Hardwarematige sleutels om jezelf beter tegen de boze buitenwereld te beschermen: ik wilde dat wel eens proberen. Al vaker zag ik af en toe ontwikkelaars hun laptops ontgrendelen met behulp van een fysieke sleutel in een usb-poort. Dat leek me echt supervet, en passant ook heel veilig, dus dat wilde ik eigenlijk ook. Voortaan zou ik elke website en alles ontgrendelen met zo’n speciale sleutel aan mijn sleutelbos. Voor het gemak zag ik mijzelf al in een sciencefictionfilm waar je tegelijkertijd met iemand anders een sleutel moet omdraaien om vervolgens een aanval af te wenden. Een heerlijk gevoel van het heft in eigen hand maakte zich van mij meester.
Nu werd het noodzaak zo’n sleutel aan te schaffen en te gaan gebruiken. Dat eerste lukt nog wel in Nederland, al kun je helaas nog steeds niet naar een winkel gaan en er een paar fysiek naast elkaar bekijken, ze aanraken en iemand met kennis van zaken uithoren over welke nou voor jouw gebruik het handigst is. Dat deed ik dus allemaal online op de site van Yubikey. Het werd een keer versie 5 NFC.
1 sleutel is geen sleutel
Dat laatste was direct al onhandig of eigenlijk ronduit dom. Één key is in hardwaresleutelland geen key. Je hebt, afhankelijk van de dienst waarvoor je hem gebruikt, geen backup. Je kunt overigens vaak wel een andere 2fa-methode instellen bij veel websites, maar andere zaken, zoals een login op je computer, hebben daar niet zoveel aan.
Daar zit direct een groot minpunt van yubico, het bedrijf achter de sleutel, het ondoordringbare woud van opties, mogelijkheden, teksten, links en wat al niet meer om je te begeleiden. Of beter gezegd: in totale verwarring te brengen. Ten eerste staat er pas helemaal onderaan de pagina van het product dat het aangeraden wordt om minstens twee sleutels te hebben onder het kopje: ‘wat als ik mijn sleutel verlies?’. Zoiets zou mijns inziens bovenaan moeten staan bij de plek waar staat dat het allemaal supereasy is om te gebruiken. Of geef een pop-up bij de bestelplek met iets als: weet je zeker dat je 1 sleutel wil? Ten tweede wil je ook een beetje begrijpen wat je doet, maar daarover later meer.
Meer dan 1 sleutel, welke dan?
Voordat ik inga op andere zaken rond het begrijpen van je sleutel, eerst iets over meerdere sleutels. Het hangt af van je gebruik wat voor sleutels je hebben wil. Je kunt je voorstellen dat je één aan je sleutelbos hebt, maar die is vrij groot en kun je niet met goed fatsoen in je laptop of desktop laten zitten. Daarvoor wil je misschien wel een andere sleutel, namelijk een kleintje die nauwelijks uitsteekt. Je kunt zelfs, mocht je dat bezitten, vaak je hardwarewallet van je bitcoins of andere cryptovaluta gebruiken om je computer te ontgrendelen. Dat soort info is her en der wel terug te vinden, maar is niet direct logisch als je zelf nog nooit met dergelijke sleutels gewerkt hebt en/of mensen kent met meer kennis van soort zaken. Kortom, het kan dus best zijn dat het voor jou veel handiger is om een aan je sleutelbos te hebben, een usb-c-nano-versie voor in je laptop en een usb-a-nano-versie voor in je desktop.
