Yubikey - Sicherheitsbedenken, Erfahrungen, Tipps

[steven_84]

Hallo ihr Lieben.

Seit 1 Monat besitze ich 2 Yubikey's (1 als Backup natürlich). Was dieser kann usw. ist soweit klar und wurde auch schon in einer
VM zwecks meines Use-Cases getestet und ja, er macht was er soll. Dennoch werde ich damit irgendwie nicht warm.
Die Suchfunktion hier wurde genutzt, jedoch konnte nichts im nachfolgenden Fall gefunden werden.
Aber der Reihe nach:

IST-Zustand:

• Linux-Laptop mit LUKS-Vollverschlüsselung (Passwort) + Benutzeranmeldung (Passwort)
• KeePassXC-Datenbank -> Master-Passwort + Schlüsseldatei

SOLL-Zustand:

• angedacht war zuerst LUKS nur mit dem Yubikey zu entsperren.​

Im falle des Vergessens des Passwortes, aus welchen Gründen auch immer, wäre der Zugriff dennoch gewährleistet.
-> ABER: Sobald jemand sowohl das Gerät (Laptop) als auch den Yubikey hätte ..., naja, könnt ihr euch ja denken.

Somit soll das jetzige Passwort auf jedenfall beibehalten werden aber zusätzlich in Verbindung mit einem 2. Passwort + Yubikey via Challenge-Response.
In der VM funktionierte das sowohl mit dem bisherigen Passwort als auch mit dem 2. Passwort + Yubikey.

---

• Für KeePassXC soll das Master-Passwort + Schlüsseldatei beibehalten werden.

-> zusätzlich als 3. Faktor den Yubikey, ebenfalls via Challenge-Response.

Da beim Yubikey der 1. Slot vorkonfiguriert ist mit Yubico-OTP, wurde testweise der 2. Slot sowohl für LUKS als auch für KeePassXC verwendet.
Es funktioniert zwar aber beide teilen sich den gleichen Secret-Key -> Von der Sicherheit her wohl bedenklich?

Da Yubico-OTP und deren Cloud nicht verwendet wird/werden soll, könnte man den 1. Slot des Yubikey für LUKS und den 2. Slot für KeePassXC nutzen. Somit wären es zumindest schonmal unterschiedliche Secrets.

ABER:
Wenn nun weitere LUKS und KeePassXC-Datenbanken hinzukommen würden? Dann werden wieder gleiche Secret-Keys geteilt.

In einem anderen Forum wurde dies auch kund getan, leider bisher ohne konkrete Lösungsvorschläge bis auf zwei Sätze die ich gerne hier zitieren möchte:

"Du beschreibst hier, dass Du einen Schlüssel für zwei wertvolle Häuser, also einen Generalschlüssel, verwenden willst."

"Aber den Grundzugang zum Rechner/Festplatte würde ich nicht sofort mit Vollzugang zu meinen Passwörtern gleichsetzen wollen. Das klingt nach alles oder nichts."

Da ich den Yubikey in Zukunft eigentlich auch mit anderen Diensten nutzen wollen würde (FIDO2, Passkeys, evtl. OTP,
OS-Benutzeranmeldung, SSH) stellt sich mir die Frage, auch in Bezug auf die obigen Zitate und dabei etwas weiter gesponnen:
1 Yubikey für alles = Generalschlüssel
Ergo: Man müsste demzufolge für jeden Dienst/Account einen seperaten Yubikey besitzen + entsprechende Backup-Keys.
Klingt nicht sehr Benutzerfreundlich.

Tja, nun steh' ich da, bin ratlos und überfodert
Sollte man sich bei den Hardware-Key's tatsächlich im Vorfeld klar machen was einem am wichtigsten ist -> 1 Schlüssel,
und man lieber für den restlichen, nicht so wichtigen Kram einen neuen Schlüssel zulegen?

Vielen Dank im voraus für eure Aufmerksamkeit, Hilfe und Erfahrungsaustausch.

