Nuttige weetjes over FIDO2, WebAuthn en een wereld zonder wachtwoorden

Onze missie is het snel en veilig leveren van YubiKeys. De missie van Yubico is een veiliger internet. Met de komst van FIDO2 en WebAuthn is dit een stap dichterbij deze realiteit. Zij werkt hierbij nauw samen met Microsoft, Google en de FIDO alliantie en W3C om de wereld voor te bereiden op een toekomst waarbij je kunt inloggen zonder wachtwoord.

FIDO2 en WebAuthn is een beetje een hype geworden, en zoals bij elke nieuwe technologie is ook hier sprake van een leercurve. Eerder in 2018 kwam Yubico al met een update van het Yubico ontwikkel programma om ontwikkelaars snel bij te leren over FIDO2 en WebAuthn.

Met deze achtergrond leek het ons nuttig om de meest gestelde vragen en antwoorden die voorbij zijn gekomen rond de FIDO2 standaard en WebAuthn, te delen.

Is FIDO2 en WebAuthn hetzelfde? En zo niet, wat is het verschil?

FIDO2 is een samensmelting van 2 standaarden; de web API WebAuthn en het Client to Authenticator Protocol CTAP. Deze twee werken samen om inloggen zonder wachtwoord mogelijk te maken. Het eerdere FIDO U2F protocol werke met een externe authenticator en is hernoemd naar CTAP1 binnen de WebAuthn specificaties. Na Chrome en Firefox en Dropbox, is recentelijk ook Microsoft Edge begonnen met ondersteuning van WebAuthn API, CTAP1 en CTAP2. Op dit moment is dit dus de browser met de meeste authenticatie ondersteuning.

Wordt FIDO2 beschouwd als single factor, 2-factor of multi-factor authenticatie?

Inloggen met een FIDO2 authenticatiemiddels zoals de YubiKey betekent kiezen tussen:

• Single factor inloggen zonder wachtwoord
• Twee factor
• Multi-factor authenticatie

In combinatie met FIDO2 vervangt een hardwarematige authenticator zoals de YubiKey, een gebruikersnaam en wachtwoord als veel sterkere vorm van single factor authenticatie. Gebruikers kunnen de YubiKey ook gebruiken als tweede factor. Tenslotte kan de FIDO2 authenticatiesleutel gecombineerd worden met een additionele factor zoals een PIN of biometrische handeling, om sterke multi-factor authenticatie te verkrijgen.

Hoe veilig is FIDO2 ten opzichte van FIDO U2F en andere 2FA oplossingen?

Single factor login met FIDO2 biedt sterke authenticatie als enkele factor. In veel gevallen is deze vorm van inloggen veiliger dan andere vormen van 2 factor authenticatie (zoals SMS), omdat er geen geheimen te op afstand te phishen zijn als FIDO2 wordt gebruikt. FIDO2 single factor maakt gebruik van dezelfde sterke public key cryptografie met bron controle om phishing te voorkomen net zoals FIDO U2F, maar met het additionele gemak om geen gebruikersnaam en wachtwoord nodig te hebben als eerste factor om een gebruiker te identificeren.

Wordt FIDO U2F onnodig met de uitbreidingen van FIDO2?

FIDO2 Webauthn is backwards compatible met FIDO U2F, dus in de komende tijd zal FIDO2 het FIDO U2F protocol gaan vervangen.

Is het mogelijk om FIDO2 in samenwerking met een additionele factor zoals PIN of biometrie toe te passen. Is dit aan te raden?

Hardwarematige authenticatie oplossingen die CTAP2 ondersteunen, kunnen gebruikersverificatie toepassen door middel van PIN of biometrie om de authenticatiesleutel te ontgrendelen zodat het gebruikt kan worden. Deze voorkeur hangt volledig af van de mate van beveiliging die nodig wordt geacht. De huidige generatie YubiKeys ondersteunen de volledige CTAP2 specificaties.

Wat is het verschil tussen PIN en een wachtwoord?

Zoals eerder vermeld, staat FIDO2 het toe om hardware gebaseerde authenticatie te combineren met een additionele factor zoals PIN. Nu zullen velen denken:”Is dat nou niet precies hezelfde als het moeten onthouden van een wachtwoord?”

Maar een PIN verschilt van een wachtwoord. De bedoeling van een PIN is om de security key te ontgrendelen. Een PIN wordt locaal op de sleutel zelf bewaard, en wordt niet over het netwerk verzonden. In tegenstelling tot een wachtwoord, dat over het netwerk wordt verzonden naar een service om te valideren, en dus gestolen kan worden. Tevens is de PIN geen onderdeel van de beveiliging voor het op afstand authenticeren van een gebruiker, dus is een PIN veel simpeler en hoeft niet op gezette tijden geijzigd te worden uit veiligheidoverwegingen. Daarom biedt een hardwarematige sleutel met PIN een wachtwoordloze, phishing resistente authenticatie oplossing.

Hoe beïnvloedt FIDO2 de policy van een organisatie om een wachtwoord elke 90 dagen te wijzigen?

Met FIDO2 is er geen reden meer om wachtwoorden te wijzigen, aangezien er geen wachtwoorden meer nodig zijn. En als de sleutel met PIN wordt gecombineerd, bedenk dat een PIN code niet dezelfde vereisten heeft als een wachtwoord binnen de security strategie.

Welke services ondersteunen FIDO2? En welke services kunnen we nog verwachten?

We hebben al gezegd dat bijvoorbeeld Chrome, Firefox en Dropbox al ondersteuning bieden voor WebAuthn twee-factor login, en Microsoft Edge vanaf build 17723 biedt ondersteuning voor sterke single en multi factor authenticatie, als aanvulling op de twee-factor authenticatie. Naast de gehele Microsoft thuisgebruikers toepassingen, zal binnenkort ook inloggen zonder wachtwoord met FIDO2 voor de zakelijke Azure AD markt beschikbaar zijn.

Wat als ik mijn YubiKey kwijtraak? Kan ik zonder wachtwoord mijn account nog in?

Advies is om altijd een tweede sleutel als reserve te hebben, in het geval de YubiKey kwijt is. De sleutel zelf bevat geen identificeerbare informatie, en kan dus niet direct worden gebruikt door iemand die sleutel vindt of in zijn bezit krijgt. De realiteit leert dat de meest gebruikte aanvalsmethode de remote account takeover is, zowel door het stelen van inloggegevens, phishing zwendel of man-in-the-middle attacks. FIDO2 en de YubiKey zijn ontworpen om juist tegen deze vormen van bedreigingen  bescherming te bieden.

Voor degenen die denken aan de fysieke risico’s, biedt de YubiKey de optie om multi-factor authenticatie toe te passen met een PIN voor additionele bescherming. Op deze manier is het zelfs onmogelijk om de sleutel te gebruiken van iemand waarvan onbekend is welke accounts er beveiligd mee zijn, en waarvan de sleutel onbruikbaar is zonder PIN.

Wachtwoordloze toekomst

Een significant voordeel van een open standaard is dat het aantal implementaties oneindig is. Met Microsoft Edge, Google Chrome en Mozilla Firefox als client en Dropbox als dienst, hebben velen al aangegeven om WebAuthn ondersteuning te gaan bieden. We zijn dus op hard op weg naar een toekomst zonder wachtwoorden!