U2F: open standaard voor multifactor authenticatie
Google geeft sinds een tijdje de mogelijkheid om een security key als bezitsfactor toe te voegen aan je profiel in de context van een 2-stappen authenticatie. De technische specificatie hiervoor werd samen ontwikkeld met Yubico, dat compatibele security-sleutels levert. Ondertussen is het initiatief in handen van de FIDO Alliance, een industriegroep met als missie om te voorzien in sterke authenticatie, gebaseerd op open standaarden.
Universeel
De Universal Second Factor (U2F) is de specificatie voor authenticatie-tokens met aandacht voor veiligheid en gebruiksgemak. Technisch gezien werkt het met ‘public key’-cryptografie. Bij de registratie van elke U2F-token bij een online dienst wordt er een specifiek sleutelpaar gegenereerd dat enkel bruikbaar is bij die bepaalde online dienst. Bij het aanmelden controleert de dienst telkens of je in het bezit bent van de U2F-sleutel via een challenge-response-protocol: het U2F-toestel tekent eerst de challenge met de private sleutel die er veilig in opgeslagen is.
De online dienst controleert dan de ondertekende challenge met de overeenkomstige publieke sleutel. Die had je tijdens de registratie eerst gekoppeld aan je account. De term ‘Universal’ betekent dat je dezelfde U2F-sleutel kunt gebruiken bij meerdere online diensten. Je privacy is gewaarborgd: er wordt geen informatie gedeeld tussen de online diensten onderling.
Ondersteuning voor U2F is momenteel beschikbaar in de webbrowsers Google Chrome en Opera. Het feit dat webbrowsers standaard ondersteuning bieden, heeft als voordeel dat gebruikers geen aparte software hoeven te installeren.
Pincode
U2F biedt bescherming tegen phishing en man-in-the-middle-aanvallen. Het laat ook toe om je wachtwoorden te vereenvoudigen zonder in te boeten op het vlak van veiligheid. Waar een lang wachtwoord gevraagd wordt als eerste factor, kun je dit met U2F vereenvoudigen tot een pincode van vier cijfers. In eerste instantie wordt enkel usb ondersteund als communicatiemethode voor U2F.
In de toekomst zal ook Bluetooth en NFC tot de mogelijkheden behoren. Op de website van de FIDO Alliance vind je een overzicht van U2F-compatibele toestellen. Yubico was de eerste maar ondertussen zijn er meerdere aanbieders, zoals het Belgische Vasco met Digipass SecureClick (zie verder).
Hoe werkt het?
Vooraleer je als gebruiker aan de slag kan met een U2F-compatibel toestel, moet je het eenmalig registreren bij de desbetreffende dienst. Daarna meld je je bij de dienst aan in twee stappen: eerst geef je je wachtwoord in, dan druk je op de knop van de U2F-sleutel en ben je aangemeld.
U2F wordt vandaag ondersteund door Chrome v40 en hoger, en Opera. In Firefox is er ondersteuning via een add-on; op ingebouwde ondersteuning voor U2F is het nog even wachten. In de nabije toekomst zullen mobiele platformen als Android en iOS standaard ondersteuning bieden voor U2F via Bluetooth Low Energy (BLE).
Op het vlak van online diensten zijn er momenteel slechts een handvol compatibel met U2F, waaronder Google Login, GitHub en Dropbox. Ingebakken ondersteuning voor U2F in webbrowsers en platformen biedt tal van voordelen, maar is nog niet universeel. De vraag is of de specificatie zal doorbreken naar een algemeen ondersteunde open standaard. Dan beschik je met U2F over een handige extra beveiliging, met respect voor de privacy. De U2F-sleutels zijn eenvoudig te gebruiken, op voorwaarde natuurlijk dat je ze fysiek op het juiste moment bij hebt.
U2F in de parktijk: Digipass SecureClick
De Digipass SecureClick is een hardware-authenticatietoken dat een tweede factor toevoegt aan een statisch wachtwoord. Het volgt de U2F-specifi catie van de FIDO Alliance, waarvan Vasco lid is. De SecureClick is compatibel met toestellen die Bluetooth Low Energy (BLE) ondersteunen. Platformen die BLE ondersteunen zijn Windows 8.1 en hoger, Mac OS X, Android en iOS. Op toestellen die geen BLE ondersteunen kun je gebruikmaken van de meegeleverde USB Bluetooth Bridge die je via de USB-poort aansluit voor Bluetooth-connectiviteit. Het communicatiekanaal tussen het BLE-toestel en de SecureClick is zelf ook versleuteld.
Na een eenmalige ‘pairing’ van de SecureClick met je toestel, kun je aanmelden in een toepassing die U2F ondersteunt, door eerst gebruikersnaam en wachtwoord in te geven en daarna op de knop van de SecureClick te drukken. De Digipass SecureClick levert extra beveiliging bovenop de bestaande wachtwoordsystemen. De fysieke token werkt gebruiksvriendelijk: een eenvoudige druk op de knop volstaat. Dankzij de keuze voor het U2F-protocol is de SecureClick compatibel met een veelbelovendeopen specifi catie.
Helaas zijn er nu nog weinig compatibele platformen en toepassingen. Vaak is de sleutel alleen te gebruiken via de meegeleverde USB Bluetooth Bridge. Het is nog even wachten vooraleer alle courante platformen ook BLE ondersteunen als U2F-interface. Pas dan zal de SecureClick volledig tot zijn recht komen.
Als test gebruiken we de SecureClick op een standaard Windows-laptop. Omdat deze geen BLE ondersteunt, pluggen we de meegeleverde USB Bluetooth Bridge in een vrije USB-poort. Daarna voeren we de pairing uit met behulp van de Digipass SecureClick Manager Chrome-app. Het pairen zelf is heel eenvoudig: een 3-tal seconden op de knop van de SecureClick drukken wanneer daarom gevraagd wordt, gevolgd door het ingeven van de pairing code, zoals aangegeven in de handleiding.
Na de eenmalige Bluetooth-pairing proberen we de SecureClick uit voor de Google-login in Chrome – één van de weinige toepassingen die nu al FIDO U2F ondersteunt. Hiervoor moeten we eerst ‘authenticatie in twee stappen’ activeren. Tijdens dat proces voegen we de SecureClick toe als beveiligingssleutel, door kort op de knop te drukken. Na de registratie van de token proberen we aan te melden in Google-login. Eerst geven we het wachtwoord in. In een tweede stap wordt gevraagd om op de knop van de token te duwen. Na een minieme wachttijd zijn we aangemeld.
De pairing van de SecureClick werd ook succesvol getest op een Samsung Galaxy S6 Android-telefoon. Die loopt hier via het systeemmenu. Er is geen Chrome-app vereist. De SecureClick kunnen we op dit toestel echter nog niet gebruiken als second factor voor een toepassing zoals Google-login, aangezien de BLE-modus daar nog niet ondersteund wordt (enkel USB is ondersteund). De U2F BLE-ondersteuning is in ontwikkeling en moet binnenkort beschikbaar worden.