De vele datalekken van de afgelopen jaren hebben één ding heel duidelijk gemaakt: wachtwoorden werken niet.
Voer de Nitrokey Fido U2F USB-beveiligingssleutel van $ 25 in.
De Nitrokey maakt het veel moeilijker voor de slechteriken om in te breken in uw account door een tweede authenticatiestap toe te voegen aan populaire services zoals Google, Twitter, Facebook en meer.
Wat de Nitrokey uniek maakt, is dat hij volledig open-source is, van hardware tot software.
Het is een beetje duurder dan vergelijkbare producten, maar voor iedereen die open-source hardware en software vereist, is de Nitrokey ongeëvenaard.
Hoe tweestapsverificatie werkt
Hoewel tweefactorauthenticatie (of 2FA) over het algemeen wordt beschouwd als het toevoegen van een tweede stap na het invoeren van uw wachtwoord, is dat niet de feitelijke definitie van de term.
2FA betekent eerder dat u twee authenticatiemiddelen neemt uit een lijst van de mogelijke drie:
- Iets wat je weet,
- Iets wat je hebt, en
- Iets wat je bent.
Een wachtwoord in je hoofd (of, beter nog, in een wachtwoordbeheerder), is iets voor jou weten? Een hardwaresleutel of authenticator-app is iets voor jou hebben, en een vingerafdruk of andere biometrische gegevens is iets voor jou zijn? We zitten voorlopig vast met wachtwoorden, dus daarom 2FA's de facto betekenis is het toevoegen van een van de andere twee aan een wachtwoord.
Het werkt omdat, hoewel uw wachtwoord mogelijk phishing is of wordt blootgesteld aan een datalek, de andere twee erg moeilijk te verkrijgen of vervalst zijn.
Hoewel er veel manieren zijn om 2FA toe te voegen, hebben hardwarebeveiligingssleutels zoals Nitrokey Fido U2F duidelijke voordelen.
In tegenstelling tot eenmalige codes die via sms worden verzonden, kunnen ze niet worden onderschept.
In tegenstelling tot codes die door een app worden gegenereerd, kunnen ze niet worden phishing.
Google bewees dit toen het bedrijf beveiligingssleutels uitrolde voor alle 85.000 werknemers en zag dat succesvolle phishing-aanvallen tot nul terugliepen.
Dat gezegd hebbende, als het gebruik van een beveiligingssleutel te veel gedoe klinkt, moet u 2FA inschakelen op de manier die voor u logisch is.
Hands-on met Nitrokey Fido U2F
Nitrokey is een Duits bedrijf dat verschillende USB-stickbeveiligingsapparaten verkoopt.
De meeste van deze apparaten zijn gecentreerd rond veilige opslag en versleuteling.
Ze kunnen e-mail- en schijfversleutelingssleutels opslaan, en een paar hebben zelfs ingebouwde beveiligde opslag.
De Nitrokey Fido U2F is de meest betaalbare van het stel met 22 euro (dat is ongeveer $ 25, afhankelijk van de wisselkoers), en het is de enige die uitsluitend is gewijd aan 2FA.
Het Fido U2F-model werkt als een tweede authenticator voor veel populaire websites, waaronder Google, Facebook, Twitter, enzovoort.
Het is een slank, zwart USB-apparaat met een getextureerde plastic afwerking en lijkt nogal op een oude flash-geheugenstick.
Hij is klein, 48 bij 19 bij 7 mm, en vrij licht, met een gewicht van slechts 5 gram.
Het ene uiteinde is afgesneden om een ??sleutelhanger op te bergen en de USB 1.1 type A-connector aan het andere uiteinde wordt beschermd door een verwijderbaar omhulsel dat u zeker binnen een week zult verliezen.
Behalve de dop heeft hij geen bewegende delen, waardoor hij bestand is (maar niet ondoordringbaar) voor water en beknelling.
De grotere USB-connector is een beetje een uitbijter; de YubiKey-lijn en de Google Titan-toetsen zijn volledig plat.
