Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Yubikey niet echt betrouwbaar

04-01-2023, 16:10 door waterlelie, 19 reacties
Niet zolang geleden een Yubilkey 5 NFC (usb) gekocht, en deze op een windows 7 computer geactiveerd op een Gmail account en een Microsoft outlook account. Bij het Gmail account slechts de sleutel met de vinger aanraken, en klaar, en bij het outlook account moest ik een pincode invoeren en de sleutel met de vinger aanraken.
Nu gebruik ik een windows 11 computer, en de yubikey weigert op het Gmail account, en geeft aan dat de sleutel niet correct is. Op het Outlook account werkt de Yubikey wel correct.

Het tweede probleem is dat de Yubikey manager op Windos 7 computer wel toegang geeft tot de applicatie (FIDO2), maar op de Windows 11 computer een foutmelding geeft. Beide andere applicaties (OTP) en (PIV) zijn wel toegankelijk. De foutmelding is bekend bij Yubikey, maar daar heb ik als gebruiker weinig aan, het tast mijn vertrouwen aan.

Ik ben dus wel benieuwd, of er meer gebruikers zijn die met dit probleem ervaring hebben..
Reacties (19)
04-01-2023, 16:17 door Anoniem
Zo, jij durft. Op een securityforum vertellen dat je nog Windows 7 gebruikt. :)
04-01-2023, 16:29 door Anoniem
Ik denk niet dat je hier veel gebruikers zal vinden die dit probleem (waarin een Windows 7 computer gekoppeld aan het internet is) zullen herkennen.
04-01-2023, 17:34 door Anoniem
Door Anoniem: Zo, jij durft. Op een securityforum vertellen dat je nog Windows 7 gebruikt. :)
Hier nog een dagelijks W7 gebruiker. En mijn virusscanner wordt ook al ruim een jaar niet meer geüpdatet.
Dit is nog altijd veiliger, qua privacy, dan W11. Maar als je verplicht moet inloggen bij een OS en deze om welke reden dan ook jouw account kan blokkeren zodat jij niets meer met jouw PC kunt, voelt niet helemaal goed. En ondersteuning doet het bedrijf ook al niet aan, hun contactgegevens zijn verborgen.
Wat moet je dan doen? (verdiepen in Linux geen behoefte aan).
04-01-2023, 21:22 door Anoniem
ik heb nog geen problemen met yubikey ondervonden in de afgelopen jaren, gdbruik de blauwe, dd zwarte, usb a, usb c en lightning door elkasr
04-01-2023, 21:27 door linuxpro
Dus omdat je op een gedateerd systeem de Yubikey niet aan de gang krijgt is meteen het hele concept onveilig. Interessante stelling. Ik zou eerder denken dat iets wat aangetoond onveilig is je niet veilig kan maken met een Yubikey. Misschien is die insteek logischer.
04-01-2023, 22:27 door waterlelie
Door linuxpro: Dus omdat je op een gedateerd systeem de Yubikey niet aan de gang krijgt is meteen het hele concept onveilig. Interessante stelling. Ik zou eerder denken dat iets wat aangetoond onveilig is je niet veilig kan maken met een Yubikey. Misschien is die insteek logischer.

Het antwoord is natuurlijk "nee", maar ik verwacht van deze hardware sleutel, dat deze in dit geval door het Gmail account wordt herkend als de correcte sleutel. Ik heb de sleutel immers aangemaakt ook al is dat in windows 7 gebeurt, en dan mag het niet zo zijn, dat deze in windows 11 plotseling als een verkeerde sleutel wordt beschouwd. Wat de Yubikey manager betreft, die werk in windows 11 als je het programma als administrator opent.

Het gaat om vertrouwen in een bepaalde techniek, en die is bij mij toch enigszins beschadigt..
04-01-2023, 23:01 door Anoniem
Door linuxpro: Dus omdat je op een gedateerd systeem de Yubikey niet aan de gang krijgt is meteen het hele concept onveilig. Interessante stelling. Ik zou eerder denken dat iets wat aangetoond onveilig is je niet veilig kan maken met een Yubikey. Misschien is die insteek logischer.

Als ik het bericht lees werkt het niet op een Windows 11 systeem .
Daar is misschien ook wat mee mis, maar "gedateerd" kun je het niet noemen.

Kun je eens aangeven waar jij uithaalt dat het op een 'gedateerd' systeem niet zou werken ?
Zoals ik het lees werkt alles op een W7 systeem (dat kun je inderdaad gedateerd noemen), maar niet alles op een W11 systeem.

