Der Yubikey Neo: ein kleines Stück Sicherheit

Mit dem Yuikey Neo hat der Hersteller von Security-Token Yubico vor einiger Zeit ein NFC fähiges USB-Token auf den Markt gebracht. Doch was Taugt dieser „neue Yubikey“ im Alltag und lohnt sich der Kauf?

Nach etwa eineinhalb Monaten Testzeit in welcher ich den Yubikey regelmäßig genutzt und immer am Schlüsselbund bei mir hatte gehe ich jetzt diesen und anderen Fragen rund um den Yubikey und zwei Faktor Authentifikation nach.

 

2013-05-18_14-34-23_HDR-768x1024

Der Yubikey an sich ist ja nix neues auf dem Markt, dennoch kennen ihn nur die wenigsten. Dabei ist der Standard Yubikey mit 25$ zuzüglich Versand und Steuern nicht besonders teuer. Der Yubikey hatte für mich jedoch stets einen gravierenden Nachteil: er konnte nicht am Smartphone genutzt werden. Deshalb ist es unter den Nutzern üblich das Sicherheitsmerkmal „Yubikey“ auf mobilen Websites ab zu schalten. Ich unterstelle den Cyberkriminellen dort draußen einfach mal das es ihnen möglich ist sich auch mit einem PC als Smartphone aus zu geben. Dann bringt in meinen Augen das schönste Security-Token nix mehr. Doch mit dem Yubikey Neo hat Yubico seit einiger Zeit ein Produkt auf dem Markt welches Besitzer NFC fähiger Smartphones auch unterwegs nutzen können.

Doch zu erst einmal: wozu das Ganze? Was soll ein Mensch mit so einem Ding?

Dazu hole ich jetzt mal ganz weit aus und fange gaaanz von vorne an. Üblicherweise meldet man sich bei Onlinediensten mit einem Nutzernamen und einem Passwort an. Das ganze könnte man als Frage formuliert so ausdrücken: Wer bist du? (Nutzername) und was weißt du? (Passwort). Wer das Internet nicht erst seit einer Woche nutzt wird mitbekommen haben das Passwörter sehr gerne „geklaut“ werden. Sei es durch Keylogger welche die Tastatureingaben der Nutzers dauernd mitlesen oder durch Phishing. Kommt ein böser Bub nun auf solchem Wege an euer Passwort hat er Zugriff auf den jeweiligen Onlinedienst. Die ganze Sache wird nicht besser indem der Durchschnittsnutzer auf allen Websites das selbe Passwort verwendet. In diesem Fall hat ein Angreifer Zugang zu allen Seiten mit diesem Passwort. Sollte man also nicht machen, auch wenn es umständlich ist für jede Seite ein eigenes Passwort zu verwenden.

Findige IT-Fritzen kamen also auf den Gedanken eine Website mit einer zusätzlichen Sicherheitsstufe aus zu statten. Zusätzlich zu dem Nutzernamen (wer bist du?) und dem Passwort (was weißt du?) fragt man dann noch: welches Gerät besitzt du? Ein Angreifer müsste also euer Passwort in Erfahrung bringen und gleichzeitig euer Security-Token besitzen. Der Yubikey lässt sich angeblich hier schon nicht mehr mit Keyloggern austricksen. Doch um das ganze noch sichererer zu machen generieren solche Token für gewöhnlich „One Time Passwörter“ (OTP) -also ein Passwort mit einem Haltbarkeitsdatum von lediglich einigen Sekunden. Das kann heute auf vielen Websites zusätzlich aktiviert werden. Meist wird dazu eine Smartphone App, z.b. der Google Authenticator genutzt.

Wo wir gerade bei Google sind: Google hat kürzlich angekündigt das OTP verfahren bald schon standardmäßig für alle Nutzer zu aktivieren. Heute muss dies vom Nutzer in den Einstellungen selber gemacht werden. Macht aber kaum Jemand. Weiterhin hat Google vor einiger Zeit Interesse an einer Zusammenarbeit mit Yubico bekundet. -Beides lässt sich bei Interesse googeln.

Nachdem die Grundlagen ge- und erklärt sind nähern wir uns langsam dem Thema. Wozu ein Yubikey?

