YubiKey oder OnlyKey ?

[MSfree]

mit zweifelhaftem Nutzen.

Was soll daran bitte zweifelhaft sein?

Und nur so nebenbei mit den 2FA Apps kann man sich auch wunderbar aussperren ...

Und genau deswegen müssen wir im Betrieb sogar 3 2FA-Methoden zur Hand haben.

[uname]

Was soll daran bitte zweifelhaft sein?

Vielleicht weil man diese Keys (für viel Geld) an Stellen einsetzt, wo es eigentlich unnötig ist.

Die Gefahr von Passwörtern ist eher, dass sie mitgelesen werden (bei TLS eigentlich nur Client und Server) und nicht ausprobiert werden.
Und wenn das der Fall ist, nutzt einem die Komplexität der Passwörter wenig (werden ja bei beliebiger Komplexität einfach mitgelesen) bzw. umgekehrt sind auch schlechte Passwörter nicht wirklich schlecht. Dass Angriffe auf verschlüsselte Datenbanken erfolgt ist eher selten (siehe Dropbox 2012 oder wann das mal war).

Zudem wird heutzutage wo 2FA sinnvoll ist (z. B. VPN) oft einfach TPM als zweiter Faktor verwendet. Auch halte ich wie oben geschrieben TOTP für eine gute Alternative, um Kosten und Fehler zu vermeiden. Eine Hintertür braucht man im übrigen immer, die man z. B. über extra abgesicherte Netzwerke inkl. ausreichender Protokollierung und Alarmierung erlauben könnte.

Wer jedoch zwei oder drei 2FA-Verfahren braucht ist sicher ... vor allen vor sich selbst.
Im übrigen gegen z. B. Malware auf Client und Server hilft das alles auch nicht.
Hierzu dürften die Daten auf dem Client nie entschlüsselt dargestellt werden (Kopie durch Malware, Screenshot durch Malware, ...).

Statt einen Key zu verwenden, wäre wohl eine Trennung vom Internet die bessere Option.

[TRex]

Zudem wird heutzutage wo 2FA sinnvoll ist (z. B. VPN) oft einfach TPM als zweiter Faktor verwendet.

Ach TPM meinst du?

[debianuser4782]

Smartphones - eingegliedert in Sicherheitsketten von It-Strukturen in Organisationen - sind mM nach immer ein schwaches Kettenglied, welches anfällig für Angriffe durch Hacker ist, insbesondere wenn diese Smartphones von den Mitgliedern der betreffenden Organisation auch privat genutzt werden. Zwischen Security-Keys (insb der Nitrokey mit TOTP-Funktion) und Smartphones liegen diesbezüglich wohl Welten. Der Google-Authenticator - genutzt mit Smartphone-App - wird in diesem Zusammenhang folgend kritisiert:

Der Server, der eine durch Google Authenticator geschützte Anmeldung anbietet, generiert im Rahmen der erstmaligen Initialisierung einen 80 Bit langen Geheimcode, den der Benutzer auf ein persönliches Gerät – in der Regel ein Smartphone – übertragen muss. Hierzu wird das Geheimnis als QR-Code oder als Zeichenkette in Form einer Base32-Darstellung übermittelt.
Feature Requests zur Unterstützung moderner Algorithmen wie SHA2 werden seit Jahren nicht bearbeitet.
Der unverschlüsselte Übertragungsvorgang ist eine Schwäche, genauso wie der Umstand, dass der Geheimcode im Klartext auf dem Gerät gespeichert wird. Auch verwendet das Google-Authenticator-Verfahren entgegen der Vorgabe im RFC 4226 nur einen 80 Bit langen Geheimcode – nach RFC 4226 sollte die Länge des Geheimcodes aber mindestens 128 Bit betragen, 160 Bit sind empfohlen. Da es sich bei dem Geheimnis um das Shared Secret des Verfahrens handelt, darf der Code auch nur von einem vertrauenswürdigen Rechner aus abgelesen werden. Auch eine Fotografie des QR-Codes würde das Geheimnis kompromittieren.
Der Authenticator speichert die mit den Servern vereinbarten Geheimnisse im Klartext in einer SQLite-Datenbank auf dem Mobilgerät. Die Sicherheit des Verfahrens hängt damit von der Sicherheit des verwendeten Betriebssystems ab. Wird diese Sicherheit durch den Anwender (beispielsweise durch das bei Smartphones anzutreffende Rooten) oder durch Sicherheitslücken im Betriebssystem kompromittiert, können die Geheimnisse ohne Wissen des berechtigten Anwenders ausgelesen und zur Berechnung von Einmalpasswörtern verwendet werden; ein Angreifer kann so den zusätzlichen Schutz durch das zweistufige Verfahren aushebeln.
Wenn ein Angreifer in den physischen Besitz des Mobilgeräts gelangt, kann er – selbst im ausgeschalteten Zustand – die Geheimnisse aus dem Speicher auslesen, solange nicht das gesamte Gerät verschlüsselt ist.
https://de.wikipedia.org/wiki/Google_Authenticator

[mcb]

mit zweifelhaftem Nutzen.

