YubiKey oder OnlyKey ?

Alles rund um sicherheitsrelevante Fragen und Probleme.
hobbyadmin
Beiträge: 127
Registriert: 26.12.2020 18:13:43

YubiKey oder OnlyKey ?

Beitrag von hobbyadmin » 01.08.2021 12:21:09

Hallo,

ich möchte mir einen der beiden Keys zulegen.
Welcher ist aus Eurer Sich besser, bzw. universeller.
Und welcher Key funktioniert einwandfrei mit Linux?
Gibt es da schon Erfahrungen bei Euch?

Benutzeravatar
weshalb
Beiträge: 1265
Registriert: 16.05.2012 14:19:49

Re: YubiKey oder OnlyKey ?

Beitrag von weshalb » 01.08.2021 13:17:59

Ich hatte mal den Yubikey, allerdings ohne ihn unter Linux zu testen.

Unter Windows: Absoluter Krampf und nichts für mal eben so. Ohne Vorahnung muss man viel Zeit investieren.

Laut Hersteller sollte man auch immer einen Zweitstick zur Verfügung haben.

Das alles war es mir dann doch nicht wert.

Benutzeravatar
MSfree
Beiträge: 10686
Registriert: 25.09.2007 19:59:30

Re: YubiKey oder OnlyKey ?

Beitrag von MSfree » 01.08.2021 13:44:27

weshalb hat geschrieben: ↑ zum Beitrag ↑
01.08.2021 13:17:59
Ich hatte mal den Yubikey, allerdings ohne ihn unter Linux zu testen.

Unter Windows: Absoluter Krampf und nichts für mal eben so.
Unter Windows funktionieren die Yubikeys völlig problemlos Plug'n'Play. Im Büro nutze ich die seit mindestens 5 Jahren für 2FA.
Laut Hersteller sollte man auch immer einen Zweitstick zur Verfügung haben.
Oder eine zweite Mehtode für 2FA, z.B. via Telefonanruf, TAN-Liste, Google Authenticator...

mcb

Re: YubiKey oder OnlyKey ?

Beitrag von mcb » 01.08.2021 14:40:03

hobbyadmin hat geschrieben: ↑ zum Beitrag ↑
01.08.2021 12:21:09
Hallo,

ich möchte mir einen der beiden Keys zulegen.
Welcher ist aus Eurer Sich besser, bzw. universeller.
Und welcher Key funktioniert einwandfrei mit Linux?
Gibt es da schon Erfahrungen bei Euch?
Ich habe die beiden -> Nitrokey und Somu im Test Zwei Fido-Sticks für alle Fälle - Golem.de

https://www.golem.de/news/nitrokey-und- ... 44778.html

Open Source Hard- und Software. :THX: Sie tuen im Rahmen der Möglichkeiten gut.

debianuser4782
Beiträge: 196
Registriert: 11.03.2018 23:09:05

Re: YubiKey oder OnlyKey ?