De topic titel is inderdaad wat twijfelachtig, want "werkt niet" is wat anders dan "onveilig".
04-01-2023, 23:03 door Anoniem
Door Anoniem: Ik denk niet dat je hier veel gebruikers zal vinden die dit probleem (waarin een Windows 7 computer gekoppeld aan het internet is) zullen herkennen.

Ook jij, net als "linuxpro", mag me toch eens uitleggen waar je leest dat het probleem in Windows 7 zou zitten.
Ik lees dat het niet werkt op Windows 11 , nadat het initialiseren (en wel werken) op Windows 7 gedaan was.
04-01-2023, 23:20 door Anoniem
Door waterlelie:
Door linuxpro: Dus omdat je op een gedateerd systeem de Yubikey niet aan de gang krijgt is meteen het hele concept onveilig. Interessante stelling. Ik zou eerder denken dat iets wat aangetoond onveilig is je niet veilig kan maken met een Yubikey. Misschien is die insteek logischer.

Het antwoord is natuurlijk "nee", maar ik verwacht van deze hardware sleutel, dat deze in dit geval door het Gmail account wordt herkend als de correcte sleutel. Ik heb de sleutel immers aangemaakt ook al is dat in windows 7 gebeurt, en dan mag het niet zo zijn, dat deze in windows 11 plotseling als een verkeerde sleutel wordt beschouwd. Wat de Yubikey manager betreft, die werk in windows 11 als je het programma als administrator opent.

Het gaat om vertrouwen in een bepaalde techniek, en die is bij mij toch enigszins beschadigt..

Vertrouwen dat ietwat obscure hardware "gewoon werkt" - in Windows land - is niet zo terecht .

Ik kan je niet echt met het probleem helpen . Maar bij elkaar denk ik dat er iets van een driver of tussenliggend proces is dat op je W11 systeem of niet geinstalleerd is of geen rechten heeft om met de yubikey te praten .

Ik lees dat die dingen meerdere protocollen supporten - dat zou verklaren waarom W11+Outlook login wel werkt, maar W11+gmail login niet .

dit is *misschien* relevant :https://www.reddit.com/r/yubikey/comments/w58j9s/windows_10_clean_install_gmail_not_accepting/

https://docs.yubico.com/hardware/yubikey/yk-5/tech-manual/yk5-tools.html#yubico-authenticator
05-01-2023, 01:01 door Erik van Straten - Bijgewerkt: 05-01-2023, 01:03
Door waterlelie: Niet zolang geleden een Yubilkey 5 NFC (usb) gekocht, en deze op een windows 7 computer geactiveerd op een Gmail account en een Microsoft outlook account. Bij het Gmail account slechts de sleutel met de vinger aanraken, en klaar, en bij het outlook account moest ik een pincode invoeren en de sleutel met de vinger aanraken.
Nu gebruik ik een windows 11 computer, en de yubikey weigert op het Gmail account, en geeft aan dat de sleutel niet correct is. Op het Outlook account werkt de Yubikey wel correct.
Vooraf: dit is na wat googlen, ik kan er helemaal naast zitten. Ik weet sowieso niet op welk patchniveau W7 zat en welke browsers je gebruikt.

Mogelijk zijn de Gmail credentials in de Yubikey (onder W7) in U2F mode geïnitialiseerd en, als ik het goed begrijp, gebeurt dat dan ook op de server.

Uit https://developers.yubico.com/WebAuthn/WebAuthn_Developer_Guide/User_Presence_vs_User_Verification.html:
2. the user is using a security key that does not support user verification (for instance, a U2F key)
Als "user verification" vereist is, moet de gebruiker authenticeren met bijv. een pincode of biometrie. Nb. een knop op de Yubikey indrukken is geen user verification, maar bevestigt wel user presence (maar dat zegt niets over wie die knop indrukt).

U2F wordt niet (meer?) ondersteund door Edge, uit https://learn.microsoft.com/en-us/windows/security/identity-protection/hello-for-business/webauthn-apis:
However, Microsoft Edge doesn't speak the U2F protocol. Therefore, relying parties must use only the WebAuthn specification.
Dus als Gmail denkt dat jij een U2F key hebt, en dat type credentials opvraagt, kan Edge daar niet mee omgaan (zo te zien wel via CTAP).

Ook Chrome ondersteunt zo te zien U2F niet meer: https://developer.chrome.com/blog/deps-rems-95/.

