Yubikey: Erfahrungen?

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
Benutzeravatar
schorsch_76
Beiträge: 2544
Registriert: 06.11.2007 16:00:42
Lizenz eigener Beiträge: MIT Lizenz

Yubikey: Erfahrungen?

Beitrag von schorsch_76 » 14.06.2023 06:59:37

Hallo zusammen,

gestern hab ich den Vortrag von der GPN21 [1] "Noch besser leben mit SSH " gesehen. Dabei ging es auch um Yubikeys. Nur hab ich jetzt noch mehr Fragen als vorher...
  • Nutzt hier jemand die Yubikeys oder andere Hardwaretokens für Authentifizierung bzw. Passwortersatz?
  • Wie ist das sollte man den Yubikey verlieren?
  • Braucht man praktisch immer einen zweiten Backupkey?
  • Werden dort die Passwörter bzw. Keys auf dem Schlüssel gespeichert?
  • Wenn man einen neuen Dienst auf Yubikey umstellt muss man dann immer Haupt/Backup Key "anlernen"?
  • Kann man bei Verlust eines Yubikeys die Daten auf einen anderen Yubikey übertragen?
Irgendwie hab ich hier [2] nur die allgemeinen Features gelesen aber leider keine praktischen Handlungsrichtlinien.

[1] https://media.ccc.de/v/gpn21-28-noch-be ... en-mit-ssh
[2] https://www.yubico.com/
Nach oben
Benutzeravatar
MSfree
Beiträge: 10777
Registriert: 25.09.2007 19:59:30

Re: Yubikey: Erfahrungen?

Beitrag von MSfree » 14.06.2023 08:32:37

schorsch_76 hat geschrieben: ↑ zum Beitrag ↑
14.06.2023 06:59:37
[*]Nutzt hier jemand die Yubikeys oder andere Hardwaretokens für Authentifizierung bzw. Passwortersatz?
Ich habe den eine Zeit lang als second Factor genutzt, bin aber im Moment auf Google Authenticator als 2FA umgestiegen.
[*]Wie ist das sollte man den Yubikey verlieren?
Dann ist er weg. :mrgreen:

Wenn man den Key als 2FA für Webanmeldungen nutzt, muß man mindestens noch einen zweiten 2FA einrichten, im Geschäft sind sogar drei 2FA-Methoden vorgeschrieben, ich nutze Yubi, Google Authenticator und als letzten Notnagel Telefonrückruf auf meinen Büroapparat.

Verloren gegangene Geräte muß man natürlich aus den Anmeldemöglichkeiten löschen, damit kein Finder den Key mißbrauchen kann.
[*]Braucht man praktisch immer einen zweiten Backupkey?
Zumindest eine zweite Methode. siehe oben. Bei Rechnern, zu denen man physikalischen Zugang hat, kann man sich ja auch an der Konsole einloggen oder sich per Rettungssystem Zugang verschaffen. Bei Webdiensten muß man entsprechende Vorkehrungen treffen.
[*]Werden dort die Passwörter bzw. Keys auf dem Schlüssel gespeichert?
Soweit ich das verstanden habe, generiert der Key ein zeitabhängiges Einmalpasswort (TOTP).
[*]Wenn man einen neuen Dienst auf Yubikey umstellt muss man dann immer Haupt/Backup Key "anlernen"?
Du kannst den als Zweitschlüssel registrieren.
[*]Kann man bei Verlust eines Yubikeys die Daten auf einen anderen Yubikey übertragen?
Nein.
Nach oben
Benutzeravatar
schorsch_76
Beiträge: 2544
Registriert: 06.11.2007 16:00:42
Lizenz eigener Beiträge: MIT Lizenz

Re: Yubikey: Erfahrungen?

Beitrag von schorsch_76 » 14.06.2023 09:59:51

Danke für deinen Input! :THX:
Nach oben
Benutzeravatar
schorsch_76
Beiträge: 2544
Registriert: 06.11.2007 16:00:42
Lizenz eigener Beiträge: MIT Lizenz

Re: Yubikey: Erfahrungen?

Beitrag von schorsch_76 » 02.07.2023 19:45:55

So, nach einiger Bedenkzeit hab ich mir zwei Yubikeys gekauft. 1x 5 NFC und 1x 5 Nano. Zuerst hab ich sie mir eingerichtet damit die Pins in ein eigenes Keepass File eingetragen. Auch mit den Recovery PUKS etc. gespielt bevor ich anfing mich ernsthaft damit anzumelden. Was ich auch erstmal verstehen musste, waren die verschiedenen Funktionen, Am Ende nutze ich jetzt FIDO2, OTP und OpenPGP. PIV, und OAUTH hab ich noch nicht genutzt aber schon mal "gespielt" damit.

Bei OpenPGP hab ich erstmal eine "Inventur" meiner pgp Keys gemacht (siehe Floppythema). Damit konnte ich dann die uralten Keys wiederrufen. Die neueren Keys habe ich ein Verfallsdatum hinzugefügt (dachte damals nicht das das sinnvoll ist). Einen abgelaufenen Schlüssel kann man mit dem Masterkey wieder zu Leben erwecken bzw. einen neuen Subkey anlegen. Das wusste ich damals nicht :oops: .Da hab ich ich einen neuen S (Sign), E(Encrypt) und A(Authenticate) Keypaar angelegt als Subkeys meines Masterkeys. Diese Subkeys habe ich dann auf die 3 Slots meines Yubikeys geschoben. Das ganze ist (bis auf die Yubikeyvariation) im Debian Subkey Wiki Artikel erklärt. Auch das ich es verstehe :mrgreen:
https://wiki.debian.org/GnuPG

Sign und Encrypt arbeiten wie früher. Nur muss ich dafür jetzt die Pin des Yubikeys eingeben und einmal den Knopf drücken. Damit lässt sich das viel schwerer knacken. Auch gibt es einen Retry Counter welcher sich einstellen lässt. Danach sperrt sich der Key und man muss mit der PUK das wieder zurücksetzen.
Was für mich neu war: Mit dem A(authenticate) Key kann man sich per ssh an seinen Geräten anmelden und kann einen reinen SSH Key ersetzen. (gpg-agent). Das hab ich dann auch bei meinem Github Account und bei den Servern gemacht und den lange genutzen SSH Key aus einem File gegen den A Key auf dem Yubikey (wo er nicht ausgelesen werden kann) ersetzt. Bei Github ist die Integration des Yubikeys mit am besten bei allen Seiten wo ich es bisher gemacht habe.

Dann hab ich mit der FIDO2 Variante und Debianyubikey-luks ganz ähnlich wie letztens bei dem TPM Thema meine LUKS Partitionen geschützt und ein neues Recoverypasswort hinzugefügt und das alte Passwort entfernt.

Was auch noch ein wichtiger Schritt war für mich: Der KeepassXC Datei den Yubikey und ein Passwort geben zum entsperren. Für Mobil hab ich eben die NFC Variante gewählt. Diese wird mit der OTP Funktion entsperrt welche beim Backup und Hauptschlüssel gleich eingestellt sind.

Insgesamt hab ich auf diesem Weg mal wieder sehr viel gelernt. Danke Debian und DF.de :THX: :D
Nach oben
Antworten

Zurück zu „Sicherheit“