Beitrag von debianuser4782 » 01.08.2021 17:28:09

Ich besitze zwei yubikeys, zwei Nitrokeys und einen Onlykey. Der Yubikey und der Onlykey sind kaum vergleichbar, da der Onlykey viel mehr Funktionen und Kapazitäten hat als der Yubikey. Auf einen Onlykey lassen sich 24 Profile (URL, Benutzername, statisches Passwort/OTP/FIDO2/U2F) verteilt auf zwei "Slots" abspeichern. Neben der Abspeicherung von statischen Passwörtern besitzt der Onlykey noch viele andere Funktionen, die ich noch nicht verwende. Die beiden Slots müssen mit einer 7-Stelligen PIN geschützt werden. Ob man ganz auf die PINs verzichten kann, zB wenn man den Key nur zuhause verwenden möchte, habe ich noch nicht ausprobiert. Das Ausschalten der PIN-Funktion müsste aber per Firmware-Update möglich sein. Sollte eine solche Ausschalt-Funktion fehlen, werde ich sie einmal bei den Anbietern anregen. Ich benutze derzeit "1111111" und "2222222" als PINs. Beide SLOTS haben unterschiedliche Leuchtdioden-Farben zugewiesen bekommen. Jüngst (durch Firmwareupdate) kann man sich von einem Slot per längeren Druck auf die Taste "3" abmelden. Idealerweise konfiguriere ich den Onlykey auf einem Offline-PC, u.a. da es die App (noch) nicht als debian-Paket gibt. Eine vom Internet abgeschottete VM sollte aber auch genügen. Ist der Onlykey individuell konfiguriert, benötigt er - wie der Yubikey und anders als der Nitrokey - keine App mehr, um zu funktionieren. Die App gibt es aber anders als die Debiannitrokey-app oder die Debianyubikey-personalization-gui (noch?) nicht als debian-Paket. Der Onlykey wird vom Debian-System einfach als eine Tastatur erkannt. Ich melde mich mit dem Onlykey per Knopfruck und vom tty aus als User an (Profil-Konfiguration: Debian-Benutzername + ENTER + User-Passwort [bis 56 Stellen mgl] + ENTER). Probleme mit Debian habe ich noch nicht bemerkt. Die Macher des Onlykey sind wie diejenigen der anderen Keys wohl auch eher Linux/BSD-affin eingestellt. Ich glaube anders als der Nitrokey haben der Yubi- und Onlykey keine eigene Uhr integriert, weswegen sie wohl keine echten TOTP und HOTP -Funktionen (außer Google Authenticator) leisten können? Hier verwende ich noch einen Nitrokey. Ich kann den Onlykey für technikinteressierte Bastler - die cutting-edge-Technologien in diesem Bereich gerne finanziell und für Gegenleistung unterstützen - empfehlen, da man damit viel innovative Sicherheits-Technik für relativ wenig Geld erhält. Ich werde mir wohl einen zweiten Onlykey besorgen, um bei wichtigeren statischen Passwörtern noch unabhängiger von softwarebasierten Passworttresoren, wie zB dem KeePassx, zu werden. Hier ein interessanter Link zu einer kritischen Debatte rund um die oben erwähnen Security-keys: https://news.ycombinator.com/item?id=21884184
Zuletzt geändert von debianuser4782 am 02.08.2021 17:54:27, insgesamt 1-mal geändert.

Benutzeravatar
Waldlaeufer
Beiträge: 74
Registriert: 04.04.2015 16:16:28

Re: YubiKey oder OnlyKey ?

Beitrag von Waldlaeufer » 01.08.2021 17:57:31

Ich verwende den YubiKey ohne Probleme unter Debian.

Benutzeravatar
TRex
Moderator
Beiträge: 8039
Registriert: 23.11.2006 12:23:54
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: KA

Re: YubiKey oder OnlyKey ?

Beitrag von TRex » 01.08.2021 18:22:23

Jesus saves. Buddha does incremental backups.
Windows ist doof, Linux funktioniert nichtDon't break debian!Wie man widerspricht

Benutzeravatar
weshalb
Beiträge: 1265
Registriert: 16.05.2012 14:19:49

Re: YubiKey oder OnlyKey ?

Beitrag von weshalb » 01.08.2021 18:59:24

MSfree hat geschrieben: ↑ zum Beitrag ↑
01.08.2021 13:44:27
weshalb hat geschrieben: ↑ zum Beitrag ↑
01.08.2021 13:17:59
Ich hatte mal den Yubikey, allerdings ohne ihn unter Linux zu testen.

Unter Windows: Absoluter Krampf und nichts für mal eben so.
Unter Windows funktionieren die Yubikeys völlig problemlos Plug'n'Play. Im Büro nutze ich die seit mindestens 5 Jahren für 2FA.
Laut Hersteller sollte man auch immer einen Zweitstick zur Verfügung haben.
Oder eine zweite Mehtode für 2FA, z.B. via Telefonanruf, TAN-Liste, Google Authenticator...
Was heißt für dich Plug'n'Play?

