Net als een tweefactor-token via sms of die wordt gegenereerd door een authenticatie-app als Google Authenticator of Authy, biedt YubiKey een tweede element dat je aanbiedt ter verificatie als je wilt inloggen met een gebruikersnaam en wachtwoord. Omdat telefoonnummers gekaapt kunnen worden en omgeleid worden naar andere toestellen, is het zelfs betrouwbaarder dan aannemen dat je code altijd naar het juiste apparaat wordt gestuurd.

YubiKey 5Ci werkt momenteel met enkele apps en via browser Brave in iOS. Het ondersteunt het relatief nieuwe protocol WebAuthn dat is goedgekeurd door het World Web Consortium (W3C). Het geeft sterke, versleutelde tweefactor-authenticatie vanuit de browser, zonder dat daar propriëtaire extensies of bedrijfsspecifieke hardware of software voor vereist is. Het apparaat bevat een USB-C-plug voor authenticatie op een desktop, maar let wel dat de USB-C-poort momenteel niet werkt met iPads die deze connector hebben.

Nog niet helemaal klaar

Bij onze tests presteerde de YubiKey 5Ci als verwacht, maar veel websites zijn nog niet klaar voor iPhone- en iPad-authenticatie. Dat gaat in de nabije toekomst veranderen met bredere adoptie van WebAuthn en op het moment dat de sleutel van Yubico daadwerkelijk uitkomt. Het bedrijf maakt al een reeks USB- en NFC-sleutels die eerdere protocollen ondersteunen, de nieuwe modellen voegen daar WebAuthn aan toe. De toevoeging van Lightning is een duidelijke push om Apple-gebruikers geïnteresseerd te krijgen in deze verhoogde beveiliging.

Browsers Edge, Chrome (desktop en Android), Opera, Firefox (dektop en Android) en de stock-browser van Android ondersteunen WebAuthn en Apple heeft het protocol toegevoegd aan de Safari Technology Preview, deze op handen zijnde versie 13 komt uit met macOS Catalina.


Apple heeft nog niet gezegd of Safari voor iOS en iPadOS ook WebAuthn gaat ondersteunen. Omdat dit een breed omarmde standaard is die gebruikers de controle geeft over hun beveiliging is het iets wat Apple zou moeten aanspreken. Maar op dit moment moet je de juiste app hebben in iOS om YubiKey 5Ci te gebruiken. Dat zijn onder meer de beveiligingsvriendelijke browser Brave, die direct WebAuthn aanspreekt en stand-alone apps als 1Password en LastPass. Volgens Yubico gaan meer bedrijven het protocol binnenkort ondersteunen.

Testresultaten lopen uiteen

Ik testte de YubiKey 5Ci met Dropbox, AWS-console, Twitter, 1Password en anderen. De sleutel koppelen lijkt momenteel enkel te kunnen via een desktop-browser en ik gebruikte daarbij de USB-C-kant van de sleutel. Na enrollment varieerden de resultaten bij het testen. 1Password zag direct dat ik de authenticatie had geüpgradet, en vroeg om de sleutel bij het starten van de app. Ik plugde hem in via Lightning, tikte erop en 1Password startte door.

Andere sites waren minder vriendelijk. Sommige herkenden de macOS Safari Preview niet als browser die WebAuthn ondersteunt, dus dan schakelde ik over op Chrome voor de desktop. Daarna gebruikte ik Brave in iOS en sommige sites weigerden om de WebAuthn-ondersteuning te herkennen. Bij Dropbox leek het te kunnen werken met het lezen van de code, maar die werd vervolgens verworpen. Bij Twitter werkte het naadloos en net zo perfect als met de 1Password-app.

Honderden websites accepteren nu al inloggen via WebAuthn, wat heel weinig aanpassingen vereist in de back-end als de site al andere 2FA gebruikt. Met de komst van meer browsers die het ondersteunen nadat de standaard werd afgerond het afgelopen jaar, groeit de adoptie onder websites, maar ontwikkelaars hebben duidelijk strikte regels gesteld over welke browsers WebAuthn zouden moeten ondersteunen om compatibiliteitsissues te voorkomen.


WebAuthn heeft een voordeel boven sms-gebaseerde en app-gegenereerde tweede factoren omdat gebruikers in het bezit moeten zijn van unieke hardware waar geen data uit gehaald kan worden. WebAuthn gebruikt PK-cyptografie in plaats van codes in platte tekst die onderschept kunnen worden en maakt een unieke encryptiesleutel aan voor elke site.

Hoe het werkt

Het begint met enrollement: als je een site bezoekt of app gebruikt die de standaard ondersteunt, bewijs je je identiteit en plug je de WebAuthn-uitgeruste hardwaresleutel als de YubiKey 5Ci in en tik je erop. Je hardware-apparaat genereert een unieke publiek-privé sleutelpaar voor de site en de privésleutel wordt bewaard in de sjoemelproof hardware, terwijl de publieke sleutel bij de site wordt opgeslagen met je accountgegevens.

Als je terugkomt, moet je opnieuw authenticeren met de tweede factor als er iets verandert, bijvoorbeeld met een andere browser, andere locatie, of als een bepaalde tijdsperiode is verstreken, door in te loggen met je gebruikersnaam en wachtwoord, om vervolgens te tikken op je YubiKey om te bevestigen.

Omdat de versleutelde boodschap door de sleutel wordt aangemaakt en de site alleen de publieke sleutel van het sleutelpaar heeft, is de kans dat een aanvaller toegang krijgt tot je account opeens en heel stuk kleiner omdat deze geen sleutel kan genereren zonder jouw hardware. Het zorgt er bovendien voor dat je geen authenticatieproces kunt starten op een site die niet overeenkomt met de originele URL en de publieke sleutel niet heeft, waardoor phishing ook wordt gefrustreerd.

Conclusie

De YubiKey 5Ci is er klaar voor, maar alle componenten om het een groot succes te maken zijn er nog niet helemaal. Het apparaat kost zo'n 70 á 80 euro (70 dollar in de VS) en dat lijkt een stevig prijskaartje als je hem nog niet optimaal kunt gebruiken. Websites, apps en Apple moeten allemaal nog iets verbeteren en er zijn nog enkele ruwe randjes in macOS.

Dat gezegd hebbende, is WebAuthn hard op weg op de de facto standaard te worden in de sector en de 5Ci is dan ook een goede futureproof keuze als je een makkelijk mobiele hardware-authenticator zoekt.