YubiKey oder OnlyKey ?
-
- Beiträge: 127
- Registriert: 26.12.2020 18:13:43
YubiKey oder OnlyKey ?
Hallo,
ich möchte mir einen der beiden Keys zulegen.
Welcher ist aus Eurer Sich besser, bzw. universeller.
Und welcher Key funktioniert einwandfrei mit Linux?
Gibt es da schon Erfahrungen bei Euch?
ich möchte mir einen der beiden Keys zulegen.
Welcher ist aus Eurer Sich besser, bzw. universeller.
Und welcher Key funktioniert einwandfrei mit Linux?
Gibt es da schon Erfahrungen bei Euch?
Re: YubiKey oder OnlyKey ?
Ich hatte mal den Yubikey, allerdings ohne ihn unter Linux zu testen.
Unter Windows: Absoluter Krampf und nichts für mal eben so. Ohne Vorahnung muss man viel Zeit investieren.
Laut Hersteller sollte man auch immer einen Zweitstick zur Verfügung haben.
Das alles war es mir dann doch nicht wert.
Unter Windows: Absoluter Krampf und nichts für mal eben so. Ohne Vorahnung muss man viel Zeit investieren.
Laut Hersteller sollte man auch immer einen Zweitstick zur Verfügung haben.
Das alles war es mir dann doch nicht wert.
Re: YubiKey oder OnlyKey ?
Unter Windows funktionieren die Yubikeys völlig problemlos Plug'n'Play. Im Büro nutze ich die seit mindestens 5 Jahren für 2FA.weshalb hat geschrieben:01.08.2021 13:17:59Ich hatte mal den Yubikey, allerdings ohne ihn unter Linux zu testen.
Unter Windows: Absoluter Krampf und nichts für mal eben so.
Oder eine zweite Mehtode für 2FA, z.B. via Telefonanruf, TAN-Liste, Google Authenticator...Laut Hersteller sollte man auch immer einen Zweitstick zur Verfügung haben.
Re: YubiKey oder OnlyKey ?
Ich habe die beiden -> Nitrokey und Somu im Test Zwei Fido-Sticks für alle Fälle - Golem.dehobbyadmin hat geschrieben:01.08.2021 12:21:09Hallo,
ich möchte mir einen der beiden Keys zulegen.
Welcher ist aus Eurer Sich besser, bzw. universeller.
Und welcher Key funktioniert einwandfrei mit Linux?
Gibt es da schon Erfahrungen bei Euch?
https://www.golem.de/news/nitrokey-und- ... 44778.html
Open Source Hard- und Software. Sie tuen im Rahmen der Möglichkeiten gut.
-
- Beiträge: 196
- Registriert: 11.03.2018 23:09:05
Re: YubiKey oder OnlyKey ?
Ich besitze zwei yubikeys, zwei Nitrokeys und einen Onlykey. Der Yubikey und der Onlykey sind kaum vergleichbar, da der Onlykey viel mehr Funktionen und Kapazitäten hat als der Yubikey. Auf einen Onlykey lassen sich 24 Profile (URL, Benutzername, statisches Passwort/OTP/FIDO2/U2F) verteilt auf zwei "Slots" abspeichern. Neben der Abspeicherung von statischen Passwörtern besitzt der Onlykey noch viele andere Funktionen, die ich noch nicht verwende. Die beiden Slots müssen mit einer 7-Stelligen PIN geschützt werden. Ob man ganz auf die PINs verzichten kann, zB wenn man den Key nur zuhause verwenden möchte, habe ich noch nicht ausprobiert. Das Ausschalten der PIN-Funktion müsste aber per Firmware-Update möglich sein. Sollte eine solche Ausschalt-Funktion fehlen, werde ich sie einmal bei den Anbietern anregen. Ich benutze derzeit "1111111" und "2222222" als PINs. Beide SLOTS haben unterschiedliche Leuchtdioden-Farben zugewiesen bekommen. Jüngst (durch Firmwareupdate) kann man sich von einem Slot per längeren Druck auf die Taste "3" abmelden. Idealerweise konfiguriere ich den Onlykey auf einem Offline-PC, u.a. da es die App (noch) nicht als debian-Paket gibt. Eine vom Internet abgeschottete VM sollte aber auch genügen. Ist der Onlykey individuell konfiguriert, benötigt er - wie der Yubikey und anders als der Nitrokey - keine App mehr, um zu funktionieren. Die App gibt es aber anders als die nitrokey-app oder die yubikey-personalization-gui (noch?) nicht als debian-Paket. Der Onlykey wird vom Debian-System einfach als eine Tastatur erkannt. Ich melde mich mit dem Onlykey per Knopfruck und vom tty aus als User an (Profil-Konfiguration: Debian-Benutzername + ENTER + User-Passwort [bis 56 Stellen mgl] + ENTER). Probleme mit Debian habe ich noch nicht bemerkt. Die Macher des Onlykey sind wie diejenigen der anderen Keys wohl auch eher Linux/BSD-affin eingestellt. Ich glaube anders als der Nitrokey haben der Yubi- und Onlykey keine eigene Uhr integriert, weswegen sie wohl keine echten TOTP und HOTP -Funktionen (außer Google Authenticator) leisten können? Hier verwende ich noch einen Nitrokey. Ich kann den Onlykey für technikinteressierte Bastler - die cutting-edge-Technologien in diesem Bereich gerne finanziell und für Gegenleistung unterstützen - empfehlen, da man damit viel innovative Sicherheits-Technik für relativ wenig Geld erhält. Ich werde mir wohl einen zweiten Onlykey besorgen, um bei wichtigeren statischen Passwörtern noch unabhängiger von softwarebasierten Passworttresoren, wie zB dem KeePassx, zu werden. Hier ein interessanter Link zu einer kritischen Debatte rund um die oben erwähnen Security-keys: https://news.ycombinator.com/item?id=21884184
Zuletzt geändert von debianuser4782 am 02.08.2021 17:54:27, insgesamt 1-mal geändert.
- Waldlaeufer
- Beiträge: 74
- Registriert: 04.04.2015 16:16:28
Re: YubiKey oder OnlyKey ?
Ich verwende den YubiKey ohne Probleme unter Debian.
Re: YubiKey oder OnlyKey ?
Was heißt für dich Plug'n'Play?MSfree hat geschrieben:01.08.2021 13:44:27Unter Windows funktionieren die Yubikeys völlig problemlos Plug'n'Play. Im Büro nutze ich die seit mindestens 5 Jahren für 2FA.weshalb hat geschrieben:01.08.2021 13:17:59Ich hatte mal den Yubikey, allerdings ohne ihn unter Linux zu testen.
Unter Windows: Absoluter Krampf und nichts für mal eben so.Oder eine zweite Mehtode für 2FA, z.B. via Telefonanruf, TAN-Liste, Google Authenticator...Laut Hersteller sollte man auch immer einen Zweitstick zur Verfügung haben.
Ich stecke ihn rein und dann?
Re: YubiKey oder OnlyKey ?
... dauert es 10-20s, bis die Treiber runtergeladen und installiert sind und dann geht das Ding.weshalb hat geschrieben:01.08.2021 18:59:24Was heißt für dich Plug'n'Play?
Ich stecke ihn rein und dann?
Re: YubiKey oder OnlyKey ?
Ich verwende weiterhin Passwörter.
Für viele Anwendungsfälle erscheint mir TOTP mit z. B. Google Authenticator ausreichend sicher zu sein.
Ein Smartphone hat man eigentlich auch immer dabei. Zudem ist es kostenlos und wenig fehleranfällig.
Bis jetzt habe ich TOTP aber nur mal mit Nextcloud ausprobiert.
Hier mal ein recht gutes Video für Nextcloud und TOTP: https://www.youtube.com/watch?v=fI9b1fXsS6A
Für viele Anwendungsfälle erscheint mir TOTP mit z. B. Google Authenticator ausreichend sicher zu sein.
Ein Smartphone hat man eigentlich auch immer dabei. Zudem ist es kostenlos und wenig fehleranfällig.
Bis jetzt habe ich TOTP aber nur mal mit Nextcloud ausprobiert.
Hier mal ein recht gutes Video für Nextcloud und TOTP: https://www.youtube.com/watch?v=fI9b1fXsS6A
Re: YubiKey oder OnlyKey ?
Im Prinzip hast du recht, sowas wie der Google Authenticator ist ausreichend sicher.uname hat geschrieben:02.08.2021 14:00:02Für viele Anwendungsfälle erscheint mir TOTP mit z. B. Google Authenticator ausreichend sicher zu sein.
Ein Smartphone hat man eigentlich auch immer dabei. Zudem ist es kostenlos und wenig fehleranfällig.
Ein Problem entsteht aber immer dann, wenn man das Smartphone versehentlich mal nicht dabei hat oder kaputt gegangen ist. Dann ist es sinnvoll, noch eine zweite 2FA-Methode als Backup zu haben. Bei uns im Betrieb sind sogar 3 verschiedene 2FA-Methoden vorgeschrieben, um den Administrationsaufwand möglichst klein zu halten, wenn jemand sein 2FA-Gerät verloren/geschrottet/vergessen hat. Dann hat man noch zwei weitere in Reserve.
Ich habe z.B. Google Authenticator, Yubikey und als letzte Option den telefonischen Rückruf auf die Bürotelefonnummer.
Re: YubiKey oder OnlyKey ?
Da hast du natürlich auch recht.
Vielleicht sollte der Threadstarter noch mal schreiben, was das Ziel ist.
Is es eher privat oder für eine Firma. wie flexibel muss oder will man sein?
Solange man nur ein 2FA-Verfahren braucht, erscheint mir TOTP einfacher und kostengünstiger.
Vielleicht sollte der Threadstarter noch mal schreiben, was das Ziel ist.
Is es eher privat oder für eine Firma. wie flexibel muss oder will man sein?
Solange man nur ein 2FA-Verfahren braucht, erscheint mir TOTP einfacher und kostengünstiger.
- TRex
- Moderator
- Beiträge: 8071
- Registriert: 23.11.2006 12:23:54
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: KA
Re: YubiKey oder OnlyKey ?
Insbesondere, weil zumindest der Yubikey verschiedene Funktionen hat... ich verwende meine als Authenticator im Browser, als OTP-Tastatur für 2FA (was technisch sogar auf nem Smartphone funktionieren würde) und ich hab mal rumexperimentiert, den als GPG-Secret zu verwenden.
Jesus saves. Buddha does incremental backups.
Windows ist doof, Linux funktioniert nicht • Don't break debian! • Wie man widerspricht
Windows ist doof, Linux funktioniert nicht • Don't break debian! • Wie man widerspricht
Re: YubiKey oder OnlyKey ?
Ja die Sticks sind ein teurer Spaß (mit zweifelhaftem Nutzen).
Ich hatte mir extra zwei gekauft (um mich nicht selbst auszusperren zu können) - die wenigen Anbieter verlangen trotz 2 Sticks eine Recoverymethode Da hätte es widerum ein Stick getan. Und nur so nebenbei mit den 2FA Apps kann man sich auch wunderbar aussperren ...
Ich hatte mir extra zwei gekauft (um mich nicht selbst auszusperren zu können) - die wenigen Anbieter verlangen trotz 2 Sticks eine Recoverymethode Da hätte es widerum ein Stick getan. Und nur so nebenbei mit den 2FA Apps kann man sich auch wunderbar aussperren ...
Re: YubiKey oder OnlyKey ?
Was soll daran bitte zweifelhaft sein?
Und genau deswegen müssen wir im Betrieb sogar 3 2FA-Methoden zur Hand haben.Und nur so nebenbei mit den 2FA Apps kann man sich auch wunderbar aussperren ...
Re: YubiKey oder OnlyKey ?
Vielleicht weil man diese Keys (für viel Geld) an Stellen einsetzt, wo es eigentlich unnötig ist.MSfree hat geschrieben:Was soll daran bitte zweifelhaft sein?