Mijn tweede probleem was dat, toen ik de enkele sleutel in bezit had, ik in totale verwarring gebracht werd door de manier hoe de website ingericht is. Op de achterzijde van het doosje staat: ga naar yubico.com/start, waarna je een op het eerste gezicht overzichtelijk aantal tegels voorgeschoteld krijgt met de bekendste websites en drie grootste besturingssystemen. Nu werkt de sleutel redelijk out-of-the-box bij browsers en enkele programma’s, al moet je bij macOS en Linux misschien nog een extra driver installeren, maar dan werkt het gewoon. Alleen… kreeg ik een heel onveilig gevoel bij de systemen juist omdat ik geen tweede key had, maar ook omdat bleek dat je de key wel heel makkelijk kunt resetten met een app genaamd YubiKey Manager. Iets té makkelijk voor mij als beginnend gebruiker, het was reden genoeg om de sleutel verder naast mij neer te leggen er er een tijdje niet naar om te kijken.
Later kwam ik erachter dat er gewoon in de Ubuntu softwarewinkel een keurige applicatie zit: YubiKey Personalization Tool. Die tool had ik nodig om iets specifiek voor een keymanager in te stellen en die uitleg stond uiteraard… bij de keymanager zelf. Er is overigens een downloadsectie op de site, maar die is weinig intuïtief voor first time users.
Linux en de sleutel
De crux is zoals altijd: communicatie en daar is het bedrijf achter de sleutel niet heel goed in. Althans, niet voor de leek. Ik hoef echt niet álles te begrijpen en te weten, maar ik wil wel een veilig gevoel hebben met het gebruik van bepaalde zaken. Je kunt bij veel websites wel een backupcode instellen, dus als je je sleutel kwijtraakt, kun je die nog opsnorren, maar iets dat vrij logisch lijkt, zoals hoe beveilig ik admin-rechten op mijn computer, daar kom je niet heel makkelijk achter. Bij de Linux-instructies wordt je zelfs doodleuk naar een pagina doorverwezen waar je even je eigen zaakjes moet compilen. Nou ben ik niet per se bang voor dat soort dingen, maar ik krijg al beduidend minder zin, bovendien is het totaal onnodig voor basic gebruik.
Bescherm je admin
Na het ding een maand in de hoek te hebben laten verstoffen, bedacht ik dat er een zaak is waar ik me wel eens zorgen om maak: dat iemand op afstand iets op mijn computer installeert waar ik niet van gediend ben. Nou ben ik daar in eerste instantie met een Linux-systeem niet zo bang voor, toch kan het prima. Goede beveiliging: een goed sudo (super-user) wachtwoord, maar dat blijft mensenwerk. Dat kun je dus ook met een hardwaresleutel beveiligen: je kunt alleen inloggen op je account én alleen sudo-en met een sleutel die je dus fysiek moet aanraken. Nu kan niemand meer zonder die sleutel aan te raken iets installeren op afstand op mijn computers. En als de sleutel er niet inzit, kun je ook niet inloggen natuurlijk. Ineens begreep ik beter waarom die kleine keys bestaan, die laat je namelijk in je computer zitten.
Het duurde dus even, maar ineens was duidelijk wat een eerste goede usecase voor mijn hardwaresleutel was, namelijk: koop er nog twee, een nano-usb-c voor in de laptop (die poort gebruik ik vooralsnog toch niet) en een nano-usb-a-variant voor in de desktop. Zonder die sleutel aan te raken, kun je niks installeren of inloggen, maar je hoeft hem er niet constant uit te halen. Mocht je nou wel op reis gaan met je laptop, dan kun je natuurlijk gewoon je sleutel eruit halen en vanaf dat moment toch je andere sleutel aan je sleutelbos gebruiken. Op deze manier is het een stuk gebruiksvriendelijker en je bent volledig beschermd tegen aanvallen op afstand.
De nano-usb-a-variant is in mijn ogen wel beter dan de usb-c-variant, want die laatste heeft een wel heel klein aanraakoppervlak, waardoor die niet altijd direct werkt, zeker met droge handen is dat wel eens lastig.
Volgende stappen gaan zijn dat ik wil kijken welke diensten in mijn geval ook goed van een extra hardwaresleutel als tweede factor gebruik kunnen maken want, zoals eerder gezegd, er zijn heel veel mogelijkheden met de sleutel.
Mentions