 

[BeBur]

-> ABER: Sobald jemand sowohl das Gerät (Laptop) als auch den Yubikey hätte ..., naja, könnt ihr euch ja denken.

Wieso, was ist dann? Landest du im Gefängnis? Wird dein Bankkonto leer geräumt?

Mach entweder entschlüsseln per Passwort oder entschüsseln per Passwort + Yubikey. Du merkst ja sellber, das ist ein Fass ohne Boden und der Aufwand und die Komplexität sollte auch irgendwie im Verhältnis zum Risiko stehen. Je komplexer du dein Setup machst, desto wahrscheinlicher werden außerdem safety-incidents (z.B. du sperrst dich aus bzw. kommst generell nicht mehr an dein zeug ran).

 

[Samurai76]

Meine Meinung und Vorgehen wäre: Einen Key. Für den Hardware Zugang vor Ort und die Kennwort Masterdatei. Alles weitere dann über Passwort und ggfs 2FA.

 

[Oli_P]

ABER: Sobald jemand sowohl das Gerät (Laptop) als auch den Yubikey hätte ..., naja, könnt ihr euch ja denken

Du kannst auch für die KeePass XC-Datenbank ein Keyfile anlegen und kopierst dieses auf einen USB-Stick.
Dann muss der Laptop mit Yubikey + USB-Stick entsperrt werden. Sichere Kopie des Keyfiles an separatem Ort ist wichtig!
Desweiteren: Sorge dafür, dass niemand deinen Laptop + Yubikey in die Finger bekommt. Was hast du überhaupt für Yubikey-Modelle? So ein Nano, welcher immer im USB-Port steckt normalerweise? Dann musst du effektiv einen 2ten Faktor nutzen. Entweder in Form des Keyfiles oder eines Masterpassworts.

 

[VandeKamp]

So wie dich verstehe nutzt du den Yubikey immer nur als zusätzlichen weiteren Faktor, daher hätte ich dahingehend keine Bedenken. Den Schlüssel zu erraten ist praktisch kaum möglich, daher besteht das höchste Risiko im Entwenden des Keys.
Wichtig ist nur, dass es eben ein zusätzlicher Faktor ist und nicht die einzige Möglichkeit zum Entsperren von Wasauchimmer.
Das mit dem Generalschlüssel ist aber übertrieben, denn für einen Fingerabdruck gilt ja praktisch das gleiche. Man besorgt sich ja auch nicht jedes Mal einen neuen Satz Fingerabdrücke für verschiedene Zwecke.

 

[chr1zZo]

Also so ein Thema hatte ich letztens erst. Es war eine Anfrage von Deutschen die aber Geschäfte im Rumänien und Bulgarien machen und vermuten das sie Überwacht werden. Sie wollten auch entsprechende Endgeräte und Hardware Keys. Ja, ist schön wenn man seine Geräte so verschlüsselt (Knack ich wohl gemerkt mit AI Power in kürzester Zeit). Nützt dir aber alles nichts, wenn deine Datenströme angezapft werden wenn du im Internet bist

 

[SSD960]

Bin mit den Yubikey nie warm geworden. Habe den Key inzwischen von Google weil mehr Keys gespeichert werden können.

 

[Mickey Mouse]

als erstes solltest du dir überlegen, was du überhaupt möchtest...

baust du in dein Haus drei Türen ein, jede mit einem eigenen Schließsystem, dann hast du drei verschiedene Möglichkeiten herein zu kommen.
Ein Einbrecher hat aber ebenso die Wahl und kann sich die leichteste Tür zum Aufbrechen aussuchen, di emit dem schwächsten Schloss oder an die er am ungehindertsten heran kommt oder die, bei der der Einbruch am längsten unbemerkt bleibt oder...