Terzijde, aanvankelijk (2020) was Microsoft's server-implementatie van "UV" (userVerification) buggy, zie https://hwsecurity.dev/2020/08/webauthn-pin-bypass/.
05-01-2023, 12:56 door pmachinery
De yubikey is als hardware 2 factor een prima systeem.
In browsers als firefox en google chrome werkt het prima bij bv gmail, protonmail en facebook.
Echter vanaf W10 gaat het in windows fout. De key manager van windows komt tussenbeide i.p.v. dat de browser het afhandeld.
In laatste versie W10 zou de yubikey ook als login gebruikt kunnen worden, dat werkt echter ook niet.
Daar is dus voor zowel Microsoft als Yubikey nog werk aan de winkel.
Ben zelf overgstapt naar ubuntu, daarmee is voor mij het probleem opgelost.
05-01-2023, 14:34 door Anoniem
Door pmachinery: De yubikey is als hardware 2 factor een prima systeem.
In browsers als firefox en google chrome werkt het prima bij bv gmail, protonmail en facebook.
Echter vanaf W10 gaat het in windows fout. De key manager van windows komt tussenbeide i.p.v. dat de browser het afhandeld.
In laatste versie W10 zou de yubikey ook als login gebruikt kunnen worden, dat werkt echter ook niet.
Daar is dus voor zowel Microsoft als Yubikey nog werk aan de winkel.
Ben zelf overgstapt naar ubuntu, daarmee is voor mij het probleem opgelost.
Daarom hier geen windows meer. yubikey werkt prima met fedora/firefox op github/gitlab etc
05-01-2023, 15:27 door Anoniem
Hoe werkt zo'n ding eigenlijk? Is dat gewoon een human interface device (fake keyboard) wat op het juiste moment iets "intypt"?
05-01-2023, 16:35 door Anoniem
Door Anoniem: Hoe werkt zo'n ding eigenlijk? Is dat gewoon een human interface device (fake keyboard) wat op het juiste moment iets "intypt"?
Het hangt af van het model Yubikey wat de functionaliteit precies is. Het meer veilige (aanbevolen) protocol maakt gebruik van een challenge-response protocol waarbij de sleutel laat zien over een bepaalde geheime sleutel te beschikken. Dit vereist dat de authenticatie van de applicatie dit protocol ondersteunt.
Voor "dommere" applicaties heb ik ook de "fake keyboard" functionaliteit gebruikt.
05-01-2023, 16:40 door Anoniem
Ik zou heel goed opletten waarmee je bezig bent. Het gebruik van een enkele Yubikey wordt zeer afgeraden, dit omdat als je die sleutel kwijt raakt een leuke uitdaging is om weer bij je spullen te komen. Het advies daarvoor is koop twee liefst zelfs drie sleutels (2 bij je mocht er onverhoopt eentje stuk gaan bijvoorbeeld eentje om je nek, de ander om aan je sleutels en de derde in een kluis thuis).

Maar aan de Yubikey ligt het niet die doet precies wat het moet doen. Wel handig misschien om wat meer in te lezen op de verschillende authenticatie methodes bijvoorbeeld via deze reddit pagina:

https://www.reddit.com/r/yubikey/comments/9kodiy/meta_ryubikey_frequently_asked_questions_please/

Verder is de documentatie van Yubikey zelf zeer goed, maar kan soms wel even een uitdaging zijn om iets werkend te krijgen. Maar weet waar je mee bezig bent en leer de technieken achter deze sleutel.

Maar gezien je lekker bezig bent met Windows 7 zou ik het gebruik van Yubi eigenlijk wel afraden.

Suc6
05-01-2023, 16:44 door Anoniem
Door Anoniem: Is dat gewoon een human interface device (...) wat op het juiste moment iets "intypt"?

Ja, daarmee is het goed te vergelijken. Zij het dat de uitvoering van het HID protocol dan cryptografisch verloopt.

The YubiKey [...] identifies itself as a keyboard that delivers the one-time password over the USB HID protocol

https://en.wikipedia.org/wiki/YubiKey
05-01-2023, 17:41 door Anoniem
Door waterlelie: Het antwoord is natuurlijk "nee", maar ik verwacht van deze hardware sleutel, dat deze in dit geval door het Gmail account wordt herkend als de correcte sleutel. Ik heb de sleutel immers aangemaakt ook al is dat in windows 7 gebeurt, en dan mag het niet zo zijn, dat deze in windows 11 plotseling als een verkeerde sleutel wordt beschouwd.
Je schrijft het probleem toe aan de Yubikey, maar als die opeens resultaten geeft die ongeldig zijn voor Gmail dan zit het er dik in dat dat komt omdat de key zelf op een andere manier wordt aangesproken dan voorheen, met andere gegevens of met een ander protocol (Yubikeys ondersteunen er, afhankelijk van het model, vaak meerdere). En dan moet je kijken naar wat er veranderd is. Dat is niet de Yubikey, dat is je Windows-versie en vermoedelijk ook je browser.

