ComputerBase Menü
Aktuelles

Zweitschlüssel mit Yubikey 5 NFC konfigurieren

S

stau

Lt. Junior Grade
Registriert
Juni 2015
Beiträge
364
In einem kürzlichen Beitrag war ich schon mit dem Erstellen eines zweiten Yubikey gescheitert (ich nenne ihn hier, obwohl er das nicht ist, mal Backupschlüssel). Schuld war die Nutzung eines inkompatiblen Yubikeys.

Inzwischen habe ich einen zweiten Yubikey 5 NFC gekauft und will nun diesen als Zweitschlüssel konfigurieren.
Ich möchte ihn wie meinen ersten Yubikey nur für die Anbindung an KeePassXC verwenden.

Wenn ich das Kennwort für die KeePassXC-Datenbank eingebe, erhalte ich die Fehlermeldung
„Fehler beim Öffnen der Datenbank: Berechnung des Datenbankschlüssels gescheitert: USB: Der Hardwareschlüssel hatte eine Zeitüberschreitung beim Warten auf Nutzerinteraktion“.

Im Ruhezustand blinkt der Yubikey beim kurzen wie auch beim langen Berühren alle zwei Sekunden kurz. Das bedeutet, wie ich gelesen habe, dass der Key noch nicht konfiguriert ist.

Mir ist nicht bewusst, an welcher Stelle ich beim Konfigurieren des Schlüssels einen Fehler gemacht haben soll.

Ich habe im Yubikey Manager unter Applications „OTP“ gewählt und nachfolgend „Long Touch Slot“ wie für den ersten Yubikey.

Wo könnte mir eine Fehler unterlaufen sein? Ich freue mich auf eine Unterstützung.
 
Hast du schon einmal in einem Notepad oder ähnlichem getestet, ob der Yubikey überhaupt irgendetwas ausgibt?
OTP ist wie eine (virtuelle) Tastatur zu betrachten.
 
Durch das Drücken wird ein 42- oder 44-stelliger Code generiert.
Ich habe keine Ahnung, wie man KeePassXC noch auf einen anderen Schlüssel einstellen kann.
Ich habe schlicht und einfach das Passwort eingegeben, mit dem ich mich mit dem ersten Schlüssel anmelde.
Müsste ich in KeePassXC irgendwo noch eine Eingabe für den Zweitschlüssel vornehmen? Ich finde da nichts.
 
https://support.yubico.com/hc/en-us/articles/360021919459-How-to-register-your-spare-key

Wenn du einen Yubikey konfigurierst, wird ein kryptografischer Schlüssel generiert. Normalerweise ist dieser kryptografischer Schlüssel mit extrem hoher Wahrscheinlichkeit bei jeder neuen Konfiguration einzigartig. Wenn du einen zweiten Yubikey als Backup konfigurieren willst, dann musst du die Generierung des einzigartigen Kryptoschlüssels unterlassen und besagten Schlüssel explizit auf den zweiten Yubikey aufspielen.
Der Export von Schlüsseln geht nur bei der Konfiguration der Yubikeys. Wenn du diesen Export nicht gemacht bzw. nicht gespeichert hast, müsstest du eine Neukonfiguration starten. VORSICHT: Wenn die Neukonfiguration auf dem selben Slot stattfindet, geht der alte Schlüssel verloren und damit tendenziell auch alle Zugangsmöglichkeiten die davon abhängen!

Ohne jetzt die Dokumentation nochmal zu lesen: KeePassXC kann prinzipbedingt nicht mit zwei Hardwaretokens umgehen, die je eigene Schlüssel verwenden.
 
  • Gefällt mir
Reaktionen: VandeKamp
Ich habe beim Generieren des Zweitschlüssel den erstellten Code gespeichert. Ich meine damit den Challenge Response Key.
Ist er damit nicht automatisch auf den Zweitschlüssel aufgespielt?
Wenn dieser Schlüssel nach dem Wechsel des Keys verloren geht, müsste ich dann den Short Slot nutzen?
 
@frazzlerunning
Das war die Lösung.
Man darf beim zweiten Schlüssel nicht wieder einen Challenge-Response-Schlüssel generieren, sondern man muss den Schlüssel verwenden, der für den Erstschlüssel generiert wurde.
Ganz herzlichen Dank.
Ich muss hier aber mal mein Missfallen über Yubico ausdrücken. Nirgends findet man eine allumfassende Anleitung. Der Anwender muss sich alles mühsam mit Hilfe von Experten zusammentragen, die auch Ihre Zeit opfern.
 
Also ich bin gut klargekommen mit den Support-Seiten von Yubico. Dort hab ich gelernt, wie man Challenge Response und auch OATH HOTP konfiguriert. Letzeres funktioniert zumindest mit KeePass 2 und entsprechendem Plugin.
Also den Secret Key für Challenge Response musst du an sicherer Stelle verwahren. Du gibst den einmal ein in Yubico Authenticator beim Konfigurieren deines Yubikeys und der bleibt dann dort gespeichert (bis du den Slot löschst oder den Yubikey zurücksetzt). Damit kannst du einen neuen Yubikey konfigurieren und hast wieder Zugriff auf deine Datenbank von KeePass XC. Aber du kannst den Secret Key nicht irgendwie extrahieren aus dem Yubikey, bzw. den Hardware-Schlüssel irgendwie "kopieren". Du siehst den Secret Key nicht mehr, wenn du wieder Authenticator öffnest. Das gehört auch zum Sicherheitskonzept beim Yubikey. Ist nicht wie ein normaler Schlüssel, den du beim Schlüsseldienst u.U. duplizieren kannst, damit du einen Sicherheitsschlüssel für dein Haus hast.
Aber ich glaub, das hast du jetzt verstanden :) Viel Spass mit dem Teil ;)
 
Zuletzt bearbeitet:
stau schrieb:
@frazzlerunning
Ganz herzlichen Dank.
Ich muss hier aber mal mein Missfallen über Yubico ausdrücken. Nirgends findet man eine allumfassende Anleitung. Der Anwender muss sich alles mühsam mit Hilfe von Experten zusammentragen, die auch Ihre Zeit opfern.
Zum Vergrößern anklicken....

