Hackers maken geen kans tegen de Zweedse YubiKey

Hackers hebben talloze manieren om identiteiten te stelen: brute force attacks, keyloggers, social engineering en phishing. Je kunt jezelf online beschermen tegen identiteitsdiefstal door gebruik te maken van 2-factor authenticatie (2FA), maar de meeste vormen – zoals via sms – bieden geen bescherming tegen de modernste vormen van identiteitsdiefstal, zoals phishing. Het Zweedse bedrijf Yubico heeft een oplossing die op grote schaal wordt gebruikt door bedrijven, overheden, zorginstellingen en scholen: de YubiKey.

De YubiKey is een multifunctionele beveiligingssleutel waarmee de toegang tot computers, websites en servers kan worden beveiligd. De sleutel ondersteunt meerdere authenticatieprotocollen, waardoor de YubiKey als Smartcard, FIDO, OTP en OpenPGP token kan worden gebruikt om via USB, NFC of Lightning een identiteit te bevestigen. Wanneer gebruikers deze sleutel koppelen aan hun account, moeten zij om in te loggen op een applicatie de sleutel gebruiken om hun identiteit te bevestigen. Zij hoeven dan geen ingewikkeld wachtwoord meer te onthouden; zij kunnen inloggen door simpelweg de YubiKey aan te raken. Om de YubiKey te ontgrendelen voeren zij een pincode in die lokaal op de sleutel is opgeslagen en niet over het netwerk verstuurd wordt.

De YubiKey kan worden ingezet voor verschillende vormen van sterke authenticatie, zoals wachtwoordloos inloggen, 2-factor-authenticatie of Multi-Factor-authenticatie. De YubiKey kan gekoppeld worden aan honderden persoonlijke en zakelijke applicaties. Zo kan men bijvoorbeeld Google, Facebook, Twitter, Outlook, Dropbox-accounts en verschillende wachtwoordmanagers beveiligen met een YubiKey. Daarnaast kan men de sleutel gebruiken om de toegang tot zakelijke toepassingen zoals Office365, G Suite, Citrix of SurfSecureID te krijgen. Er is geen aanvullende software nodig om gebruik te maken van deze beveiligingssleutel.

Davey Lodder, accountmanager Yubico bij distributeur Infinigate, vertelt over het verschil tussen persoonlijk en zakelijk gebruik van de beveiligingssleutel: “De YubiKey is een sleutel die op bijna ieder slot kan worden ingesteld. Dit ‘slot’ kan van alles zijn: bijvoorbeeld (Azure) Active Directory, G Suite of een IAM/SSO softwarepakket. Bij persoonlijk gebruik is meestal geen technische kennis nodig om een account met de YubiKey te beveiligen, maar in een zakelijke omgeving is dat vaak wel anders: veel bedrijven hebben tientallen verschillende toepassingen waarop medewerkers veilig moeten kunnen inloggen. Zo willen onderwijsinstellingen bijvoorbeeld vaak de toegang tot Windows, Office365 en Magister beveiligen met de YubiKey. Wij kunnen bedrijven helpen met de implementatie en integratie.”

“De YubiKey is een sleutel die op bijna ieder slot kan worden ingesteld."

Groeiende vraag in het onderwijs
YubiKeys worden gebruikt bij negen van de top tien wereldwijde tech-bedrijven, vier van de tien grootste Amerikaanse banken, twee van de drie grootste retailers ter wereld, en honderden kleine, middelgrote en zeer grote bedrijven in de Benelux. Sommige klanten kiezen er voor om alleen gebruikers met een hoog risicoprofiel te voorzien van een YubiKey, maar er zijn ook veel klanten in de educatieve sector die al hun medewerkers een YubiKey geven om hun digitale identiteit te beschermen.

In Nederland en België zijn er steeds meer basisscholen en hogescholen die vragen naar dit product. De reden hiervoor is dat hackers steeds slimmere manieren vinden om identiteiten te stelen en misbruiken. Onderzoek toont aan dat 81 procent van alle netwerkinbraken te maken hebben met zwakke of gestolen wachtwoorden. Het gevolg daarvan is dat organisaties hun medewerkers verplichten om een moeilijk wachtwoord te kiezen om in te loggen en/of een 2FA-oplossing inzetten die een eenmalig wachtwoord genereert bij elke inlogpoging. Wanneer medewerkers op hun account inloggen met slechts een gebruikersnaam en wachtwoord, kan iedereen met die gegevens toegang krijgen tot die bestanden, maar ook communiceren en handelen namens die identiteit. En dat moet voorkomen worden.

Wachtwoorden kunnen op verschillende manieren worden gestolen, bijvoorbeeld via phishing. Kwaadwillenden maken daarbij een kopie van een officiële website, zetten die op een eigen server, sturen een link naar potentiële slachtoffers, die hun gegevens invoeren. Deze gegevens kan de aanvaller gebruiken voor allerlei malafide praktijken. Dan is er ook nog de zogenoemde “man in the middle attack”; dit type aanval is moderner. Deze vorm gaat verder dan een kopie. Hackers maken gebruik van kwaadaardige gratis software, zoals Evilginx of Modlishka, die als proxyserver dient om een originele website te laden via de server van de hacker. Informatie tussen twee communicerende partijen wordt onderschept zonder dat zij daar weet van hebben. De man in the middle kan alle gegevens die verstuurd en ontvangen worden aflezen en bewerken, waardoor gebruikersnamen, wachtwoorden, tokencodes en session-cookies kunnen worden gestolen en hergebruikt.

Traditionele vormen van 2-factor authenticatie bieden geen bescherming tegen deze vorm van identiteitsdiefstal. De YubiKey wel. Tijdens het inloggen controleert de YubiKey namelijk of de website waarop de gebruiker probeert in te loggen authentiek is. De beveiligingssleutel voorkomt op deze manier dat een gebruiker per ongeluk inlogt op een malafide website. Op deze manier hoef je als organisatie dus niet meer te vertrouwen op het beoordelingsvermogen van medewerkers om een phishing-website te herkennen, wat soms nagenoeg onmogelijk is.

YubiKey in ontwikkeling
Onlangs heeft Yubico ook hun nieuwe YubiKey Bio aangekondigd: deze beveiligingssleutel is voorzien van een biometrische functie waardoor gebruikers in plaats van een pincode hun vingerafdruk kunnen gebruiken om veilig in te loggen.


Meer informatie over leverancier Yubico en het product YubiKey vind je op slbdiensten.nl/licenties. Na inlog vind je ook de prijzen.

Tijdens de IPON verloten we bij diverse quizen ook YubiKeys. Meer weten over wat wij doen op de IPON, zie slbdiensten.nl/ipon.

Licentie-informatie

Anderen bekeken ook dit

IPON opnieuw een must voor ...

Geplaatst: 03-01-2020 IPON opnieuw een must voor iedere onderwijsprofessional

De IPON op 5 en 6 februari in de Jaarbeurs in Utrecht staat in het ...

Education Transformation Framework helpt scholen ...

Geplaatst: 07-01-2020 Education Transformation Framework helpt scholen met visie op digitalisering in het onderwijs

Steeds meer onderwijsinstellingen wereldwijd kiezen ervoor om hun visie op digitalisering in het onderwijs te ...

Succesvol ‘flippen’: “Begin eenvoudig en ...

Geplaatst: 12-11-2019 Succesvol ‘flippen’: “Begin eenvoudig en klein en maak gebruik van quizjes”

‘Flipping the classroom’ wordt door sommigen gezien als dé trend in het onderwijs. Kortgezegd draai ...