YubiKey oder OnlyKey ?

Alles rund um sicherheitsrelevante Fragen und Probleme.
hobbyadmin
Beiträge: 127
Registriert: 26.12.2020 18:13:43

Re: YubiKey oder OnlyKey ?

Beitrag von hobbyadmin » 04.08.2021 16:21:21

Moin!
Da habe ich wieder viele interessante Aspekte kennen gelernt.
Das mit dem Smartphone werde ich zumindest mal probieren. Bisher passten die Begriffe "Google" und "Sicherheit/Privatsphäre" für mich nicht so richtig zusammen. Aber ich werde das mal testen.

Was mir nicht ganz klar ist:
Ist der YubiKey das ausgereifte Produkt und der OnlyKey ist noch in so einer Art Entwicklungszustand, die beim Kunden reift? Oder sind das beides ausgereifte Produkte?

mcb

Re: YubiKey oder OnlyKey ?

Beitrag von mcb » 04.08.2021 17:27:17

hobbyadmin hat geschrieben: ↑ zum Beitrag ↑
04.08.2021 16:21:21
Moin!
Da habe ich wieder viele interessante Aspekte kennen gelernt.
Das mit dem Smartphone werde ich zumindest mal probieren. Bisher passten die Begriffe "Google" und "Sicherheit/Privatsphäre" für mich nicht so richtig zusammen. Aber ich werde das mal testen.

Was mir nicht ganz klar ist:
Ist der YubiKey das ausgereifte Produkt und der OnlyKey ist noch in so einer Art Entwicklungszustand, die beim Kunden reift? Oder sind das beides ausgereifte Produkte?
Yubi hat schon mehrmals Keys austauschen müssen ... Wäre nicht meine erste Wahl.

Für Android gibt es alternativ andOTP.

Benutzeravatar
MSfree
Beiträge: 10686
Registriert: 25.09.2007 19:59:30

Re: YubiKey oder OnlyKey ?

Beitrag von MSfree » 04.08.2021 17:34:40

mcb hat geschrieben: ↑ zum Beitrag ↑
04.08.2021 17:27:17
Yubi hat schon mehrmals Keys austauschen müssen
Yubi hat bisher nur einmal eine Serie tauschen müssen, und zwar die, die für US-Regierungsstellen besonders zertifiziert waren. Also bitte nicht übertreiben.

debianuser4782
Beiträge: 196
Registriert: 11.03.2018 23:09:05

Re: YubiKey oder OnlyKey ?

Beitrag von debianuser4782 » 04.08.2021 19:44:41

hobbyadmin hat geschrieben: ↑ zum Beitrag ↑
04.08.2021 16:21:21
Moin!
Da habe ich wieder viele interessante Aspekte kennen gelernt.
Das mit dem Smartphone werde ich zumindest mal probieren. Bisher passten die Begriffe "Google" und "Sicherheit/Privatsphäre" für mich nicht so richtig zusammen. Aber ich werde das mal testen.
Der Google-Authenticator ist eine Sicherheitsschicht mehr. Hier will ich nochmal meine obige Quelle an andere Stelle zitieren:
Trotz gewisser Schwächen in den Implementierungsdetails bewirkt die Nutzung der Zwei-Faktor-Authentifizierung sogar mit dieser App einen großen Zugewinn an Sicherheit, da der Aufwand für einen Angreifer bei Einsatz dieses Verfahrens erheblich höher ist als bei einer Ein-Faktor-Authentifizierung nur über ein Passwort. https://de.wikipedia.org/wiki/Google_Authenticator

Dass Sicherheitstechniken wie TOTP auf Smartphones über Apps in Vielzahl auftauchen, hat nicht zuletzt damit zu tun, dass über Smartphones mehr Kunden zu erreichen sind. Smartphones sind stark technik- und medienkonvergent, die Mutter der Netzwerkeffekte und "Always-On". Zudem ist Smartphonesoftware weitgehend closed-source. Hardware-Token sind dagegen "Always-Off" und hard- sowie softwareseits spezifisch auf die vergleichsweise wenigen Sicherheitsfunktionen zugeschnitten. Sie sind damit stark auf harte Systemtrennung fokussiert. Deswegen verwässern mM nach Smarphones Sicherheitstechniken wie zB TOTP.
hobbyadmin hat geschrieben: ↑ zum Beitrag ↑
04.08.2021 16:21:21
Was mir nicht ganz klar ist:
Ist der YubiKey das ausgereifte Produkt und der OnlyKey ist noch in so einer Art Entwicklungszustand, die beim Kunden reift? Oder sind das beides ausgereifte Produkte?
Das kann man wohl so sagen. Der Chip auf dem Onlykey ist zudem viel komplexer. Das hat Vor- und Nachteile. Vorteil ist wohl, dass die Firmware nach Veröffentlichung der jeweiligen Onlykey-Serie großzügiger gewartet und um Funktionen erweitert werden kann. Nachteil ist, dass Komplexitätsanhäufung in Systemen immer auch die Anhäufung von - zu ungeplanten Funktionen ausnutzbaren - Lücken bedeuten kann. Open-Hardware sind der Only- und Yubikey wohl nicht. Hier punkten dagegen die Nitrokeys. Eine Checksumme für Hardware gibt es, anders als bei Software, aber trotzdem nicht. Die Anbieter des Onlykey argumentieren glaube ich, dass sie eine breite und technikaffine Kundschaft aus der Open-Source-Community haben, die ihre Software unter die Lupe nehmen können, ebenso wie den OnlyKey selbst im Betrieb, zB auf einer quelloffenen Linux-Distribution. Mehr dazu kann man über meine erste Verlinkung lesen.
Zuletzt geändert von debianuser4782 am 04.08.2021 22:45:21, insgesamt 3-mal geändert.

mcb

Re: YubiKey oder OnlyKey ?

Beitrag von mcb » 04.08.2021 19:56:28

MSfree hat geschrieben: ↑ zum Beitrag ↑
04.08.2021 17:34:40
mcb hat geschrieben: ↑ zum Beitrag ↑
04.08.2021 17:27:17
Yubi hat schon mehrmals Keys austauschen müssen
Yubi hat bisher nur einmal eine Serie tauschen müssen, und zwar die, die für US-Regierungsstellen besonders zertifiziert waren. Also bitte nicht übertreiben.
Nö - das waren auch Privatkunden - aber es ist lang her - wer es ließt bitte selber googlen. Ich habe mich aus diesem Grund für OpenSource-Dongles entschieden.

:facepalm: Ev. war ich mistaken: https://www.heise.de/security/meldung/Y ... 48794.html

Nr. 2 https://www.heise.de/security/meldung/S ... 21122.html

uname
Beiträge: 12045
Registriert: 03.06.2008 09:33:02

Re: YubiKey oder OnlyKey ?

Beitrag von uname » 05.08.2021 07:41:02

@hobbyadmin
Vielleicht kannst du noch mal kurz schreiben, welche Anwendung du damit absichern willst.

hobbyadmin
Beiträge: 127
Registriert: 26.12.2020 18:13:43

Re: YubiKey oder OnlyKey ?

Beitrag von hobbyadmin » 05.08.2021 10:35:20

Also zunächst wollte ich damit meinen Nextcloud-Zugang absichern.
Wenn das gut funktioniert, wollte ich dann Schritt für Schritt weiter gehen.
Also z.B. den Passwort-Manager absichern, Online-Konten absichern, usw.
Ganz am Ende dann vielleicht sogar die Anmeldung am Computer absichern.

Ich habe so ein Ding noch nie benutzt. Deshalb wollte ich so vorsichtig vor gehen.

Antworten