Prima, maar ik zie de meerwaarde niet ten opzichte van een authenticator op je smartphone. Ook die kan je afschermen met een pincode en die genereert een eenmalige authenticatiecode met een levensduur van 30 seconden. Of begrijp ik de vraag nou niet goed?

Geen idee wat je precies in gedachte hebt.

"software programma dat door iedereen op een USB stick kan zetten"

Ik weet niet hoe het in Windows werkt maar in GNU/Linux is les #1. mount je usb/externe opslag altijd met "noexec,nosuid". Je kunt extern opslag niet vertrouwen. Dus geen programma's uitvoeren vanaf extern opslag.

(crypto kan in principe misschien wel een verschil maken, maar het is beter om extern opslag gewoon standaard niet te vertrouwen).

Wat je wil in de USB stick is hardware dat cryptografische operaties kan uitvoeren en dat de privatekey niet uitgelezen kan worden. Helaas biedt een standaard USB stick deze optie niet.
Maar met een microcontroller zoals de STM32xxxx wordt wel zulke sleutels gemaakt.
Nitrokey is een voorbeeld van open soft- en hardware om Fido2/WebAuthN USB sleutel met een microcontroller.

https://github.com/nitrokey

Solokeys https://github.com/solokeys maakt ook open soft en hardware FIDO2 sleutels, tevens FIDO gecertificeerd.
Ook Googles OpenSK firmware https://github.com/google/OpenSK is ook gecertificeerd.

Nadeel van opensource is het missen van een gezamenlijk certificaat.
Ik weet het niet meer precies maar iets staat mij bij dat bij Fido elke productie batch een eigen certificaat krijgt.
Om zo tracking tegen te gaan. Doordat je je eigen certificaat zal moeten maken, ben je dus uniek.

Natuurlijk . De USB-tokens zijn andere apparaten dan gewoon een opslagdevice .

Je zegt "maakt een programma" - als er nou iets is wat "we" proberen uit te roeien is dat wel "gewoon uitvoeren van een programma dat op een USB stick staat" .

Wat jij of de gebruiker op een USB stick kan lezen en schrijven kan malware precies even goed .

Wat op de stick staat kan dus niet geheim blijven voor de computer waar de stick in gaat, en als dat een programma is dat uitgevoerd moet worden, is dat al helemaal een probleem .

De yubi key (etc) zijn dus geen kleine harddiskjes, maar eerder kleine computertjes waar de host iets aan vraagt, en dan een antwoord terug krijgt . Of iets naar toe stuurt, en dat terugkrijgt met een crypto-handtekening erover heen.

En het hele punt is , dat de sleutels die erin zitten er niet uit gehaald kunnen worden door een malicious host waar je zo'n key gebruikt.

https://en.wikipedia.org/wiki/YubiKey

Er zijn meerdere open source implementaties en keys op basis van het FIDO2 (wat die dingen over het algemeen gebruiken). Het lastige verhaal is dat de yubikeys en andere commerciele partijen vaak (proberen te) garanderen dat zelfs een fysiek gevonden yubikey z'n private keys niet opgeeft.

Zie onder andere: Solo Key, Only Key, etc.

Het is allemaal wat lastig want open source hardware projecten publiceren lang niet allemaal de schematiek voor hun hardware , vaak alleen firmware.

Overigens is bij yubikey praktisch alles open source behalve het stukje dat de crypto zelf doet *op* de key.

Wel ik overweeg serieus om een Yubi Key met een ingebouwde NFC chip te kopen, en omdat dat een nogal dure zaak is, wilde ik toch eens weten waarom die aanschaf geen duurkoop is. Wel heb ik gezien, dat één van de belangrijkste bedrijven in ons land Logius die met de DigiD bijna alle overheidsdiensten beheert niet met de Yubikey of vergelijkbare authenticatie werkt.
In het artikel van zaterdag 2 mei 2021; https://www.security.nl/posting/701749/Security_NL+spreekt+met+Logius+over+beveiligingskeuzes+voor+DigiD-app noemt Logius de Yubikey .o.d. in het geheel niet. Omdat ik geen smartphone heb, maar slechts een simpele mobiele telefoon, en dus altijd met een computer moet inloggen, zou de acceptatie daarvan mij in elk geval goed uitkomen.

