Yubikey empfehlenswert?
- Ersteller Chibi88
- Erstellt am
- Registriert
- Dez. 2007
- Beiträge
- 1.329
Ich habe mir jetzt einten geholt, auch, weil ich bald noch mal eine Ausbildung im IT Bereich starte. Ich muss sagen, dieser Key ist mit Fido2 bzw webauth echt mega. Gerade bei Microsoft, 1Password, GitHub und Boxcryptor kann man den gut nutzen. Leider ist das Protokoll(?) noch nicht so verbreitet und die meisten Anbieter setzen noch auf TOPT.
Login mit Handy dauert bei TOPT Diensten auch länger, da ich in die Auth App muss und per NFC scannen muss. Ist jetzt nicht die Welt, aber wenn man sich öfters in Foren zB einloggt merkt man das schon im Gegensatz zu einem password manager, wo 2Fa gespeichert ist und automatisch ausgefüllt wird.
Gibt es Pläne oder ist abzusehen ob in naher Zukunft mehr Dienste auf u2F oder Fido2 setzen?
Login mit Handy dauert bei TOPT Diensten auch länger, da ich in die Auth App muss und per NFC scannen muss. Ist jetzt nicht die Welt, aber wenn man sich öfters in Foren zB einloggt merkt man das schon im Gegensatz zu einem password manager, wo 2Fa gespeichert ist und automatisch ausgefüllt wird.
Gibt es Pläne oder ist abzusehen ob in naher Zukunft mehr Dienste auf u2F oder Fido2 setzen?
Oli_P
Rear Admiral
- Registriert
- Mai 2006
- Beiträge
- 5.257
Und mit sowas kann man seine Keepass-Datenbank entsperren? Muss mich echt mal damit beschäftigen, wäre interessant für die Arbeit. Wenn ich das Programm starte sehe ich halt das Masterpasswort, die Schlüssel-Datei und das Windows-Benutzerkonto als Anmelde-Optionen. Man kann diese einzeln oder auch kombiniert nutzen.
Oli_P
Rear Admiral
- Registriert
- Mai 2006
- Beiträge
- 5.257
Interessant 
Ich glaub sowas bestell ich mir auch mal. Das Master-Passwort bei Programmen wie Keepass ist DIE Schwachstelle. Wenn ich den Text richtig verstehe, kann man mit einem Yubikey ein starkes Master-Passwort nutzen, ohne dieses kennen zu müssen.
edit: Ich habe grad was über Yubikey gelesen und es stört mich ehrlich gesagt: Yubikey soll nicht Open Source sein. Das heisst, es kann nicht auf Schwachstellen oder Hintertüren geprüft werden von unabhängiger Stelle. Sowas mit dem quelloffenen Keepass zu nutzen, würd ich dann als kontraproduktiv bezeichnen. Ich hab mal nach Alternativen gesucht und SoloKeys gefunden. Das soll Open Source sein und ist auch günstiger als Yubikey. Nur weiss ich nicht, ob das auch mit Keepass funktionieren würde.
Ich glaub sowas bestell ich mir auch mal. Das Master-Passwort bei Programmen wie Keepass ist DIE Schwachstelle. Wenn ich den Text richtig verstehe, kann man mit einem Yubikey ein starkes Master-Passwort nutzen, ohne dieses kennen zu müssen.edit: Ich habe grad was über Yubikey gelesen und es stört mich ehrlich gesagt: Yubikey soll nicht Open Source sein. Das heisst, es kann nicht auf Schwachstellen oder Hintertüren geprüft werden von unabhängiger Stelle. Sowas mit dem quelloffenen Keepass zu nutzen, würd ich dann als kontraproduktiv bezeichnen. Ich hab mal nach Alternativen gesucht und SoloKeys gefunden. Das soll Open Source sein und ist auch günstiger als Yubikey. Nur weiss ich nicht, ob das auch mit Keepass funktionieren würde.
Zuletzt bearbeitet:
Oli_P
Rear Admiral
- Registriert
- Mai 2006
- Beiträge
- 5.257
Ja, du kannst Keepass auch alleine mit einem Keyfile nutzen. Ob das bei 1Password möglich ist, weiss ich nicht. Ich weiss auch grad nicht, wie 1Password funktioniert (aber das ist doch was mit Cloud?). Keepass nutzt man halt gewöhnlich offline. Aus meiner Sicht und auch Sicht andere Leute ist es wiedersprüchlich sein wichtiges Gut, die Passwort-Datenbank, einem Online-Dienst anzuvertrauen. Egal, wie sicher dieser Dienst (angeblich) ist. Behälst du die Datenbank offline, hast nur du die Kontrolle darüber. Bei Keepass klickst du beim anmelden halt alles ausser die Schlüsseldatei weg und dann kannst du dich einloggen. Musst dem Programm natürlich den Pfad zur Keyfile verraten (kann ein USB-Stick sein z.B. => nicht auch die Keepass-Datenbank auf demselben USB-Stick speichern!). Aber dein Rechner muss dann über ein persönliches Windows-Konto verfügen, auf dem nur du Zugriff hast und du sperrst den Rechner oder fährst in runter, wenn du diesen nicht nutzt Wenn du das nicht so machst, dann nutz noch zusätzlich ein Master-Passwort.
Das mag ich übrigens sehr an Keepass. Es ist ziemlich flexibel, auch beim Anmelde-Prozess. Einen der 3 Anmelde-Optionen musste mindestens nutzen. Du kannst aber noch eine weitere oder wenn du willst, auch alle 3 gleichzeitig nutzen (sinnvoll?). Ich nutze Keepass privat anders als an der Arbeit.