Ich stecke ihn rein und dann?

Benutzeravatar
MSfree
Beiträge: 10686
Registriert: 25.09.2007 19:59:30

Re: YubiKey oder OnlyKey ?

Beitrag von MSfree » 01.08.2021 19:01:45

weshalb hat geschrieben: ↑ zum Beitrag ↑
01.08.2021 18:59:24
Was heißt für dich Plug'n'Play?

Ich stecke ihn rein und dann?
... dauert es 10-20s, bis die Treiber runtergeladen und installiert sind und dann geht das Ding.

Colttt
Beiträge: 2983
Registriert: 16.10.2008 23:25:34
Wohnort: Brandenburg
Kontaktdaten:

Re: YubiKey oder OnlyKey ?

Beitrag von Colttt » 02.08.2021 10:23:25

weshalb hat geschrieben: ↑ zum Beitrag ↑
01.08.2021 18:59:24
Ich stecke ihn rein und dann?
wartest du 9Monate :mrgreen:
Debian-Nutzer :D

ZABBIX Certified Specialist

uname
Beiträge: 12046
Registriert: 03.06.2008 09:33:02

Re: YubiKey oder OnlyKey ?

Beitrag von uname » 02.08.2021 14:00:02

Ich verwende weiterhin Passwörter.

Für viele Anwendungsfälle erscheint mir TOTP mit z. B. Google Authenticator ausreichend sicher zu sein.
Ein Smartphone hat man eigentlich auch immer dabei. Zudem ist es kostenlos und wenig fehleranfällig.

Bis jetzt habe ich TOTP aber nur mal mit Nextcloud ausprobiert.
Hier mal ein recht gutes Video für Nextcloud und TOTP: https://www.youtube.com/watch?v=fI9b1fXsS6A

Benutzeravatar
MSfree
Beiträge: 10686
Registriert: 25.09.2007 19:59:30

Re: YubiKey oder OnlyKey ?

Beitrag von MSfree » 02.08.2021 14:12:51

uname hat geschrieben: ↑ zum Beitrag ↑
02.08.2021 14:00:02
Für viele Anwendungsfälle erscheint mir TOTP mit z. B. Google Authenticator ausreichend sicher zu sein.
Ein Smartphone hat man eigentlich auch immer dabei. Zudem ist es kostenlos und wenig fehleranfällig.
Im Prinzip hast du recht, sowas wie der Google Authenticator ist ausreichend sicher.

Ein Problem entsteht aber immer dann, wenn man das Smartphone versehentlich mal nicht dabei hat oder kaputt gegangen ist. Dann ist es sinnvoll, noch eine zweite 2FA-Methode als Backup zu haben. Bei uns im Betrieb sind sogar 3 verschiedene 2FA-Methoden vorgeschrieben, um den Administrationsaufwand möglichst klein zu halten, wenn jemand sein 2FA-Gerät verloren/geschrottet/vergessen hat. Dann hat man noch zwei weitere in Reserve.

Ich habe z.B. Google Authenticator, Yubikey und als letzte Option den telefonischen Rückruf auf die Bürotelefonnummer.

uname
Beiträge: 12046
Registriert: 03.06.2008 09:33:02

Re: YubiKey oder OnlyKey ?

Beitrag von uname » 02.08.2021 14:53:46

Da hast du natürlich auch recht.
Vielleicht sollte der Threadstarter noch mal schreiben, was das Ziel ist.
Is es eher privat oder für eine Firma. wie flexibel muss oder will man sein?

Solange man nur ein 2FA-Verfahren braucht, erscheint mir TOTP einfacher und kostengünstiger.

Benutzeravatar
TRex
Moderator
Beiträge: 8039
Registriert: 23.11.2006 12:23:54
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: KA

Re: YubiKey oder OnlyKey ?