Natuurlijk! Want als Logius zou zeggen "iedereen die DigiD wil hebben moet een YubiKey kopen!" dan zou de pleuris uitbreken.
Kijk eens wat er nu al gebeurt rond de bedrijven die een eHerkenning middel moeten kopen. Als dat aan particulieren gevraagd zou worden was het nog 1000 keer zo moeilijk.

Het aanbieden van meerdere toepassingen vergroot de keuzemogelijkheden en bereidwilligheid van de consument.

Ik reageer even alleen op alles omtrent de usb malware waar je het over hebt (mogelijk). Maar autoplay en autorun, (eveneens in linux) is toch gewoon uit te zetten? Dan vang je geen INF bad usb malwaretjes meer. Verder zijn de andere USB's toetsenboard emulators. Dus als je scherm locked ben je al klaar. Het enigste wat wel extreem vertieft is is die linux worm die triggerd als je een vergiftigd bestand of document opent in de grafische omgeving. Of dat ene office document met malicieuze macro's of objecten die reverse shells opent. Oja, vergeet het automatisch installeren van drivers niet. Maar volgensmij is dat ook te killen met de autorun/play settings. Daarbij heb je ook nog software oplossingen en applicaties die je servers en clients beschermen tegen het accepteren van USB sticks op basis van HIDs en overige identifiers. Ow en vergeet niet dat ze waarschijnlijk slim genoeg zijn om jou usb hardware om te flashen, dus probeer al is het praktisch onmogelijk, geen hardware te delen tussen werk en "prive" systemen.

Ik ben nogsteeds van de "if targetted, jump" filosofie, want het enigste waar je van leeft zijn contacten. Dat is precies wat ze misbruiken.

Je zou maar op een zwarte lijst staan simpelweg omdat je leeft.

Je hebt een heel raar idee van percentages waarschijnlijk.

Doe eens een voorzichtige schatting van consumenten die iets met een yubikey (oid) willen ?
En dan ook nog eens de subgroep die het NIET met een smartfoon wil of kan doen ?

En dan voorzichtig schatten wat support ervan aan de Digid zijde gaat kosten - technisch ontwikkelen, het "enrollment" (eerste keer koppelen van ding) inrichten, handleidingen en helpdesk trainen om om te gaan met de onvermijdelijke vragen van mensen die het wel proberen maar "het werkt niet, jullie zeggen dat het gesupport wordt dus los mijn probleem maar op"

"triggeren" is geen Linux operatie. Geen idee wat je hier bedoelt.


Het "auto" aspect in "autoplay" en "autorun" is irrelevant. Je moet sowieso niets van dit soort media uitvoeren. Niet automatisch en niet handmatig,

CBS, 2019, mensen zonder smartphone 13%


Ik neem zonder meer aan dat iedere gebruiker c.q. consument graag zijn of haar internet activiteiten zou willen beveiligen, maar dan wel zo gemakkelijk als goedkoop mogelijk, en op welke manier ze dat kunnen doen, maakt het merendeel niet uit. Het prijskaartje van bijv. een Yubikey speelt natuurlijk wel een grote rol, en die zal dan voor de meesten te duur zijn.

Voor consumenten zoals ik, die niet over een smartphone beschikken (CBS, 2019, 13%), maar slechts een mobiele telefoon, en dan spreek ik voor mijzelf, is dit een optie, maar om dus twee van die sleutels aan te schaffen, (back-up) en daar meer dan 100 euro voor te moeten betalen, terwijl het meest belangrijke online systeem van de Overheid (Logius-DigiD) niet meedoet, zal de keuze voor twee Yubikey sleutels niet aantrekkelijk maken.


Dat laatste is giswerk, en alle obstakels die hier worden genoemd, daar heb ik mijn twijfels over, lijken vooral te dienen om eigen vooroordeel te ondersteunen.

Ik kijk even op het Internet en zie daar prijzen vanaf €29.65 voor een NFC Youbikey; ik kan me voorstellen fat je deze goedkoper kunt krijgen als je ze in bulk inkoopt.

Die 13% zijn voor het overgrote deel bejaarden die het gewoon wel 'best' vinden - en vaak niet in staat om uberhaupt zoiets te gebruiken.



Voor diezelfde 100 euro koop je een budget (of tweede hands) smartfoon.
Als je die in de la legt en _alleen_ voor digid gebruikt is dat ook gewoon heel veilig .


Het is wel _mijn_ expertise .
Jij bent de totale leek die het verschil niet kende tussen USB opslag en een USB gekoppelde dongle ., Het maakt je niet gekwalificeerd om bruikbaar te gissen.

Help eens wat (mede ?) senioren [of gewone leken - het zijn niet allemaal senioren die moeite hebben ] met telefoons/computers - en vorm een beeld van hoe lekker iets als een yubi key gaan gebruiken daar gaat lukken.

Ik doe dat wel eens - het stelt je beeld aardig bij van welke dingen "iedereen toch wel kan" .

"Het is wel _mijn_ expertise" Dat laatste kan iedereen wel beweren, maar wie hier anoniem reageert heeft meestal iets te verbergen, bijvoorbeeld wel de klok horen luiden, maar niet echt weten waar de klepel hangt. Ik reageer hier met een open vizier, en ben niet bang om figuurlijk gesproken op mijn gezicht te gaan. Iedereen kan zich hier anoniem voordoen als expert, maar wat de reden voor Logius is om slechts enkele mogelijkheden voor 2FA authenticatie aan te bieden, dat weet men alleen op het hoogste beleidsniveau van Logius, meen ik te mogen stellen. En ik durf te beweren, dat dit in onderhavige geval dat niet zo is.

En waarom zou het niet mogelijk zijn, om op een USB opslag een uitvoerbaar programma te zetten..
https://computertotaal.nl/artikelen/apps-software/al-je-programma-s-op-een-usb-stick-63012/
https://computertotaal.nl/artikelen/apps-software/dit-zijn-de-mogelijkheden-van-portable-apps/

Leuk... Maar is dat omdat ze het niet willen, om omdat dit te complex is voor ze. Hebben deze personen ook wel dan eventueel de kennis voor een YubiKey?

Zeker.... Maar beveiliging komt in vele gradaties. De huidige DigiD oplossing voldoet voor eigenlijk de meeste gebruikers gewoon volledig.

Je bent weer selectief... Hoeveel van die 13% begrijpt wel zo'n YubiKey?

Voor jouw giswerk, maar dit zijn gewoon hele normale kosten bij Enterprise oplossingen en blijkbaar onderschat jij dit behoorlijk.
Als ik er naar zou kijken, voegt dit alleen voor een hele select aantal gebruikers iets toe, maar maakt dit het niet veel veiliger.


Simpel... Requirements.

ALS men dit zou willen ondersteunen:
Extra code, kans op fouten.
Veel minder goed beheersbaar en secure.
Ondersteuning noodzakelijk.
Weinig echt gebruikers die dit zullen gebruiken, dus hoge meerkosten per gebruiker.

Leuk voor Windows, nu alleen nog voor MacOS, IOS, Linux?

Daarnaast het is niet echt verstand om een zomaar een USB stick in een Windows machine te steken en daarna een applicatie op te starten.

Ah de fido2 hype..
Ja de eigenaar van de usb stick heeft de login credentials in handen, lekker makkelijk maar is het wel veilig?

Ongeveer net als je wachtwoord op een post-it.

Om ook even een duit in het zakje te doen...


Het certificaat waar je aan denkt wordt gebruikt voor attestation. Hiermee kan je bewijzen dat de sleutels die je aanmaakt opgeslagen zijn in een gecertificeerd FIDO2 'apparaat'. Wanneer je FIDO2 sleutels gebruikt in een persoonlijke (niet zakelijke) situatie, dan is het afgeraden om gebruik te maken van attestation. Met andere woorden, je zou prima zelf een 'open source FIDO2 apparaat' kunnen maken en geen last hebben van het ontbrekende certificaat. De attestation is met name bedoeld voor zakelijke situaties en 'high security' situaties, zoals bijvoorbeeld internetbankieren. Achtergrond: https://research.kudelskisecurity.com/2020/02/12/fido2-deep-dive-attestations-trust-model-and-security/.