Prinzipiell gefällt mir das Yubikey-Prinzip. Aber ich hab ein Problem damit, dass Hardware und Software Closed Source sind. Und die Dinger kommen aus Amiland. Ich hätt da lieber was quelloffenes für diese Zwecke. Deswegen bin ich auf Solokeys gestossen. Die sind aus Italien, wenn ich das richtig verstanden habe. Und ihre Hardware und Software haben keine Geheimnisse, nur die persönlichen Daten sind das Geheimnis. So werben sie zumindest. Aber ich glaub, man kann mit einem Solokeys nicht das Master-Passwort bei Keepass ausfüllen lassen. Das kann der Yubikey aber. Find ich ein Killer-Feature. Nie mehr Master-Passwort eingeben, nur noch bei Bedarf die Autotype-Tasten von Keepass drücken. Deswegen verzichte ich zur Zeit unter Umständen auf das Master-Passwort und setze nur auf die Keyfiles. Master-Passwort tippen ist lästig Der nächste logische Schritt für mich ist, auf Geräte wie Yubikey oder ähnliches zu setzen.
Wenn du das nicht so machst, dann nutz noch zusätzlich ein Master-Passwort.Das mag ich übrigens sehr an Keepass. Es ist ziemlich flexibel, auch beim Anmelde-Prozess. Einen der 3 Anmelde-Optionen musste mindestens nutzen. Du kannst aber noch eine weitere oder wenn du willst, auch alle 3 gleichzeitig nutzen (sinnvoll?). Ich nutze Keepass privat anders als an der Arbeit.
Prinzipiell gefällt mir das Yubikey-Prinzip. Aber ich hab ein Problem damit, dass Hardware und Software Closed Source sind. Und die Dinger kommen aus Amiland. Ich hätt da lieber was quelloffenes für diese Zwecke. Deswegen bin ich auf Solokeys gestossen. Die sind aus Italien, wenn ich das richtig verstanden habe. Und ihre Hardware und Software haben keine Geheimnisse, nur die persönlichen Daten sind das Geheimnis. So werben sie zumindest. Aber ich glaub, man kann mit einem Solokeys nicht das Master-Passwort bei Keepass ausfüllen lassen. Das kann der Yubikey aber. Find ich ein Killer-Feature. Nie mehr Master-Passwort eingeben, nur noch bei Bedarf die Autotype-Tasten von Keepass drücken. Deswegen verzichte ich zur Zeit unter Umständen auf das Master-Passwort und setze nur auf die Keyfiles. Master-Passwort tippen ist lästig
Der nächste logische Schritt für mich ist, auf Geräte wie Yubikey oder ähnliches zu setzen.
Zuletzt bearbeitet:
DrCox1911
Lieutenant
- Registriert
- Juni 2018
- Beiträge
- 634
Oli_P
Rear Admiral
- Registriert
- Mai 2006
- Beiträge
- 5.257
Auf der Nitrokey-Webseite steht folgendes:
Mich würde der Einsatz statischer Passwörter interessieren, das wäre dann im Falle von Keepass das Master-Passwort, oder? Auf der Keepass-Webseite steht wegen Yubikey, dass man erstmal einen Text-Editor öffnen und dann den Knopf vom Yubikey drücken soll. Es würde dann ein Passwort ausgespuckt, welches man als Master-Passwort in Keepass verwenden kann (hier die Erklärung von der Webseite). Wenn der Nitrokey das kann, würde ich tatsächlich sowas kaufen. Mich interessiert nur diese Funktion.
Mich würde der Einsatz statischer Passwörter interessieren, das wäre dann im Falle von Keepass das Master-Passwort, oder? Auf der Keepass-Webseite steht wegen Yubikey, dass man erstmal einen Text-Editor öffnen und dann den Knopf vom Yubikey drücken soll. Es würde dann ein Passwort ausgespuckt, welches man als Master-Passwort in Keepass verwenden kann (hier die Erklärung von der Webseite). Wenn der Nitrokey das kann, würde ich tatsächlich sowas kaufen. Mich interessiert nur diese Funktion.
Thunfischsalat
Lieutenant
- Registriert
- März 2012
- Beiträge
- 836
Ich schließe mich der Sache an.
Momentan nutzt ich KeepassXC am PC und am Handy KeepassDX.
Dabei liegt die Schlüsseldatei auf dem Gerät selber, was dann ein wenig witzlos ist und nur beim Abfangen der Datenbank aus dem Netz hilft. Da wäre der Nitrokey mit NFC eine willkommene Alternative. Zudem wäre er günstiger als die Yubikeys aus den USA.
Gerade schmerzhaft erfahren das mein /e/os ohne mein zutun meine kompletten Daten hochgeladen hat. Das hätte dann nicht nur meine Datenbank, sondern auch meine Schlüsseldatei betroffen.
Momentan nutzt ich KeepassXC am PC und am Handy KeepassDX.
Dabei liegt die Schlüsseldatei auf dem Gerät selber, was dann ein wenig witzlos ist und nur beim Abfangen der Datenbank aus dem Netz hilft. Da wäre der Nitrokey mit NFC eine willkommene Alternative. Zudem wäre er günstiger als die Yubikeys aus den USA.
Gerade schmerzhaft erfahren das mein /e/os ohne mein zutun meine kompletten Daten hochgeladen hat. Das hätte dann nicht nur meine Datenbank, sondern auch meine Schlüsseldatei betroffen.
Ähnliche Themen
