YubiKey Teil I – Einleitende Bemerkungen

  1. YubiKey Teil I – Einleitende Bemerkungen
  2. YubiKey Teil II – LUKS Verschlüsselungen mit 2FA
  3. YubiKey Teil III – Zwei-Faktor-Authentifizierung mit U2F
  4. YubiKey Teil IV – KeePassXC absichern
  5. Exkurs: YubiKey-Software

Passwörter sind ein gescheitertes Konzept. Nur leider haben wir immer noch kein Besseres für den flächendeckenden Einsatz. Die sogenannte Zwei-Faktor-Authentifizierung via SMS oder TOTP soll hier mehr Sicherheit bringen. Eine weitere Möglichkeit ist ein Security Key wie der YubiKey.

Authentifizierung basiert immer auf dem gleichen Prinzip: Du verfügst über einen Faktor, über den andere nicht verfügen. Bei herkömmlichen Passwörtern ist es das Wissen. Nur du kennst (idealerweise) dein Kennwort. Schon die Zwei-Faktor-Authentifizierung mittels SMS und TOTP setzt hier an, indem ein zusätzlicher Faktor hinzugefügt wird. Zum Wissen kommt noch der Besitz des Gerätes für den zweiten Faktor – meist das Smartphone.

Der Sicherheitsgewinn ist hier zweifellos gegenüber einem normalen Kennwort gegeben. Nur sind Smartphones selbst Geräte mit Schwachstellen und Problemen. Die SMS ist sowieso ein hochgradig unsicherer Übertragungsweg. Kurzum: 2FA via SMS oder TOTP ist auch nicht perfekt. Schon gar nicht, wenn man Passwörter und TOTP in der gleichen Passwortdatenbank speichert.

An diesem Punkt setzen Security Keys an. Vereinfacht gesagt ist es ein ähnliches Prinzip wie bei der SmartCard, die viele vielleicht von ihren Dienstgeräten kennen. Du benötigst zur Authentifizierung einen zweiten Faktor, der sich in deinem Besitz befinden muss und der selbst kein anfälliges Gerät ist (wie eben das Smartphone).

Daneben verfügen moderne Security Keys über vielfältige Möglichkeiten der Code-Generierung. Thomas Leister hat das in einem Blogbeitrag vor Jahren so umfangreich dargestellt, dass ich mir die Mühe hier sparen möchte.

Es gibt ein paar wenige Anbieter für solche Sicherheitsschlüssel. Neben YubiKey wäre hier noch NitroKey zu nennen. Für NitroKey spricht der Firmensitz in Deutschland und die vollkommen offen gelegte Hardware. Ich habe mich dennoch für einen YubiKey entschieden, weil dieser weiter verbreitet ist und sich damit ein paar Sachen (leichter) umsetzen lassen, die ich so vorhabe. YubiKey bietet zudem Sticks mit USB-C, während NitroKey nur herkömmliches USB-unterstützt. Das ist dann eine Frage der vorhandenen Hardware.

Konkret habe ich mich für den YubiKey 5C NFC entschieden. NFC ist dabei eher in die Zukunft gedacht, falls ich vorhabe, den Key mit dem Smartphone zu nutzen.

6 Kommentare

  1. Ich habe den gleichen Yubikey und nutze ihn tatsächlich weniger als ich gerne möchte.

    Das liegt vor allem daran, dass ich ihn nicht in der Firma einsetzen kann.

    • Ja das Problem hatte/habe ich auch. Vor allem weil irgendein Puzzlestück dann halt wieder nicht passt oder mit unverhältnismäßigem Mehraufwand verbunden ist. Deshalb starte ich jetzt auch diese kleine Reihe und vielleicht kommt noch der ein oder andere sinnvolle Hinweis.

  2. Auf den Artikel bin ich gespannt, vor allem wie der Einsatz in der Praxis funktioniert. Eine Nutzung auf dem Smartphone wäre allerdings auch wichtig, schade das das wohl Zukunftsmusik ist.

    Ich persönlich muss ja gestehen, das meine größte Sorge bei so einem kleinem Stick der Verlust ist. Wäre schön, wenn auch auf eine gute Backup Strategie eingegangen werden könnte.

    • Ich habe seit 15.07.2015 einen Yubikey Neo und seit ziemlich genau dieser Zeit den Key an meinem Schlüsselbund mit diversen anderen ‚klassischen‘ Schlüsseln -> ich bin beeindruckt wie robust er ist.

      Da ich mich als Fallback nicht auf einen Softtoken verlassen wolte, habe ich mir 1x Nitrokey Pro, 2x Nitrokey FIDO2 besorgt => die Unterstützung für Yubikeys ist deutlich besser: irgendwie bekomme ich wohl den Nitrokey Pro als 2FA in Mailbox.org aktiviert, aber nach 2h habe ich erstmal aufgegeben: TOTP Schlüssellängen passen nicht überein und man muss diese irgendwie manuell anpassen. Yubikey lief nach 2 min – Mailbox.org bietet halt auch eigene YK an.

  3. Hi Gerrit,

    vielen vielen Dank für diese grandiose Reihe! Habe dank dir mit meinen Yubikeys jetzt schon deutlich mehr anfangen können und erkenne schon jetzt den Mehrwert, den diese bieten.

    Ich hätte da noch einen kleinen Artikel-Wunsch, den ich hier einmal anbringen wollte:
    Ich bin gerade dabei, meine Backup-Strategie mittels Borg Backup und damit im speziellen mittels borgmatic aufzubauen.

    Borg unterstützt dabei die Verschlüsselung der gesicherten Daten auf dem Client via SSH-Keys. Diesen Key würde ich dabei gerne auf dem Yubikey speichern.

    Deine Artikel haben mir bisher super geholfen und ich habe auch schon etliches zu SSH auf Yubikey gefunden, nur sind die Artikel alle nicht so gut wie deine 😉

Kommentieren Sie den Artikel

Ergänzungen dienen der Diskussion über die Inhalte des Artikels. Nachfragen, Anmerkungen und Ergänzungen sind dezidiert erwünscht. Ergänzungen werden vor der Veröffentlichung moderiert. Wir behalten uns vor Kommentare ohne inhaltlichen Bezug oder abseitige Diskussionen nicht zu veröffentlichen.

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein

Mehr aus dem Blog

Fedora Silverblue – Toolbox für grafische Anwendungen

Unveränderbare Linux-Systeme wie Fedora Silverblue nutzen als Standard Flatpak für Anwendungsinstallationen. Doch noch liegen nicht alle Anwendungen als Flatpak vor. Diese können dann entweder...

Fedora Silverblue im Praxistest

Ich liebe LTS-Distributionen, aber diese bewahren einen leider nicht vor defekten SSDs im Notebook. Da ich keine Vollsicherung der Systeme mache, sondern nur Datenbackups...

Neues Design bei Mozilla Thunderbird

Die Entwickler von Mozilla Thunderbird wagen sich an eine Modernisierung des überkommenen Designs. Dabei zeigen sich die alten Probleme der Open Source Entwicklung. Mangels...

systemd und TPM – Die Reise geht weiter

Auf der diesjährigen FOSDEM kündigte Lennart Poettering die Weiterentwicklung der TPM-basierten Sicherheitsfunktionen in systemd an. Die Vision eines neuen Linux nimmt immer mehr Gestalt...