Beitrag von TRex » 02.08.2021 14:56:06

Insbesondere, weil zumindest der Yubikey verschiedene Funktionen hat... ich verwende meine als Authenticator im Browser, als OTP-Tastatur für 2FA (was technisch sogar auf nem Smartphone funktionieren würde) und ich hab mal rumexperimentiert, den als GPG-Secret zu verwenden.
Jesus saves. Buddha does incremental backups.
Windows ist doof, Linux funktioniert nichtDon't break debian!Wie man widerspricht

mcb

Re: YubiKey oder OnlyKey ?

Beitrag von mcb » 02.08.2021 15:01:51

Ja die Sticks sind ein teurer Spaß (mit zweifelhaftem Nutzen).

Ich hatte mir extra zwei gekauft (um mich nicht selbst auszusperren zu können) - die wenigen Anbieter verlangen trotz 2 Sticks eine Recoverymethode :facepalm: Da hätte es widerum ein Stick getan. Und nur so nebenbei mit den 2FA Apps kann man sich auch wunderbar aussperren ...

Benutzeravatar
MSfree
Beiträge: 10686
Registriert: 25.09.2007 19:59:30

Re: YubiKey oder OnlyKey ?

Beitrag von MSfree » 02.08.2021 15:14:45

mcb hat geschrieben: ↑ zum Beitrag ↑
02.08.2021 15:01:51
mit zweifelhaftem Nutzen.
Was soll daran bitte zweifelhaft sein?
Und nur so nebenbei mit den 2FA Apps kann man sich auch wunderbar aussperren ...
Und genau deswegen müssen wir im Betrieb sogar 3 2FA-Methoden zur Hand haben.

uname
Beiträge: 12046
Registriert: 03.06.2008 09:33:02

Re: YubiKey oder OnlyKey ?

Beitrag von uname » 02.08.2021 15:25:34

MSfree hat geschrieben:Was soll daran bitte zweifelhaft sein?
Vielleicht weil man diese Keys (für viel Geld) an Stellen einsetzt, wo es eigentlich unnötig ist.

Die Gefahr von Passwörtern ist eher, dass sie mitgelesen werden (bei TLS eigentlich nur Client und Server) und nicht ausprobiert werden.
Und wenn das der Fall ist, nutzt einem die Komplexität der Passwörter wenig (werden ja bei beliebiger Komplexität einfach mitgelesen) bzw. umgekehrt sind auch schlechte Passwörter nicht wirklich schlecht. Dass Angriffe auf verschlüsselte Datenbanken erfolgt ist eher selten (siehe Dropbox 2012 oder wann das mal war).

Zudem wird heutzutage wo 2FA sinnvoll ist (z. B. VPN) oft einfach TPM als zweiter Faktor verwendet. Auch halte ich wie oben geschrieben TOTP für eine gute Alternative, um Kosten und Fehler zu vermeiden. Eine Hintertür braucht man im übrigen immer, die man z. B. über extra abgesicherte Netzwerke inkl. ausreichender Protokollierung und Alarmierung erlauben könnte.

Wer jedoch zwei oder drei 2FA-Verfahren braucht ist sicher ... vor allen vor sich selbst.
Im übrigen gegen z. B. Malware auf Client und Server hilft das alles auch nicht.
Hierzu dürften die Daten auf dem Client nie entschlüsselt dargestellt werden (Kopie durch Malware, Screenshot durch Malware, ...).

Statt einen Key zu verwenden, wäre wohl eine Trennung vom Internet die bessere Option. ;-)

Benutzeravatar
TRex
Moderator
Beiträge: 8039
Registriert: 23.11.2006 12:23:54
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: KA

Re: YubiKey oder OnlyKey ?

