Abo
  • Services:
Anzeige
Der Yubikey Neo von Yubico kostet rund 50 Euro.
Der Yubikey Neo von Yubico kostet rund 50 Euro. (Bild: Yubico)

Zwei-Faktor-Authentifizierung mit dem Yubikey

Der "oath-hotp-mode" ist da sicherer. (OATH steht für den Standard Open Authentification, HOTP steht für HMAC-based One-time Password Algorithm.) Ihn kann ich für die Zwei-Faktor-Authentifizierung nutzen. Auf der Yubico-Seite gibt es eine kleine Auswahl jener Dienste, die den oath-hotp-mode unterstützen, darunter Dropbox und Evernote. Man geht dann zum Beispiel auf die Dropbox-Seite, gibt seinen Nutzernamen und sein normales Passwort ein. Anschließend wird man aufgefordert, ein zusätzliches Einmalpasswort einzugeben. Das würde dann der Yubikey beisteuern.

Anzeige

Aber von meinen 152 Diensten sind die wenigsten aufgeführt. Ich beschließe daher, den Yubikey im oath-hotp-mode anders zu nutzen: Ich lege mir einen Passwortmanager zu, parke in dessen verschlüsselter Datenbank meine 152 Zugangsdaten und nutze den Yubikey nur für die zweifache Sicherung dieser Datenbank.

Der Passwortmanager meiner Wahl wird Keepass. Anders als die Konkurrenz ist sein Code quelloffen und kann damit theoretisch von jedermann auf Fehler oder Hintertüren überprüft werden. Außerdem gibt es Keepass für alle gängigen Betriebssysteme und Smartphones. Die Installation ist selbsterklärend und ich lege meine 152 Dienste dort an. Was natürlich einige Zeit dauert. Praktischerweise kann Keepass auch gleich sichere Passwörter für jeden meiner Onlinedienste generieren. Da ich sie mir eh nicht mehr merken muss, dürfen sie auch höllenschwer sein. Die Keepass-Datenbank selbst ist mit dem als sicher geltenden Advanced Encryption Standard (AES-256) verschlüsselt.

Um diese Datenbank voller Passwörter gut zu schützen, habe ich mir zunächst ein besonders schweres Passwort ausgedacht. Es hat 40 Zeichen, und wenn ich es falsch eingebe, brauche ich fast eine Minute, bis ich mit dem zweiten Versuch fertig bin, auf dem Smartphone gerne auch zwei. Der Yubikey kann diese Aufgabe für mich übernehmen. Ich stelle den Yubikey also im ersten seiner beiden sogenannten Slots auf "static mode". Dabei hilft mir das Video auf der Yubico-Seite. Letztlich läuft es darauf hinaus, dass ich mein langes Passwort eingebe und "write configuration" drücke. Das war einfacher als gedacht.

Als kleines Schmankerl habe ich auf dem Yubikey nur 36 Zeichen meines Passworts verstaut. Die letzten vier Zeichen gebe ich per Hand ein. Sollte mein Yubikey verloren gehen, ist mein Generalpasswort damit noch nicht komplett in fremden Händen.

Ich könnte an dieser Stelle aufhören: Um auf meine digitale Identität zuzugreifen, öffne ich also mit Keepass meine Passwort-Datenbank, stecke den Yubikey ein, drücke ihn kurz und gebe meine vier letzten Zeichen dazu. Aber noch einmal: Das ist keine Zwei-Faktor-Authentifizierung, sondern erleichtert nur die Eingabe eines sehr langen, komplexen Passworts.

Yubikey mit Keepass verbinden

Im Alltag erweist sich die Kombination von Keepass und Yubikey anfangs dennoch als gewöhnungsbedürftig. Gerade wenn es schnell gehen muss - und das muss es ja eigentlich immer - nervt der Aufwand. Schnell merke ich aber auch, dass ich viel Zeit spare, weil ich nie Passwörter raten muss und dank Keepass immer weiß, bei welchem Dienst ich mich mit welchem Fantasienamen oder welcher Mail angemeldet habe. Wirklich wichtige Passwörter sind zudem endlich richtig stark, ohne dass ich sie mir merken müsste.

Noch besser wäre es natürlich, Keepass mit Zwei-Faktor-Authentifizierung zu nutzen. Sowohl Keepass als auch der Yubikey unterstützen das. Zuerst bereite ich den Yubikey vor.

Dafür muss ich nun den zweiten Slot einrichten. Ich stecke den Yubikey in meinen Rechner und öffne das Yubikey Personalization Tool. Dort wähle ich anschließend den zweiten Slot aus und in den oberen Reitern den oath-hotp-mode.

Dabei wird unter anderem ein sogenannter Secret Key erstellt, eine lange, wirre Zeichenfolge. Er enthält das Geheimnis, aus dem der Yubikey immer wieder Einmalpasswörter generiert. Wichtig ist, dass man sich den Secret Key unabhängig von Keepass merken beziehungsweise ihn irgendwo speichern sollte. Denn geht später einmal etwas schief, komme ich mit dem Secret Key doch noch an meine Datenbank bei Keepass.

Ist der Yubikey eingerichtet, muss ich außerdem noch Keepass für den Yubikey im oath-hotp-mode einrichten. Dafür lade ich die Erweiterung OtpKeyProv herunter und entpacke die enthaltenen Dateien in den Ordner von Keepass. Das ist auch schon die Installation. Nach wenigen Schritten und unter Verwendung des Secret Key ist meine digitale Identität mit zwei Faktoren gesichert.