Dit is een politieke keuze geweest. Ik kon het niet zo snel terugvinden, maar een jaar of 5 geleden heeft de minister onderzoek gedaan naar veiligere DigiD inlogmiddelen. Daarin is toch vluchtig gekeken naar hardwaretokens, maar deze zijn snel afgeschreven vanwege de kosten. Helaas is er geen onderzoek gedaan naar open standaarden voor veilige 2FA inlogmethoden, zoals de FIDO2 standaard. De FIDO2 standaard is overigens pas na dit onderzoek ontwikkeld, destijds was er alleen de U2F standaard die met name door Google werd gebruikt. Sindsdien is er helaas geen nieuw onderzoek gedaan.

Op dit moment heeft Logius al teveel geïnvesteerd in de mobiele applicatie dat ik de kans klein acht dat ze nog willen inzetten bewezen veilige open standaarden. Tot mijn persoonlijk grote verdriet, want als de SMS code uitgefaseerd wordt kan ook ik niet meer inloggen op DigiD.

In aanvulling op mijn post van 14:28...



Als je verder kijkt dan '2FA als USB stick' en 'Yubikeys', dan kom je uit op '2FA met hardware-gebaseerde cryptografische sleutels'. Die laatste categorie is veel groter: elke moderne laptop en smartphone heeft namelijk een crypto chip waarmee dit kan. Het is dus helemaal niet nodig een apart apparaat aan te schaffen. De ondersteuning voor degelijke 'hardware-gebaseerde 2FA' is dan alleen afhankelijk van een (gratis) software implementatie. Daarom is het naar mijn mening ook geen goed argument om 'kosten' op te geven als nadeel.

Open source authenticators zijn er al lang. En niemand belet je, om die op een USB stick te zetten. Btw, heb je ook een backups USB stick, voor het geval je USB stick beschadigt raakt ? ;)

Ik vind het al een nadeel van het gebruik van een USB key voor authenticatie dat je dit dan alleen kunt gebruiken op
devices waar je een USB key in kunt prikken (en dat dan ook ondersteund wordt), maar jouw oplossing gaat nog veel
verder: dan kun je alleen nog maar inloggen vanaf het apparaat wat je aangemeld hebt in het systeem.
Dat zou ik helemaal onbruikbaar vinden...

Ik heb een aantal jaar geleden één keer bij het doen van de belastingaangifte kunnen aanloggen via mijn bank. Daar was toen een experiment mee gaande dat kennelijk weer is stopgezet. Maar ze hadden het werkend.

Wat de kosten van hardwaretokens betreft, een smartphone is ook niet gratis, en als ik die alleen voor dit doel moet aanschaffen koop ik persoonlijk liever een Yubikey.

De overheid heeft beleid om open standaarden te gebruiken. Ik zeg niet dat het FIDO2 moet zijn, maar dat is wel degelijk een open standaard, en het levert gecombineerd met een wachtwoord denk ik een hoger beschermingsniveau op dan een SMS (bescherming tegen phishing, geen sim-swapping), al kan ik me voorstellen dat het niet aan de hoogste niveaus voldoet omdat het apparaat zelf niet met een pincode is afgeschermd.

Ik ben verder niet kapot van de trend om vooral geen hardware-tokens te gebruiken maar een app op je telefoon. Het mooie van een apart apparaatje is dat het niet een OS en nog allerlei andere toepassingen heeft draaien die bronnen van kwetsbaarheden kunnen zijn. Het lijkt bij het beoordelen van dit soort dingen wel alsof het allerkleinste ongemak zwaarder weegt dan welk voordeel dan ook. Maar in mijn ogen is het juist die "alles moet moeiteloos"-mentaliteit die in de hand werkt dat mensen belangrijke dingen onnadenkend in plaats van zorgvuldig doen en dat is bij dit soort onderwerpen nou juist niet waar je heen wilt.

Pseudoniem of anoniem, same difference.

En je kunt het geloven of niet. GA nou eens wat mensen helpen met hun computers/telefoons/tablet .
Vooral uit de groep "geen smartfoon" , en buiten het (je ?) kringetje van paranoide security freaks - en vorm je beeld hoe welkom en bruikbaar een , verhoudingsgewijs, super ingewikkeld ding gaat worden.

