image

GitHub introduceert inloggen via USB-sleutel

zaterdag 3 oktober 2015, 07:01 door Redactie, 9 reacties

Het populaire online platform voor ontwikkelaars GitHub heeft een nieuwe manier toegevoegd om gebruikers veilig te laten inloggen en adviseert ontwikkelaars om de inlogmethode ook aan hun eigen software toe te voegen. Het gaat om de Universal 2nd Factor (U2F) standaard van de FIDO Alliance.

Het gaat om een authenticatiestandaard die tijdens het inloggen naast het wachtwoord ook de aanwezigheid van een U2F-USB-sleutel controleert. Deze hardwarematige sleutel fungeert als tweede beveiligingsfactor. Ook werkt de sleutel alleen op de echte website van GitHub, wat zo phishing- en man-in-the-middle-aanvallen moet voorkomen. U2F ondersteunt standaard allerlei platformen en browsers en vereist geen installatie van drivers of software.

Er zijn verschillende fabrikanten die U2F-USB-sleutels aanbieden en die allemaal kunnen worden gebruikt, maar GitHub is een actie met Yubico gestart, de aanbieders van de YubiKey. Voordat ontwikkelaars op GitHub via de USB-sleutel kunnen inloggen moeten ze die wel eerst via hun account registreren. Vorig jaar besloot Google al om U2F voor Google-accounts in te stellen en in augustus deed Dropbox dit. U2F is zoals gezegd afkomstig van de FIDO Alliance, een alliantie van IT-bedrijven zoals Microsoft, ING, Google en Intel, die een einde aan het wachtwoord willen maken en daarom aan alternatieve oplossingen werken.

Reacties (9)
03-10-2015, 08:49 door johanw - Bijgewerkt: 03-10-2015, 08:49
Weer iets om mee te slepen en mogelijk kwijt te kunnen raken. Kunnen ze niet iets doen met Google Authenticator of zo?
03-10-2015, 10:22 door Anoniem
Deze hardwarematige sleutel fungeert als tweede beveiligingsfactor. Ook werkt de sleutel alleen op de echte website van GitHub, wat zo phishing- en man-in-the-middle-aanvallen moet voorkomen.
Als het goed werkt mischien een idee voor banken naast bv de random reader.
03-10-2015, 10:37 door Anoniem
De aloude dongel wordt nieuw leven ingeblazen...
03-10-2015, 11:49 door Acumen
Door johanw: Weer iets om mee te slepen en mogelijk kwijt te kunnen raken. Kunnen ze niet iets doen met Google Authenticator of zo?
De gedachte is dat je autenticeert met iets dat je weet en iets (unieks) dat je hebt. Google Authenticator maakt gebruik van een bestandje dat je kunt kopiëren en dan heb je er twee. Ik ga er verder vanuit dat ik op deze site geen verdere uitleg hoef te geven over de legio mogelijkheden om deze "key-duplication" te realiseren...
03-10-2015, 12:36 door Anoniem
Door johanw: Weer iets om mee te slepen en mogelijk kwijt te kunnen raken. Kunnen ze niet iets doen met Google Authenticator of zo?
Hebben ze ook. Zo log ik ook in op github
03-10-2015, 15:50 door johanw
Door Acumen:De gedachte is dat je autenticeert met iets dat je weet en iets (unieks) dat je hebt. Google Authenticator maakt gebruik van een bestandje dat je kunt kopiëren en dan heb je er twee.
Ik weet wel dat het minder veilig is dan een unieke hardware sleutel (ik heb die instellingen zelf gecopieerd naar een nieuwe telefoon) maar het is meteen zoveel onhandiger dat ik denk dat haast niemand het gaat gebruiken. Ik in elk geval niet. Google Authenticator is veel laagdrempeliger.
03-10-2015, 18:43 door AceHighness
Ik heb al een aantal yubikeys in gebruik, dus voor mij is de drempel niet zo hoog. Maar inderdaad zullen veel mensen de voorkeur geven aan een soft token. Er is misschien wel wat te zeggen voor het feit dat wat hier beschermd word zo belangrijk is dat het nu eenmaal hogere eisen moet stellen aan de veiligheid.
04-10-2015, 23:37 door beamer
Door johanw: Weer iets om mee te slepen en mogelijk kwijt te kunnen raken. Kunnen ze niet iets doen met Google Authenticator of zo?
Ik heb zowel een Yubikey als zo'n Fido U2F key aan mijn sleutelbos, die neem ik toch altijd mee en die laat ik nergens slingeren. Op termijn zal die Yubikey er wel af kunnen (als Lastpass ook de Fido U2F gaat ondersteunen).
't Werkt super en veiliger dan Google Authenticator, het enige nadeel is dat je wel een USB aansluiting moet hebben om op in te prikken, dus 't werkt dan weer niet op iPhone's en iPads.
Een ander voordeel t.o.v. Google Authenticator is dat je niets hoeft over te typen ;) Als tiqr was doorgebroken, zou dat veel handiger zijn dan GA.
05-10-2015, 14:24 door Anoniem
Ik heb zowel een Yubikey als zo'n Fido U2F key aan mijn sleutelbos, die neem ik toch altijd mee en die laat ik nergens slingeren. Op termijn zal die Yubikey er wel af kunnen (als Lastpass ook de Fido U2F gaat ondersteunen).
't Werkt super en veiliger dan Google Authenticator, het enige nadeel is dat je wel een USB aansluiting moet hebben om op in te prikken, dus 't werkt dan weer niet op iPhone's en iPads.

Afhankelijk van de versie yubikey welke je hebt, is er geïntegreerde ondersteuning voor U2F (naast gelijktijdig ook OTP en OpenPGP). De GA is eerder een uitgeklede variant van de Yubikey (de GA wordt namelijk geproduceerd door yubikey). De smartkey is niet bedacht door Google; maar zoals vaak is de mosterd van elders (al dan niet via overnames).

Zie verder de mogelijkheden van yubikey hardware: https://www.yubico.com/products/yubikey-hardware/
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.