Ondersteuning FIDO2 Security Key ingeschakeld voor mobiele clients

Het wachtwoordloze authenticatieprotocol FIDO2 maakt inloggen zonder wachtwoord mogelijk en wordt steeds meer ondersteund als industriestandaard. Updates van mobiele besturingssystemen hebben native ondersteuning voor de standaard toegevoegd, waardoor Bitwarden FIDO2 kan ondersteunen om te profiteren van dit veilige protocol. Maar wat is FIDO2 en wat betekent het voor u?

FIDO staat voor Fast IDentity Online (niet de naam van een hond), als steno voor de authenticatiestandaard die is gemaakt door de FIDO Alliance, een open branchevereniging. De groep, waaronder leiders uit de internetindustrie, heeft samengewerkt om de standaard te ontwikkelen en online authenticatie te bevorderen, met name om de afhankelijkheid van wachtwoorden te verminderen.

FIDO2 dient als een protocol voor applicaties, servers en andere apparaten om met elkaar te communiceren, om ervoor te zorgen dat de gebruiker die probeert in te loggen op de juiste manier wordt geverifieerd. Met andere woorden, ze zijn wie ze zeggen dat ze zijn. Andere technologieën onder deze overkoepelende term zijn WebAuthn, een open webstandaard, en CTAP; beide draaien onder de motorkap om alles veilig te houden. Vergeleken met andere protocollen zoals OTP (one-time passcodes) biedt FIDO2 een betere bescherming omdat het sterker is tegen phishing en valse websites dankzij het gebruik van een publiek/privaat sleutelpaar als onderdeel van de beveiliging.

Een FIDO2-voorbeeld is een hardware beveiligingssleutel, een speciaal apparaat dat eruit kan zien als een USB-stick. Wanneer de beveiligingssleutel in een computer wordt gestoken of dicht bij een telefoon wordt gehouden om te worden gelezen door NFC (near field communication), wordt de gebruiker geverifieerd. Een hardwaresleutel wordt als zeer veilig beschouwd omdat deze niet kan worden gedupliceerd en omdat er een fysiek apparaat nodig is dat de gebruiker bij zich draagt.

Met deze release is Bitwarden nu een FIDO2-wachtwoordmanager die het gebruik van FIDO2-hardwarematige beveiligingssleutels op mobiele clients ondersteunt. Dit is een aanvulling op de webkluis, browserextensies en Windows-desktopclients die FIDO2 ondersteunen als een vorm van tweestapsaanmelding om uw account veilig te houden.

Het is belangrijk om te weten dat Bitwarden FIDO2 gebruikt voor tweestapslogin, niet als middel om uw Bitwarden-kluis te ontgrendelen. Het hoofdwachtwoord wordt gebruikt om in te loggen en de versleutelde kluis te downloaden naar de client, en de sleutel die is afgeleid van het hoofdwachtwoord wordt gebruikt om de kluis te ontsleutelen. Meer over versleuteling kunt u vinden in de Bitwarden Security Whitepaper.

Tijdens het inloggen in twee stappen vraagt Bitwarden u om uw USB-hardwaresleutel in te pluggen of om deze (als NFC is ingeschakeld) dicht bij uw telefoon te houden. Zodra de sleutel is gelezen, gebruikt Bitwarden de FIDO2 Webauthn-protocollen om uw identiteit te verifiëren. Als u Remember Me selecteert, wordt uw apparaat 30 dagen lang onthouden. Dit is een krachtige vorm van tweestapslogin die Bitwarden biedt.

Tweestaps-login, ook bekend als twee-factor-authenticatie, 2FA en multifactor-authenticatie, is een manier om de beveiliging van al je accounts drastisch te verhogen. Het is zo belangrijk dat het de moeite waard is om er hier nog eens op terug te komen, ook al is het al uitgebreid besproken in een Bitwarden-blog, webcast en veldgids.

Inloggen in twee stappen kan worden gezien als iets dat je weet en iets dat je hebt. Bijvoorbeeld, om toegang te krijgen tot de verboden mystieke stad moet een avonturier de magische zin uitspreken (die hij kent) en het betoverde medaillon tonen (dat hij heeft). Alleen de magische zin horen in een taverne geeft je geen toegang!