Ga er eens naast zitten, of aan de telefoon terwijl mensen uit die groep "iets elektrisch" werkend moeten maken.
Stop eens met denken dat ze net als jij de handleiding spellen, gaan zoeken op Internet en precies uitvogelen hoe het moet .

En bedenk dat ook nog dat alle "normale" hulptroepen die mensen inmiddels kennen om hun telefoon/internet werkend te krijgen OOK geen ervaring met authenticatie tokens hebben.

Daarna kun je voorzichtig gaan nadenken wat er aan de leverancierskant nodig is om , naast de techniek , de organisatie in te richten om die mensen - met al hun dingen die niet werken - aangesloten te krijgen .

Zelfs als je er niet in werkt (wat ik wel doe, mag je geloven of niet) - observeer gewoon eens hoe dat gaat (of niet) bij massa-diensten met aansluiten , afsluiten, verhuizen, en storingen . Als je een beetje nadenkt kun je een beeld krijgen dat daar veel werk in zit . Maakt niet uit wat - Internet, energie, banken, telefoons .

Je moet echt wel enorme oogkleppen hebben om te geloven dat je "alleen de techniek" even moet doen, en dan een website met een HOWTO online gooien en "dan is er geen support nodig" want "de server draait goed"


Ik heb het je in een van de eerste reacties al verteld, maar wat DOE je op een SECURITY forum als je roept "voer een programma uit van een USB stick" alsof het een goed idee is ?

RIcht dat open vizier van je eens op Internet en ga nou echt lezen wat een security token anders doet dan een USB diskje .

Dat je iets niet weet is geen schande.

Dat je stronteigenwijs niet wilt leren waarom je vage idee een heel slecht idee is - dat is gewoon dom.

Nitpick: Die pincode beveiliging is een van de toevoegingen van FIDO2 aan de U2F standaard. Je kan dit 'afdwingen' met de 'user presence required' optie bij het aanmaken van nieuwe sleutels.

De catch zit hem waarschijnlijk in de eis dat de security chip waar de sleutels in opgeslagen worden gecertificeerd moet zijn. Daar zou nog attestation voor gebruikt kunnen worden, maar dat zorgt er weer voor dat je afhankelijk bent van de grote 'FIDO2 security key' makers en niet zelf een sleutel kan maken. (Tenzij je die laat certificeren natuurlijk.)

Je hebt gelijk, het hoort tot de mogelijkheden. Wat ik wel graag zou zien is een eigen key/touchpad op het apparaatje zodat de pin niet op een compromitteerbare pc moet worden ingetypt. Da's ongetwijfeld meteen een stuk duurder dan wat Yubico maakt.

Tja, het is op zich legitiem om vanuit een server die voldoende sterke authenticatie vereist ook een waarborg te willen hebben dat aan die eis voldaan is. Een open standaard heeft dan nog steeds als voordeel dat meerdere leveranciers hem kunnen implementeren en dat de concurrentie tussen die leveranciers helpt de prijzen niet de pan uit te laten rijzen.

Klopt. Je hebt wat cryptowallets met toetsenbord die toevallig ook FIDO2 doen. Naast pinentry/toetsenbord wil je overigens ook een ingebouwd scherm om te zien waar je een handtekening op zet. Voorbeeld is de Trezor Model T (https://trezor.io/fido2/), alleen hangt dan inderdaad een flink prijskaartje van €250,- aan...

Ik heb zo'n 15 jaar geleden een nas gehad die via usb sticks een vpn tunnel opzette, dus het kan wel

Dit apparaatje lijkt me overdreven duur. Ter vergelijking: als de Rabo- en ING-scanners €250 per stuk zouden kosten zouden ze nooit zijn ingezet.

Klopt, helaas zijn er niet zoveel producten met een 'secure display' ingebouwd in de token. Deze kon ik nog vinden:
- Crayonic (https://www.crayonic.com/get): 99,-
- OneSpan Digipass FIDO Touch (https://www.onespan.com/resources/digipass-fido-touch/datasheet): Prijs onbekend. OpenSpan richt zich op de financiële sector dus als er iets in de buurt moet komen van de Rabo/ING scanners, dan zal dit het zijn.

Dus? Zegt niet zoveel, je had de configuratie van de VPN tunnel op de USB key staan? De private Key?