YubiKey Teil III – Zwei-Faktor-Authentifizierung mit U2F

  1. YubiKey Teil I – Einleitende Bemerkungen
  2. YubiKey Teil II – LUKS Verschlüsselungen mit 2FA
  3. YubiKey Teil III – Zwei-Faktor-Authentifizierung mit U2F
  4. YubiKey Teil IV – KeePassXC absichern
  5. Exkurs: YubiKey-Software

Passwörter sind ein gescheitertes Konzept. Nur leider haben wir immer noch kein Besseres für den flächendeckenden Einsatz. Die sogenannte Zwei-Faktor-Authentifizierung via SMS oder TOTP soll hier mehr Sicherheit bringen. Eine weitere Möglichkeit ist ein Security Key wie der YubiKey. Damit lassen sich hardwarebasierte Codes erzeugen.

Die Möglichkeit, mit einem YubiKey sichere Codes für eine Zwei-Faktor-Authentizierung zu generieren, gehört sicherlich zu den bekanntesten Möglichkeiten des YubiKeys. Trotz aller Bemühungen prominenter Mitglieder in der FIDO-Allianz und der Unterstützung durch alle verbreiteten Browser ist dieser Mechanismus leider immer noch ein Nischenphänomen.

Wer sich mit den Details von U2F beschäftigen möchte, kann dies hier nachlesen. Stark vereinfacht funktioniert U2F nach folgendem Muster: Jede Webseite oder Anwendung bekommt ein eigenes Geheimnis „Secret“. Dieses Geheimnis wird direkt auf dem YubiKey generiert und kann nicht kopiert werden. Dem Dienst wird ein öffentlicher Schlüssel mitgeteilt, über den der YubiKey authentifiziert wird. (Wir kennen das Verfahren von der E-Mail Verschlüsselung).

Im Gegensatz zu TOTP ist U2F leider kaum verbreitet. Ich persönlich kann damit lediglich GitHub, Twitter und diese Seite hier absichern. WordPress unterstützt zwar von Haus aus kein 2FA, aber das Open Source-Plugin Two Factor bietet dies an.

Der Gebrauch ist dann denkbar einfach. Nach Eingabe der Login-Daten erscheint ein Hinweis in Firefox und der YubiKey blinkt. Durch physische Betätigung des YubiKeys erfolgt die Anmeldung.

Im Alltag schwäche ich die Absicherung leider ab, indem ich grundsätzlich noch ein zweites Verfahren aktiviere. Man weiß ja nie, wann man an einem PC sitzt, der entweder keinen USB-C Anschluss hat, die Benutzung von USB-Geräten durch Verklebung oder Policy verbietet oder kein geeignetes Betriebssystem nutzt (wobei das immer seltener wird). Meistens kann ich mich also auch alternativ mit einem App-generierten TOTP Code anmelden.

Ich bezweifle leider auch, dass sich diese Methode wirklich flächendeckend durchsetzt. Alleine die Notwendigkeit, ein zusätzliches Stück Hardware anzuschaffen und mit sich zu führen, dürfte viele abschrecken. Trotzdem freue ich mich über jeden Dienst, der diese Möglichkeit zur Authentifizierung unterstützt.

Kommentieren Sie den Artikel

Ergänzungen dienen der Diskussion über die Inhalte des Artikels. Nachfragen, Anmerkungen und Ergänzungen sind dezidiert erwünscht. Ergänzungen werden vor der Veröffentlichung moderiert. Wir behalten uns vor Kommentare ohne inhaltlichen Bezug oder abseitige Diskussionen nicht zu veröffentlichen.

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein

Mehr aus dem Blog

Fedora Silverblue – Toolbox für grafische Anwendungen

Unveränderbare Linux-Systeme wie Fedora Silverblue nutzen als Standard Flatpak für Anwendungsinstallationen. Doch noch liegen nicht alle Anwendungen als Flatpak vor. Diese können dann entweder...

Fedora Silverblue im Praxistest

Ich liebe LTS-Distributionen, aber diese bewahren einen leider nicht vor defekten SSDs im Notebook. Da ich keine Vollsicherung der Systeme mache, sondern nur Datenbackups...

Neues Design bei Mozilla Thunderbird

Die Entwickler von Mozilla Thunderbird wagen sich an eine Modernisierung des überkommenen Designs. Dabei zeigen sich die alten Probleme der Open Source Entwicklung. Mangels...

systemd und TPM – Die Reise geht weiter

Auf der diesjährigen FOSDEM kündigte Lennart Poettering die Weiterentwicklung der TPM-basierten Sicherheitsfunktionen in systemd an. Die Vision eines neuen Linux nimmt immer mehr Gestalt...