YubiKey technische basis beschrijving

Multi / twee factor authenticatie

Alleen wachtwoorden bieden beperkte zekerheid dat diegene die inlogt ook diegene is die hij/zij zegt te zijn. Door twee factor authenticatie (2FA) wordt er meer zekerheid geboden: de YubiKey wordt als tweede factor ingezet, waarbij de eerste factor het wachtwoord is.

De YubiKey

De YubiKey werkt naadloos met iedere hardware en besturingssysteem combinatie die USB-toetsenborden ondersteunt: Intel, AMD, ARM, Windows, MacOS, Linux om de belangrijkste te noemen. De sleutel genereert en verstuurt unieke tijd-variabele authenticatie codes door het emuleren van toetsaanslagen via de standaard USB toetsenbord-interface. De computer waar de sleutel op wordt gebruikt ontvangt de authenticatie code teken voor teken, net alsof het op het toetsenbord wordt getypt - maar nu automatisch uitgevoerd door de YubiKey.

Deze opzet maakt het mogelijk de sleutel te gebruiken met elke toepassing of web service zonder dat speciale gebruikershandelingen of computer stuurprogramma's noodzakelijk zijn. De YubiKey kan veilig worden verwijderd uit de computer zonder een dismount of eject opdracht.

Electronisch circuit

De YubiKey verschilt van traditionele tijd-variabele authenticatie tokens met name doordat het geen batterij nodig heeft daar de Key niet afhankelijk is van een absolute tijd die door een nauwkeurige tijd bron wordt gegenereerd. Dit betekent geen lege batterijen, geen tijdsynchronisatie perikelen en customer support kwesties. Dit maakt uiteindelijk een aanzienlijke kostenreductie mogelijk.

Identiteit

De YubiKey identificeert zichzelf, en daarmee indirect de gebruiker, geheel automatisch dus zonder dat de gebruiker de identiteit handmatig dient te geven.

Authenticatie en singulariteit

Het allerbelangrijkste voor ieder hardware authenticatie token is singulariteit: een identiteit kan niet worden gekopieerd en/of kwaadwillend gebruikt worden zonder dat de rechtmatige gebruiker dit weet. Statische identificatie methoden, zoals gebruikersnaam/wachtwoord, zijn zeer kwetsbaar voor afluisteren en "phishing" (het door kwaadwillende achterhalen van gebruikersgegevens zoals gebruikersnamen en paswoorden bijvoorbeeld door gebruikers te lokken naar een valse banksite door middel van een email om hun gegevens 'te controleren'). Zelfs "voorspelbare" methoden, zoals eenmalige schrapkaarten zijn aantoonbaar kwetsbaar voor deze bedreigingen gebleken.

Door het gebruik van een tijdvariabele code met een zekere mate van willekeur en versleuteld met sterke encryptie, worden aanvallen van dit type voorkomen waarbij de singulariteit behouden blijft.

Tijdvariabele code

Afwijkend van andere huidige hardware authenticatie tokens, vertrouwt de YubiKey niet op een twee-weg challenge-response protocol, batterij afhankelijke tijdsbasis, toetsenbord en (LCD)scherm.

Digitale tunner

Echter, hoe kan een token toch zo veilig zijn, als 4 van de meest voorkomende veiligheidsmaatregelen in state-of-the-art tokens zijn verwijderd?

De YubiKey genereert een unieke 128-bit code bij elk authentificatie verzoek, waarbij er geen tijdsvenster is waarin twee authenticatie codes gelijk zijn. Alle unieke codes zijn versleuteld met AES-128 en worden vervolgens gecodeerd naar een leesbare vorm voor de toetsenbord interface, waarna de resulterende tekenreeks in volledige lengte wordt uitgestuurd.

De belangrijkste onderdelen van deze unieke code zijn:

  1. Een verborgen identiteitsveld om het gedecodeerde resultaat te veriferen met een niet-publieke identiteit.
  2. Een vluchtige teller wordt met 1 verhoogd voor elke code die is gegenereerd. Deze code wordt gereset bij elke power-up.
  3. Een niet-vluchtige teller wordt met 1 verhoogd voor elke power-up. De waarde van deze teller wordt behouden, ook wanneer de stroom uitvalt.
  4. Een niet-voorspelbare tellerwaarde wordt gevoed door een tijdsbasis die sterk apparaat en sessie afhankelijk is. Samen met een server-based authenticatie-module, kan deze teller een sterke bescherming tegen "phishing" pogingen geven.
  5. Een willekeurige seed waarde.
  6. Een eenvoudige checksum.
  7. Samen worden deze velden gecodeerd met behulp van een 128-bits sleutel. Een 128-bits getal is groter dan een 3 gevolgd door achtendertig nullen. Gecombineerd met het feit dat een hacker weinig informatie heeft over de verstuurde platte tekst, is cryptoanalyse zinloos onder de veronderstelling dat de industrie standaard AES-128 veilig (genoeg) is.

Integratie met legacy applicaties

YubiKey is zeer flexibel en kan worden geconfigureerd om legacy-applicaties met behulp van een of twee factor authenticatie te ondersteunen. Door de gebruiker geleverde gebruikersnamen en wachtwoorden kunnen worden geselecteerd om aan gewenste veiligheidseisen te voldoen en te passen in bestaande invoerscherm lay-outs.

Optioneel kan de Key zodanig worden geprogrammeerd dat men automatisch wordt doorgestuurd naar een website. Deze functionaliteit voegt snelheid en gebruiksgemak voor de gebruiker toe, maar is beperkt tot PC Windows en heeft bepaalde nationale beperkingen. Dit daar het moet worden geprogrammeerd voor de specifieke computer toetsenbord lay-out die varieert tussen de verschillende landen en talen.

Digitale wereld

Dubbele functionaliteit en statische wachtwoorden

Gebruikers kunnen eenvoudig de YubiKey programmeren om twee onafhankelijke en verschillende configuraties te bevatten. Bijvoorbeeld een statisch paswoord en een One-Time toegangscode (OTP) - een voor een legacy-systeem en een voor een high security validatie server. Alles in een enkele YubiKey.

Een statisch wachtwoord kan elke combinatie van 16 tot 64 tekens en/of cijfers zijn. En het omschakelen van de statische sleutel tot een willekeurig gegenereerde nieuwe code kan worden bereikt door langer of korter op de YubiKey knop te drukken.

Meer functionaliteit

De laatste YubiKey uitvoeringen hebben meer beveiligingsaspecten toegevoegd aan bovenstaande basisfunctionaliteit. Zo is er ondersteuning voor FIDO U2F, sterkere cryptografie, NFC en PIV aan bepaalde YubiKey modellen toegevoegd. Hiermee kan men de YubiKey nu in nog meer situaties toepassen zonder aan beveilingsnivo in te hoeven boeten. Lees meer over de YubiKey functionaliteit.

Meer informatie

Voor meer technische informatie download de YubiKey technische handleiding v3.4.

Tevens is er via de Yubico Developers sectie veel (technische) informatie te vinden en biedt het Yubico Forum meer informatie over YubiKey inclusief de aangeboden Yubico open source software.

Neem contact met ons op om uw situatie te bespreken en tot een passende oplossing te komen.

Bestel de YubiKey »»