Was passiert, wenn der Yubikey verloren geht?

Diese Methode hat nun alle Vorteile gebündelt: einen Passwort-Manager mit starken Passwörtern, gesichert durch einen Token mit einem sehr langen Passwort und einem Einmalpasswort. Wenn ich Keepass starte, gebe ich nun erst mein sehr langes Passwort via Yubikey ein, indem ich drei bis vier Sekunden den Sensor gedrückt halte. Im zweiten Schritt kommt nun noch mein Einmalpasswort dazu. Ich drücke dazu den Sensor des Yubikey nur kurz. Fertig.

Gleichzeitig zeigt sich in diesem Modus aber auch eine Schwäche: Man ist komplett vom Yubikey abhängig. Wird der Yubikey beschädigt, zerstört, verlegt oder gestohlen, verliert man alle Passwörter in der Passwort-Datenbank.

Auf seiner Seite empfiehlt der Hersteller deshalb, einen zweiten Yubikey genau gleich zu konfigurieren. Das ist aber zum einen kostspielig und zum anderen im Falle des oath-hotp-mode auch unmöglich, denn jeder Secret Key ist einmalig. Wer den Yubikey also derart nutzt und dann verliert, ist vollends auf die Hilfe der unterstützenden Dienste angewiesen. Keepass zum Beispiel hat für genau diesen Fall einen Wiederherstellungsmodus (recovery mode). Dafür wird der Secret Key des Yubikey benötigt.

 Yubikey: Nie mehr schlechte PasswörterYubikey auf dem Smartphone nutzen 

eye home zur Startseite
das_mav 25. Mai 2015

Du redest vom KreditkarteOnline der Haspa? Da kann die HASPA nix für, das ist die Schuld...

theWhip 20. Mai 2015

diese Seite von howsecureismypassword.net , wer betreibt diese??? ;) digitale spuren...

Chargeback 16. Mai 2015

... Habe gelesen, dass 1Password nun auch eine aktuelle Windows Version herausbringt...

Nasenbaer 13. Mai 2015

Für Privatpersonen sind das aber keine Szenarien - oder ihr habt ein anderes Kaliber an...

velo 13. Mai 2015

Ich nutze den Yubikey schon lange mit Lastpass und finde es sehr gut. Falls es jemanden...



Anzeige

Stellenmarkt
  1. BWI GmbH, Bonn oder München
  2. MKB Mittelrheinische Bank GmbH, Koblenz
  3. Präsidium Technik, Logistik, Service der Polizei, Stuttgart
  4. MT AG, Ratingen bei Düsseldorf


Anzeige
Hardware-Angebote
  1. 59,90€
  2. 129,99€ (219,98€ für zwei)

Folgen Sie uns
       


  1. Knappe Mehrheit

    SPD stimmt für Koalitionsverhandlungen mit Union

  2. Gerichtspostfach

    EGVP-Client kann weiter genutzt werden

  3. DLD-Konferenz

    Gabriel warnt vor digitalem Schlachtfeld Europa

  4. NetzDG

    Streit mit EU über 100-Prozent-Löschquote in Deutschland

  5. Facebook

    Nutzer sollen Vertrauenswürdigkeit von Newsquellen bewerten

  6. Notebook-Grafik

    Nvidia hat eine Geforce GTX 1050 (Ti) mit Max-Q

  7. Gemini Lake

    Asrock und Gigabyte bringen Atom-Boards

  8. Eni HPC4

    Italienischer Supercomputer weltweit einer der schnellsten

  9. US-Wahl 2016

    Twitter findet weitere russische Manipulationskonten

  10. Die Woche im Video

    Das muss doch einfach schneller gehen!



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Star Citizen Alpha 3.0 angespielt: Es wird immer schwieriger, sich auszuloggen
Star Citizen Alpha 3.0 angespielt
Es wird immer schwieriger, sich auszuloggen
  1. Cloud Imperium Games Star Citizen bekommt erst Polituren und dann Reparaturen
  2. Star Citizen Reaktionen auf Gameplay und Bildraten von Alpha 3.0
  3. Squadron 42 Mark Hamill fliegt mit 16 GByte RAM und SSD

Snet in Kuba: Ein Internet mit Billigroutern und ohne Porno
Snet in Kuba
Ein Internet mit Billigroutern und ohne Porno
  1. Crayfis Smartphones sollen kosmische Strahlung erfassen
  2. Internet Unternehmen in Deutschland weiter mittelmäßig versorgt
  3. Überwachungstechnik EU-Parlament fordert schärfere Ausfuhrregeln

Vorschau Kinofilme 2018: Lara, Han und Player One
Vorschau Kinofilme 2018
Lara, Han und Player One
  1. Kinofilme 2017 Rückkehr der Replikanten und Triumph der Nasa-Frauen
  2. Star Wars - Die letzten Jedi Viel Luke und zu viel Unfug

  1. Re: 1050 und dann noch langsamer?

    Smincke | 05:26

  2. Re: Einer der schnellsten

    Sarkastius | 05:26

  3. Re: schön die datenblätter zitiert

    Sarkastius | 05:19

  4. Re: Löschqopute irrelevant

    ThaKilla | 05:18

  5. Re: Endlich wieder neue Mini-ITX mit CPU

    Crogge | 04:23


  1. 16:59

  2. 14:13

  3. 13:15

  4. 12:31

  5. 14:35

  6. 14:00

  7. 13:30

  8. 12:57


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel