ComputerBase Menü
Aktuelles

Use Case Cases für Yubikey in der Praxis?

matze787

matze787

Lieutenant
Registriert
März 2011
Beiträge
910
Moin zusammen!

Ich schlawenzel schon seit Jahren um Yubikeys herum, konnte mich aber noch nicht durchringen - Angst vor zuviel Umständlichkeit und der doch recht hohe Preis der 5er-Variante haben mich bislang davon abgehalten.

Nun spiele ich das nochmal durch und würde gerne von Euch Erfahrungswerte hören - wie nutzt Ihr die Yubikeys?

Ich nutze aktuell 1Password und OTP/2FA, wo es geht. Die OTPs generiere ich direkt in 1Password (ja ich weiß, sollte besser separat sein, aber hier siegte die Bequemlichkeit). 1Password selbst habe ich ebenfalls mit 2FA abgesichert, dafür (und nur dafür) nutze ich die App Authy.

Wenn ich das richtig verstehe, könnte ich mit einem Yubikey 5 NFC beides direkt über den Yubikey machen, richtig?

Wenn ja (was gut wäre), dann müsste ich aber trotzdem auf ALLEN Devices jeweils immer einen Yubikey nutzen - und diesen dann quasi immer dabei haben. Und nun kommen wir zum o. a. Bedenkenpunkt - mein Mac Mini steht auf dem Dachboden, im EG ist ein Macbook, dazu habe ich noch ein iPhone und ein iPad. Sicher könnte ich das alles nutzen, aber ich weiß doch, wie es dann laufen wird...immer da, wo man sich gerade einloggen will, hat man den Yubikey gerade nicht liegen.

Verstehe ich da was falsch? Anders gefragt: wie löst Ihr das in der Praxis?

Besten Dank im Voraus!
 
ich habe auch einen yubico 5 und ja wenn Du den an mehreren Geräten benutzen möchtest must du den mitführen. Ich benutze den aber nur an einem Gerät um mich Remote am Firmenportal einzuloggen ist super keine Passkeys mehr merken.

Nachtrag: Es gibt eine Webseite wo die Webauth Funktion getestet werden kann das ist auch browserabhängig sollten aber inzwischen alle bekannten Browser können. Und zur Sicherheit sollte immer ein Backup Yubikey vorhanden sein sonst gibt es bei z.B. einem Defekt oder bei Verlust keine Möglichkeit der Wiederherstellung.

Webauthtest
 
Zuletzt bearbeitet:
Nutze Yubikeys für Kryptobörsen um den Login und Transaktionen sicherer zu machen.

Auf jeden Fall sollte man mehr als einen haben um einen Backup zu haben und aus Bequemlichkeit - habe einen am Schlüsselbund und einen im Büro zu Hause.
 
die Sache ist die:
WENN du einen FIDO(2) Key wegen der Sicherheit einsetzen möchtest, dann darf es auch nur der EINZIGE zweite Faktor sein!
Beispiel: du sagst, du willst FIDO nutzen, weil man SMS "abfangen" kann. Jetzt geißelst du dich selbst und schleppst ständig deinen USB FIDO mit dir herum (siehe deine eigenen Bedenken), OK.
ABER: du brauchst doch auch einen Plan-B, falls der FIDO verloren geht oder schlicht kaputt ist. Nehmen wir jetzt mal an, du hast parallel zum FIDO dafür noch eine SMS als Plan-B hinterlegt.
ja warum dann überhaupt der FIDO? Dann kann man dein Konto auch über die SMS Funktion hacken.
wer A sagt muss auch B sagen und dann ist die einzig logische Konsequenz: (mindestens) ZWEI FIDO Keys und AUSSCHLIESSLICH diese als zweiten Faktor nutzen!

ich will FIDO/Yubi nicht schlecht reden!
Ich habe selber privat ein Paar und wir nutzen die auch in der Firma.
Aber heute, mit den "verbesserten" Authenticator Varianten wie z.B. MS-Auth, dem Aufkommen von Passkeys usw. halte ich einen Yubi Key nicht für unnötig, aber man muss schon genau wissen wofür. Die meisten Leute (auch mit einem sehr hohen Sicherheitsbewusstsein) werden auch ohne Yubi Key auskommen.
Und wer den wirklich braucht, der weiß wofür und muss nicht im Forum fragen ;)
 
  • Gefällt mir
Reaktionen: BeBur
Ich nutze die YubiKeys hauptsächlich für Challenge Response mit KeePassXC und Webauth/Yubikey Authenticator. Früher hatte ich auch noch meine PGP Keys darin gespeichert, ist mir aber mittlerweile zu umständlich geworden.

Ich habe hier 5 identische YubiKeys herumliegen, zusätzlich speichere ich alle Keys nochmal in einem Veracrypt Container. Damit könnte ich einen YubiKey relativ schnell wiederherstellen.

Mickey Mouse schrieb:
du hast parallel zum FIDO dafür noch eine SMS als Plan-B hinterlegt.
Zum Vergrößern anklicken....
Plan-B ist ein zusätzlicher YubiKey, oder wie in meinem Fall 5 zusätzliche YubiKeys. :D.
 
Ich hab auch darüber nachgedacht die Tage aber aus zum Teil ähnlichen Gründen mich gegen Yubikeys entschieden. Das Smartphone als zweiter Faktor ist einfach deutlich praktischer.
FIDO hatte ich mir mal angeschaut, aber das scheint mir nur für Unternehmen sinnvoll zu sein, nicht für Privatpersonen. Aus den von Mickey Mouse angesprochenen Gründen.

KeePass Safe mit Yubikey absichern scheint mir unnötig zu sein, insbesondere mit dem Challenge Response Verfahren. Challenge Response hilft in dem Fall, dass der Recher kompromittiert ist. In dem Fall bekommt der Angreifer aber auch bei Verwendung von Challenge Response an den Inhalt des Safes.

Ich benutze eine Datei als zweiten Faktor bei meinem KeePass Safe. Wenn ein Angreifer auf diese nur lokal verfügbare Datei zugreifen kann, dann auch auf den Rechner und kann damit sowieso schon den Inhalt des Safes auslesen.
 
Eine KeePass Datenbank die per Passwort + Challenge Response abgesichert ist und wo der Yubikey auch noch durch Berührung bestätigt werden muss ist ziemlich sicher. So eine Datenbank könntest du Problemlos in einer Cloud speichern.

BeBur schrieb:
In dem Fall bekommt der Angreifer aber auch bei Verwendung von Challenge Response an den Inhalt des Safes
Zum Vergrößern anklicken....
Wie das geht würde mich mal interessieren.
 
Helge01 schrieb:
Ich habe hier 5 identische YubiKeys herumliegen, zusätzlich speichere ich alle Keys nochmal in einem Veracrypt Container. Damit könnte ich einen YubiKey relativ schnell wiederherstellen.
Zum Vergrößern anklicken....
das mag (vielleicht) in deinem(!) Fall zutreffen (das ist etwas wirr, was du schreibst), ist generell aber Quatsch.
keine zwei Yubi-Keys sind jemals identisch und man kann sie natürlich nicht mal eben kopieren, genau DAS macht sie ja aus!
wie gesagt, was du da veranstaltest ist "komisch", dann kannst du dir vermutlich auch 5 billiges USB Keys besorgen und dort ein Zertifikat drauf kopieren, das zahlst du dann pro Stick keine 5 statt 50€, das ist aber absolut nicht der Sinn von FIDO!

Helge01 schrieb:
Plan-B ist ein zusätzlicher YubiKey, oder wie in meinem Fall 5 zusätzliche YubiKeys. :D.
Zum Vergrößern anklicken....
wer lesen kann ist klar im Vorteil, was hatte ich geschrieben?
"wer A sagt muss auch B sagen und dann ist die einzig logische Konsequenz: (mindestens) ZWEI FIDO Keys und AUSSCHLIESSLICH diese als zweiten Faktor nutzen!"
 