In hedendaagse termen: als je tweestapslogin hebt ingeschakeld op een van je accounts, zal het inloggen met een gebruikersnaam en wachtwoord vanaf een niet-herkend apparaat de tweede stap activeren. Afhankelijk van de site kan u bijvoorbeeld worden gevraagd om een code die u per sms of e-mail is toegestuurd, of een getimed eenmalig wachtwoord (TOTP) van een authenticatie-app.

Verschillende soorten methoden om in twee stappen in te loggen hebben verschillende niveaus van beveiliging en bestendigheid tegen aanvallen. SMS-codes staan over het algemeen bekend als de minst veilige omdat telefoonnummers kwetsbaar kunnen zijn voor SIM-swap aanvallen. Hardwaresleutels worden algemeen beschouwd als de veiligste vorm van identiteitsverificatie.

Elke vorm van tweestapslogin biedt aanzienlijk meer veiligheid dan wanneer je je account onbeveiligd laat! Zonder tweestapslogin is je account slechts beschermd door één wachtwoord. Datalekken en wachtwoordlekken kunnen een per ongeluk hergebruikt wachtwoord onthullen, of een brute force aanval kan miljoenen keren per minuut proberen uw wachtwoord te raden. Aanmelding in twee stappen stopt deze slechte actoren in hun spoor!

Gedetailleerde stapsgewijze instructies voor het inschakelen van FIDO2 WebAuthn in Bitwarden vindt u op de helppagina.

Ga vanuit de webkluis naar het tabblad Instellingen en vervolgens naar de pagina In twee stappen inloggen. Daar kunt u selecteren welke vorm van tweestapslogin u wilt gebruiken. Let op: de FIDO2-optie is beschikbaar in het Bitwarden Premium-plan.

Elke FIDO2-beveiligingssleutel kan worden ingesteld voor gebruik. Enkele veelgebruikte merken zijn YubiKey, SoloKey en Nitrokey. Merk op dat YubiKey op twee verschillende manieren kan worden ondersteund door Bitwarden: OTP (eenmalig wachtwoord) en FIDO2. Zorg ervoor dat u de juiste selectie maakt voor uw behoeften.

Gratis gebruikers kunnen maximaal vijf beveiligingssleutels op hun account hebben voor twee-factor authenticatie en betaalde Bitwarden gebruikers kunnen maximaal tien sleutels hebben. Welk plan je ook hebt, het is een goed idee om er meer dan één te registreren, zodat je er één bij jezelf kunt houden en een andere op een veilige plek. Je moet ook een herstelcode genereren en deze op een veilige plaats bewaren voor het geval je je hardwaresleutels kwijtraakt. Vergeet niet dat er een risico bestaat dat je voor altijd van je account wordt afgesloten als je je sleutels en herstelcode verliest, zelfs als je je hoofdwachtwoord nog hebt!

Er zijn twee belangrijke stappen die iedereen vandaag de dag kan nemen om de veiligheid op het internet te verbeteren. De eerste is het implementeren van elke vorm van tweestaps-login (2FA, two-factor authentication, multifactor authentication) op elk account dat dit aanbiedt. Bitwarden kan helpen met een tool genaamd "Inactief 2FA-rapport" dat alle logins in de kluis controleert aan de hand van een lijst met sites die TOTP aanbieden als tweestapslogin en logins markeert waarvoor dit niet is ingesteld.

Ten tweede moet u goede wachtwoordgewoonten aanleren: gebruik unieke, willekeurig gegenereerde sterke wachtwoorden voor elk account. De ingebouwde wachtwoordgenerator in Bitwarden is een handig hulpmiddel om dit makkelijker te maken, naast het opslaan van deze wachtwoorden in een veilige kluis zodat ze niet onthouden hoeven te worden.

Daarnaast kan de Bitwarden Authenticator, die beschikbaar is bij het Bitwarden Premium-plan, helpen bij het tweestapslogin van TOTP door codes te genereren en het eenvoudiger te maken om identiteiten op websites te verifiëren.

Schakel vandaag nog tweestapslogin in voor al uw accounts!

Ontdek hoe Bitwarden kan helpen bij het verbeteren van internetbeveiliging met wachtwoordbeheer. Meld u aan voor een live demo en bekijk de plannen op bitwarden.com.

Opmerking: dit artikel is oorspronkelijk geschreven op 28 september 2021 en bijgewerkt op 23 juli 2022.