du kannst natürlich auch nur eine Tür einbauen und da 3 Schlösser vor hängen. Das macht aber nur Sinn, wenn die Tür wirklich stabil ist (was nutzt das beste Schloss, wenn da ein Fenster drinnen ist, das man einschlagen und die Tür dadurch entriegeln kann?), ansonsten bedeuten die drei Schlösser nur unsinnigen zusätzlichen Aufwand.
und klar, du benötigst immer alle drei Schlüssel, verlierst du auch nur einen davon, sperrst du dich selber aus.

und wie beim PC gibt es beim Haus auch verschiedene Schließsysteme, die sich für unterschiedliche Dinge besonders gut eignen, nur mal Schlüssel oder Zahlencode als Beispiel. Den Schlüssel musst du immer physikalisch dabei haben, den Code brauchst du dir nur merken.

genauso ist das mit dem YubiKey, das ist per se keine "Wunderwaffe", sondern ein Vorteil besteht darin, dass er physikalisch angeschlossen sein muss. Der ist so konstruiert, dass der eigentliche Schlüssel (Crypto-Code) im Yubi drinnen steckt und ihn niemals verlassen kann, man kann ihn nicht auslesen, nicht kopieren usw. Um ein damit gesichertes "Schloss" zu öffnen, muss man den Yubi Key haben. Gibt es aber daneben noch andere "Türen", die (deutlich) weniger sicher sind, macht der Aufwand mit Yubikey wenig Sinn.

du kannst "sowas wie den Yubikey" natürlich auch "indirekt" einsetzen, indem du damit einen "Schlüsselkasten" aufschließt. Aber da gilt dann wieder alles o.g. genauso. Es macht absolut keinen Sinn, an einen Schuhkarton mit allen Schlüsseln ein Hochsicherheitsschloss anzubringen, wenn man ihn einfach aufreißen kann.
ich habe keine Ahnung, ob Linux/LUKS inzwischen das TPM vollständig unterstützt? Genau das ist ja so ein "Schlüsselkasten". Alles was ich so auf die Schnelle gefunden habe, deutet auf ziemliches "Gebastel" hin, möglichst kompliziert viele parallele Zugänge einrichten, von denen dann nur einer geknackt werden muss...

 

[tomgit]

Wenn ein Adversary wirklich Zugriff auf dein System haben wöllte, würde er dir eine überziehen, wenn du das System entsperrt hast, und dann abhauen.
Wenn du auf Auslandsreisen Angst vor Zugriff auf deine Systeme hast, dann kann dir ebenso die Einreise verweigert werden.
Normale Verschlüsselung mit Passphrase sollte sicherer sein. Ansonsten gibt es auch Yubikeys mit biometrischen Sensoren.

Musst du halt auf deine Finger aufpassen

 

[cunhell]

Also so ein Thema hatte ich letztens erst. Es war eine Anfrage von Deutschen die aber Geschäfte im Rumänien und Bulgarien machen und vermuten das sie Überwacht werden. Sie wollten auch entsprechende Endgeräte und Hardware Keys. Ja, ist schön wenn man seine Geräte so verschlüsselt (Knack ich wohl gemerkt mit AI Power in kürzester Zeit). Nützt dir aber alles nichts, wenn deine Datenströme angezapft werden wenn du im Internet bist

Wenn Du ohne eine verschlüsselte Übertragung im Internet unterwegs bist, dann ist Dir eh nicht zu helfen.

Cunhell

 

[Piktogramm]

SOLL-Zustand:

• angedacht war zuerst LUKS nur mit dem Yubikey zu entsperren.​

Im falle des Vergessens des Passwortes, aus welchen Gründen auch immer, wäre der Zugriff dennoch gewährleistet.
-> ABER: Sobald jemand sowohl das Gerät (Laptop) als auch den Yubikey hätte ..., naja, könnt ihr euch ja denken.

