ComputerBase Menü
Aktuelles

2FA mit mit Hardware key

Riccardo Fulmi

Riccardo Fulmi

Cadet 3rd Year
Registriert
Feb. 2021
Beiträge
60
Hallo,
ich würde gerne einige Applikationen durch einen zweiten Faktor absichern, idealerweise mit einem Hardwarekey wie z.B. Yubikey. Leider fällt es mir schwer abzuschätzen wie es mit meinen Anforderungen bzgl. Kompatibilität aussieht.

Zwingende Rahmenbedingungen:
  • Keepass Datenbank per 2. Faktor entsperren (also master passwort + 2FA) unter
  • USB-C
Nice-to-have:
  • NFC
  • Linux support
  • Fingerprint support
  • OS direkt mit entsperren (hier in erster Linie Windows)
  • Online-Dienste entsperren (Google, Dropbox, etc.)
In erster Linie will ich also meine KeepassDB weiter absichern, um sich z.B. gegen Keylogger zu schützen. Insbesondere für MacOS habe ich auf die Schnelle keine Lösung gefunden.

Hat hier jemand Erfahrungen?
 
Für den YubiKey in Verbindung mit KeePass benötigst du ein Plugin, mit KeePassXC geht das standardmäßig unter Linux, Mac und Windows.
Ich nutze für IOS Strongbox, aber Keepass2Android scheint auch mit dem YubiKey umgehen zu können. Hast du einen YubiKey mit NFC, dann funktioniert das mit dem Smartphone auch kontaktlos.

Online-Dienste gehen meist auch mit FIDO U2F, oder du speicherst die Keys von TOTP auf dem YubiKey.

Wichtig ist nur das du mindestens 2 identische YubiKeys hast, damit du dich bei einem Defekt oder Verlust nicht selbst aussperrst.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Riccardo Fulmi
Helge01 schrieb:
Wichtig ist nur das du mindestens 2 identische YubiKeys hast, damit du dich bei einem Defekt oder Verlust nicht selbst aussperrst.
Zum Vergrößern anklicken....
das klingt etwas verwirrend/missverständlich...
man braucht eine "Fallback" Lösung, das muss nicht ein identischer Stick sein.
 
  • Gefällt mir
Reaktionen: Riccardo Fulmi
Mickey Mouse schrieb:
man braucht eine "Fallback" Lösung, das muss nicht ein identischer Stick sein.
Zum Vergrößern anklicken....
So war das auch gemeint, ich nutze alle möglichen Ausführungen vom YubiKey. Die Daten sollten identisch sein.
 
  • Gefällt mir
Reaktionen: Riccardo Fulmi
Helge01 schrieb:
Für den YubiKey in Verbindung mit KeePass benötigst du ein Plugin, mit KeePassXC geht das standardmäßig unter Linux, Mac und Windows.
Ich nutze für IOS Strongbox, aber Keepass2Android scheint auch mit dem YubiKey umgehen zu können. Hast du einen YubiKey mit NFC, dann funktioniert das mit dem Smartphone auch kontaktlos.

Online-Dienste gehen meist auch mit FIDO U2F, oder du speicherst die Keys von TOTP auf dem YubiKey.

Wichtig ist nur das du mindestens 2 identische YubiKeys hast, damit du dich bei einem Defekt oder Verlust nicht selbst aussperrst.
Zum Vergrößern anklicken....
Super, vielen Dank. Ich denke mit KeePassXC unter MacOS könnte ich mich anfreunden. Ich hatte es mal vor einer ganzen Weile ausprobiert und leider hat das Autotype damit nicht vernünftig nicht funktioniert. Aber darauf könnte ich nötigenfalls auch verzichten da ich MacOS inzwischen nicht mehr so häufig brauche.

FIDO U2F scheint das Standard-Protokoll zu sein?! TOTP habe ich noch nie gehört, was ist das?
Ergänzung ()

Helge01 schrieb:
So war das auch gemeint, ich nutze alle möglichen Ausführungen vom YubiKey. Die Daten sollten identisch sein.
Zum Vergrößern anklicken....
Das ist also problemlos möglich unterschiedliche Yubikeys zu verwenden wovon einer (oder mehrere) jeweils als Fallback für die jeweils andere dienen?