Beitrag von TRex » 02.08.2021 17:03:17

uname hat geschrieben: ↑ zum Beitrag ↑
02.08.2021 15:25:34
Zudem wird heutzutage wo 2FA sinnvoll ist (z. B. VPN) oft einfach TPM als zweiter Faktor verwendet.
Ach TPM meinst du? :mrgreen:
Jesus saves. Buddha does incremental backups.
Windows ist doof, Linux funktioniert nichtDon't break debian!Wie man widerspricht

debianuser4782
Beiträge: 196
Registriert: 11.03.2018 23:09:05

Re: YubiKey oder OnlyKey ?

Beitrag von debianuser4782 » 02.08.2021 17:50:54

Smartphones - eingegliedert in Sicherheitsketten von It-Strukturen in Organisationen - sind mM nach immer ein schwaches Kettenglied, welches anfällig für Angriffe durch Hacker ist, insbesondere wenn diese Smartphones von den Mitgliedern der betreffenden Organisation auch privat genutzt werden. Zwischen Security-Keys (insb der Nitrokey mit TOTP-Funktion) und Smartphones liegen diesbezüglich wohl Welten. Der Google-Authenticator - genutzt mit Smartphone-App - wird in diesem Zusammenhang folgend kritisiert:

Der Server, der eine durch Google Authenticator geschützte Anmeldung anbietet, generiert im Rahmen der erstmaligen Initialisierung einen 80 Bit langen Geheimcode, den der Benutzer auf ein persönliches Gerät – in der Regel ein Smartphone – übertragen muss. Hierzu wird das Geheimnis als QR-Code oder als Zeichenkette in Form einer Base32-Darstellung übermittelt.
Feature Requests zur Unterstützung moderner Algorithmen wie SHA2 werden seit Jahren nicht bearbeitet.
Der unverschlüsselte Übertragungsvorgang ist eine Schwäche, genauso wie der Umstand, dass der Geheimcode im Klartext auf dem Gerät gespeichert wird. Auch verwendet das Google-Authenticator-Verfahren entgegen der Vorgabe im RFC 4226 nur einen 80 Bit langen Geheimcode – nach RFC 4226 sollte die Länge des Geheimcodes aber mindestens 128 Bit betragen, 160 Bit sind empfohlen. Da es sich bei dem Geheimnis um das Shared Secret des Verfahrens handelt, darf der Code auch nur von einem vertrauenswürdigen Rechner aus abgelesen werden. Auch eine Fotografie des QR-Codes würde das Geheimnis kompromittieren.
Der Authenticator speichert die mit den Servern vereinbarten Geheimnisse im Klartext in einer SQLite-Datenbank auf dem Mobilgerät. Die Sicherheit des Verfahrens hängt damit von der Sicherheit des verwendeten Betriebssystems ab. Wird diese Sicherheit durch den Anwender (beispielsweise durch das bei Smartphones anzutreffende Rooten) oder durch Sicherheitslücken im Betriebssystem kompromittiert, können die Geheimnisse ohne Wissen des berechtigten Anwenders ausgelesen und zur Berechnung von Einmalpasswörtern verwendet werden; ein Angreifer kann so den zusätzlichen Schutz durch das zweistufige Verfahren aushebeln.
Wenn ein Angreifer in den physischen Besitz des Mobilgeräts gelangt, kann er – selbst im ausgeschalteten Zustand – die Geheimnisse aus dem Speicher auslesen, solange nicht das gesamte Gerät verschlüsselt ist.

https://de.wikipedia.org/wiki/Google_Authenticator

mcb

Re: YubiKey oder OnlyKey ?

Beitrag von mcb » 02.08.2021 21:02:11

MSfree hat geschrieben: ↑ zum Beitrag ↑
02.08.2021 15:14:45
mcb hat geschrieben: ↑ zum Beitrag ↑
02.08.2021 15:01:51
mit zweifelhaftem Nutzen.
Was soll daran bitte zweifelhaft sein?
....
Funktionieren tut es gut, man steht nur nicht wirklich sicherer da, wenn der Anbieter trotzdem eine Recovery ohne den 2ten Dongle anbietet. Vom Nutzen war ich dann entäuscht, sind halt doch recht wenige Anbieter.

Positiv deutlich kompfortabler als zwei Smartphones! :mrgreen:

Na ja, ich habe immer Bedenken das ich mich Aussperre. Paßworter, 2FA App und dongles überall drauf Aufpassen Meine armen Nerven.

mcb

Re: YubiKey oder OnlyKey ?

Beitrag von mcb » 02.08.2021 21:05:37

debianuser4782 hat geschrieben: ↑ zum Beitrag ↑
02.08.2021 17:50:54
Smartphones - eingegliedert in Sicherheitsketten von It-Strukturen in Organisationen -..................

Wenn ein Angreifer in den physischen Besitz des Mobilgeräts gelangt, kann er – selbst im ausgeschalteten Zustand – die Geheimnisse aus dem Speicher auslesen, solange nicht das gesamte Gerät verschlüsselt ist.[/i]
https://de.wikipedia.org/wiki/Google_Authenticator
Ja Smartphones - broken device ... ich vertraue meinem auch nur sehr bedingt, und speichere dort nur wenig.

:!: Also doch lieber die Dongles.

uname
Beiträge: 12046
Registriert: 03.06.2008 09:33:02

Re: YubiKey oder OnlyKey ?

Beitrag von uname » 03.08.2021 08:13:23

Mag ja sein, dass ein Smartphone unsicherer ist als ein Dongle.
Aber das gilt wohl erst, wenn ich es verlege oder es mir geklaut wird.
Auch ist es nicht sooo einfach ein Smartphone zu hacken auch wenn es bestimmt möglich ist.
Die Frage ist auch gegen wen man sich damit absichert.

Eigentlich braucht man beim Smartphone weder Sperrmuster, Passwort noch Fingerabdruck.
Ich kenne niemand der sein Smartphone verloren hat und es nicht nach 5 Minuten gemerkt hat ;-)
Bei einem evtl. selten genutzten Dongle wäre ich mir da nicht so sicher.

mcb

Re: YubiKey oder OnlyKey ?

Beitrag von mcb » 03.08.2021 11:03:02

Ja ich bin da vorgeschädigt, mir wurde mal ein Smartphone gemopst. :oops: :oops: :oops:

Nicht meine Welt die Dinger.

Colttt
Beiträge: 2983
Registriert: 16.10.2008 23:25:34
Wohnort: Brandenburg
Kontaktdaten:

Re: YubiKey oder OnlyKey ?

Beitrag von Colttt » 04.08.2021 09:29:40

Wo solche sachen am meisten sinn machen, vor allem die FIDO2 Geräte, wären für Laptops und deren verschlüsselten Festplatten um das ganze nur mit Key zu entschlüsseln, leider ist genau das aktuell nicht bzw nur sehr schwer umsetzbar (zumindest hab ich nichts gescheites gefunden)
Debian-Nutzer :D

ZABBIX Certified Specialist

uname
Beiträge: 12046
Registriert: 03.06.2008 09:33:02

Re: YubiKey oder OnlyKey ?

Beitrag von uname » 04.08.2021 15:24:50

Die Sicherheitsnachteile von TOTP (z. B. Google Authenticator) gegenüber YubiKey sind mir bekannt.
Die Frage ist aber immer, welches Risiko man absichern will und wie viel Geld oder Aufwand einem die Absicherung wert ist.

Ich habe ein paar rein passwortbasierte Systeme, wo eine Umstellung auf TOTP einen massiven Vorteil bringen würde.
Und die weiterhin bekannten Gefahren von TOTP sind in der Praxis meist - mindestens im Verhältnis zu Passwörtern - zu vernachlässigen.

So oft werden Android Smartphones nicht gehackt und dann wird bestimmt nicht das Secret ausgelesen ... eher Malware verschickt.
Und wenn man sein Smartphone verliert, merkt das der WhatsApp geschädigte Anwender nach wenigen Sekunden.
Somit sind die Gefahren - trotz Klartextspeicherung - eher nicht gegeben.

Antworten