Yubico's Yubikey 5 NFC 2-Factor Hardware Authenticatie HowTo

YubiKey

 

2FA is een middel om je account te beschermen. Een hardware key zoals Yubikey stopt daar een extra laag overheen door alleen te kunnen authenticeren als je de sleutel verbind met je laptop / android toestel.

Deze instructie is dan ook voor de personen die belangrijke accounts bezitten, veel volgers hebben, of eigen publicaties op internet hebben gezet. Deze zaken wil je beschermen.
Staat jouw beweegreden er niet tussen, maar je vind het belangrijk om je accounts zo goed mogelijk te beschermen? Lees vooral verder. Jij kan het het beste inschatten.

Het werkt momenteel met een wachtwoordmanager als:

- psono.pw (iets lastiger, maar heel veel nice features, maar ook gratis).

Suni

- lastpass (alleen bij een premium / familie abonnement)

- 1password (sinds kort)

- Microsoft Accounts (alleen in de Edge Browser)

- Google Accounts (alleen in de Chrome Browser)

- Twitter

en nog meer diensten. Voor een volledig overzicht zie:

https://www.yubico.com/works-with-yubikey/

Voor uitgebreide instructies:

 

 

 

De NFC functie biedt support om het op je Android Telefoon te kunnen gebruiken.


Mac iOS heeft laatst aangegeven het te zullen supporten. Voor zover ik weet is dit nu nog geen mogelijkheid. Maar doe vooral onderzoek, mijn informatie kan gedateerd zijn.


Of de Mac OSX een NFC bevat is mij onbekend. Ik zou denken dat je middels een USB hub je NFC key aansluit.

 

Het beste is om een mininum van 2 Yubikey 5 NFCs te hebben.
Een Yubikey 5 NFC kan maximaal 32 QR Codes opslaan.

 

Dit zijn 6 cijferige codes die je kan gebruiken om tegen een cloud service te authenticeren.
Normaal gesproken doe je dit met je telefoonnummer.

 

Wat je hiervoor nodig hebt is:


- Een Yubikey (liefst twee (als backup)).
- De Yubikey Authenticator.
- Het (opnieuw) instellen van je accounts, middels Hardware Authenticator en/of de 2FA QR Code.
- Het is dan wijs als je dat allemaal gedaan hebt en getest, om je telefoonnummer er t.z.t. uit je account te halen. Zo voorkom je de negatieve gevolgen van SIM-Swapping.

 

Een schema is hier te vinden:

 2fa.Yubico.Yubikey5NFC

 

Download de Yubikey Authenticator voor jouw apparaat.

HoofdURL:
https://www.yubico.com/products/services-software/download/yubico-authenticator/

SubURLs
Yubico Authenticator for Desktop

Linux Download
https://developers.yubico.com/yubioath-desktop/Releases/yubioath-desktop-4.3.6.tar.gz

Mac (OS X and macOS) Download
https://developers.yubico.com/yubioath-desktop/Releases/yubioath-desktop-4.3.6b-mac.pkg

Microsoft Windows (32 Bit) Download
https://developers.yubico.com/yubioath-desktop/Releases/yubioath-desktop-4.3.6-win32.exe

Microsoft Windows (64 Bit) Download
https://developers.yubico.com/yubioath-desktop/Releases/yubioath-desktop-4.3.6-win64.exe


Yubico Authenticator for Android

Android Download (on Google Play)
https://play.google.com/store/apps/details?id=com.yubico.yubioath&hl=en

Yubico Authenticator OTP Clipboard App

Android Download (on Google Play)
https://play.google.com/store/apps/details?id=com.yubico.yubiclip&hl=en_US

 

Instellen van je account om gebruik te kunnen maken van webservices.

https://www.yubico.com/products/services-software/download/yubikey-personalization-tools/

Download de tool en installeer deze met de default instellingen.

Tools > NDEF Programming

YubiKey.Tools

 

Selecteer Configuration Slot 1
NDEF Payload:
Geef de volgende URL op: https://my.yubico.com/neo/

Yubikey.NDEF.Programming

 

Vervolgens gaan we een API Key genereren om te authenticeren bij web services.

Yubico Get API Key

Here you can generate a shared symmetric key for use with the Yubico Web Services. You need to authenticate yourself using a Yubikey One-Time Password and provide your e-mail address as a reference.

 

https://upgrade.yubico.com/getapikey/

 

Yubico.Get.API.Key

 

 

Vul je e-mailadres in, selecteer het OTP veld en druk op de button van de Yubikey.

Vink het vakje aan en druk op de knop: Get API Key

Dit duurt zo'n 5 minuten.

 

 

Nou, vooraf we beginnen is het zeer belangrijk dat je Computer en je Telefoon gelijk staan met de tijd.

 

Voor Windows 10:


- https://www.windowscentral.com/how-manage-time-servers-windows-10
- Waarbij ik met nadruk je wil adviseren om te sycnhroniseren met time.google.com



Voor Android:


- https://play.google.com/store/apps/details?id=ru.org.amip.ClockSync

 

 

Als je kan verifieren dat de tijd op je computer en je telefoon, binnen 5-10 seconden op dezelfde minuut slaan, zit je goed. Als het afwijkt, raad ik je ten strengste aan om die instellingen eerst goed te krijgen, omdat je codes anders ongeldig worden en je niet meer kan inloggen op je account! Wees gewaarschuwd.

 

 

Vervolgens kunnen we accounts gaan instellen om op jouw Yubikey Authenticator op te slaan.

Om de tutorials te volgen om QR Codes te registreren middels het scannen van de code ga je naar:

 

https://www.telesign.com/turnon2fa/tutorials/

 

Heel belangrijk is dat je:

Onder je account de instellingen / security settings bekijkt en:

- Recovery Codes genereert in de instellingen van je account. (meestal 1 code)
- Backup Codes genereert in de instellingen van je account (meestal 8-10 codes)
- De QR Codes opslaat middels een screenshot (welke duidelijk zichtbaar is en je laat scannen voor de Authenticator Applicatie).
- - Al deze zaken verspreid opslaaat op verschillende plekken.

 

- Dit mag zijn:

- Google Drive
- Dropbox
- Mail
- USB Stick

 

- Maar niet
- In je wachtwoord manager, want zo komen ze bij een fout in de security van die applicatie makkelijk in je account.
- Bij elkaar opgeslagen

 

Yubikey Authenticator voor Windows Desktop

Yubikey.Authenticator.ScanQR

 

Hiermee scan je de QR Code.

Je kunt een wachtwoord instellen op de YubiKey 5 NFC (goed beseffen wat je doet, de pincode dien je twee keer in te voeren ter verificatie, door Set password te kiezen en niks in te vullen haal je hem er weer af).

 

YubiKey.Authenticator.Password

 

Als je zoals mij veel diensten hebt, dan ziet het er zo uit. De groene balk is de 30 seconden verlooptijd. Als deze op is, wordt er een nieuwe code gegenereert.

Ik heb omwille privacy de laatste 3 codes weg gehaald en ook geen verwijzing naar mijn online diensten.

 

Yubikey.Authenticator

 


- Je wachtwoorden kan en mag, maar is ook te adviseren opslagen worden in een beveiligde app, die met vingerprint, gezichtsherkenning en/of pin beveiligd is, zoals:

 

- SecNote
https://play.google.com/store/apps/details?id=com.skipser.secnotes



- Andere app
http://www.skipser.com/p/2/p/best-password-protected-secure-notes-apps.html

Nou als je de Yubikey Authenticator op je Android toestel hebt geinstalleerd kun je de Key aan de achterkant van je Android Telefoon houden, en de Yubikey Authenticator start op en laat de codes zien.

 

 

YubiKey 5 with Android 247x296

 

Soms heb je de OTP Key nodig, dit is een lange code die jou authenticeert. Wanneer je de YubiClip hebt geinstalleerd, zal dat de Default App worden.

Wil je dan toch die 6 cijferig QR Code nodig hebben, dan start je de Yubikey Authenticator Handmatig op en haal je de sleutel langs de achterkan van je toestel. Soms is het even zoeken waar hij zit.

 

Een klein probleempje waar ik tegenaan liep bij een Samsung Galaxy 6 Edge, is dat de OTP in een demo pagina geopend werd. Hier heb ik support voor aangevraagd en loopt nog.

 

Heb je trouwens problemen en/of vragen over de Yubico / YubiKey kan je ten alle tijde een support ticket inschieten op de volgende URL:

 

https://support.yubico.com/support/tickets/new

 

Wanneer je dan succesvol kan authenticeren tegen al je cloud diensten, is het wijs om:

- je telefoonnummer uit de geverifieerde accounts te halen.
- Waarschuwing: Alleen als je middels andere methoden kan inloggen en de backup (recovery en backup codes) succesvol op een veilige plek hebt weten op te slaan, waar je dan ook bij kan.

 

Je bent als je zover bent gekomen, optimaal beschermt tegen dreigingen richting je diensten.

Bevestig de sleutel aan je sleutelring en veel succes ermee!

 

yubikey 5 on key ring 247x296

 

Bedankt voor het lezen en ik hoop dat ik je goed heb geholpen.

 

Hartelijke groet,
Martijn Kamminga