Spielen wir das ganze mal durch. Das machen wir mit Google da die das Thema zwei Faktor Authentifikation (bis auf direkte Yubikey Unterstützung) bereits vorbildlich umgesetzt haben. Ich möchte mich also in mein Google Konto einloggen. Also gebe Ich Nutzername und Passwort ein, danach fragt Google nach dem Einmalpasswort. Also Smartphone zücken, App öffnen, automatisch generierten Code am PC eintippen und anmelden. Das nervt spätestens nach dem dritten Login. Das hat Google erkannt und bietet die Möglichkeit beim einloggen einen PC für 30 Tage als vertrauenswürdig zu definieren. Beim nächsten Login benötigt man an diesem PC kein Einmalpasswort mehr, man muss nur aufpassen das entsprechende Häkchen nicht am falschen Rechner zu setzen. Anwendungen können kein Einmalpasswort eingeben, diese werden mit „anwendungsspezifischen Passwörtern“ separat bestätigt.

Was wenn das Smartphone kaputt geht? Die Dinger haben immer größere Displays welche schneller brechen wenn sie auf den Boden fallen… Da hat Google dran gedacht und der User sollte sich eine Liste mit Notfallpasswörtern ausdrucken. Nur nicht vergessen wo diese Liste liegt 😉

Das ganze klingt komplizierter als es ist. Im Alltag ist dieser Weg bei mir sehr schnell Routine geworden.

Irgendwann viel mir auf das nicht jede Website welche den Authenticator unterstützt solche Notfallpasswörter bereitstellt. Das ist übel. So kam ich dann wieder auf den Yubikey. Den habe ich nie in betracht gezogen. Aus zwei Gründen: zum einen sah ich nicht ein sauer verdientes Geld für etwas aus zu geben was mit einer gratis App auch möglich ist. Zum anderen, wie oben schon erwähnt, ist ein Yubikey nicht am Smartphone zu verwenden.

Der Yubikey Neo jedoch ist dank NFC Technologie am Smartphone verwendbar. Kostet aber immer noch Geld… Na egal dachte ich mir, lieber 50$ +Versand und Steuer (waren glaube ich am Ende alles in allem 51€) investieren als beim nächsten Smartphonesturz auf keine wichtige Website mehr zu kommen. Der Hersteller verspricht ja das ein Yubikey „nahezu ewig haltbar“ ist. Wasserdicht, stoßunempfindlich und ohne Batterien welche leer gehen könnten. Klingt doch toll. Trotzdem hatte ich meine Zweifel ob das auch auf mich zutrifft. Ich habe nicht nur 3 Schlüssel am Schlüsselbund, also ist das Risiko von zerkratzen Kontakten recht hoch. Bislang halten diese seit Anfang April 2013, sollte sich das ändern werde ich hier ein Update einfügen. Dazu kommt das ich als Stuckateurmeister auf der Arbeit ständig mit für Elektrogeräte unschönen Bedingungen konfrontiert bin: Staub und Feuchtigkeit. Ständig wird der Schlüssel herumgeworfen („hey ich muss mal ans Auto, werf mir mal den Schlüssel vom Gerüst“). Mit Fingern voll Gips oder Zementmörtel den Schlüssel aus der Tasche kramen… Doch der Yubikey hält. Er sieht nicht mehr so schön aus wie am ersten Tag, das Schwarze Plastik bekommt kleine Kratzer in denen sich weißer Staub ansammelt, doch er hält. Auch hier kommt ein Update wenn sich das ändert.

Also: Härtetest läuft und ist bislang bestanden!

Ein Yubikey Neo kommt prinzipiell „ready to use“ bei euch an. Er hat zwei programmierbare Slots, diese können über die Android App YubikeyTOTP belegt werden. Slot eins ist dabei anfangs so konfiguriert das er ohne weiteres auf allen Websites welche den Yubikey unterstützen als Einmalpasswort generierendes Security-Token verwendet werden kann. Dieser Slot eins sollte auch nicht mit anderen Dingen belegt werden wenn der Yubikey wie gerade beschrieben bereits verwendet wird. Sonst sperrt ihr euch so zu sagen aus.

Slot zwei kann beispielsweise mit der Android App YubikeyTOTP als Ersatz für den Google Authenticator genutzt werden. Dabei wird das „Seed“ aus welchem sich die Passwörter generieren nicht wie beim Authenticator auf dem Smartphone sondern auf dem Yubikey in diesem zweiten Slot gespeichert. Das funktioniert aber nur bei einer Website. Hat den Vorteil das ihr bei einem Defekt des Smartphones nur die App auf eurem neuen Smartphone installieren müsst und alles geht wie gewohnt weiter. Das geht nicht mit der Authenticator App da das Seed mit dem Smartphone verloren geht.

