Yubikey Beratung

[Retrocloud]

Hi,
Spiele momentan mit dem gedanken mir einen Yubikey zu kaufen. Mir ist schon klar das er ein wenig Overkill ist für Privatanweder jedoch habe ich Lust ihn auszuprobieren.

- Bin bei mailbox.org und da kann man ihn ebenfalls benutzen jedoch steht da nur für Login im Webinterface - soll das bedeuten Thunderbird ect. klappt dann nicht im zusammenhang?

- Microsoft Kontos klappen auch jedoch frage ich mich wie sieht ein Windows Login aus mit Microsoft Konto - klappt das einwandfrei?

Das wären erstmal 2 sehr wichtige dinge alles andere ist dann nebenbei. Danke.

Edit: Wenn man sich in die Konten am Smartphone einloggen möchte muss man nicht jedesmal Yubikey reinstecken oder? Das klappt via. NFC richtig?

Edit2: Mailbox hat vor kurzem auch mal eigene Yubikeys angeboten wo glaube ich eine Mailbox.org cloud benutzt wird anstatt Yubi-Cloud - Ist das irgendwie relevant? Besser oder schlechter?

 

[madmax2010]

Das klappt via. NFC richtig?

Kommt drauf an was du damit meinst. NFC ist nur fuer OTB da - U2F ist darueber nicht verfuegbar.
Wo verfuegbar, solltest du auf U2f setzen. Fuer anwendungen die du auf dem handy nutzen willst, solltest du App Passwoerter nutzen.

 

[Tunguska]

Alle deine Fragen werden auf der Website von Yubico beantwortet (oder für die, die lieber Videos schauen, auf Youtube).

• Overkill ist das nicht, sondern eine höhere Sicherheitsstufe (z.B. für PayPal kann es nicht sicher genug sein)
• Es gibt verschiedene Authentifizierungsmethoden - siehe Yobico Website - und Unternehmen, die bestimmte Verfahren unterstützen (s. Dropbox). Wie das funktioniert, zeigen die Anleitungen
• Microsoft funktioniert - hat aber bestimmte Voraussetzungen (Onlinekonto etc.)
• für das Smartfone geht beides - wenn der Key NFC unterstützt (und das sind 2 vonm 6)
• du brauchst keine Cloud zu nutzen - siehe Yobico Website.

Ein gutes Einstiegsvideo: HIER

 

[wupi]

U2F ist darueber nicht verfuegbar.

Doch das geht auch über NFC.

https://www.yubico.com/authentication-standards/fido-u2f/

 

[VirusA87]

- Bin bei mailbox.org und da kann man ihn ebenfalls benutzen jedoch steht da nur für Login im Webinterface - soll das bedeuten Thunderbird ect. klappt dann nicht im zusammenhang?

Man kann beides nutzen aber mit Einschränkung.
Thunderbird, oder auch jeder andere Client, nutzt ja das smtp protokoll, wo sowas wohl nicht vorgesehen ist.
Dafür richtet man ein separates Passwort ein was unabhängig davon läuft und keine extra Sicherheit bietet. Dafür kannst du über diesen Weg im "Worst Case" Fall (Key defek ohne reseve, Gedächnisverlust Pin vergessen nirgens notiert etc.) , den Support ereichen um wieder an dein Konto zu kommen.
Oder du wählst die höchste Sicherheit und deaktivierst smtp (ist einfach der Schwachpunkt), gehst nur noch über das Portal rein, was aber im Worst Case zum verlust des Kontos und deiner Daten führt.

 

[snaxilian]

jedoch steht da nur für Login im Webinterface - soll das bedeuten Thunderbird ect. klappt dann nicht im zusammenhang?

Korrekt. Für Anwendungen gibt es bei vielen Diensten anwendungsspezifische Kennwörter wobei genau genommen sind es Kennwörter für diese Installation der Anwendung auf einem spezifischen Gerät. Das Kennwort für Thunderbird am PC würde also nicht funktionieren mit $Mail-Anwendung auf $Smartphone. Da wo kein regelmäßiger Anwendungsspezifischer Zugriff erfolgt, sprich beliebiger Browser von unterwegs aus, kommt dann der 2FA/MFA zum Einsatz.

wie sieht ein Windows Login aus mit Microsoft Konto

https://support.microsoft.com/en-us...rity-key-800a8c01-6b61-49f5-0660-c2159bea4d84

Mailbox.org [...] Ist das irgendwie relevant?

Nein.

Generell ein paar Worte/Tipps zu 2FA/MFA:

• Hebe die Backup-Codes bei der Einrichtung sehr gut auf
• Mache Kopien davon
• Bewahre diese an verschiedenen sicheren Orten auf
• Machst du nix davon und der Yubikey geht kaputt oder verlierst du diesen dann sind auch die damit gesicherten Accounts weg bzw. der Zugriff darauf
• Optional direkt nen zweiten Yubikey kaufen und einrichten als weiteren Faktor
• du willst nicht jedes Mal wenn du $Mailclient startest, den Key anstecken, etc. Bei Systemen unter eigener Kontrolle die man weiter absichern kann, sind individuelle App-Kennwörter eine sehr gute Sache. Bei potentiell unsicheren Systemen oder Systemen unter fremder Kontrolle dann eben 2FA/MFA für den Login

 

[Retrocloud]

Mein Yubikey ist heute angekommen, taste mich langsam ran hat ja Zeit.

2 Fragen habe ich dennoch

Der Yubikey Authenticator am Android will sich irgendwie nicht so recht mit dem Yubikey per NFC verbinden.

Ist ein Google Pixel 4a 5G, Updates aktuell und NFC aktiv auch die Location vom NFC Modul kenne ich.

2 Frage wäre Twitter funktioniert einwandfrei zum einrichten dort muss man jedoch zwingend 2 Methoden aktiviert lassen, also Security Key und zb. per App authentifizieren.

Wenn man sich am Handy anmelden möchte bei Twitter kann man zwischen den beiden Methoden wählen, wähle ich jedoch Security Key, passiert nix. Ich möchte mich bei Twitter zb. per NFC am Smartphone anmelden.

Den Key reinstecken ins Handy möchte ich gänzlich umgehen, dieser soll permanent im PC bleiben.

 

[snaxilian]

Du hast auch ganz sicher einen Yubikey mit NFC gekauft? Nicht jeder Yubikey hat NFC...

 

[Retrocloud]

Edit: Hat sich erledigt. Man muss ihn tatsächlich ausstecken.

Auch nicht so schlimm da ich wahrscheinlich eh bald einen 2 als Backup besorgen werde. Diesen kann man dann nebenbei extern benutzen.

Edit2: Für diejenigen die nur einen Yubikey benutzen wollen habe ich noch eine Antwort. Man kann den Yubikey trotzdem immer im PC stecken lassen und sofern der PC ausgeschaltet ist und USB stromversorgung im UEFI deaktiviert ist wenn der Rechner heruntergefahren ist funktioniert NFC einwandfrei, also man braucht nicht ständig ein/aus stecken.