De technische werking van hardware security keys: YubiKey vs Feitian
Share
In een tijd waarin wachtwoorden steeds vaker worden gelekt of gekraakt, winnen hardware security keys snel aan populariteit. Bekende voorbeelden zijn de oplossingen van Yubico (YubiKey) en Feitian. Maar hoe werken deze fysieke sleutels technisch eigenlijk? En waarom zijn ze zo veilig?
Wat is een hardware security key?
Een hardware security key is een fysiek apparaat (meestal via USB, NFC of Bluetooth) dat wordt gebruikt voor sterke authenticatie. In plaats van alleen een wachtwoord, voeg je een tweede factor toe — iets wat je fysiek bezit.
Deze sleutels zijn gebaseerd op standaarden zoals:
- FIDO U2F (Universal 2nd Factor)
- FIDO2 / WebAuthn
- OTP (One-Time Password)
- Smartcard (PIV)
Cryptografie als fundament
De kern van zowel YubiKey als Feitian keys is asymmetrische cryptografie.
Wanneer je een key registreert op een website:
- De key genereert een uniek sleutelpaar:
-
- Private key (blijft veilig op de hardware)
- Public key (wordt opgeslagen door de website)
- Bij het inloggen:
-
- De server stuurt een “challenge”
- De key ondertekent deze challenge met de private key
- De server verifieert dit met de public key
De private key verlaat het apparaat nooit.
Dit voorkomt phishing, omdat de key alleen reageert op de juiste domeinen.
Secure element & hardwarebeveiliging
Zowel YubiKey als Feitian gebruiken een secure element (vergelijkbaar met een chip in betaalpassen).
Deze chip:
- Slaat private keys veilig op
- Voert cryptografische operaties intern uit
- Is beschermd tegen fysieke aanvallen (tamper-resistant)
Bij een poging tot manipulatie kan de chip zichzelf zelfs uitschakelen.
FIDO2 en WebAuthn: de moderne standaard
De nieuwste generatie keys ondersteunt FIDO2 + WebAuthn.
Technisch proces:
- Browser (bijv. Chrome) vraagt authenticatie
- Via WebAuthn API wordt de key aangesproken
- De gebruiker bevestigt fysiek (touch)
- De key tekent de challenge + origin (website)
- Server valideert de handtekening
Dit maakt wachtwoordloos inloggen mogelijk (passwordless).
- Verschillen tussen YubiKey en Feitian
Hoewel ze dezelfde standaarden ondersteunen, zijn er enkele technische en praktische verschillen:
1. Firmware & ecosysteem
- YubiKey (Yubico):
- Sterk eigen ecosysteem
- Regelmatige firmware-audits
- Veel integraties
- Feitian:
- Vaak goedkoper
- Sterk in enterprise en overheidstoepassingen
- Ondersteunt vergelijkbare protocollen
2. Openheid en certificeringen
- Beide ondersteunen FIDO-standaarden
- Feitian heeft vaak uitgebreide smartcard (PIV) ondersteuning
- Yubico focust sterk op gebruiksgemak en developer tools
3. Hardwarevarianten
Beide bieden:
- USB-A / USB-C
- NFC
- Bluetooth (bij sommige modellen)
OTP (One-Time Password) fallback
Naast moderne FIDO2 ondersteunen veel keys ook OTP.
Bijvoorbeeld:
- De key genereert een tijdelijke code
- Deze wordt ingevoerd of automatisch verstuurd
- Server valideert via gedeelde secret
Dit is minder veilig dan FIDO2, maar nuttig als fallback.
Waarom zijn hardware keys zo veilig?
- Phishing-resistent
→ Domeinbinding voorkomt misbruik op nepwebsites - Geen gedeelde geheimen
→ Private keys blijven lokaal - Fysieke aanwezigheid vereist
→ Aanvaller moet de key bezitten - Niet vatbaar voor keylogging
→ Geen wachtwoorden om te stelen
Beperkingen en aandachtspunten
- Je kunt de key kwijtraken → altijd een backup key hebben
- Niet elke website ondersteunt FIDO2
- Initiële setup vereist wat technische kennis
Conclusie
YubiKey en Feitian keys bieden een van de sterkste vormen van authenticatie die momenteel beschikbaar zijn. Door gebruik te maken van asymmetrische cryptografie, secure hardware en moderne standaarden zoals FIDO2, elimineren ze veel van de zwakheden van traditionele wachtwoorden.
Voor zowel individuen als organisaties die security serieus nemen, zijn hardware security keys geen luxe meer — maar een noodzaak.