Die Konfigurationsmöglichkeiten über diese App sind allerdings Stark eingeschränkt. Besser ist es dazu ein PC Programm zu nutzen. Dieses „Yubikey Personalisation Tool“ steht zum kostenlosen Download auf der Herstellerseite zu Verfügung und läuft auf Linux, Mac und Windows.

Bildschirmfoto vom 2013-05-18 14:31:22

Doch wie macht sich der Yubikey Neo nun im Alltag?

Ich habe ihn immer am Schlüsselbund dabei. Der Yubikey Neo stört dort nicht, er ist weder in Länge, Breite oder Höhe irgendwie größer als ein gewöhnlicher Schlüssel. Abgesehen von der Form natürlich. Schnell ist es für mich ganz normal geworden immer den Schlüssel mit zum Notebook zu nehmen. So normal wie den Schlüssel einzupacken wenn ich aus dem Haus gehe. Möchte ich mich bei einem Webdienst anmelden welcher zusätzlich mit dem Yubikey geschützt ist stecke ich diesen in einen USB Port an meinem Notebook. Sofort leuchtet das berührungsempfindliche runde Feld auf dem Yubikey auf. Ich gebe auf der Website wie gewohnt meinen Nutzernamen und mein Passwort ein. Dann kommt der Yubikey zum Zug. Ich klicke mit der Maus in das entsprechende Feld auf der Website und berühre kurz das leuchtende Feld auf dem Yubikey. Dieser übermittelt das Passwort mit einem automatischen abschließenden Enter und sofort bin ich angemeldet. Dazu ist am PC keinerlei Software oder Treiber notwendig. Der Yubikey meldet sich beim PC als USB Tastatur. Dadurch funktioniert das ganze nicht nur systemübergreifend sowohl auf Linux, Mac oder Windows sondern auch auf Rechnern an welchen man nicht die nötigen Rechte hat um Software zu installieren -etwa am Arbeitsplatz, in der Schule oder der Uni.

2013-05-18_14-35-40_HDR-768x1024

 

Am Smartphone braucht es definitiv NFC Unterstützung. USB am PC ist heute ja schon selbstverständlich, NFC am Smartphone ist zwar bei neuen Geräten meist vorhanden, doch selbstverständlich ist das noch nicht. Dann braucht es die Yubikey Neo Demo App welche das Yubikey Passwort liest und in den Zwischenspeicher kopiert. Der Yubikey Neo wird dann einfach an die Stelle des Smartphones gehalten an welcher der NFC Chip sitzt, meist die Rückseite, und das Passwort wird ausgelesen. Dabei gibt es eine akustische Rückmeldung über die korrekte Position des Yubikeys. Das Passwort kann dann einfach auf der Website an welcher ich mich anmelden möchte eingefügt werden.

Dann gibt es ja noch Websites die den Yubikey nicht unterstützen, welche aber den Google Authenticator oder ähnliches unterstützen. Bei diesen ist die Anmeldung am PC tatsächlich etwas umständlicher als mit der Authenticator App. Die Yubikey TOTP App muss gestartet werden, der Yubikey an den NFC Chip gehalten werden und danach das generierte Passwort abgetippt werden. Dafür ist es beim Login via Smartphone möglich das generierte Passwort direkt in den Zwischenspeicher zu kopieren was etwas schneller und bequemer ist als mit der Authenticator App. Doch es ist natürlich auch möglich bei solchen Webseiten weiterhin die Google App zu nutzen und den Yubikey nur dort zu verwenden wo er direkt unterstützt wird.

Es gibt eine ganze Reihe von Anwendungsmöglichkeiten für den Yubikey. Dazu studiert ihr am besten die entsprechende Rubrick auf der Herstellerseite. Unter anderem ist es möglich einen PC mit dem Yubikey zu sichern, oder den Zugriff auf Netzwerke mittels YubiRADIUS abzusichern.