Was soll daran bitte zweifelhaft sein?
....

Funktionieren tut es gut, man steht nur nicht wirklich sicherer da, wenn der Anbieter trotzdem eine Recovery ohne den 2ten Dongle anbietet. Vom Nutzen war ich dann entäuscht, sind halt doch recht wenige Anbieter.

Positiv deutlich kompfortabler als zwei Smartphones!

Na ja, ich habe immer Bedenken das ich mich Aussperre. Paßworter, 2FA App und dongles überall drauf Aufpassen Meine armen Nerven.

[mcb]

Smartphones - eingegliedert in Sicherheitsketten von It-Strukturen in Organisationen -..................

Wenn ein Angreifer in den physischen Besitz des Mobilgeräts gelangt, kann er – selbst im ausgeschalteten Zustand – die Geheimnisse aus dem Speicher auslesen, solange nicht das gesamte Gerät verschlüsselt ist.[/i]
https://de.wikipedia.org/wiki/Google_Authenticator

Ja Smartphones - broken device ... ich vertraue meinem auch nur sehr bedingt, und speichere dort nur wenig.

Also doch lieber die Dongles.

[uname]

Mag ja sein, dass ein Smartphone unsicherer ist als ein Dongle.
Aber das gilt wohl erst, wenn ich es verlege oder es mir geklaut wird.
Auch ist es nicht sooo einfach ein Smartphone zu hacken auch wenn es bestimmt möglich ist.
Die Frage ist auch gegen wen man sich damit absichert.

Eigentlich braucht man beim Smartphone weder Sperrmuster, Passwort noch Fingerabdruck.
Ich kenne niemand der sein Smartphone verloren hat und es nicht nach 5 Minuten gemerkt hat
Bei einem evtl. selten genutzten Dongle wäre ich mir da nicht so sicher.

[mcb]

Ja ich bin da vorgeschädigt, mir wurde mal ein Smartphone gemopst.

Nicht meine Welt die Dinger.

[Colttt]

Wo solche sachen am meisten sinn machen, vor allem die FIDO2 Geräte, wären für Laptops und deren verschlüsselten Festplatten um das ganze nur mit Key zu entschlüsseln, leider ist genau das aktuell nicht bzw nur sehr schwer umsetzbar (zumindest hab ich nichts gescheites gefunden)

[uname]

Die Sicherheitsnachteile von TOTP (z. B. Google Authenticator) gegenüber YubiKey sind mir bekannt.
Die Frage ist aber immer, welches Risiko man absichern will und wie viel Geld oder Aufwand einem die Absicherung wert ist.

Ich habe ein paar rein passwortbasierte Systeme, wo eine Umstellung auf TOTP einen massiven Vorteil bringen würde.
Und die weiterhin bekannten Gefahren von TOTP sind in der Praxis meist - mindestens im Verhältnis zu Passwörtern - zu vernachlässigen.

So oft werden Android Smartphones nicht gehackt und dann wird bestimmt nicht das Secret ausgelesen ... eher Malware verschickt.
Und wenn man sein Smartphone verliert, merkt das der WhatsApp geschädigte Anwender nach wenigen Sekunden.
Somit sind die Gefahren - trotz Klartextspeicherung - eher nicht gegeben.

[hobbyadmin]

Moin!
Da habe ich wieder viele interessante Aspekte kennen gelernt.
Das mit dem Smartphone werde ich zumindest mal probieren. Bisher passten die Begriffe "Google" und "Sicherheit/Privatsphäre" für mich nicht so richtig zusammen. Aber ich werde das mal testen.

Was mir nicht ganz klar ist:
Ist der YubiKey das ausgereifte Produkt und der OnlyKey ist noch in so einer Art Entwicklungszustand, die beim Kunden reift? Oder sind das beides ausgereifte Produkte?

[mcb]

Moin!
Da habe ich wieder viele interessante Aspekte kennen gelernt.
Das mit dem Smartphone werde ich zumindest mal probieren. Bisher passten die Begriffe "Google" und "Sicherheit/Privatsphäre" für mich nicht so richtig zusammen. Aber ich werde das mal testen.

Was mir nicht ganz klar ist:
Ist der YubiKey das ausgereifte Produkt und der OnlyKey ist noch in so einer Art Entwicklungszustand, die beim Kunden reift? Oder sind das beides ausgereifte Produkte?

