Page tree
Skip to end of metadata
Go to start of metadata

De Microsoft Office desktop of mobile applicatie werken met een ingebouwde browser die de FIDO/webauthn standaard (nog) niet ondersteunt. De login met een FIDO token werkt dan ook niet voor deze applicaties.

Achtergrond

FIDO is een technologie waarmee veilig kan worden ingelogd op websites met een authenticator. Zo'n authenticator kan een USB token zijn, maar ook een mobiele telefoon of iets wat is ingebouwd in een laptop en wat kan worden gebruikt via bij voorbeeld gezichtsherkenning of een vingerafdrukscanner). Sommige authenticators zijn geschikt voor gebruik in 2-factor authenticatie. Deze tokens worden dan ook ondersteund in SURFsecureID. Lees het blog "Veilig inloggen voor iedereen" voor meer achtergrond over FIDO2. 

Voor gebruik in SURFsecureID worden de volgende eisen gesteld aan authenticators:

  • Het moet echt om een 2e factor gaan, d.w.z. iets anders dan een "wat-je-weet" factor zoals een wachtwoord. Omdat FIDO gebruik maakt van public key cryptografie betekent dit dat de authenticator moet beschikken over speciale hardware om de gegenereerde private keys te beschermen. Met die speciale hardware (cryptografische chips) wordt het extreem moeilijk gemaakt de private keys uit te lezen. Als zo'n private key kan worden uitgelezen kan namelijk een kopie worden gemaakt van de authenticator, en daarmee vervalt de authenticator van een "wat-je-hebt" factor tot een "wat-je-weet" factor. Er is dan dus ook geen sprake meer van 2-factor authenticatie.
  • Bij het registreren van FIDO authenticators als 2e factor controleert SURFsecureID welk type authenticator wordt gebruikt. Dat gaat op basis van een attestation certificaat dat door de fabrikant is ingeprogrammeerd in de authenticator. Op basis van dat attestation certificaat bepaalt SURFsecureID om welk type authenticator het gaat en of die geschikt is om private keys te beschermen met cryptografische hardware.
  • Er verschijnen voortdurend nieuwe FIDO authenticators op de markt. SURF beoordeelt die producten, en beheert een allow-list van goedgekeurde FIDO authenticators in  SURFsecureID. Het kan voorkomen dat nieuwe producten nog niet geëvalueerd zijn door SURF. In zo'n geval kan contact worden opgenomen met support@surfconext.nl.

Kort samengevat worden FIDO authenticators ondersteund door SURFsecureID als aan de volgende voorwaarden wordt voldaan:

  1. De FIDO authenticator voldoet aan de FIDO standaard (FIDO/U2F of FIDO2/CTAP).
  2. De FIDO authenticator beschikt over een attestation certificaat van de fabrikant waarmee het type authenticator kan worden bepaald.
  3. De FIDO authenticator maakt gebruik van cryptografische hardware om private keys te beschermen.

Ondersteunde browsers

Om met een FIDO2 token te kunnen werken moet de browser van de gebruiker de "Webauthn" standaard ondersteunen. Moderne browsers ondersteunen dit, maar oudere browsers niet. Onderstaand figuur geeft een overzicht van de browser versies die Webauthn ondersteunen:

Bron en voor meer details: https://caniuse.com/?search=webauthn

NB: Op iOS/iPadOS werken FIDO tokens met Safari en Brave, maar momenteel (okt 2020) niet met Chrome en Firefox. Zie ook dit overzicht van Yubico.

Ondersteunde FIDO tokens

SURFsecureID ondersteunt het gebruik van FIDO tokens (ook authenticators of security keys genoemd). Zowel FIDO U2F als FIDO2 tokens kunnen hierbij als 2e factor worden gebruikt.

De FIDO protocollen zijn gestandaardiseerd, waardoor tokens van verschillende fabrikanten gebruikt kunnen worden. Zie hieronder voor de FIDO tokens die nu ondersteund worden. Als een ander FIDO token aan de hierboven genoemde eisen voldoet kan deze toegestaan worden voor gebruik in SURFsecureID. Neem dan contact op met support@surfconext.nl.

Feitian

De volgende type Feitian-tokens zijn geschikt voor FIDO met SURFsecureID.

  • MultiPass FIDO (K25)
  • ePass FIDO2 (A48) en ePass FIDO2 NFC (K9)
  • BioPass FIDO2 (K26 en K27)
  • AllinPass FIDO2 (K27) en AllinPass FIDO2 Plus

Zie de website van Feitian voor een overzicht van de verschillende FIDO tokens.

Instellingen in het hoger onderwijs en onderzoek kunnen Feitian tokens met korting kopen bij de officiële resellers voor Feitian in Nederland:

Google

De volgende type Google-tokens zijn geschikt voor FIDO met SURFsecureID:

  • Titan Security Key (alle versies).

De Titan Key van Google is momenteel niet verkrijgbaar in Nederland

Solokeys (pending)

De volgende type Solokeys zijn momenteel in onderzoek om toegevoegd te kunnen worden in SURFsecureID:

  • Solo
  • Solo Tap
  • Somu

NB: de Solo Hacker zal niet ondersteund worden

Yubikey

De volgende type YubiKey-tokens zijn geschikt voor FIDO met SURFsecureID.

  • YubiKey 5 (FIDO2). Verkrijgbaar in verschillende vormen (USB-A met NFC, USB-C, nano, 5Ci)
  • Yubikey FIPS (FIDO U2F). Verkrijgbaar in verschillende vormen (nano, USB-A, USB-C).
  • YubiKey 4 (FIDO U2F). Verkrijgbaar in verschillende vormen (nano, USB-A, USB-C). Niet meer in productie.
  • YubiKey Neo (FIDO U2F, RFID en NFC compliant). Niet meer in productie.
  • YubiKey Edge  (FIDO U2F compliant). Niet meer in productie.
  • Yubico Security Key Series (de "blauwe sleutels").
    • Behalve de variant die "FIDO U2F Security Key" heet. Niet meer in productie.

Zie de website van Yubico voor een overzicht van de verschillende YubiKeys. Mocht je niet weten welke Yubikey je hebt, dan kun je dit hier op de website van Yubico nagaan.

54NeoSecurity Keys

Image result for yubikey series 5


Instellingen in het hoger onderwijs en onderzoek kunnen Yubikeys met korting kopen bij de officiele resellers voor Yubikeys in Nederland:

  • MKB Security. Een webwinkel waar instellingen en gebruikers hun Yubikeys kunnen kopen. Ook geschikt voor de aanschaf van een of enkele Yubikeys. MKB Security biedt 20% korting bij een minimale bestelling van 10 Yubikeys. Hiervoor is een kortingscode beschikbaar die zichtbaar is op het SURF dashboard onder SURFsecureID.
  • Ngage. Zij leveren alleen grotere hoeveelheden en controleren of de bestelling gedaan wordt vanuit het hoger onderwijs en onderzoek domein. U kunt contact met Ngage opnemen via sales@ngage.nl of telefonisch op 010 – 478  22 28.
  • Route443 is gespecialiseerd in Identity & Access Management en heeft veel technische expertise op gebied van het integreren van authenticatiediensten in IT infrastructuren. Onderwijsinstellingen welke bij SURF zijn aangesloten kunnen bij Route443 terecht om Yubikeys aan te schaffen met 20% korting, en kunnen indien gewenst gebruik maken van de technische kennis van Route443 op gebied van (de integratie van) Yubikeys en YubiHSM’s. U kunt contact met Route443 opnemen via info@route443.eu of telefonisch op +31 (0)85 303 46 43.




  • No labels