Zover was ik met mijn gedachtegang, tussen het lezen van de reacties door, toen ik die van Erik van Straten hierboven las. Dat is precies het soort dingen waaraan ik dacht. Ik weet (net als hij) niet of hij gelijk heeft, maar het is heel waarschijnlijk dat als dat het niet precies is het wel net zoiets is dat misgaat.

Het gaat om vertrouwen in een bepaalde techniek, en die is bij mij toch enigszins beschadigt..
Je schrijft het probleem alleen toe aan iets dat niet is veranderd terwijl de meest waarschijnlijke oorzaak zit in wat er wel is veranderd. Als er al reden is voor beschadigd vertrouwen dan zou je vertrouwen in Microsoft nu een deukje moeten hebben opgelopen, en niet in de Yubikey. Alleen is het maar zeer de vraag of dat wel terecht is. Als je er in dit soort situaties naar gaat zoeken dan blijken er meestal zeer goede redenen te zijn voor dit soort veranderingen, en dan blijkt ook meestal dat de wijziging wel degelijk was aangekondigd, vaak compleet met instructies om de overgang soepel te doen.

Hoe dan ook, ik vermoed dat de oplossing zal blijken te zijn om je Yubikey opnieuw aan je account te koppelen. Ik neem aan dat er een manier bestaat om zonder een Yubikey toegang te krijgen tot je account. Mensen kunnen die dingen tenslotte kwijtraken en daar moeten voorzieningen voor zijn. Regel toegang alsof je je Yubikey kwijt bent en koppel hem vervolgens opnieuw aan je account, nu via Win11 en de browser die je daar gebruikt.
06-01-2023, 02:17 door Anoniem
Door Anoniem: Zo, jij durft. Op een securityforum vertellen dat je nog Windows 7 gebruikt. :)
Heel goed dat je in ineens overstapt naar elf. Ik zou in Elf dat Stickie opnieuw aanmaken in de variant W11 of zo. Verondersteld dat je een MS account hebt. Mijn 10 heeft dat niet en daar moet je aardig je best voor doen.

Verder lijkt de FIDO2 stick van elke fabrikant een prima idee om van dat gezeik met wachtwoorden en MFA af te komen. Geen OTP overtypen uit je telefoon (4x per dag). "Over SMS nog onveiliger" is de belofte. Prima idee dus om mee van start te gaan. Zeker als een aan de internationale wapenindustrie (SafeNet, Belcamp, Maryland, United States) gelieerde exposant ze op de security beurs uitdeelde.

Mijn ervaring zover (vanaf een Apple). Bij een Int.l cloud provider admin account, kon ik zonder pincode maar wel aanraken van de touch sensor, het MFA bewijs leveren. Ik veronderstel dat mijn huisgenoot zo ook binnen komt als hij usr/pwd heeft en mijn stick.

Dus zonder pin, zonder Gesture/Pattern (de originele belofte van FIDO2 als ik het goed begrijp) maar nog steeds met usr/pwd is dat een extra attribuut. Ik durf het nog niet in/op een MS device of in Azure los te laten, zover mijn reguliere sysadmins dat zouden toestaan. Ook al zou de Stick MS certified zijn en ondanks de belofte van de wapenindustrie, is die stick wel in China gemaakt. Staat op de stick afgedrukt. Geen geheimen hier.
06-01-2023, 09:57 door waterlelie
Door pmachinery: De yubikey is als hardware 2 factor een prima systeem.
In browsers als firefox en google chrome werkt het prima bij bv gmail, protonmail en facebook.
Echter vanaf W10 gaat het in windows fout. De key manager van windows komt tussenbeide i.p.v. dat de browser het afhandeld.
In laatste versie W10 zou de yubikey ook als login gebruikt kunnen worden, dat werkt echter ook niet.
Daar is dus voor zowel Microsoft als Yubikey nog werk aan de winkel.
Ben zelf overgstapt naar ubuntu, daarmee is voor mij het probleem opgelost.

Ik denk dat je gelijk hebt, dat de protocollen als ik ze zo mag noemen feitelijk voor de Linux varianten is gemaakt, en dat het voor Windows ook word gemaakt , is omdat het een zakelijk product is, dat geld moet opbrengen.
Ik heb ook geprobeerd om een openPGP sleutel of certificaat op de Yubikey te krijgen. Gpg4win heeft die optie zelf in het programma opgenomen, die als het lukt om een certificaat op de Yubikey te genereren, Yubikey dit certificaat als misvormd betiteld. Het werkt dan wel, maar voor hoelang !!!
Ook heeft Yubikey op haar website een online handleiding omdat via de Dos terminal te doen, maar dat strand uiteindelijk op het moment dat je het certificaat naar de Yubikey wilt opladen.
Dit alles inmiddels op een Windows 11 computer.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.