SURFsecureID ondersteunt het gebruik van FIDO tokens (ook authenticators of security keys genoemd). Zowel FIDO U2F als FIDO2 tokens kunnen hierbij als 2e factor worden gebruikt.

De FIDO protocollen zijn gestandaardiseerd, waardoor tokens van verschillende fabrikanten gebruikt kunnen worden. Zie hieronder voor de mogelijkheden.

Ondersteunde FIDO tokens

Feitian

De volgende type Feitian-tokens zijn geschikt voor FIDO met SURFsecureID.

  • MultiPass FIDO (K25)
  • ePass FIDO2 (A48) en ePass FIDO2 NFC (K9)
  • BioPass FIDO2 (K26 en K27)
  • AllinPass FIDO2 (K27) en AllinPass FIDO2 Plus

Zie de website van Feitian voor een overzicht van de verschillende FIDO tokens.

Google

De volgende type Google-tokens zijn geschikt voor FIDO met SURFsecureID:

  • Titan Security Key (alle versies).

De Titan Key van Google is momenteel niet verkrijgbaar in Nederland

Solokeys (pending)

De volgende type Solokeys zijn momenteel in onderzoek om toegevoegd te kunnen worden in SURFsecureID:

  • Solo
  • Solo Tap
  • Somu

NB: de Solo Hacker zal niet ondersteund worden.

Yubico

De volgende type YubiKey-tokens zijn geschikt voor FIDO met SURFsecureID.

  • YubiKey 5 (FIDO2). Verkrijgbaar in verschillende vormen (USB-A met NFC, USB-C, nano, 5Ci)
  • Yubikey FIPS (FIDO U2F). Verkrijgbaar in verschillende vormen (nano, USB-A, USB-C).
  • YubiKey 4 (FIDO U2F). Verkrijgbaar in verschillende vormen (nano, USB-A, USB-C). Niet meer in productie.
  • YubiKey Neo (FIDO U2F, RFID en NFC compliant). Niet meer in productie.
  • YubiKey Edge  (FIDO U2F compliant). Niet meer in productie.
  • Yubico Security Key Series (de "blauwe sleutels").
    • Behalve de variant die "FIDO U2F Security Key" heet. Niet meer in productie.

Zie de website van Yubico voor een overzicht van de verschillende YubiKeys. Mocht je niet weten welke Yubikey je hebt, dan kun je dit hier op de website van Yubico nagaan.

54NeoSecurity Keys

Image result for yubikey series 5

Een ander token?

FIDO is een technologie waarmee veilig kan worden ingelogd op websites met een authenticator. Zo'n authenticator kan een USB token zijn, maar ook een mobiele telefoon of iets wat is ingebouwd in een laptop en wat kan worden gebruikt via bij voorbeeld gezichtsherkenning of een vingerafdrukscanner). Sommige authenticators zijn geschikt voor gebruik in 2-factor authenticatie. Deze tokens worden dan ook ondersteund in SURFsecureID.

Voor gebruik in SURFsecureID worden de volgende eisen gesteld aan authenticators:

  • Het moet echt om een 2e factor gaan, d.w.z. iets anders dan een "wat-je-weet" factor zoals een wachtwoord. Omdat FIDO gebruik maakt van public key cryptografie betekent dit dat de authenticator moet beschikken over speciale hardware om de gegenereerde private keys te beschermen. Met die speciale hardware (cryptografische chips) wordt het extreem moeilijk gemaakt de private keys uit te lezen. Als zo'n private key kan worden uitgelezen kan namelijk een kopie worden gemaakt van de authenticator, en daarmee vervalt de authenticator van een "wat-je-hebt" factor tot een "wat-je-weet" factor. Er is dan dus ook geen sprake meer van 2-factor authenticatie.
  • Bij het registreren van FIDO authenticators als 2e factor controleert SURFsecureID welk type authenticator wordt gebruikt. Dat gaat op basis van een attestation certificaat dat door de fabrikant is ingeprogrammeerd in de authenticator. Op basis van dat attestation certificaat bepaalt SURFsecureID om welk type authenticator het gaat en of die geschikt is om private keys te beschermen met cryptografische hardware.
  • Er verschijnen voortdurend nieuwe FIDO authenticators op de markt. SURF beoordeelt die producten, en beheert een allow-list van goedgekeurde FIDO authenticators in  SURFsecureID. Het kan voorkomen dat nieuwe producten nog niet geëvalueerd zijn door SURF. In zo'n geval kan contact worden opgenomen met support@surfconext.nl.

Kot samengevat worden FIDO authenticators ondersteund door SURFsecureID als aan de volgende voorwaarden wordt voldaan:

  1. De FIDO authenticator voldoet aan de FIDO standaard (FIDO/U2F of FIDO2/CTAP).
  2. De FIDO authenticator beschikt over een attestation certificaat van de fabrikant waarmee het type authenticator kan worden bepaald.
  3. De FIDO authenticator maakt gebruik van cryptografische hardware om private keys te beschermen.





  • No labels