Die Gefahr von Passwörtern ist eher, dass sie mitgelesen werden (bei TLS eigentlich nur Client und Server) und nicht ausprobiert werden.
Und wenn das der Fall ist, nutzt einem die Komplexität der Passwörter wenig (werden ja bei beliebiger Komplexität einfach mitgelesen) bzw. umgekehrt sind auch schlechte Passwörter nicht wirklich schlecht. Dass Angriffe auf verschlüsselte Datenbanken erfolgt ist eher selten (siehe Dropbox 2012 oder wann das mal war).
Zudem wird heutzutage wo 2FA sinnvoll ist (z. B. VPN) oft einfach TPM als zweiter Faktor verwendet. Auch halte ich wie oben geschrieben TOTP für eine gute Alternative, um Kosten und Fehler zu vermeiden. Eine Hintertür braucht man im übrigen immer, die man z. B. über extra abgesicherte Netzwerke inkl. ausreichender Protokollierung und Alarmierung erlauben könnte.
Wer jedoch zwei oder drei 2FA-Verfahren braucht ist sicher ... vor allen vor sich selbst.
Im übrigen gegen z. B. Malware auf Client und Server hilft das alles auch nicht.
Hierzu dürften die Daten auf dem Client nie entschlüsselt dargestellt werden (Kopie durch Malware, Screenshot durch Malware, ...).
Statt einen Key zu verwenden, wäre wohl eine Trennung vom Internet die bessere Option.
- TRex
- Moderator
- Beiträge: 8071
- Registriert: 23.11.2006 12:23:54
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: KA
Re: YubiKey oder OnlyKey ?
Ach TPM meinst du?uname hat geschrieben:02.08.2021 15:25:34Zudem wird heutzutage wo 2FA sinnvoll ist (z. B. VPN) oft einfach TPM als zweiter Faktor verwendet.
Jesus saves. Buddha does incremental backups.
Windows ist doof, Linux funktioniert nicht • Don't break debian! • Wie man widerspricht
Windows ist doof, Linux funktioniert nicht • Don't break debian! • Wie man widerspricht
-
- Beiträge: 196
- Registriert: 11.03.2018 23:09:05
Re: YubiKey oder OnlyKey ?
Smartphones - eingegliedert in Sicherheitsketten von It-Strukturen in Organisationen - sind mM nach immer ein schwaches Kettenglied, welches anfällig für Angriffe durch Hacker ist, insbesondere wenn diese Smartphones von den Mitgliedern der betreffenden Organisation auch privat genutzt werden. Zwischen Security-Keys (insb der Nitrokey mit TOTP-Funktion) und Smartphones liegen diesbezüglich wohl Welten. Der Google-Authenticator - genutzt mit Smartphone-App - wird in diesem Zusammenhang folgend kritisiert:
Der Server, der eine durch Google Authenticator geschützte Anmeldung anbietet, generiert im Rahmen der erstmaligen Initialisierung einen 80 Bit langen Geheimcode, den der Benutzer auf ein persönliches Gerät – in der Regel ein Smartphone – übertragen muss. Hierzu wird das Geheimnis als QR-Code oder als Zeichenkette in Form einer Base32-Darstellung übermittelt.
Feature Requests zur Unterstützung moderner Algorithmen wie SHA2 werden seit Jahren nicht bearbeitet.
Der unverschlüsselte Übertragungsvorgang ist eine Schwäche, genauso wie der Umstand, dass der Geheimcode im Klartext auf dem Gerät gespeichert wird. Auch verwendet das Google-Authenticator-Verfahren entgegen der Vorgabe im RFC 4226 nur einen 80 Bit langen Geheimcode – nach RFC 4226 sollte die Länge des Geheimcodes aber mindestens 128 Bit betragen, 160 Bit sind empfohlen. Da es sich bei dem Geheimnis um das Shared Secret des Verfahrens handelt, darf der Code auch nur von einem vertrauenswürdigen Rechner aus abgelesen werden. Auch eine Fotografie des QR-Codes würde das Geheimnis kompromittieren.