Yubi hat schon mehrmals Keys austauschen müssen ... Wäre nicht meine erste Wahl.

Für Android gibt es alternativ andOTP.

[MSfree]

Yubi hat schon mehrmals Keys austauschen müssen

Yubi hat bisher nur einmal eine Serie tauschen müssen, und zwar die, die für US-Regierungsstellen besonders zertifiziert waren. Also bitte nicht übertreiben.

[debianuser4782]

Moin!
Da habe ich wieder viele interessante Aspekte kennen gelernt.
Das mit dem Smartphone werde ich zumindest mal probieren. Bisher passten die Begriffe "Google" und "Sicherheit/Privatsphäre" für mich nicht so richtig zusammen. Aber ich werde das mal testen.

Der Google-Authenticator ist eine Sicherheitsschicht mehr. Hier will ich nochmal meine obige Quelle an andere Stelle zitieren:
Trotz gewisser Schwächen in den Implementierungsdetails bewirkt die Nutzung der Zwei-Faktor-Authentifizierung sogar mit dieser App einen großen Zugewinn an Sicherheit, da der Aufwand für einen Angreifer bei Einsatz dieses Verfahrens erheblich höher ist als bei einer Ein-Faktor-Authentifizierung nur über ein Passwort. https://de.wikipedia.org/wiki/Google_Authenticator

Dass Sicherheitstechniken wie TOTP auf Smartphones über Apps in Vielzahl auftauchen, hat nicht zuletzt damit zu tun, dass über Smartphones mehr Kunden zu erreichen sind. Smartphones sind stark technik- und medienkonvergent, die Mutter der Netzwerkeffekte und "Always-On". Zudem ist Smartphonesoftware weitgehend closed-source. Hardware-Token sind dagegen "Always-Off" und hard- sowie softwareseits spezifisch auf die vergleichsweise wenigen Sicherheitsfunktionen zugeschnitten. Sie sind damit stark auf harte Systemtrennung fokussiert. Deswegen verwässern mM nach Smarphones Sicherheitstechniken wie zB TOTP.

Was mir nicht ganz klar ist:
Ist der YubiKey das ausgereifte Produkt und der OnlyKey ist noch in so einer Art Entwicklungszustand, die beim Kunden reift? Oder sind das beides ausgereifte Produkte?

Das kann man wohl so sagen. Der Chip auf dem Onlykey ist zudem viel komplexer. Das hat Vor- und Nachteile. Vorteil ist wohl, dass die Firmware nach Veröffentlichung der jeweiligen Onlykey-Serie großzügiger gewartet und um Funktionen erweitert werden kann. Nachteil ist, dass Komplexitätsanhäufung in Systemen immer auch die Anhäufung von - zu ungeplanten Funktionen ausnutzbaren - Lücken bedeuten kann. Open-Hardware sind der Only- und Yubikey wohl nicht. Hier punkten dagegen die Nitrokeys. Eine Checksumme für Hardware gibt es, anders als bei Software, aber trotzdem nicht. Die Anbieter des Onlykey argumentieren glaube ich, dass sie eine breite und technikaffine Kundschaft aus der Open-Source-Community haben, die ihre Software unter die Lupe nehmen können, ebenso wie den OnlyKey selbst im Betrieb, zB auf einer quelloffenen Linux-Distribution. Mehr dazu kann man über meine erste Verlinkung lesen.

[mcb]

Yubi hat schon mehrmals Keys austauschen müssen

Yubi hat bisher nur einmal eine Serie tauschen müssen, und zwar die, die für US-Regierungsstellen besonders zertifiziert waren. Also bitte nicht übertreiben.

Nö - das waren auch Privatkunden - aber es ist lang her - wer es ließt bitte selber googlen. Ich habe mich aus diesem Grund für OpenSource-Dongles entschieden.

Ev. war ich mistaken: https://www.heise.de/security/meldung/Y ... 48794.html

Nr. 2 https://www.heise.de/security/meldung/S ... 21122.html

[uname]

@hobbyadmin
Vielleicht kannst du noch mal kurz schreiben, welche Anwendung du damit absichern willst.

[hobbyadmin]

Also zunächst wollte ich damit meinen Nextcloud-Zugang absichern.
Wenn das gut funktioniert, wollte ich dann Schritt für Schritt weiter gehen.
Also z.B. den Passwort-Manager absichern, Online-Konten absichern, usw.
Ganz am Ende dann vielleicht sogar die Anmeldung am Computer absichern.

Ich habe so ein Ding noch nie benutzt. Deshalb wollte ich so vorsichtig vor gehen.