Die Anleitung vom Hersteller zum Erstellen von Zweitschlüsseln ist (von mir) im Thread verlinkt. Das war Imho schnell auffindbar und ist verständlich unter der Annahme halbwegs Englisch zu verstehen.
Und allumfassende Anleitungen bei Hardwaretokens willst du als Endanwender nicht. Die kleinen HowTows zu spezifischen Anwendungsfällen von Yubico sind da weitaus sinnvoller (und 2..4Größenordnungen kürzer)
 
stau schrieb:
Ich muss hier aber mal mein Missfallen über Yubico ausdrücken. Nirgends findet man eine allumfassende Anleitung.
Zum Vergrößern anklicken....
Ich fürchte, das Missfallen über Yubico ist hier fehlgeleitet. Ich verwende auch zwei YubiKeys für meinen Bitwarden Passwortmanager, als 2FA. Das Verfahren ist bei Bitwarden halt ganz anders als bei Keepass(XC), auch anders als bei zb. Microsoft. Es kommt hier auf die entsprechende Umsetzung des Dienstes an, nicht auf Yubico.
Yubico kann daher (aus meiner Sicht) nicht eine Anleitung erstellen, da es je nach Verfahren des Dienstes, für den du den Yubikey verwendest, unterschiedlich ist.
 
Ich möchte um Gottes Willen die Diskussion über Anleitungen, die ich von Yubico erwartet hätte, nicht fortsetzen. Ihr seid sicherlich Fachleute auf diesem Gebiet. Für mich ist die Materie völliges Neuland gewesen, weshalb mein Such- und Hilfeersuchen-Aufwand sehr groß gewesen ist..

Aus dem hier Erlernten werde ich mir meine eighene Anleitung basteln.
Auf jeden Fall gilt Euch mein Dank.
 
Versteh jetzt auch was du erst gemacht hattest. Du hast 2 Yubikeys und willst einen als Backup-Schlüssel nutzen. Aber auf beiden Yubikeys muss für Challenge Response dann auch derselbe Secret Key hinterlegt werden. Also dieser recht lange Code, den du z.B. in Authenticator eingibst und dann speicherst. Hatte den damals aber mit dem Personalization Tool von Yubico erstellt und so den ersten Yubikey konfiguriert. Wenn du den zweiten Yubikey mit einem anderen Secret Key belegst, dann kannst du natürlich deine Datenbank in KeePass XC nicht öffen damit. Du hast diese ja schon für die Verwendung deines ersten Yubikeys konfiguriert. Das Backup in diesem Fall ist der Secret Key, welcher noch irgendwo an sicherer Stelle notiert sein sollte. Damit kannst du dann soviele Backups deiner Yubikeys erstellen wie du willst. Jetzt haste 2. Kannst auch 3 oder mehr haben. Aber 2 sind schon cool. Einen hab ich immer zuhause, den anderen am Schlüsselbund. Damit kann man ja auch am Handy Dinge machen. Der zweite Yubikey ist somit nicht nur ein Backup für mich, den hab ich immer dabei. Nutz den auch am Arbeits-PC.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Schabing
Hallo Oli,
So hatte ich das leider recht spät verstanden.
Deinen letzten Beitrag sollte sich jeder notieren, der einen Ersatzschlüssel erstellen will.
Vielen Dank dafür, dass Du mir jetzt schon zum zweiten Mal geholfen hast.
Grüße nach België
 
Kein Ding. Dafür sind solche Foren ja da. Hab auch für mich selber schon oft Hilfestellung gefunden.
 
  • Gefällt mir
Reaktionen: wesch2000
Kann dem zustimmen. Grobe Anleitung falls du noch etwas Ideen brauchst.

Habe mir diesen Monat auch drei Yubikey zugelegt, was ich auch empfehle (3x).

Ich habe alle drei auf einmal, gleich, konfiguriert. Die Keys (Code) etc. alle gesondern, sicher aufbewahren. Sonst wie oben erwähnt, kann man keine wirklichen Backup Yubikeys erstellen. Alle Slots auf den Yubikey identisch mit der selben "Art"/Protokoll und Key (Code) eingerichtet.
Danach kann man einfach nacheinander, einzeln, die drei Yubikey in Keepass XC regisrieren.

Ich würde den drei Key auch eine klare Benennung geben um sie in der digitalen Welt unterscheiden zu können. Wichtig.

Mit allen drei Yubikey komme ich in die selbe KeepassXC Datenbank rein. Aber entscheident ist die Konfigurierung und Einrichtung zu Beginn, wie es @Oli_P schon sagte.
 
Zuletzt bearbeitet: (Unterschied Key und Yubikey klarer ausgewiesen)
  • Gefällt mir
Reaktionen: wesch2000
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

D.S.i.u.S.
Kann Yubikey 5 NFC gleichzeitig über USB und NFC kommunizieren?
Antworten
5
Aufrufe
1.009
Ray519
R
Oli_P
YubiKey 5 NFC und Keepass DX (Android)
Antworten
10
Aufrufe
3.844
Oli_P
Oli_P
Flokie
YubiKey 5 NFC als Krypto-Wallet verwenden?
Antworten
12
Aufrufe
5.193
Roan
Roan
P
yubikey 5 NFC und paypal
Antworten
13
Aufrufe
16.289
BeamMyup
BeamMyup
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 170 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz