ondersteunen toe te voegen. Mijn lijstje met diensten bestaat op dit moment uit Dropbox, Facebook, Kickstarter en Slack. Andere grote diensten bieden veelal wel tweestapsverificatie aan, maar alleen via sms en nog niet via een beveiligingssleutel als Yubikey of de Authenticator. Die ondersteuning komt echter vanzelf, omdat steeds meer mensen één van de twee gebruiken.
Het fijne aan de Yubico Authenticator (screenshot onder) is dat de gekoppelde accounts alleen op de Yubikey Neo staan. In tegenstelling tot bijvoorbeeld Google Authenticator, waar de accounts lokaal op je toestel staan. Dit geeft je de mogelijkheid om de Yubico Authenticator op een ander mobiel apparaat te downloaden, jouw Yubikey Neo via nfc met het toestel te verbinden en vervolgens krijg je direct de tijdelijke inlogcodes te zien.
De Yubico Authenticator geeft gebruikers ook de optie om de beveiligingssleutel met een wachtwoord te vergrendelen. Als je de Yubikey Neo via nfc met een nieuw apparaat verbindt, moet je eerst het wachtwoord invoeren. Dit zorgt voor een extra beveiligingslaag, mocht je de usb-stick kwijtraken. Als dit gebeurt, kun je in de meeste gevallen bij het inloggen bij een dienst een sms-bericht met inlogcode naar je smartphone laten versturen. Anders heb je nog per dienst een lijst met codes die je eenmalig kunt gebruiken, mocht je ook niet over je smartphone beschikken.
Statisch wachtwoord
Een handige tip voor de Yubikey is het instellen van een statisch wachtwoord via de Yubico-software. De Yubikey beschikt over twee slots die kunnen worden geconfigureerd. De eerste – die wordt geactiveerd door één tot twee seconden te drukken – kun je het beste gebruiken voor OTP’s, de tweede – drie tot vier seconden drukken – activeert dan een statisch wachtwoord. Dit is een wachtwoord dat altijd hetzelfde is. Gebruik hier een zeer lange en ingewikkelde tekenreeks die je niet kunt onthouden. Kies een gemakkelijk wachtwoord voor bijvoorbeeld LastPass, en vul middels de Yubikey het statische wachtwoord in. Dan krijg je bijvoorbeeld ‘MijnWachtwoordX8sd92_293D81CXz9aa3’, waardoor je altijd je Yubikey nodig hebt om bij een dienst in te loggen. Dit maakt het voor kwaadwillenden nog moeilijker om jouw account te hacken.
Er is ook een speciale Yubico-app beschikbaar waarmee je jouw statische wachtwoord van de Yubikey kunt kopiëren naar je Android-smartphone. Houd de Yubikey Neo tegen je smartphone en via nfc wordt het statische wachtwoord naar het klembord gekopieerd. Vervolgens vul je jouw gemakkelijke wachtwoord in, plakt het statische wachtwoord erachteraan en je logt met een zeer sterk wachtwoord in. Schrijf voor de zekerheid altijd je statische wachtwoord op een briefje en bewaar die veilig in huis, mocht je jouw Yubikey kwijtraken.
Yubikey Neo review: conclusie
De goedkoopste Yubikey kost 25 dollar, maar om echt gebruik te maken van alle features zul je de Neo-versie moeten kopen. Die kost 50 dollar exclusief verzendkosten, en er is een Nederlands bedrijf dat ze binnen 48 uur verscheept. Een Yubikey kost meer dan het ontvangen van een sms’je of het genereren van een code met de Google Authenticator-app, maar biedt wel de meeste veiligheid als je van tweestapsverificatie gebruikmaakt. Vooral de mogelijkheid om Authenticator-accounts veilig en versleuteld op de Yubikey op te slaan, maakt ‘m een heel divers en fijn apparaatje.
Het gebruik van de Yubikey bij tweestapsverificatie van Google of LastPass is een eitje. Het instellen en activeren van de Yubico Authenticator is iets lastiger, maar ook redelijk goed te doen. Wil je verder gaan dan dat, door bijvoorbeeld een statisch wachtwoord aan de Yubikey toe te voegen of het versleutelen van bestanden via OpenPGP en de Yubikey Neo, dan vergt dat flink wat technische kennis. Daarmee is de beveiligingssleutel een verstandige keuze voor iedere internetgebruiker, maar ook een leuk en veilig speeltje voor de techneut.