Es unterstützen noch nicht alle Websites welche die zwei Faktor Authentifikation anbieten den Yubikey. Google hat zwar bereits Interesse an einer Zusammenarbeit angekündigt doch unterstützt den Yubikey leider noch nicht. Es bleibt abzuwarten wie diese Zusammenarbeit aussehen wird. Yubico bietet seinen Großkunden an eine Palette von Yubikeys mit einem Branding zu versehen um diese selber zu verkaufen. Die größte Bitcoin Handelsplattform MtGox macht davon gebrauch, ein eigener Yubikey lässt sich dort nicht verwenden, bzw. nur über die Yubikey Neo Funktion als Ersatz für die Google APP. Paypal soll angeblich gehen. Doch ich habe es nicht hinbekommen. Auch auf Nachfrage beim Kundensupport nicht. Dort wurde mir zwar bestätigt das es funktioniert und man schickte mir sogar eine Schritt für Schritt Anleitung via email zu doch das ganze funktioniert nicht. Die Anleitung ließ sich nicht befolgen, ich hatte das Gefühl das man mir etwas ganz anderes als die Einrichtung des Ybikeys erklärte…

Fazit: Der Yubikey Neo ist für mich zu einem ständigen Begleiter an meinem Schlüsselbund geworden. Er lässt sich denkbar einfach bedienen und macht das Internet für mich wieder ein wenig sicherer ohne mir all zu viel Arbeit ab zu verlangen. Die Investition habe ich bis heute nicht bereut. Ich kann den Yubikey Neo jedem empfehlen der Wert auf Sicherheit legt und Webdienste verwendet welche einen Yubikey als Sicherheitsmerkmal unterstützen. Mit einer Einschränkung: wer sein Schlüsselbund ständig sucht sollte sich das ganze nochmal gut überlegen 😉

 

Update 25.8.2013

Seit dem 19.5. als ich diesen Beitrag schrieb arbeitet der Yubikey nach wie vor einwandfrei. Er sieht nicht mehr ganz so frisch aus doch er macht noch immer seinen Job.

Update 4.11.2013

Nach wie vor funktioniert mein Yubikey ohne Probleme. Langsam sind erste Spuren der Abnutzung an den vergoldeten USB-Kontakten zu erkennen. Das scheint die Funktion jedoch nicht zu beeinträchtigen. Selbst wenn die Kontakte eines Tages mal so weit durch wären das sie nicht mehr funktionieren währe das für mich kaum ein Problem da der eingebaute NFC-Chip wohl immer noch funktionieren würde weshalb ich mit dem Smartphone noch überall rein käme… Ich bin auch immer mehr angetan von der Möglichkeit den Yubikey Neo als Speicher für den Seed der 2-Faktor Authentifikation zu nutzen. Gestern habe ich mir mal wieder mein Smartphone beim rumspielen zerschossen und musste alles neu Flashen. Bei Google ging die suche nach den Backup-Codes los, beim Yubikey hab ich die YubiTOTP App neu Installiert und das war es. Ich spiele Tatsächlich mit dem Gedanken mir einen zweiten zuzulegen, nur für die Seeds.

Update 26.11.2014

Eine ganze weile her das ich hier ein Update reingesetzt habe :)

Der Yubikey läuft und läuft und läuft und….

Was soll ich da noch Sagen? Die goldene Beschichtung der Kontakte ist mittlerweile nur noch zu erahnen und auch der „Knopf“ in der Mitte wird langsam Silber. Das Plastik ist verkratzt da es Ständig mit meinen Schlüsseln kuschelt. Doch das alles tut der Funktion keinen Abbruch. Nach wie vor: ich werde hier weitere Updates von mir geben!

Sascha

Hi,
ich bin Sascha und hoffe das dir mein Beitrag gefallen hat. Sag mir deine Meinung in den Kommentaren!

Letzte Artikel von Sascha (Alle anzeigen)

Creative Commons Lizenzvertrag

Dieses Werk bzw. dieser Inhalt von www.saschas-blog.net steht unter der Creative Commons Lizenz CC BY-NC-ND 3.0 DE.

33 Gedanken zu „Der Yubikey Neo: ein kleines Stück Sicherheit“

  1. … die Technologie funktioniert dann nur bei Google und vlt. noch PayPal? Bei welchen Diensten nutzt du es noch und überhaupt. So viel Text und ich verstehe noch immer Bahnhof, weil es aber auch nirgends eine ordentliche und leicht verständliche Erklärung gibt.