Nur einen ungeschützten Token als Zugang zu nutzen ist Käse. Passwort + 2FA Token, der mittels Challenge Response funktioniert ist wenn das Ziel. Wobei der Token und das Gerät zwingend getrennt aufbewahrt, transportiert werden müssen. Gerät und Token in der selben Notebooktasche, zusammen auf einem Tisch, wäre schlecht. Notebook in eigener Tasche, 2FA Token am Schlüsselbund mit Schlüsselband an der Hose hingegen wäre sinnvoll.

[*]Für KeePassXC soll das Master-Passwort + Schlüsseldatei beibehalten werden.
[/LIST]
-> zusätzlich als 3. Faktor den Yubikey, ebenfalls via Challenge-Response.

Das ist dann allenfalls Sicherheitstheater. Die Nutzung eines zweiten Faktors und das bewusst ist im Regelfall besser als noch mehr Faktoren.

Es funktioniert zwar aber beide teilen sich den gleichen Secret-Key -> Von der Sicherheit her wohl bedenklich?

Wieso sollte das bei Challenge-Response problematisch sein?
Der Geheime Teil bleibt geheim, die Angreifbarkeit des Secrets bleibt gleich. Bei Verlust oder angenommener Kompromitierung des Tokens ist es auch egal ob auf dem Token ein oder zwei Secrets liegen.

Dann werden wieder gleiche Secret-Keys geteilt.

Hör auf deine Secrets zu (ver-)teilen! ChallengeResponse mit einem Secret gegenüber mehreren Gegenstellen registrieren ist im Regelfall unproblematisch.

1 Yubikey für alles = Generalschlüssel
Ergo: Man müsste demzufolge für jeden Dienst/Account einen seperaten Yubikey besitzen + entsprechende Backup-Keys.
Klingt nicht sehr Benutzerfreundlich.

Ist halt Schwachsinn. Secrets, die "nur" als Seed für Challenge Response dienen bleiben geheim. Zudem ist es "nur" der zweite Faktor. Der erste Faktor ist Kenntnis eines Passworts, welches je Dienst weiterhin einmalig sein sollte. Prinzipbedingt ist der 2FA damit nie Generalschlüssel.

 

[Renegade334]

Du kannst auch für die KeePass XC-Datenbank ein Keyfile anlegen und kopierst dieses auf einen USB-Stick.

Keyfiles sind aber deutlich einfacher zu klauen als Passwörter oder Sicherheitsschlüssel+Pin.

Challenge + Response durch einfaches Drücken würde ich immer nur als zweiten Faktor einsetzen. Yubikey ist nur MFA, sobald eine PIN abgefragt wird.

Für verschiedene Dienste werden auch immer verschiedene Credentials generiert und der private Key verlässt nie das Device, daher ist das kein Problem.
Wenn man FIDO2 oder Zertifikate nutzt, also mit PIN, dann ist auch ein Verlieren des Schlüssels nicht sonderlich schlimm (da du ja einen Backup Schlüssel hast). Der wird nach mehreren Falscheingaben gesperrt, wie die Bankkarte.

 

[steven_84]

Erstmal ein großes D A N K E für die rege Beteiligung in so wenigen Stunden.
Es waren sehr sehr viele Infos dabei auf die ich gar nicht alle eingehen kann

Yubikey-Modell ist der 5 NFC (USB-A)

Was ich bisher wohl (hoffentlich) richtig wahrgenommen habe:

• 1 Yubikey auch für alles andere (FIDO2 etc.) reicht aus
• 1 Secret für mehrere Challenge-Responses ist ansich kein Problem
• NUR den Yubikey zum entsperren von was auch immer = nicht sinnvoll
• zu viele Faktoren zum entsperren (hier eben KeePassXC*) bringt nicht unbedingt viel Sicherheit -> eher sorgt man dafür das man sich irgendwann selber aussperrt

Das ist dann allenfalls Sicherheitstheater. Die Nutzung eines zweiten Faktors und das bewusst ist im Regelfall besser als noch mehr Faktoren.

*Den Sinn dahinter warum ich auf den Gedanken gekommen bin in KeePassXC alle 3 Faktoren zu nutzen:
-> Dort liegen ja ALLE Benutzer-Accounts usw. Und diese sollten doch so gut es geht verriegelt werden, so meine (blauäugige?) Denkweise.

Hör auf deine Secrets zu (ver-)teilen!

Damit ist gemeint, wenn nun mehrere LUKS und KP-Datenbanken mit demselben Secret genutzt werden (müssen).

Offenbar hab ich noch große Wissenslücken was Challenge-Response angeht

Ich muss leider noch was einwerfen warum ich überhaupt zum Thema Hardware-Keys gekommen bin:

Es ist leider schon öfter vorgekommen das ich das Passwort für LUKS vergessen habe, obwohl ich es jeden Tag eingebe (ja klingt komisch, ist aber so)
Nach ein paar Stunden hab ich mich dann zwar wieder dran erinnert aber die Panik war erstmal groß.

Irgendwann hab ich dann von den Passkeys Wind bekommen, also Passwortloses anmelden in Web-Diensten. Dann weiter recherchiert kam ich zu den Hardware-Keys, speziell hier der Yubikey und was man mit denen noch alles konfigurieren kann.

Deshalb auch der erste Gedanke LUKS nur mit dem Yubikey zu entsperren, was bei mir allerdings doch ein recht ungutes Gefühl hervorgerufen hat.

Darum die Idee von meinem Eingangs-Post:
1. Das jetzige Passwort beibehalten
2. Ein zweites Passwort inkl. Yubikey hinzufügen, dabei würde ein Passwort gewählt welches ich bisher noch nie vergessen habe aber etwas schwächer wäre als das erste und ich die Hoffnung hatte der Yubikey könnte das etwas kompensieren.

 

[Oli_P]

Keyfiles sind aber deutlich einfacher zu klauen als Passwörter oder Sicherheitsschlüssel+Pin.

Natürlich. Man muss schon ein bisschen aufpassen. Ich hab ne Datenbank, die mit Keyfile verschüsselt ist (auf einem USB-Stick) und zusätzlich nochmal ein Master-Passwort benötigt. Wenn mir jemand den USB-Stick klaut, dann muss er auch den Yubikey klauen. Diese sind niemals an den gleichen Orten abgelegt (den Yubikey hab ich immer am Schlüsselbund).
Dieses Passwort kann und will ich mir auch nicht merken. Es ist als statisches Passwort auf dem Yubikey hinterlegt und wird durch antippen ausgepuckt. Ne andere Datenbank wird mit Challenge Response (Yubikey) und nem Master-Passwort entsperrt, welches ich kenne und eintippe.
Es gibt aber immer ein Restrisiko. Ein bekanntes Masterpasswort kann der Übeltäter ja auch aus einem rausprügeln wollen

 

[Piktogramm]

1 Yubikey auch für alles andere (FIDO2 etc.) reicht aus

1..2 zusätzliche als Backup sind durchaus zu empfehlen.

*Den Sinn dahinter warum ich auf den Gedanken gekommen bin in KeePassXC alle 3 Faktoren zu nutzen:
-> Dort liegen ja ALLE Benutzer-Accounts usw. Und diese sollten doch so gut es geht verriegelt werden, so meine (blauäugige?) Denkweise.

Die zusätzliche Entropie die du so erhältst ist nahezu unbedeutend. Ob Angreifer nun das gesamte Universum einmal oder 1,6mal verheizen müssen ist egal. Was aber nur solang funktioniert, wie du als Anwender keine Fehler machst. Daher gilt es immer die Anwendung in der Komplexität auf ein Minimum zu reduzieren.
Von deinen Faktoren brauchst du für dringende Fälle so oder so Backups, die selbst irgendwie sicher lagern sollte.

• Restorekey vom Luks/PW-Manager
• Passwort
• 2FA Token
• Keyfile

Reduziere dein Aufwand