Oder könnte man beispielsweise auch einfach zwei unterschiedliche parallel verwenden? Z.B. einen mit NFC für das Android und einen der neuen Bio-Serie mit Fingerprint für den Desktop?
 
(T)OTP = Timebased/Temporary One Time Password
das wird einmal "konfiguriert" und dann wird immer ein nur kurzfristig gültiger Code errechnet. Das funktioniert mit Google/Microsoft Authenticator usw. Dafür braucht man aber keinen Yubikey, das kann KeepassXC alleine.

meines Wissens nach kann man nicht mehrere Yubikey für EINE Konfiguration nutzen (ich habe nur einen ;) ). Du musst also für eine Anwendung mehrere Konfigurationen (jede mit dem jeweiligen Stick) anlegen.
da kann man dann aber auch genauso gut zusätzlich noch z.B. SMS als weiteren Faktor konfigurieren. Daher finde ich den Hinweis auf mehrere Yubikey so verwirrend (immer noch).
 
  • Gefällt mir
Reaktionen: Riccardo Fulmi
Mickey Mouse schrieb:
(T)OTP = Timebased/Temporary One Time Password
das wird einmal "konfiguriert" und dann wird immer ein nur kurzfristig gültiger Code errechnet. Das funktioniert mit Google/Microsoft Authenticator usw. Dafür braucht man aber keinen Yubikey, das kann KeepassXC alleine.
Zum Vergrößern anklicken....
Ah, ja sowas verwende ich bereits überall wo es unterstützt wird. Mit Authy. Wieder was gelernt, d.h. wenn meine Keepass-App auch TOTP unterstützt oder ein Plugin dafür existiert, dann kann ich diese Tokens auch direkt erzeugen lassen ohne, dass ich ne extra App wie Google Authentikator oder Authy benötige?
Mickey Mouse schrieb:
meines Wissens nach kann man nicht mehrere Yubikey für EINE Konfiguration nutzen (ich habe nur einen ;) ). Du musst also für eine Anwendung mehrere Konfigurationen (jede mit dem jeweiligen Stick) anlegen.
da kann man dann aber auch genauso gut zusätzlich noch z.B. SMS als weiteren Faktor konfigurieren. Daher finde ich den Hinweis auf mehrere Yubikey so verwirrend (immer noch).
Zum Vergrößern anklicken....
Okay, aber wenn ich jetzt als Fallback SMS einrichte, dann kann ich mir den Yubi-Zirkus doch gleich sparen oder nicht? Denn ein Angreifer könnte ja somit den Yubi gleich überspringen. Auf der Yubi-Seite wird ja auch empfohlen gleich einen zweiten Key zu bestellen um dem Verlust des ersten vorzubeugen.
 
Der Anbieter muss mehrere Yubikeys unterstützen, da jeder ein eigenes Device ist, dann kannst du mehrere hinterlegen.

Normalerweise muss man ein Support Ticket erstellen, wenn der Yubikey nicht mehr erkannt wird oder verloren geht, ein Fallback auf SMS oder andere Authentifizierung ist dann nicht möglich - ergibt ja auch sonst keinen Sinn, dass man extra einen Hardware Key hat.
 
kann man so oder so sehen...
auf jeden Fall bieten "die meisten" (alle mir bekannten) Dienste zusätzlich zum Yubikey immer noch andere Methoden an.
Beispiel: ich habe meinen Google Account mit dem Yubikey abgesichert. Wenn ich den aber nicht dabei habe (warum auch immer), dann kann ich mir auch eine SMS auf das Handy schicken lassen.
und man kann es natürlich auch genau anders herum sehen: falls das Handy/SIM kaputt/verloren geht, dann kann ich mich mit dem Yubikey einloggen.

genauso führt es natürlich das 2FA Konzept etwas ad absurdum, wenn man sein Passwort (erster Faktor) zusammen mit dem TPTP Setup im Keepass(XC) speichert...

alles Ansichtssache
 
SMS ist das schwächste Authentifizierungsverfahren - wenn man damit bei dir den Yubikey umgehen kann, dann verstehe ich nicht wieso du überhaupt einen Hardware Key nutzt?
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Old Knitterhemd
Leserartikel KeepassXC & Keepass2Android
2
Antworten
39
Aufrufe
33.320
fax668
fax668
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz