Abo
  • Services:
Anzeige
Der Yubikey Neo von Yubico kostet rund 50 Euro.
Der Yubikey Neo von Yubico kostet rund 50 Euro. (Bild: Yubico)

Zwei-Faktor-Authentifizierung mit dem Yubikey

Der "oath-hotp-mode" ist da sicherer. (OATH steht für den Standard Open Authentification, HOTP steht für HMAC-based One-time Password Algorithm.) Ihn kann ich für die Zwei-Faktor-Authentifizierung nutzen. Auf der Yubico-Seite gibt es eine kleine Auswahl jener Dienste, die den oath-hotp-mode unterstützen, darunter Dropbox und Evernote. Man geht dann zum Beispiel auf die Dropbox-Seite, gibt seinen Nutzernamen und sein normales Passwort ein. Anschließend wird man aufgefordert, ein zusätzliches Einmalpasswort einzugeben. Das würde dann der Yubikey beisteuern.

Anzeige

Aber von meinen 152 Diensten sind die wenigsten aufgeführt. Ich beschließe daher, den Yubikey im oath-hotp-mode anders zu nutzen: Ich lege mir einen Passwortmanager zu, parke in dessen verschlüsselter Datenbank meine 152 Zugangsdaten und nutze den Yubikey nur für die zweifache Sicherung dieser Datenbank.

Der Passwortmanager meiner Wahl wird Keepass. Anders als die Konkurrenz ist sein Code quelloffen und kann damit theoretisch von jedermann auf Fehler oder Hintertüren überprüft werden. Außerdem gibt es Keepass für alle gängigen Betriebssysteme und Smartphones. Die Installation ist selbsterklärend und ich lege meine 152 Dienste dort an. Was natürlich einige Zeit dauert. Praktischerweise kann Keepass auch gleich sichere Passwörter für jeden meiner Onlinedienste generieren. Da ich sie mir eh nicht mehr merken muss, dürfen sie auch höllenschwer sein. Die Keepass-Datenbank selbst ist mit dem als sicher geltenden Advanced Encryption Standard (AES-256) verschlüsselt.

Um diese Datenbank voller Passwörter gut zu schützen, habe ich mir zunächst ein besonders schweres Passwort ausgedacht. Es hat 40 Zeichen, und wenn ich es falsch eingebe, brauche ich fast eine Minute, bis ich mit dem zweiten Versuch fertig bin, auf dem Smartphone gerne auch zwei. Der Yubikey kann diese Aufgabe für mich übernehmen. Ich stelle den Yubikey also im ersten seiner beiden sogenannten Slots auf "static mode". Dabei hilft mir das Video auf der Yubico-Seite. Letztlich läuft es darauf hinaus, dass ich mein langes Passwort eingebe und "write configuration" drücke. Das war einfacher als gedacht.

Als kleines Schmankerl habe ich auf dem Yubikey nur 36 Zeichen meines Passworts verstaut. Die letzten vier Zeichen gebe ich per Hand ein. Sollte mein Yubikey verloren gehen, ist mein Generalpasswort damit noch nicht komplett in fremden Händen.

Ich könnte an dieser Stelle aufhören: Um auf meine digitale Identität zuzugreifen, öffne ich also mit Keepass meine Passwort-Datenbank, stecke den Yubikey ein, drücke ihn kurz und gebe meine vier letzten Zeichen dazu. Aber noch einmal: Das ist keine Zwei-Faktor-Authentifizierung, sondern erleichtert nur die Eingabe eines sehr langen, komplexen Passworts.

Yubikey mit Keepass verbinden

Im Alltag erweist sich die Kombination von Keepass und Yubikey anfangs dennoch als gewöhnungsbedürftig. Gerade wenn es schnell gehen muss - und das muss es ja eigentlich immer - nervt der Aufwand. Schnell merke ich aber auch, dass ich viel Zeit spare, weil ich nie Passwörter raten muss und dank Keepass immer weiß, bei welchem Dienst ich mich mit welchem Fantasienamen oder welcher Mail angemeldet habe. Wirklich wichtige Passwörter sind zudem endlich richtig stark, ohne dass ich sie mir merken müsste.

Noch besser wäre es natürlich, Keepass mit Zwei-Faktor-Authentifizierung zu nutzen. Sowohl Keepass als auch der Yubikey unterstützen das. Zuerst bereite ich den Yubikey vor.

Dafür muss ich nun den zweiten Slot einrichten. Ich stecke den Yubikey in meinen Rechner und öffne das Yubikey Personalization Tool. Dort wähle ich anschließend den zweiten Slot aus und in den oberen Reitern den oath-hotp-mode.

Dabei wird unter anderem ein sogenannter Secret Key erstellt, eine lange, wirre Zeichenfolge. Er enthält das Geheimnis, aus dem der Yubikey immer wieder Einmalpasswörter generiert. Wichtig ist, dass man sich den Secret Key unabhängig von Keepass merken beziehungsweise ihn irgendwo speichern sollte. Denn geht später einmal etwas schief, komme ich mit dem Secret Key doch noch an meine Datenbank bei Keepass.

Ist der Yubikey eingerichtet, muss ich außerdem noch Keepass für den Yubikey im oath-hotp-mode einrichten. Dafür lade ich die Erweiterung OtpKeyProv herunter und entpacke die enthaltenen Dateien in den Ordner von Keepass. Das ist auch schon die Installation. Nach wenigen Schritten und unter Verwendung des Secret Key ist meine digitale Identität mit zwei Faktoren gesichert.

Was passiert, wenn der Yubikey verloren geht?

Diese Methode hat nun alle Vorteile gebündelt: einen Passwort-Manager mit starken Passwörtern, gesichert durch einen Token mit einem sehr langen Passwort und einem Einmalpasswort. Wenn ich Keepass starte, gebe ich nun erst mein sehr langes Passwort via Yubikey ein, indem ich drei bis vier Sekunden den Sensor gedrückt halte. Im zweiten Schritt kommt nun noch mein Einmalpasswort dazu. Ich drücke dazu den Sensor des Yubikey nur kurz. Fertig.

Gleichzeitig zeigt sich in diesem Modus aber auch eine Schwäche: Man ist komplett vom Yubikey abhängig. Wird der Yubikey beschädigt, zerstört, verlegt oder gestohlen, verliert man alle Passwörter in der Passwort-Datenbank.

Auf seiner Seite empfiehlt der Hersteller deshalb, einen zweiten Yubikey genau gleich zu konfigurieren. Das ist aber zum einen kostspielig und zum anderen im Falle des oath-hotp-mode auch unmöglich, denn jeder Secret Key ist einmalig. Wer den Yubikey also derart nutzt und dann verliert, ist vollends auf die Hilfe der unterstützenden Dienste angewiesen. Keepass zum Beispiel hat für genau diesen Fall einen Wiederherstellungsmodus (recovery mode). Dafür wird der Secret Key des Yubikey benötigt.

 Yubikey: Nie mehr schlechte PasswörterYubikey auf dem Smartphone nutzen 

eye home zur Startseite
das_mav 25. Mai 2015

Du redest vom KreditkarteOnline der Haspa? Da kann die HASPA nix für, das ist die Schuld...

theWhip 20. Mai 2015

diese Seite von howsecureismypassword.net , wer betreibt diese??? ;) digitale spuren...

Chargeback 16. Mai 2015

... Habe gelesen, dass 1Password nun auch eine aktuelle Windows Version herausbringt...

Nasenbaer 13. Mai 2015

Für Privatpersonen sind das aber keine Szenarien - oder ihr habt ein anderes Kaliber an...

velo 13. Mai 2015

Ich nutze den Yubikey schon lange mit Lastpass und finde es sehr gut. Falls es jemanden...



Anzeige

Stellenmarkt
  1. dSPACE GmbH, Paderborn
  2. weil engineering gmbh, Müllheim
  3. SAACKE GmbH, Bremen
  4. Verlag für die Deutsche Wirtschaft AG, Bonn


Anzeige
Blu-ray-Angebote
  1. 299,99€ (Vorbesteller-Preisgarantie)
  2. 24,99€ (Vorbesteller-Preisgarantie)
  3. Einzelne Folge für 2,99€ oder ganze Staffel für 19,99€ kaufen (Amazon Video)

Folgen Sie uns
       


  1. Vito, Sprinter, Citan

    Mercedes bringt Lieferwagen als Elektrofahrzeuge heraus

  2. JoltandBleed

    Oracle veröffentlicht Notfallpatch für Universitäts-Software

  3. Medion Akoya P56000

    Aldi-PC mit Ryzen 5 und RX 560D kostet 600 Euro

  4. The Update Aquatic

    Minecraft bekommt Klötzchendelfine

  5. Elektroauto

    Fährt der E-Golf auch bei Gewitter?

  6. Prozessoren

    Neues Werk dürfte Coffee-Lake-Verfügbarkeit verbessern

  7. Apple

    Hinweise deuten auf einen A10-ARM-SoC im neuen iMac Pro

  8. Sega

    Valkyria Chronicles 4 setzt erneut auf Kitsch im Krieg

  9. Drohnenhersteller

    DJI vergisst TLS-Schlüssel und Firmwarekeys auf Github

  10. Förderung

    Bayern bezahlt Schließung von Mobilfunklücken



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Smartphoneversicherungen im Überblick: Teuer und meistens überflüssig
Smartphoneversicherungen im Überblick
Teuer und meistens überflüssig
  1. Winphone 5.0 Trekstor will es nochmal mit Windows 10 Mobile versuchen
  2. Librem 5 Das freie Linux-Smartphone ist finanziert
  3. Aquaris-V- und U2-Reihe BQ stellt neue Smartphones ab 180 Euro vor

Erneuerbare Energien: Siemens leitet die neue Steinzeit ein
Erneuerbare Energien
Siemens leitet die neue Steinzeit ein
  1. Siemens und Schunk Akkufahrzeuge werden mit 600 bis 1.000 Kilowatt aufgeladen
  2. Parkplatz-Erkennung Bosch und Siemens scheitern mit Pilotprojekten

Cubesats: Startup steuert riesigen Satellitenschwarm von Berlin aus
Cubesats
Startup steuert riesigen Satellitenschwarm von Berlin aus
  1. Arkyd-6 Planetary Resources startet bald ein neues Weltraumteleskop
  2. SAEx Internet-Seekabel für Südatlantikinsel St. Helena
  3. Sputnik Piep, piep, kleiner Satellit

  1. Re: echt jetzt???

    Joyrider | 14:10

  2. Re: Wallbox Preis

    bernd71 | 14:09

  3. Re: Klima

    Missingno. | 14:08

  4. Re: Micro-USB und Android 7?

    TrollNo1 | 14:08

  5. Re: Stromverbrauch Radio

    xy-maps | 14:07


  1. 13:46

  2. 12:50

  3. 12:35

  4. 12:20

  5. 12:07

  6. 11:22

  7. 11:07

  8. 10:50


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel