Yubikey duplizieren

[time-machine]

Hey,

habe mir 2x Yubikey 5 zugelegt, dabei habe ich den ersten schon soweit für alle meine accounts eingerichtet.
Soweit so gut, wie gehe ich nun am besten mit dem 2 Yubikey vor? über das Yubikey Personalization tool, gibt es die möglichkeit, unter dem Reiter "Static Password - Programm in Static Password" Program multiple keys with fixed Parameter.
Dort schreibe ich den ersten Yubikey, entferne den ersten Yubikey und schreibe die informationen, Private und secret Key auf den 2. Yubikey, soweit richtig?



Dann geht es weiter mit Yubikey OTP, auch unter advanced, dort unter program multiple keys, habe ich folgende Auswahl increment identity, randomized secrets oder randomize all parameters oder indentify from serial randomize secrets, welches wäre die richtige option um 2. identische Yubikey zu bekommen?

Ich habe das so verstanden, wenn die Keys idtentisch sind, brauche ich in meinen Accounts keine 2 Passkeys, andernfalls müsste ich 2 Keys anlegen. Sollte ich einen Key verlieren oder der Key geht defekt, habe ich noch ein Backup, allerdings wüstte ich ganz gerne wie die vorgehensweise, gerade bei OTP ist, denke bei dem Reiter Static password, habe ich das soweit verstanden, das man den secret und die private identity, vom ersten Yubikey auf den 2. Yubikey überträgt.

 

[tollertyp]

Wenn es um Backups geht, würde ich schauen, dass die zu sichernden Dinge (Passkeys, TOTP-Secrets) nicht exklusiv auf den Ubikeys gespeichert sind.
Ob das für Passkeys geht, keine Ahnung.

 

[time-machine]

Die Secrets habe ich gesichert, meine Frage bezieht sich darauf, mit dem 2. key den Zugang zu erhalten,der bereits aktiv mit dem ersten yubikey erstellt wurde.

 

[CoMo]

Warum so kompliziert? Richte den zweiten Yubikey einfach als zusätzlichen Authenticator bei deinen Diensten ein.

 

[time-machine]

Richte den zweiten Yubikey einfach als zusätzlichen Authenticator bei deinen Diensten ein.

kompliziert eigentlich nicht, ich wollte mir einfach den weg sparen, einen 2. Passkey einzurichten und die informationen aus dem ersten key, auf den 2. übertragen.

 

[CoMo]

Du kannst den privaten Schlüssel aus einem Yubikey nicht auslesen. Das ist genau der Sinn solcher Hardware-Token. Den kannst du also nicht "duplizieren".

Es sei denn, die Firmware deiner Keys ist anfällig. Dann kannst du dich mit viel Zeit, Know-How und teurem Elektronik-Equipment damit beschäftigen https://heise.de/-9856972.

 

[msgt]

Da hat ja Mal jemand den Sinn bzw. Das Konzept von Hardware-Schlüsseln so gar nicht verstanden, wenn man die Dinger einfach duplizieren könnte wären sie unsicher und man bräuchte sie gar nicht erst.

 

[tollertyp]

Ich kann dein Anliegen (also das Ziel) ja durchaus verstehen.
Und um das Ergebnis zu erreichen, müsste ja nicht mal "ausgelesen" werden, wenn die Personalization-Software dafür gemacht wäre (oder halt die Software, die dafür verantwortlich ist, dass ein neuer Passkey auf dem Yubikey landet). Dazu müsste sie die Passkeys halt selbst bei sich nochmals lokal halten, oder zumindest die Möglichkeit dafür anbieten. Und das bezweifle ich halt.

Man kann natürlich argumentieren: Erzeuge halt jeden Passkey zwei Mal. Das mag bei den gefühlt zwei Seiten, wo man Passkeys verwenden kann heutzutage noch zumutbar sein. Wenn sie sich aber wirklich mal stärker verbreiten, dann ist das um so ärgerlicher, denn Passwörter kann man sich vielleicht merken, Passkeys nicht, gerade da ist ja ein Hardware-Schlüssel um so charmanter.

 

[time-machine]

Da hat ja Mal jemand den Sinn bzw. Das Konzept von Hardware-Schlüsseln so gar nicht verstanden

Da hat ja mal jemand das Konzept von Internet foren so gar nicht verstanden.
Solche Leute wie dich mögen wir besonders, nichts beitragen, und sich als Problemlöser darstellen.

Das mag bei den gefühlt zwei Seiten, wo man Passkeys verwenden kann heutzutage noch zumutbar sein

Genau darum ging es, falls es sich vermeiden ließe mehrere keys zu hinterlegen. Wenn sich die zu sichernden Seiten häufen, ist es zeitaufwendig, durch otp würde man ja sowieso nicht jedes mal dasselbe Passwort vergeben.

 

[msgt]

War es dir nicht deutlich genug?! Man kann die Key's nicht duplizieren auch die auf dem Key gespeicherten Passkey's lassen sich nicht (nutzbar) kopieren da auch diese mit dem "privat key" des Hardware Schlüssel verknüpft sind.
Und der Privat Key eines Hardware Schlüssel lässt sich nicht auslesen und somit auch nicht Kopieren.
Auch der Hersteller selbst kann das nicht, es gibt also auch keine Software die das kann. Wenn das nicht der Fall wäre, wäre das Teil nichts weiter als ein "fancy USB Stick"

https://de.wikipedia.org/wiki/Security-Token
https://de.wikipedia.org/wiki/Asymmetrisches_Kryptosystem

edit: nur für den fall das es immer noch nicht klar ist, es bleibt dir nichts anderes übrig als einen weiteren Passkey mit dem zweiten Yubikey in jedem Account zu erstellen.

 

[tollertyp]

Und um es nochmal zu sagen:
Es spielt für sein Anliegen an und für sich keine Rolle, ob man die Passkeys auslesen kann von dem Gerät - wenn er selbst steuern könnte, welche Passkeys auf dem Gerät landen.

Angenommen er würde seine Passkeys mit Bitwarden erzeugen, da kann man seine Passkeys exportieren, dann würde der Passkey auch funktionieren, wenn man ihn nur importiert... aber geht das? Keine Ahnung.

Anbei ein Screenshot meines Exports:

Ich verstehe nicht, wieso sich hier so sehr auf das Extrahieren von Passkeys aus dem YubiKey konzentriert wird, würde das gehen, wäre das eine Möglichkeit das Zielbild zu erreichen, aber das geht aus verständlichen Gründen halt nicht. Dann sollte man fragen: Wie kann man das Ziel dennoch erreichen?

 

[Domi83]

Da hat ja Mal jemand den Sinn bzw. Das Konzept von Hardware-Schlüsseln so gar nicht verstanden, wenn man die Dinger einfach duplizieren könnte wären sie unsicher und man bräuchte sie gar nicht erst.

War es dir nicht deutlich genug?!

Dein Ton macht einfach die Musik! Allerdings ist es im Internet auch schwer zu deuten, wie der Ton aus deiner Sicht war.

Da hat ja mal jemand das Konzept von Internet foren so gar nicht verstanden.

Einfach nicht beirren lassen, hier mag es eventuell eine unterschiedliche Auffassung und Interpretation der Aussage sein. Auf den ersten Blick ist das aber auch eine Aussage von der Person, die mich nervt, auch wenn die Person es gar nicht so meint. Doch dank irgend eines Programmierers wurde irgendwann mal die "Blockieren" oder "Ignorieren" Funktion in Forensystemen etc. eingebaut und die verschafft einem schon Ruhe

Zu deinem Thema zurück... das primäre Anmeldeverfahren welches bei den Keys aktiviert ist (wenn du ihn nicht umgestellt hast) dürfte so ein WebAuthO / FIDO2 sein (bin jetzt kein Crypto Experte etc., korrigiert mich hier) und dieses sieht halt vor, dass dein privater Schlüssel NUR auf dem Key drauf liegt. Macht ja auch Sinn, finde ich.

Aufgrund von "Backup", habe ich mir damals drei Keys (nur für mich) gekauft. Einen den ich immer bei mir habe, einen Nano der eventuell an einem Gerät immer dran ist (buhu, Sicherheit, ja ja) und einen dritten für Backup.

Ich entsperre damit z.B. meinen Bitwarden und mein KeePassXC (Challange Response). Im Bitwarden sind alle drei Keys einzeln hinterlegt / registriert. Was diesen Challange Response für KeePassXC angeht, DEN wiederum konnte ich duplizieren und auf alle Keys verteilen. Somit habe ich für meinen Bitwarden als auch die KeePassXC Datenbank Redundanzen.

Allerdings verwende ich den YubiKey aktuell eher als 2FA und nicht als Passkey um "Pass-Less-Auth" durchführen zu können. Ich muss also bei den meisten Systemen einen Benutzer + Kennwort eingeben und habe dann einen TOTP oder meinen YubiKey.

Einzig das Google Konto nervt mich noch... hier sind die mobilen Endgeräte immer ein Passkey sowie auch die Yubikey. Das wollte ich abändern, aber die im Konto hinterlegten mobilen Endgeräte, ließen sich bisher nicht als Passkey entfernen. Wer also mal mein Handy hat, meinen Pin aushebelt, hat auch Zugang zu meinem Google Konto.

Am Ende ist es aber auch eine Frage des Risikos sowie des Impact der entstehen kann... das kann man nur selbst beantworten. Ist man nun der 0815 Dude, ist das eine oder andere eventuell übertrieben. Ist man nun aber jemand mit höchster Sicherheitsstufe bei einem Nachrichten- oder Geheimdienst, oder einer anderen Institution, muss man das anders bewerten.

 

[hoffi.confusion]

Hallo Ihr,

dieses Thema muss ich nochmal herholen, weil es nach meiner Einschätzung noch einer Klarstellung bedarf.

Statt der Idee einen Yubikey zu duplizieren sollte (so habe ich es zumindest verstanden):

• ein zweites Verfahren oder ein zweiter Yubikey bei den jeweiligen Anwendungsfällen registriert werden
• und/oder die QR-Codes für die Erstellung von Einmal-Codes gut gesichert und aufbewahrt werden

Allerdings bezog sich time-machine auf die Nutzung des "Yubikey Personalization tool", welches laut dieser Seite explizit das Duplizieren eines Yubikeys unterstützt:
https://znil.net/index.php/Zwei_oder_mehr_identische_YubiKey_erstellen
Dieses "Yubikey Personalization tool" läuft (erst?) zum Februar 2026 aus.

Deshalb würde ich für das allgemeine Verständnis gerne noch wissen, was denn mit dem "Yubikey Personalization tool" (bis zum Februar 2026) überhaupt auf den Key geschrieben wird/wurde?
Ich vermute mal, es handelt sich um eine alte Vorgehensweise, die nicht mehr aktuell ist?

 

[nurmalsoamrande]

Ein zentrales Sicherheitsmerkmal eines jeden Securitykeys, egal, ob es ein Yubikey, Nitrokey, Tolken2, Thetis oder oder oder ist, ist, dass der Key NICHT kopierbar ist.

Wenn es dir gelingen würde, deinen Yubikey zu kopieren, du das Verfahren heute bei ExpolitDB veröffentlichst, wäre Yubico schon morgen out-of-buisness.

Du musst jeden Key zwingend einzeln bei jedem Dienst registrieren, wo du den Key nutzen möchtest. Das EINZIGE Backup für einen Securitykey ist ein zweiter Securitykey, den du (durchaus im selben Atemzug in Serie hintereinander weg) regsitrierst.

Ein Yubikey beherrscht mehrere unterschiedliche Authentifizierungsstandards.. Ebenso können die Keys mit Passwörtern/Pins oder auch Fingerabdrücken (Wenns z.B. der Yubikey Bio ist) abgesichert werden. Dafür ist das Yubikey Personalization tool da.
Und das ist, was das Tool dann auch bulkweise auf andere Keys übertragen kann. Das ist zum Beispiel interessant, wenn du tatsächlich den Yubikey Bio verwendest, wo du den Fingerabdruck zur Freigabe brauchst.

Da macht es Sinn, dass du auf einem Key z.B. die Fingerabdrücke von dir, deiner Frau und deinen 2 Kindern registrierst und diese Informationen (Und auch NUR diese) dann auf die 6 anderen Keys überträgst.
Oder das du bulkweise die NFC-Funktionalität des Keys abschaltest, weil du willst, dass jeder Key tatsächlich in den USB-Port gesteckt werden muss.

Das du einmal einen Key einrichtest und dir dann N viele Kopien des selben Keys erstellst, ist ein Missverständnis der Funktionen des Tools.

 

[hoffi.confusion]

Das EINZIGE Backup für einen Securitykey ist ein zweiter Securitykey, den du (durchaus im selben Atemzug in Serie hintereinander weg) regsitrierst.

Nun ja, so einfach ist ja tatsächlich nicht. Wenn ich bei einem bestimmten Anbieter zwei Securitykeys registriere, hat das nach meinem Verständnis rein gar nichts mit einem Backup des Securitykeys zu tun, sondern es handelt sich "lediglich" um eine zweite Zugangsmöglichkeit zu genau diesem einen Anbieter. Und dafür brauche ich eben nicht zwingend zwei Securitykeys sondern lediglich zwei getrennte Verfahren, die den Zugang zu eben diesen einen Anbieter ermöglichen. Insofern würde ich es so zusammenfassen:
Es ist grundsätzlich überhaupt nicht möglich ein Backup (im klassichen Sinn) von einem Securitykey zu erstellen. Vielmehr muss dafür Sorge getragen werden, dass für jeden einzelnen Anbieter eine Redundanz vorhanden ist, falls der Securitykey verloren oder defekt geht.
Also weg von der Denkweise eines Backups, hin zur Denkweise von redunanten Anmeldemöglichkeiten bei jedem einzelnen Anbieter.

Aber das war ja gar nicht meine Frage. Meine Frage war:

Deshalb würde ich für das allgemeine Verständnis gerne noch wissen, was denn mit dem "Yubikey Personalization tool" (bis zum Februar 2026) überhaupt auf den Key geschrieben wird/wurde?

Welche Daten kann denn dieses Yubikey Personalization tool (bis zum Februar 2026) "bulkweise auf andere Keys übertragen", wie Du es ausdrückst.

Deiner Antwort entnehme ich, dass dies die Konfigurationsdaten des Keys selbst betrifft (Passwort/PIN, ggf. Fingerprint, NFC an/aus). Habe ich das so richtig verstanden?

 

[Oli_P]

Genau so ist es... du hast 2 Yubikeys und spielst exakt dieselben Informationen drauf ein. Was einmal im Yubikey drin ist, kann man nicht extrahieren, z.B. um ein Backup zu erstellen. Du kannst aber auch z.B. mit Passkeys arbeiten, wie hier im Forum, und dann legst du auf jeden Hardwareschlüssel einen neu erstellten Passkey ab. Sind nicht dieselben Passkeys, aber du hast dann 2.
Ich weiss auch nicht, was wegen dem Personalization Tool gemeint ist. Damit präpariert man einen Yubikey und drauf gespeicherte Zugangsdaten kannste nicht anzeigen lassen oder rauskopieren. Hab das schonmal genutzt, nutze aber lieber Yubico Authenticator.