    1. Dem kann ich nur zustimmen. Dein Blog ist super, auch wenn eben viel Text. Ich habe diese Seite als einzige deutschsprachige Seite gefunden in der überhaupt halbwegs erklärt wird wie Yubikey NEO funktioniert. Hab mir das Teil auch gekauft, aber leider – nix in Deutsch zu finden. Also liegt das Ding bei mir rum, weil ich Panik habe mich irgendwo auszusperren.

      Ich hab mir den wegen PayPal, Raika ELBA, Amazon usw. zugelegt, weil eben viel passiert.

      Meine Anregung: wer ist in der Lage für DAUs eine brauchbare, lesbare und verständliche Anleitung zu schreiben?

  2. Nachtrag: Oder funktioniert das wie der Schlüsselbund unter Mac? Also ein mobiles 1Password etc.? Kann ich mich damit dann auch bei amazon, vimeo, skype … anmelden?

    1. Also ich benutze den yubikey hauptsächlich um mich bei lastpass anzumelden, hier in meinem Blog und anderen von mir gehosteten Seiten sowie auf einer Seite als alternative zur Google OTP app. Hab mal überlegt mir für Ubuntu den login mit yubikey ein zu richten doch das ist mir irgendwie zu sinnlos…
      Ob du damit den Schlüsselbund vom Mac entsperren kannst weiß ich nicht.

  3. Ich wollte heute einen Yubikey „VIP“ bei PayPal einrichten.

    Das hatte ich schonmal gemacht (damals war es ganz einfach) aber egal wo ich geschaut habe – so wie es gehen sollte ging es nicht.
    Durch Zufall bin ich auf den „Trick?“ gekommen – vielleicht hilft das ja jemandem weiter:

    Bei PayPaö auf „Mein Profil“ gehen
    Dort auf „Einstellungen“
    Dann auf auf den Link klicken der bei „Sicherheitsschlüssel“ steht – der kann „Erste Schritte“ „ändern“ etc. sein – je nachdem was man bereits eingetragen hat

    Nun findet man nirgends einen Button/Link um einen neuen nicht-SMS Schlüssel zu aktivieren.
    Heute (Stand 26.01.2014) ging es so:

    Klick auf den Link „Kostenlos bestellen“: Richten Sie Ihren SMS-Sicherheitsschlüssel mit nur wenigen Klicks ein.

    Dort wird (natürlich) eine Mobilnummer abgefragt.
    Klickt man jedoch dort auf „abbrechen“ kommt man auf die Seite auf der man auch einen YubiKey aktivieren kann (Sicherheitsschlüssel aktivieren – also NICHT PayPal Sicherheitsschlüssel aktivieren).

    Ich weiss nicht wie es bei dem NEO ist, bei meinem „VIP“ ist es so, dass man UBHE00 plus die Seriennummer des Keys als Seriennummer angeben muss.

    Sollten hier Links erlaubt sein, ihr könnt (momentan) nach dem Login auch einfach:

    https://www.paypal.com/de/cgi-bin/webscr?cmd=_activate-security-key-any

    Aufrufen um den YubiKey zu registrieren.

    1. Hi Philip,
      das funktioniert! Super! Danke für den Link!
      Leider habe ich keinen Slot auf meinem Yubikey NEO frei… Vielleicht kauf ich mir dann langsam mal nen zweiten 😉

      Für die NEO besitzer: Ihr müsst einen Slot des Yubikeys opfern um diesen auf OATH-HOTP einzustellen. Dazu steckt den Yubikey NEO in euren PC und startet das Personalisierungs tool. Welche Seriennummer ihr dann eingeben müsst weiß ich nicht. Habe ja keinen Slot frei um es mal zu Probieren.

    2. Das kann doch nicht sein! Heute, 3.2.2014, 7 Tage nach Phillips Posting, erscheinen dort nur noch drei Links/Buttons zum Bestellen/Aktivieren des PayPal-Sicherheitsschlüssels!!! :-(
      Kann das jemand bestätigen?

      Danke und Gruß,

      P.A.

    1. Laut Yubico Website: ja!
      Ich kann da nur auf die Herstellerinfos zurückgreifen da ich lediglich den yubikey Neo besitze, der hat definitiv zwei Slots.

  4. Hallo Sascha,
    habe einen Yubikey Neo gekauft und diesen mit der Anwendung lastpass verknüpft. Geht auf dem PC auch super. Nur bei meinem windows phone lumia 820, windows 8.1 tut sich leider nichts. Die Anwendung öffnet sich leider nicht. Hast du eine Ahnung wieso nicht?
    Vielen Dank für deine Antwort schon jetzt.