Helge01 schrieb:
Wie das geht würde mich mal interessieren.
Zum Vergrößern anklicken....
Wie gesagt, auf einem kompromittierten Rechner. Die Möglichkeiten sind in einem solchen Szenario vielfältig. Der Angreifer kann auf dem Rechner alles machen, was du auch machen kannst. Also z.B. nach dem öffnen des Safes alle Daten auslesen.

Helge01 schrieb:
Eine KeePass Datenbank die per Passwort + Challenge Response abgesichert ist und wo der Yubikey auch noch durch Berührung bestätigt werden muss ist ziemlich sicher. So eine Datenbank könntest du Problemlos in einer Cloud speichern.
Zum Vergrößern anklicken....
Das gilt für jeden gut abgesicherten Safe, z.B. 1FA und sicherem Passwort oder eben 2FA (egal welcher zweiter Faktor) und sicherem Passwort.
 
Mickey Mouse schrieb:
keine zwei Yubi-Keys sind jemals identisch
Zum Vergrößern anklicken....
Müssen sie auch nicht unbedingt sein. Die Keys für OTP kann man alle in die YubiKeys importieren, damit wären die schon mal gleich. Für Challenge Response gilt das gleiche, da wird auch nur ein Key in den YubiKey geladen. Für Web Authentifizierung z.B. per Webauth muss jeder YubiKey separat beim jeweiligen Anbieter registriert werden.
 
Zuletzt bearbeitet:
Helge01 schrieb:
Für Web Authentifizierung z.B. per Webauth muss jeder YubiKey separat beim jeweiligen Anbieter registriert werden.
Zum Vergrößern anklicken....
genau DAS ist aber die eigentliche Hauptaufgabe eines FIDO Keys, bzw. was ihn ausmacht!

mal als Beispiel: ich habe meine Passworte in einem Keepass Container und der (Cloud) Zugriff darauf ist per Yubikey/Webauth abgesichert. In dem Container liegen dann auch die OTP Daten.

du nutzt deinen Yubikey quasi nur als USB Speicherstick, der den Seed gespeichert hält und daraus die passende Response berechnet. Das kann jede Authenticater App genauso/besser (s.o.).
 
  • Gefällt mir
Reaktionen: BeBur
Mickey Mouse schrieb:
du nutzt deinen Yubikey quasi nur als USB Speicherstick, der den Seed gespeichert hält und daraus die passende Response berechnet. Das kann jede Authenticater App genauso/besser (s.o.).
Zum Vergrößern anklicken....

Ein YubiKey ist einfach ausgedrückt ein kleiner PC (CPU, Speicher und Betriebssystem), ein USB-Stick ist ein dummes Laufwerk/Speicher. Alle Keys die vom YubiKey selbst generiert oder importiert werden kann man nicht mehr exportieren. Alle kryptografischen Berechnungen finden ausschließlich im YubiKey statt.

Das ist der große Unterschied zu Apps oder einem USB Laufwerk. Die Daten/Keys kann man dort problemlos vom Gerät/Laufwerk stehlen und verwenden, das geht bei einem YubiKey nicht. Selbst wenn ein YubiKey an einem Gerät angesteckt ist, kann man sich damit nicht gegenüber etwas autorisieren, da man das am YubiKey durch Berührung bestätigen muss.

Ich habe gerade etwas wenig Zeit, sonst könnte ich das noch alles etwas genauer/ausführlicher Beschreiben.
 
Zuletzt bearbeitet:
Helge01 schrieb:
Alle Keys die vom YubiKey selbst generiert oder importiert werden kann man nicht mehr exportieren. Alle kryptografischen Berechnungen finden ausschließlich im YubiKey statt.
Zum Vergrößern anklicken....
das ist falsch ausgedrückt, bzw. widersprichst du dir ja selber!
in dem Moment, in dem du sagst, dass du einen Yubikey "kopieren" oder anderweitig wiederherstellen kannst, stimmt deine o.g. Aussage so eben nicht mehr.

der Yubikey besteht aus mehreren "Teilen" und der "eigentliche" Teil ist eben einmalig, bzw. ist der "Secret key" fest verdrahtet und verlässt so niemals den Key, genau DAS macht einen FIDO Key aus. Diesen Teil kann man NICHT kopieren oder auch nur sichern.

WENN man sich auf DIESE Sicherheit konzentriert, dann benötigt man eben mehrere Yubikeys und muss jeden von denen bei der entsprechenden Gegenstelle "registrieren".
nimmt man nur einen Key, dann ist man verloren, wenn man den verliert.
nimmt man zusätzlich noch einen "anderen zweiten Faktor", gilt das Gesetz des schwächsten Glieds. Man kann dann immer über diesen "weniger sicheren" Faktor angreifen.

Helge01 schrieb:
Selbst wenn ein YubiKey an einem Gerät angesteckt ist, kann man sich damit nicht gegenüber etwas autorisieren, da man das am YubiKey durch Berührung bestätigen muss.
Zum Vergrößern anklicken....
ja, das ist einer der Vorteile des Yubikeys, er gibt seine Geheimnisse eben nur bei physikalischer Berührung frei, hat mit der eigentlichen Diskussion über die "Kopierbarkeit" so rein gar nichts zu tun...

Helge01 schrieb:
Ich habe gerade etwas wenig Zeit, sonst könnte ich das noch alles etwas genauer/ausführlicher Beschreiben.
Zum Vergrößern anklicken....
brauchst du nicht, ICH habe es verstanden ;)
 
  • Gefällt mir
Reaktionen: BeBur
Mickey Mouse schrieb:
in dem Moment, in dem du sagst, dass du einen Yubikey "kopieren" oder anderweitig wiederherstellen kannst, stimmt deine o.g. Aussage so eben nicht mehr.
Zum Vergrößern anklicken....
Wieso soll das nicht stimmen. Einen YubiKey selbst kann man nicht kopieren, man kann nur Keys importieren, das ist aber eine Einbahnstraße. Durch diesen Import der Keys hat man dann einen zusätzlichen YubiKey mit gleichem Inhalt.

Alle Keys die vom YubiKey selbst generiert oder importiert werden kann man nicht mehr exportieren. Alle kryptografischen Berechnungen finden ausschließlich im YubiKey statt.
Zum Vergrößern anklicken....
Was ist daran falsch oder inwiefern widerspreche ich mich da?

Bei deinem restlichen Post merkt man das du wirklich nicht weißt wie das ganze funktioniert. Es macht dann auch keinen Sinn weiter zu Diskutieren.
 
Zuletzt bearbeitet:
Mickey Mouse schrieb:
nimmt man nur einen Key, dann ist man verloren, wenn man den verliert.
Zum Vergrößern anklicken....
Wobei afair diverse Webseiten eine Deaktivierung anbieten über verschiedene Mechanismen, z.B. zeitversetzt oder per (wiederholtem) ident-verfahren.

Ich find es immer witzig, wenn Leute nicht gewohnt sind, auf gehobenem Niveau zu diskutieren, weil sie (so meine Vermutung) der größte Fisch im heimischen Teich sind. Wobei ich das sonst nur bei Diskussionen über Bitcoin kenne.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

M.B.H.
Yubikey - Fragen zur Praxis (Key + Handy), welche nirgendswo beantwortet werden
Antworten
11
Aufrufe
1.929
Andreas1402
Andreas1402
obama
Passwort Manager für 2FA nutzen - ratsam?
Antworten
14
Aufrufe
4.608
capitalguy
C
superfalse
Kabellose inEars für "heavy use" geeignet?
Antworten
5
Aufrufe
1.184
superfalse
superfalse
QuerSiehsteMehr
  • Artikel
Leserartikel Starlink in der Praxis
6 7 8
Antworten
149
Aufrufe
51.879
Lee Monade
Lee Monade
Moep89
FIDO2 mit Token - Wie sieht die Praxis aus?
2
Antworten
23
Aufrufe
6.723
BlackPanther87
B
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz