Das Thema ist schon eine Weile alt, aber dennoch für einige vllt. interessant.
matze787 schrieb:
Das kommt ganz auf den Einsatzzweck an. Für einfache statische Passwörter lohnt er sich nicht bzw. höchstens der Standard Yubikey ohne NFC. Interessant werden diese Sticks bzw. der Neo, wenn du OTP, Challenge-Response oder PGP-Zertifikate verwendest.
Möchtest du das Ding für den Login auf Webseiten nutzen, gibt es da auch günstige Hardware-Keys die U2F als Methode nutzen. Diese kosten meist unter 10€ und funktionieren ebenfalls recht gut.
matze787 schrieb:
Wo liegen die spezifischen Vorteile im Vergleich zum Authenticator?
Hier liegt der Vorteil ganz klar in der Sicherheit. Der Authenticator benötigt die privaten Schlüssel zum erzeugen der OTP's. Das heißt, diese Keys liegen auf dem Smartphone und sind unter Umständen bei der Erzeugung der OTP's auslesbar. Beim Verlust oder Zerstörung des Smartphones, sind auch die Keys weg. Das passiert auch, wenn du dein Yubikey verlierst, aber dieser ist deutlich robuster und am Schlüsselbund recht sicher.
matze787 schrieb:
Warum sollte das sicherer sein?
Der entscheidende Vorteil ist, dass beim Yubikey die "Geheimnisse", also Seeds, Private Keys etc. den Key nie verlassen und auch nicht auslesbar sind (abgesehen von statischen Passwörtern natürlich). Im Falle von OTP's, die du ja durch den Authenticator generierst, kannst du den Yubikey Neo OTP verwenden. Die Seeds liegen hier auf dem Yubikey. Du benötigst jetzt nur noch einen Zeitgeber, welcher z.B. dein Smartphone oder dein PC ist. Hier kommt auf Smartphones NFC und die Yubikey-App ins Spiel: Die Yubikey-App funktioniert wie der Authenticator, nur mit dem technischen Unterschied, das wenn du deinen Yubikey an das Smartphone hältst, diese die aktuelle Uhrzeit an den Yubikey schickt, dieser erzeugt anhand der vorliegenden Seeds die OTP's und sendet diese an die App zurück, wo sie dann angezeigt werden. Nach 30 Sekunden verschwinden die OTP's und müssen neu erzeugt werden. Zu keinem Zeitpunkt werden aber Seeds übertragen, die man sich abgreifen könnte.
Interessant ist hier auch Challenge-Response, sofern dein gewünschtes Tool dies unterstützt.
Im Falle von Keepass ist dies recht praktisch. Dein Yubikey und dein Keepass-Container kennen den Private Key. Möchte man den Container öffnen, sendet dieser eine "Aufgabe" an den Yubikey, man betätigt die Taste auf dem Yubikey, der Yubikey löst diese "Aufgabe" mit dem Private Key und sendet das Ergebnis zurück, der Container prüft das und öffnet sich. Auch hier verlässt der Private Key nie den Yubikey, die Response die abgegriffen werden kann ist nicht mehr nutzbar und ein Trojaner kann auch das Erzeugen nicht selber anstoßen, da man ja den Hardwarebutton betätigen muss. Einzige schwachstelle ist hier, dass man mit einer Response etwas anfangen könnte, wenn man den Zustand des Containers in diesem Moment auch später hervorrufen kann. Dadurch wäre die Response einfach nochmal nutzbar. Dies liegt aber dann an der Implementierung des jeweiligen Dienstes/Tools, ob dies ein Problem sein kann.
Ebenfalls interessant sind hier Smartcard-Funktionen für PGP-Keys oder Windows-Login, aber das führt jetzt evtl. zu weit
Ob das alles nun sinnvoll und praktisch für einen selbst ist bzw. die gewünschte Nutzung ist, muss man selber abwägen. Es ist aber Fakt, dass je weiter Geheimnisse weg von einem internetfähigen Gerät sind, desto höher ist die Sicherheit. Je weniger nutzbare Daten übertragen werden, desto besser. Je mehr Hardware-Interaktion (Yubikey ans Smartphone halten, einstecken, Taste drücken), desto besser.