Nitrokey zegt dat het gebruik van de grotere USB-connector compatibiliteit met meer apparaten garandeert en duurzamer is, maar ik denk dat ik de voorkeur geef aan de vlakkere stijl, al was het maar om een ??andere reden dan een kleiner apparaat toe te staan.
De Nitrokey is behoorlijk omvangrijk in vergelijking met andere beveiligingssleutels, die flinterdun en vederlicht zijn.
Dat gezegd hebbende, trekt de Nitrokey minder snel veel aandacht met zijn volledig saaie uiterlijk.
Het koppelen van de Nitrokey Fido U2F aan een website is een eenvoudige aangelegenheid.
Navigeer gewoon naar de aanmeldingsopties voor een ondersteunde site, plaats de Nitrokey wanneer daarom wordt gevraagd en tik op het vingerpictogram op de behuizing wanneer een interne witte LED brandt.
Dit gooide me aanvankelijk, omdat ik meer gewend ben aan het gouden schijf-tikoppervlak dat door Yubico en Google wordt gebruikt in hun beveiligingssleutels, hoewel de Nitrokey net zo goed werkte.
Zodra het apparaat is gekoppeld, wordt u gevraagd uw Nitrokey Fido U2F in te voegen en erop te tikken wanneer u zich aanmeldt bij de site.
Om te voorkomen dat u wordt uitgesloten van een geregistreerde site, raad ik u ten zeerste aan om een ??andere 2FA-optie te activeren, zoals back-upcodes die kunnen worden afgedrukt en ergens veilig kunnen worden opgeslagen, of het registreren van een tweede beveiligingssleutel.
Omdat de Nitrokey Fido U2F geen draadloze communicatie ondersteunt, kunt u deze niet gebruiken om een ??mobiel apparaat te authenticeren.
Misschien kun je het voor elkaar krijgen met een funky USB-adapter, maar ik heb dit excentrieke scenario niet getest.
In plaats daarvan zou u voor deze situaties een andere 2FA-methode moeten gebruiken, zoals een authenticator-app.
De Yubico-beveiligingssleutel NFC is slechts twee dollar meer, ondersteunt ook Fido U2F, maar bevat NFC, dus je kunt hem tegen je telefoon slaan om te verifiëren.
Beveiliging zonder onduidelijkheid
Als iets open-source is, is het volledig beschikbaar voor inspectie en zelfs wijziging.
Het betekent ook vaak dat het een vrijwilligersproject is en mogelijk gratis beschikbaar is.
Dat is in tegenstelling tot de zogenaamde "beveiliging door onduidelijkheid", waarbij kritieke aspecten van een product worden verborgen in naam van het beschermen van geheimen.
Het idee is dat transparant zijn helpt om betere, veerkrachtigere producten te maken.
Nitrokey is volledig gebouwd rond het open-source idee.
Het bedrijf vat zijn aanpak en wat volgens het bedrijf de voordelen zijn op deze manier samen:
"Zowel hardware als firmware, tools en bibliotheken zijn open source en gratis software, waardoor onafhankelijke beveiligingsaudits mogelijk zijn.
Flexibel aanpasbaar, geen vendor lock-in, geen beveiliging door onduidelijkheid, geen verborgen beveiligingsfouten."
Het gebruik van open source-tools is ook een ethische verklaring voor zowel bedrijven als consumenten.
Als u het soort persoon bent dat echt, echt in open informatie gelooft, zult u Nitrokey's standpunt waarschijnlijk waarderen.
Open-source hardware is ook relatief zeldzaam om te zien en helpt de angst weg te nemen dat inlichtingendiensten achterdeurtjes in chips in de fabriek glijden.
[embed]https://www.youtube.com/watch?v=AMOtB7XkTT4[/embed]
Dat wil niet zeggen dat open-source zijn een wondermiddel is tegen beveiligingsfouten of aanvallen.
Heartbleed werd veroorzaakt door een bug die onbewust werd toegevoegd aan de open-source OpenSSL-cryptografische software.
Dat gezegd hebbende, is het waarschijnlijk dat als OpenSSL niet open-source was, de bug misschien nooit is gevonden.
Nitrokey Versus vrienden en vijanden
De Nitrokey Fido U2F is een van de ongeveer zes Nitrokey-apparaten die momenteel te koop zijn.
Net als de Yubikey 5-lijn van Yubico, zijn er verschillende configuraties om uit te kiezen.
In tegenstelling tot Yubico doet de Nitrokey-lijn veel meer dan alleen authenticatie.
De Nitrokey Storage 2, de meest robuuste en duurste van het aanbod, ondersteunt S / MIME-e-mail- en schijfversleuteling, OpenPGP / GnuPG e-mailversleuteling, One Time Passwords (OTP) en versleutelde interne opslag.
Het slaat zelfs tot 16 wachtwoorden op in een aangepaste wachtwoordbeheerder.
Het kost 109EU of ongeveer $ 124.
Dat is veel alfabetsoep, en als je niet alles hebt begrepen, is het waarschijnlijk niet het product voor jou.
OTP-ondersteuning is opmerkelijk aangezien dit de enige hardware 2FA-optie is die door LastPass wordt ondersteund.
De Nitrokey Pro 2 verliest de opslag aan boord en kost slechts 49 euro of ongeveer $ 56.
Uniek is dat het (of zijn nieuwe naam, de Purism Librem Key) kan worden gebruikt om de geldigheid van de firmware en hardware van Purism-laptops te verifiëren.
Dat betekent dat ze kunnen detecteren of iemand heeft geprobeerd te knoeien met uw Purism-laptop.
Het is een fascinerende functie, maar alleen interessant voor het soort persoon dat überhaupt een open-source Purism-laptop zou kopen.
Vreemd genoeg is de Nitrokey Fido U2F die hier wordt besproken de enige Fido U2F-compatibele authenticator van Nitrokey.
Als u een duurdere, betere Nitrokey koopt, kunt u deze algemeen aanvaarde standaard niet gebruiken.
Yubico daarentegen bevat zowel Fido U2F als de nieuwere, meer toekomstbestendige Fido2 in al zijn YubiKey 5-apparaten, samen met OTP, OATH (HOTP en TOTP), OpenPGP en smartcard-ondersteuning.
Twee YubiKey 5-apparaten ondersteunen ook USB-C.
De twee goedkoopste aanbiedingen, de beveiligingssleutel en beveiligingssleutel NFC, ondersteunen alleen Fido2 en Fido U2F.
Dit laatste kost iets meer dan de Nitrokey Fido U2F voor $ 27, maar het bevat wel draadloze NFC-communicatie, wat de Nitrokey niet doet.
De beveiligingssleutel van zijn kant kost slechts $ 20, waardoor deze ruim binnen het gebied van impulsaankopen valt.
De Titan-bundel van Google is $ 50 en landt ergens tussenin.
Dit omvat twee apparaten - een USB-A-sleutel en een op batterijen werkende bluetooth-dongle - die beide Fido U2F ondersteunen.
Het toevoegen van een tweede apparaat maakt het zeker een verleidelijk pakket, maar ik ben nog steeds sceptisch over het nut van de batterijgevoede dongle.
Compromisloze beveiliging
De Nitrokey Fido U2F is niet gelikter, slanker of goedkoper dan de concurrentie, maar zijn toewijding aan open-source hardware en software is voor sommigen een belangrijke onderscheidende factor.
Net als veel open-sourcehardware is het onhandiger, maar mogelijk beter.
We geven nog steeds de voorkeur aan onze Editors 'Choice, de beveiligingssleutel van Yubico, die iets minder duur en veel slanker is dan de Nitrokey.
Maar als je je teen in 2FA-hardware steekt, en vooral als je een open-source evangelist bent, dan is de Nitrokey Fido U2F een goede keuze.