Der Authenticator speichert die mit den Servern vereinbarten Geheimnisse im Klartext in einer SQLite-Datenbank auf dem Mobilgerät. Die Sicherheit des Verfahrens hängt damit von der Sicherheit des verwendeten Betriebssystems ab. Wird diese Sicherheit durch den Anwender (beispielsweise durch das bei Smartphones anzutreffende Rooten) oder durch Sicherheitslücken im Betriebssystem kompromittiert, können die Geheimnisse ohne Wissen des berechtigten Anwenders ausgelesen und zur Berechnung von Einmalpasswörtern verwendet werden; ein Angreifer kann so den zusätzlichen Schutz durch das zweistufige Verfahren aushebeln.
Wenn ein Angreifer in den physischen Besitz des Mobilgeräts gelangt, kann er – selbst im ausgeschalteten Zustand – die Geheimnisse aus dem Speicher auslesen, solange nicht das gesamte Gerät verschlüsselt ist.
https://de.wikipedia.org/wiki/Google_Authenticator
Der Server, der eine durch Google Authenticator geschützte Anmeldung anbietet, generiert im Rahmen der erstmaligen Initialisierung einen 80 Bit langen Geheimcode, den der Benutzer auf ein persönliches Gerät – in der Regel ein Smartphone – übertragen muss. Hierzu wird das Geheimnis als QR-Code oder als Zeichenkette in Form einer Base32-Darstellung übermittelt.
Feature Requests zur Unterstützung moderner Algorithmen wie SHA2 werden seit Jahren nicht bearbeitet.
Der unverschlüsselte Übertragungsvorgang ist eine Schwäche, genauso wie der Umstand, dass der Geheimcode im Klartext auf dem Gerät gespeichert wird. Auch verwendet das Google-Authenticator-Verfahren entgegen der Vorgabe im RFC 4226 nur einen 80 Bit langen Geheimcode – nach RFC 4226 sollte die Länge des Geheimcodes aber mindestens 128 Bit betragen, 160 Bit sind empfohlen. Da es sich bei dem Geheimnis um das Shared Secret des Verfahrens handelt, darf der Code auch nur von einem vertrauenswürdigen Rechner aus abgelesen werden. Auch eine Fotografie des QR-Codes würde das Geheimnis kompromittieren.
Der Authenticator speichert die mit den Servern vereinbarten Geheimnisse im Klartext in einer SQLite-Datenbank auf dem Mobilgerät. Die Sicherheit des Verfahrens hängt damit von der Sicherheit des verwendeten Betriebssystems ab. Wird diese Sicherheit durch den Anwender (beispielsweise durch das bei Smartphones anzutreffende Rooten) oder durch Sicherheitslücken im Betriebssystem kompromittiert, können die Geheimnisse ohne Wissen des berechtigten Anwenders ausgelesen und zur Berechnung von Einmalpasswörtern verwendet werden; ein Angreifer kann so den zusätzlichen Schutz durch das zweistufige Verfahren aushebeln.
Wenn ein Angreifer in den physischen Besitz des Mobilgeräts gelangt, kann er – selbst im ausgeschalteten Zustand – die Geheimnisse aus dem Speicher auslesen, solange nicht das gesamte Gerät verschlüsselt ist.
https://de.wikipedia.org/wiki/Google_Authenticator
Re: YubiKey oder OnlyKey ?
Funktionieren tut es gut, man steht nur nicht wirklich sicherer da, wenn der Anbieter trotzdem eine Recovery ohne den 2ten Dongle anbietet. Vom Nutzen war ich dann entäuscht, sind halt doch recht wenige Anbieter.
Positiv deutlich kompfortabler als zwei Smartphones!
Na ja, ich habe immer Bedenken das ich mich Aussperre. Paßworter, 2FA App und dongles überall drauf Aufpassen Meine armen Nerven.
Re: YubiKey oder OnlyKey ?
Ja Smartphones - broken device ... ich vertraue meinem auch nur sehr bedingt, und speichere dort nur wenig.debianuser4782 hat geschrieben:02.08.2021 17:50:54Smartphones - eingegliedert in Sicherheitsketten von It-Strukturen in Organisationen -..................
Wenn ein Angreifer in den physischen Besitz des Mobilgeräts gelangt, kann er – selbst im ausgeschalteten Zustand – die Geheimnisse aus dem Speicher auslesen, solange nicht das gesamte Gerät verschlüsselt ist.[/i]
https://de.wikipedia.org/wiki/Google_Authenticator
Also doch lieber die Dongles.
Re: YubiKey oder OnlyKey ?
Mag ja sein, dass ein Smartphone unsicherer ist als ein Dongle.
Aber das gilt wohl erst, wenn ich es verlege oder es mir geklaut wird.
Auch ist es nicht sooo einfach ein Smartphone zu hacken auch wenn es bestimmt möglich ist.
Die Frage ist auch gegen wen man sich damit absichert.
Eigentlich braucht man beim Smartphone weder Sperrmuster, Passwort noch Fingerabdruck.
Ich kenne niemand der sein Smartphone verloren hat und es nicht nach 5 Minuten gemerkt hat
Bei einem evtl. selten genutzten Dongle wäre ich mir da nicht so sicher.
Aber das gilt wohl erst, wenn ich es verlege oder es mir geklaut wird.
Auch ist es nicht sooo einfach ein Smartphone zu hacken auch wenn es bestimmt möglich ist.
Die Frage ist auch gegen wen man sich damit absichert.
Eigentlich braucht man beim Smartphone weder Sperrmuster, Passwort noch Fingerabdruck.
Ich kenne niemand der sein Smartphone verloren hat und es nicht nach 5 Minuten gemerkt hat
Bei einem evtl. selten genutzten Dongle wäre ich mir da nicht so sicher.
Re: YubiKey oder OnlyKey ?
Ja ich bin da vorgeschädigt, mir wurde mal ein Smartphone gemopst.
Nicht meine Welt die Dinger.
Nicht meine Welt die Dinger.
Re: YubiKey oder OnlyKey ?
Wo solche sachen am meisten sinn machen, vor allem die FIDO2 Geräte, wären für Laptops und deren verschlüsselten Festplatten um das ganze nur mit Key zu entschlüsseln, leider ist genau das aktuell nicht bzw nur sehr schwer umsetzbar (zumindest hab ich nichts gescheites gefunden)
Debian-Nutzer
ZABBIX Certified Specialist
ZABBIX Certified Specialist
Re: YubiKey oder OnlyKey ?
Die Sicherheitsnachteile von TOTP (z. B. Google Authenticator) gegenüber YubiKey sind mir bekannt.
Die Frage ist aber immer, welches Risiko man absichern will und wie viel Geld oder Aufwand einem die Absicherung wert ist.
Ich habe ein paar rein passwortbasierte Systeme, wo eine Umstellung auf TOTP einen massiven Vorteil bringen würde.
Und die weiterhin bekannten Gefahren von TOTP sind in der Praxis meist - mindestens im Verhältnis zu Passwörtern - zu vernachlässigen.
So oft werden Android Smartphones nicht gehackt und dann wird bestimmt nicht das Secret ausgelesen ... eher Malware verschickt.
Und wenn man sein Smartphone verliert, merkt das der WhatsApp geschädigte Anwender nach wenigen Sekunden.
Somit sind die Gefahren - trotz Klartextspeicherung - eher nicht gegeben.
Die Frage ist aber immer, welches Risiko man absichern will und wie viel Geld oder Aufwand einem die Absicherung wert ist.
Ich habe ein paar rein passwortbasierte Systeme, wo eine Umstellung auf TOTP einen massiven Vorteil bringen würde.
Und die weiterhin bekannten Gefahren von TOTP sind in der Praxis meist - mindestens im Verhältnis zu Passwörtern - zu vernachlässigen.
So oft werden Android Smartphones nicht gehackt und dann wird bestimmt nicht das Secret ausgelesen ... eher Malware verschickt.
Und wenn man sein Smartphone verliert, merkt das der WhatsApp geschädigte Anwender nach wenigen Sekunden.
Somit sind die Gefahren - trotz Klartextspeicherung - eher nicht gegeben.