Passwörter sind ein gescheitertes Konzept. Nur leider haben wir immer noch kein Besseres für den flächendeckenden Einsatz. Die sogenannte Zwei-Faktor-Authentifizierung via SMS oder TOTP soll hier mehr Sicherheit bringen. Eine weitere Möglichkeit ist ein Security Key wie der YubiKey.
Authentifizierung basiert immer auf dem gleichen Prinzip: Du verfügst über einen Faktor, über den andere nicht verfügen. Bei herkömmlichen Passwörtern ist es das Wissen. Nur du kennst (idealerweise) dein Kennwort. Schon die Zwei-Faktor-Authentifizierung mittels SMS und TOTP setzt hier an, indem ein zusätzlicher Faktor hinzugefügt wird. Zum Wissen kommt noch der Besitz des Gerätes für den zweiten Faktor – meist das Smartphone.
Der Sicherheitsgewinn ist hier zweifellos gegenüber einem normalen Kennwort gegeben. Nur sind Smartphones selbst Geräte mit Schwachstellen und Problemen. Die SMS ist sowieso ein hochgradig unsicherer Übertragungsweg. Kurzum: 2FA via SMS oder TOTP ist auch nicht perfekt. Schon gar nicht, wenn man Passwörter und TOTP in der gleichen Passwortdatenbank speichert.
An diesem Punkt setzen Security Keys an. Vereinfacht gesagt ist es ein ähnliches Prinzip wie bei der SmartCard, die viele vielleicht von ihren Dienstgeräten kennen. Du benötigst zur Authentifizierung einen zweiten Faktor, der sich in deinem Besitz befinden muss und der selbst kein anfälliges Gerät ist (wie eben das Smartphone).
Daneben verfügen moderne Security Keys über vielfältige Möglichkeiten der Code-Generierung. Thomas Leister hat das in einem Blogbeitrag vor Jahren so umfangreich dargestellt, dass ich mir die Mühe hier sparen möchte.
Es gibt ein paar wenige Anbieter für solche Sicherheitsschlüssel. Neben YubiKey wäre hier noch NitroKey zu nennen. Für NitroKey spricht der Firmensitz in Deutschland und die vollkommen offen gelegte Hardware. Ich habe mich dennoch für einen YubiKey entschieden, weil dieser weiter verbreitet ist und sich damit ein paar Sachen (leichter) umsetzen lassen, die ich so vorhabe. YubiKey bietet zudem Sticks mit USB-C, während NitroKey nur herkömmliches USB-unterstützt. Das ist dann eine Frage der vorhandenen Hardware.
Konkret habe ich mich für den YubiKey 5C NFC entschieden. NFC ist dabei eher in die Zukunft gedacht, falls ich vorhabe, den Key mit dem Smartphone zu nutzen.
Ich habe den gleichen Yubikey und nutze ihn tatsächlich weniger als ich gerne möchte.
Das liegt vor allem daran, dass ich ihn nicht in der Firma einsetzen kann.
Ja das Problem hatte/habe ich auch. Vor allem weil irgendein Puzzlestück dann halt wieder nicht passt oder mit unverhältnismäßigem Mehraufwand verbunden ist. Deshalb starte ich jetzt auch diese kleine Reihe und vielleicht kommt noch der ein oder andere sinnvolle Hinweis.
Ich benutze als Fallback andOTP, das implementiert die Google Authenticator API.
Auf den Artikel bin ich gespannt, vor allem wie der Einsatz in der Praxis funktioniert. Eine Nutzung auf dem Smartphone wäre allerdings auch wichtig, schade das das wohl Zukunftsmusik ist.
Ich persönlich muss ja gestehen, das meine größte Sorge bei so einem kleinem Stick der Verlust ist. Wäre schön, wenn auch auf eine gute Backup Strategie eingegangen werden könnte.
Ich habe seit 15.07.2015 einen Yubikey Neo und seit ziemlich genau dieser Zeit den Key an meinem Schlüsselbund mit diversen anderen ‚klassischen‘ Schlüsseln -> ich bin beeindruckt wie robust er ist.
Da ich mich als Fallback nicht auf einen Softtoken verlassen wolte, habe ich mir 1x Nitrokey Pro, 2x Nitrokey FIDO2 besorgt => die Unterstützung für Yubikeys ist deutlich besser: irgendwie bekomme ich wohl den Nitrokey Pro als 2FA in Mailbox.org aktiviert, aber nach 2h habe ich erstmal aufgegeben: TOTP Schlüssellängen passen nicht überein und man muss diese irgendwie manuell anpassen. Yubikey lief nach 2 min – Mailbox.org bietet halt auch eigene YK an.
Hi Gerrit,
vielen vielen Dank für diese grandiose Reihe! Habe dank dir mit meinen Yubikeys jetzt schon deutlich mehr anfangen können und erkenne schon jetzt den Mehrwert, den diese bieten.
Ich hätte da noch einen kleinen Artikel-Wunsch, den ich hier einmal anbringen wollte:
Ich bin gerade dabei, meine Backup-Strategie mittels Borg Backup und damit im speziellen mittels borgmatic aufzubauen.
Borg unterstützt dabei die Verschlüsselung der gesicherten Daten auf dem Client via SSH-Keys. Diesen Key würde ich dabei gerne auf dem Yubikey speichern.
Deine Artikel haben mir bisher super geholfen und ich habe auch schon etliches zu SSH auf Yubikey gefunden, nur sind die Artikel alle nicht so gut wie deine 😉