  5. Auch ich verstehe vieles nicht auf anhieb, aber ich werde es nochmal lesen und nochmal, nedenfalls tolle Fleissarbeit. Danke!!

    1. Hmmm…
      Es sind Schlüssel aus Schließanlagen und einer Garage. Um die nachzumachen reicht denke ich kein Foto, abgesehen davon das es nicht leicht ist ohne die richtige Karte die Rohlinge zu bekommen. Sollte es dennoch jemand schaffen und hier vor der Türe stehen erlebt er eine Überraschung: Die sind nämlich alle entweder nicht mehr in Verwendung oder nicht bei mir verbaut.
      Dennoch sieht es unglücklich aus in einem Artikel zu einem Sicherheitsrelevanten Thema Fotos von Schlüsseln zu veröffentlichen. Ich werde die Fotos etwas bearbeiten :)

  6. Da Posteo Webmail Yubikey auch unterstützt, habe ich mit Interesse die Erläuterungen gelesen. Im ersten Teil wird allgemein Bekanntes zu BN und PW erklärt, aber beim eigentlichen Erläutern von Yubikey werden dagegen Spezialbegriffe, wie Slot, TOKEN oder TOTP App oder im Kommentar OATH-HOTP, verwendet, da kommt selbst ein langjähriger Internetnutzer nicht immer mit. Achtung für einen Handwerker, der sich dieser Sicherheitsfrage zuwendet und dafür immerhin viel Zeit opfert. Aber letztlich bleibt der Eindruck, dass die PC-Nutzung incl. Smartphone bzw. Tablet sicherheitshalber immer kostspieliger und zeitaufwendiger wird. Also für mich lohnt sich Yubikey erst richtig, wenn viel mehr Websites und auch online banking seine Nutzung unterstützen.

    1. Hallo Franz,
      danke für den hinweis das Posteo Webmail Yubikey Support hat!
      Zu den Spezialbegriffen:
      Slot ist aus dem englischen und heißt in diesem Zusammenhang so viel wie Speicherblock. Also das je zwei unabhängige Speicherblöcke für verschiedene Anwendungen vorhanden sind. Das kann halt einmal die Yubiko eigene Einmalpasswort Lösung sein oder ein Sicherheitsmerkmal welches mit dem verbreiteten Standart zu Einmalpasswörtern kompatibel ist. Etwa Googles Authentikator-App.
      Token ist ein allgemeiner begriff und ist in diesem Zusammenhang mit Sicherheits-token gleichzusetzen. Es ist der Überbegriff für Geräte wie den Yubikey.
      Die Yubikey TOTP-App ist halt der Name der entsprechenden Yubikey App. OTP heißt One-Time-Passwort (einmalpasswort) TOTP ist Time-based One-Time-Passwort und ist ein Standard für die Einmalpasswortgenerierung basierend auf der aktuellen Zeit und einem Sicherheitsmerkmal. Der Google-Authentikator basiert auf diesem Standard. Dieser ist übrigens unter http://tools.ietf.org/html/rfc6238 festgehalten.
      Jetzt wird es wirklich kompiziert… OATH-HOTP
      HOTP heist HMAC based One-Time Passwort.
      Also erstmal zu HMAC: Hash-based message authentication code ist, kurz gesagt wieder ein Standard. Genaueres unter http://tools.ietf.org/html/rfc2104
      HOTP ist ein darauf basierender Einmalpasswort Standart. http://tools.ietf.org/html/rfc4226
      OATH ist hierbei eine initiative (Initiative for Open Authentication) welche an solchen Standards mitarbeitet. http://www.openauthentication.org/
      …Damit könnte ich allerding wieder einen ganzen Artikel füllen der allerdings recht Trocken wäre… Weshalb es erstmal bei den kurzen Erklärungen hier im Kommentar bleibt. Es gibt da jedoch schon ganz gute Artikel drüber. In englisch zum beispiel: http://blogs.forgerock.org/petermajor/2014/02/one-time-passwords-hotp-and-totp/ der bringt etwas licht ins dunkel 😉

      Tja das ganze ist halt eines meiner Interessen… Ich glaube auch kaum das jeder der einen Yubikey kauft all die Definitionen zu diesen Abkürzungen kennen muss, oder auch nur kennen möchte.

      Leider ist es so das jeder einzelne Zeit mit der Thematik Sicherheit im Internet verbringen sollte. Die Lösungen sollten dabei in meinen Augen jedoch auch möglichst bequem sein, das bringt meist wiederum den Nachteil mit das es wieder etwas unsicherer wird. Beispiel: getrennte einmalige Emailadressen, Nutzernamen und Passwörter lassen sich herrvorragend mit Blur, ehemals DoNotTrakMe von Abine realisieren. Doch sollten die alle meine anmeldedaten kennen? Dann Lieber auf einen zweiten Dienst wie LastPass zur Passwortverwaltung setzen und die einmal-mail-adressen von Abine nehmen.

      Der Yubikey ist für mich ein Rad in meinem „Sicherheitsgetriebe“ ich finde er ist sein Geld durchaus wert.

  7. Hallo Sascha

    Danke für den tollen Artikel.
    Hab mir jetzt auch einen Yubikey NEO bestellt.

    Mit der NFC Unterstützung hab ich da noch so mein Problem, die klappt unter Android nicht. Vermutlich mach ich aber da noch einen Fehler.

    Was ich eigentlich fragen wollte, wie schützt man eigentlich das Static Password ?
    Wenn mir jemand den Schlüssel kurz nutzt, kann er diesen an irgendeinen Computer anschließen und das Passwort auslesen, dann hat er das Passwort im Klartext. Ich halte das für ein hohes Sicherheitsrisiko auch wenn das Passwort 46 Zeichen lang ist.

    Gibt es dieses Static Password zusätzlich zu schützen?

    Beim OTP ist das gleiche, aber da macht es mir nix aus, da es eben nur einmal funktioniert.

    Grüße Joachim

    1. Da kann ich gar nix zu sagen, ich nutze das statische Passwort nicht.
      Welche Probleme gibt es denn mit Android und NFC mit dem Yubikey?

    2. Hallo Joachim,

      um eine erhöhte Sicherheit zu erhalten nutzt man normalerweise „Wissen und Besitz“. Wenn jetzt ein langes und sicheres Passwort auf dem Yubikey gespeichert ist und das alleine ausreicht, hast Du keinen Schutz mit Wissen und Besitz, sondern nur Besitz (wenn man nicht so ganz exakt ist).

      Also solltest Du bei dem Programm (oder Webseite), dass (die) ein statisches langes Passwort verwendet immer ein kürzeres Passwort vorweg eingeben. Das empfiehlt sich natürlich auch für Challenge Response.

      Aber ich finde es auch sehr schade, dass es nicht einen „Yubikey Neo Bio“ gibt, der auch noch einen Fingerabdruckleser hat und das Passwort nur raus rückt wenn mein Finger da ist (ok, das ist auch nicht wirklich sicher, wie wir alle wissen – aber schon deutlich mehr als nur „Sensortaste Antippen“).

      Gruß,

      Friedhelm

      1. Danke Friedhelm , an das hab ich nicht wirklich gedacht.
        Klar ist ja bei einem RSA-Token auch so, auch da kann man das Passwort direkt auslesen oder am Display ablesen.

        An das zweiteilige Passwort hab ich nicht gedacht.

        Beim Android bringt er mir den Fehler dass per NFC die Information vom Yubikey nicht gelesen werden kann. Ich muss mich da nochmal einlesen und etwas tiefer beschäftigen.

        Danke für Euer Antworten.

        Grüße Joachim

  8. Hallo zusammen

    so jetzt hab ich es hinbekommen mit TOTP bei Google/Dropbox/SSH-Login/Joomla und dem Yubikey Neo per NFC.
    Das Problem ist das mein Sony Xperia Z mit Android 4.4 den Yubikey Neo nicht auf Anhieb erkennt. Es kommt da immer Lesefehler. Jetzt hab ich dass mal richtig penetriert und siehe da Yubikey Authenticator läuft jetzt und konnte meine TOTP wie oben beschrieben aktivieren.

    Jetzt bin ich wirklich sehr froh das alles läuft wie gedacht.
    OTP mit WordPress läuft auch super auch über Yubiclip auf dem Smartphone. Bin begeistert :-)

    Liebe Grüße , Joachim
    PS: Manchmal darf man bei der widerspenstigen Technik nicht nachgeben :-)

  9. Hallo,

    danke für den interessanten Beitrag zum Thema Yubikey. Ich habe mir auch einen zugelegt (Yubikey VIP), bin aber noch recht unsicher, was genau zu tun ist, wenn ich ihn verliere.

    Du sagst, du benutzt ihn z.B. für SSH-Login und Joomla. Welche Backuplösungen hast du, wenn dir der Yubikey kaputt geht oder verloren geht?

    Was ich auch etwas schade finde, ist, dass der Key nur zwei Slots besitzt. Für das SSH-Login und Joomla dürften ja schon mal zwei Slots weg sein. Für Paypal oder ebay wäre dann schon ein weiterer Yubikey fällig.

    Grüße
    gregor

    1. Hi Gregor,

      du kannst dich auf zwei Arten absichern: zum einen könntest du einen zweiten Yubikey kaufen und diesen jeweils als zweiten Yubikey in den Einstellungen des jeweils genutzten Dienstes hinterlegen. Alternativ wirst du im Verlustfall den Admin/Support jedes Services anschreiben müssen damit die dich wieder in deinen Acc rein lassen.
      Der Yubico eigene Service dazu wurde aus sicherheitstechnischen Gründen zwischenzeitlich eingestellt, seit dem hat jeder Admin welcher Yubikey-Authentication anbietet eine Möglichkeit zu implementieren wie ein Nutzer der seinen Yubikey verloren hat wieder Zugriff auf seinen Account bekommt. Wenn du selber Admin bist so kannst du auf Nummer sicher gehen wenn du einen zweiten Yubikey hast. -den allerdings nicht am gleichen Schlüsselbund tragen 😉

  10. Danke Sascha… ich bin heute per Zufall ueber den „YUBIKEY“ gestolpert… da ich schon lange eine zuverlaessige Authorisationsmethode fuer meine Geraete suche… also ein Standart PC, ein Tablett mit NFC, Smartphone, usw.

    Dein Bericht ueber deine Erfahrungen sind da sehr hilfreich.
    Jetzt bestell ich mir auf jeden Fall mal einen privat. Und wenns passt, bekommt den dann jeder bei uns in der Firma 😉

    BIG THX Sascha!

  11. Wie sieht es aus wenn ich aus irgendwelchen Gründen mal spontan per Tablet auf ein Yubiekey geschütztes Emailpostfach zugreifen will?

    Oder hattest Du je negative Erfahrungen weil Du beim Arbeitgeber oder öffentlich (z.B. Bibliothek) zugreifen wolltest und der Zugriff auf den USB-Slot nicht genehmigt wird?

    Interessiert mich da ich überlege mein Postfach vielleicht Yubikey zu sichern- mein Alptraum dabei ist, nachher im Alltag irgendwo zu stehen ich muss kurz E-Mails checken- und kann es nicht da ich keinen USB-Slot habe, er gesperrt ist.

    1. Unterwegs rufe ich persönlich meine Mails mit dem Smartphone ab. Am Tablet geht das mit dem Yubikey problemlos mit einem einfachen USB-OTG Adapter, solange USB-OTG vom Hersteller unterstützt wird -sollte bei modernen Geräten, selbst billig Teilen, jedoch der Fall sein. Der Yubikey meldet sich als standard Tastatur an, also wird er auch am Tablet so erkannt.

      An einem Rechner an dem du keinen Zugriff auf einen USB Anschluss bekommst hast du mit dem Yubikey wohl verloren… Da Tastaturen heute meist per USB angeschlossen werden könnte es vielleicht noch gehen wenn du dann die Tastatur aussteckst und den Yubikey einsteckst. Wenn der Anschluss aber baulich gar kein USB sondern noch ein PS-2 oder so ist sieht es natürlich schlecht aus, genauso wenn du an den Anschluss gar nicht herankommst.

      1. Danke schon mal. Ich habe es auf Arbeit und an öffentlichen PCs leider schon erlebt, dass die USB-Ports „deaktiviert“
        waren, beziehungsweise nur die zugelassene Hardware akzeptierten. Benötigt USB-OTG zusätzliche Software auf dem Tablet (z.B. treiber?)

  12. Danke für deinen tollen Beitrag. Hab mir schon öfter überlegt mir einen Yubikey zu holen und werde das in naher Zukunft sicher auch machen.
    Hast du denn inzwischen mehrere und nutzt du deinen Ersten immer noch?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *