ComputerBase Menü
Aktuelles

Yubikey empfehlenswert?

Chibi88

Chibi88

Lt. Commander
Registriert
Dez. 2007
Beiträge
1.329
Hallo,

habt ihr Erfahrung mit oben genannter Lösung gemacht? Ich bin da die Tage drüber gestolpert und finde es ganz interessant. Jedoch weiß ich nicht, ob es sinnvoll ist einen anzuschaffen, weil ich schon 1Password mit 2FA TOPT nutze. Habe ich irgendeinen Mehrwert, wenn ich da noch einen Yubikey nutze?
 
  • Gefällt mir
Reaktionen: Thunfischsalat
Ist halt ein anderer Ansatz für MFA, ist er besser als eine TOTP App aufm Handy (oder ähnliches Konzept)? Wenn du es als 2FA TOTP App Ersatz nutzen willst, ist es je nach Anwendungsfall overkill.
Der Yubikey ist halt dafür ausgelegt, kryptographische Schlüssel sicher zu speichern, z.b. für SSH, Signierung von GIT commits etc. Wenn du solche Schlüssel nicht nutzt, dann eher Overkill (als Privatperson).
 
Auch wenn ich so einen USB-Key noch nicht nutze würde ich es mal so sagen:
Es dürfte einfacher sein eine Smartphone-App zu hacken als so einen spezialisierten USB-Key. Zumal man bei dem Key wahrscheinlich auch noch physischen Direktzugriff bräuchte.

Kann es aus Gründen der Sicherheit sinnvoll sein so einen USB-Key zu benutzen? Wahrscheinlich ja. Ist es für DICH sinnvoll auf diese Lösung umzusteigen? Das hängt ganz von dir und deinem Sicherheitsbedürfnis ab.
 
Chibi88 schrieb:
Jedoch weiß ich nicht, ob es sinnvoll ist einen anzuschaffen
Zum Vergrößern anklicken....
Im Übrigen mindestens zwei. Einen den du täglich verwendest, einen als Backup.
 
  • Gefällt mir
Reaktionen: Chibi88 und Tornhoof
Yuuri schrieb:
Im Übrigen mindestens zwei. Einen den du täglich verwendest, einen als Backup.
Zum Vergrößern anklicken....

Ergibt Sinn. Wie ist es mit der langlebigkeit der Sticks? Ich habe gesehen, dass die wohl wasserdicht sein sollen. Was aber ist mit Sturz und Robustheit der Sticks? Sind die sehr anfällig?
 
Ich setze den privat und im Betrieb ein.
Halte ich für sinnvoller als eine App auf dem Handy, da oft sowohl Anwendung und auch zweiter Faktor auf dem Handy liegen. Bei Verlust des Handys tut es dann auch gleich doppelt weh.
Dazu können die Sticks auch mehr als nur TOTP.
Funktioniert gut am PC und auch Mobiltelefon (auch über NFC bei manchen Sticks). Komfort leidet halt etwas da man das Ding auch griffbereit haben muss wenn man sich irgendwo anmeldet, aber wenn man Sicherheit möchte, muss man eben etwas Komfort aufgeben.
Ich hab noch keinen Stick kaputt bekommen bisher, aber auch noch nicht mit gewaschen. Wer auf Nummer sicher geben möchte kauft halt 2 und registriert beide für alle Anwendungen und legt den einen sicher weg für den Notfall.
 
Ich nutze meinen YubiKey wo es geht, z.B. Google, Twitter. Ich finde es schon empfehlenswert
 
HIER einmal ein Video, dass ausführlich darauf eingeht (Nutzen, Anwendung, System dahinter etc.)

Und TOTP ist ja nur der Einstieg. Inzwischen unterstützen immer mehr Dienste direkt die Yubikeys.

Ich nutze es auch und kann es nur empfehlen.
Da es schon vorgekommen ist: Bei der Lieferung der Keys MÜSSEN diese in der Original-Blister-Verpackung sein, ansonsten würde ich sie umgehend wieder zurückschicken (da offensichtlich schon gebraucht/manipuliert).
 
Der YubiKey ist sehr vielseitig. Ich nutze diesen zur Anmeldung (Nextcloud, WordPress, Google, Amazon, PayPal usw.) per TOTP mit Yubico-Authenticator und/oder U2F. Meine KeePassXC Passwortdatenbank wird per Challenge-Response-Authentifizierung + Passwort entsperrt. Für die Verschlüsselung von Mails sind die PGP Schlüssel auf dem Yubikey gespeichert.

Der Zugewinn an Sicherheit ist enorm! Wichtig ist, dass man mehrere mit gleichen Daten hat. Ich habe einen Sack voll in unterschiedlichen Ausführungen im Einsatz.
 
Yuuri schrieb:
Im Übrigen mindestens zwei.
Zum Vergrößern anklicken....
Jou, so hab ich es auch, wobei es bei mir sogar drei sind. Ein Nano am Monitor zuhause, einer am Schlüsselbund und einer als Backup.

Da wo es möglich ist, hinterlege ich ebenfalls lieber den Yubikey. Andere Dinge wird dann mit "Authy" gemacht. Es gibt auch den Google Authenticator, aber Authy hab ich auf beiden Smartphones sowie dem Tablet. Somit sind mehrere Möglichkeiten gegeben, dass ich immer "mal eben" eine Anmeldung durchführen kann, ohne das ich ewig suchen muss wo nun der Key oder die App (das Endgerät) ist :)

Der eine oder andere wird sich vermutlich denken "warum Authy?" um Bezug auf Sicherheit, aber mir geht es darum das nicht jeder 0815 Skript Kiddie der eines meiner mit KeePass generierten Kennwörter durch irgend etwas errät und gleich in meine Konten kommt.

Gruß, Domi

Nachtrag: Bevor ich es vergesse... meine "Lösung" ist vielleicht nicht "best practice" (ich mag diese Bezeichnung so gar nicht), aber es ist ein Kompromiss aus "Sicherheit" und "Komfort", denn jeder sagt (und viele wissen) dass Sicherheit anfängt, wo Komfort aufhört :)
 
Solange du 2FA einsetzt ist alles darüber hinaus für eine Einzelperson "nice to have", also nett zu haben aber nicht unbedingt notwendig.
 
  • Gefällt mir
Reaktionen: M-X
McClane schrieb:
Ich setze den privat und im Betrieb ein.
Halte ich für sinnvoller als eine App auf dem Handy, da oft sowohl Anwendung und auch zweiter Faktor auf dem Handy liegen. Bei Verlust des Handys tut es dann auch gleich doppelt weh.
Dazu können die Sticks auch mehr als nur TOTP.
Funktioniert gut am PC und auch Mobiltelefon (auch über NFC bei manchen Sticks). Komfort leidet halt etwas da man das Ding auch griffbereit haben muss wenn man sich irgendwo anmeldet, aber wenn man Sicherheit möchte, muss man eben etwas Komfort aufgeben.
Ich hab noch keinen Stick kaputt bekommen bisher, aber auch noch nicht mit gewaschen. Wer auf Nummer sicher geben möchte kauft halt 2 und registriert beide für alle Anwendungen und legt den einen sicher weg für den Notfall.
Zum Vergrößern anklicken....

Aber wenn ich doch ein PM habe, dann habe ich den oftmals doch nicht nur auf dem Handy, oder? Wenn ich den auch noch auf dem Desktop habe, kann ich trotzdem jederzeit auf meinen 2FA bzw TOPT zurückgreifen, oder sehe ich das falsch?
 
Wofür steht PM in diesem Zusammenhang?
Auf den Geräten ist nur die App zur Kommunikation mit dem Key, da sind selbst keine Informationen gespeichert.
Bei der meistgenutzten 2Faktorauthentifizierung kann man ein "Backup" machen in dem man sich den QR sichert bzw. den privaten Schlüssel speichert. Dann kann man bei defekt einen neuen Key mit dem QR Code versehen. Bei Verlust sollte man die Keys ja eh aus den Accounts löschen.
Als zweite Sicherheit gibt es bei fast allen Anbietern eine Liste mit Recovery Codes die man einmalig nutzen kann wenn der Key nicht mehr nutzbar ist.
 
McClane schrieb:
Wofür steht PM in diesem Zusammenhang?
Zum Vergrößern anklicken....
Ja, die lieben Leute mit der Abkürzungswut :D

Pauschal behaupte ich aber, dass PM für "Passwort Manager" steht.
 
Sicherheitsvorteil ist ja das du um z.B. deinen Passwort Manager auf dem Handy zu entsperren ein zusätzliches Gerät und wahlweise auch eine Berührung des Tokens brauchst.
Wenn beides auf dem Handy liegt kann jemand ohne weitere Unterstützung deinerseits machen was er möchte.
Darum mag ich auch die Banking Apps nicht die fast alle Banken durchdrücken wollen. Wenn jemand da das Konto leermachen will, braucht er nur das Handy zu infiltrieren um an die Pin zu kommen. Da ist 0 Sicherheit. Und die Bank gibt in dem Fall dir die Schuld, sind dann komplett aus der Verantwortung.
 
Mein key hält Smartcard für das Login bei Windows und osx- Linux und bsd muß ich noch einrichten— sowie 2fa für die wichtigsten Dienste und gpg key für Mails.

Das reicht mir derzeit.
 
Habe keinen Yubikey, sondern einen Onlykey. Grund ist bei mir, dass ich lange, Statische Passwörter für BIOS + Disc-Encryption + Passwortsafe wollte, und die ersten beiden lassen sich nicht über 2FA realisieren. Und der OnlyKey ist afaik der einzige Key, der mehrere Slots für statische Passwörter hat.

Auch erwähnenswert wäre hier Nitrokey, ist ein deutsches Unternehmen das ähnliche Devices herstellt. Sollte man aber vorher vergleichen und schauen, was einem eher zusagt von den Funktionen her.
Die Sicherheit... Naja, Nitrokey setzt zu 100% auf offene Komponenten und Firmware, Yubikey nicht. Aber ganz ehrlich? Als Privatperson ist sowas mMn. vernachlässigbar. Die Keys sind keine Devices, die irgendein Geheimdienst mal eben Online abgrasen könnte, da muss man Physikalisch Zugriff haben. Insofern würde ich den Punkt ignorieren.

Prinzipiell aber sonst, was schon geschrieben wurde: 2FA ist ein großer Zugewinn, speziell für wichtigere Accounts, die man ungerne verlieren will bzw. wo man ungerne Spam an Freunde/Verwandte verschicken will. Mail, ggf. Facebook, Twitter, Google, ... wären so Beispiele. Welches Verfahren genau benutzt wird - egal welches ist in der Regel besser als gar keins :)
Nur dran denken, aber wurde ja schon erwähnt: Backup. Backup-Codes die man vom Anbieter kriegt, zweiter Key den man zB bei den Eltern ablegt oder im Bankschließfach, falls man sowas hat.
 
Ich habe mich noch nicht mit "yubikeys" beschäftigt bisher. Wenn ich eine Keepass-Datenbank habe, diese mit einem Keyfile sichere und dieses Keyfile dann auf einen USB-Stick kopiere, um damit meine Datenbank zu entsperren; hab ich dann nicht auch nen einfachen "yubikey"? Wie geschrieben, hab mich noch nicht damit beschäftigt, les nur hier und da davon. Werd mich aber mal dieser Tage schlauer machen, was es damit auf sich hat.
 
Oli_P schrieb:
hab ich dann nicht auch nen einfachen "yubikey"
Zum Vergrößern anklicken....
Nein. Das sind zwei völlig verschiedene Sachen. Ein USB-Stick ist nur ein dummer Speicher worauf in deinem Fall ein statisches Keyfile gespeichert ist. Dieses kann jederzeit kopiert werden, damit ist der Missbrauch äußerst einfach.

Eine Smartcard / YubiKey ist ein kleiner PC mit Prozessor RAM und OS. Kritische Private Keys werden direkt selbst in der Smartcard erstellt und verlassen sie auch nie. Maximal kann man die Smartcard zurücksetzen / Löschen aber normalerweise nicht auslesen. Alle kryptographischen Berechnungen finden in dem kleinen PC innerhalb der Smartcard statt.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Oli_P
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

G
Google Authenticator unsicher? – Welche Authenticator-App für Android empfehlenswert?
Antworten
10
Aufrufe
926
Ironbutt
Ironbutt
Amiga500
Fractal Define 7 Midi Tower 2 zusätzliche Lüfter am Deck empfehlenswert?
Antworten
12
Aufrufe
523
Vigilant
Vigilant
A
Palit Geforce RTX 5070 ti Empfehlenswert und wie findet ihr den Deal bei Mindfactory?
2
Antworten
21
Aufrufe
1.843
Christi
Christi
S
Sind die O&O Apps empfehlenswert?
2
Antworten
26
Aufrufe
2.497
Ranayna
Ranayna
A
MSI PRO B650-A WIFI Empfehlenswert?
Antworten
9
Aufrufe
1.018
ichbinreal
ichbinreal
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 170 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz