Abo
  • Services:
Anzeige
Der Yubikey Neo von Yubico kostet rund 50 Euro.
Der Yubikey Neo von Yubico kostet rund 50 Euro. (Bild: Yubico)

Zwei-Faktor-Authentifizierung mit dem Yubikey

Der "oath-hotp-mode" ist da sicherer. (OATH steht für den Standard Open Authentification, HOTP steht für HMAC-based One-time Password Algorithm.) Ihn kann ich für die Zwei-Faktor-Authentifizierung nutzen. Auf der Yubico-Seite gibt es eine kleine Auswahl jener Dienste, die den oath-hotp-mode unterstützen, darunter Dropbox und Evernote. Man geht dann zum Beispiel auf die Dropbox-Seite, gibt seinen Nutzernamen und sein normales Passwort ein. Anschließend wird man aufgefordert, ein zusätzliches Einmalpasswort einzugeben. Das würde dann der Yubikey beisteuern.

Anzeige

Aber von meinen 152 Diensten sind die wenigsten aufgeführt. Ich beschließe daher, den Yubikey im oath-hotp-mode anders zu nutzen: Ich lege mir einen Passwortmanager zu, parke in dessen verschlüsselter Datenbank meine 152 Zugangsdaten und nutze den Yubikey nur für die zweifache Sicherung dieser Datenbank.

Der Passwortmanager meiner Wahl wird Keepass. Anders als die Konkurrenz ist sein Code quelloffen und kann damit theoretisch von jedermann auf Fehler oder Hintertüren überprüft werden. Außerdem gibt es Keepass für alle gängigen Betriebssysteme und Smartphones. Die Installation ist selbsterklärend und ich lege meine 152 Dienste dort an. Was natürlich einige Zeit dauert. Praktischerweise kann Keepass auch gleich sichere Passwörter für jeden meiner Onlinedienste generieren. Da ich sie mir eh nicht mehr merken muss, dürfen sie auch höllenschwer sein. Die Keepass-Datenbank selbst ist mit dem als sicher geltenden Advanced Encryption Standard (AES-256) verschlüsselt.

Um diese Datenbank voller Passwörter gut zu schützen, habe ich mir zunächst ein besonders schweres Passwort ausgedacht. Es hat 40 Zeichen, und wenn ich es falsch eingebe, brauche ich fast eine Minute, bis ich mit dem zweiten Versuch fertig bin, auf dem Smartphone gerne auch zwei. Der Yubikey kann diese Aufgabe für mich übernehmen. Ich stelle den Yubikey also im ersten seiner beiden sogenannten Slots auf "static mode". Dabei hilft mir das Video auf der Yubico-Seite. Letztlich läuft es darauf hinaus, dass ich mein langes Passwort eingebe und "write configuration" drücke. Das war einfacher als gedacht.

Als kleines Schmankerl habe ich auf dem Yubikey nur 36 Zeichen meines Passworts verstaut. Die letzten vier Zeichen gebe ich per Hand ein. Sollte mein Yubikey verloren gehen, ist mein Generalpasswort damit noch nicht komplett in fremden Händen.

Ich könnte an dieser Stelle aufhören: Um auf meine digitale Identität zuzugreifen, öffne ich also mit Keepass meine Passwort-Datenbank, stecke den Yubikey ein, drücke ihn kurz und gebe meine vier letzten Zeichen dazu. Aber noch einmal: Das ist keine Zwei-Faktor-Authentifizierung, sondern erleichtert nur die Eingabe eines sehr langen, komplexen Passworts.

Yubikey mit Keepass verbinden

Im Alltag erweist sich die Kombination von Keepass und Yubikey anfangs dennoch als gewöhnungsbedürftig. Gerade wenn es schnell gehen muss - und das muss es ja eigentlich immer - nervt der Aufwand. Schnell merke ich aber auch, dass ich viel Zeit spare, weil ich nie Passwörter raten muss und dank Keepass immer weiß, bei welchem Dienst ich mich mit welchem Fantasienamen oder welcher Mail angemeldet habe. Wirklich wichtige Passwörter sind zudem endlich richtig stark, ohne dass ich sie mir merken müsste.

Noch besser wäre es natürlich, Keepass mit Zwei-Faktor-Authentifizierung zu nutzen. Sowohl Keepass als auch der Yubikey unterstützen das. Zuerst bereite ich den Yubikey vor.

Dafür muss ich nun den zweiten Slot einrichten. Ich stecke den Yubikey in meinen Rechner und öffne das Yubikey Personalization Tool. Dort wähle ich anschließend den zweiten Slot aus und in den oberen Reitern den oath-hotp-mode.

Dabei wird unter anderem ein sogenannter Secret Key erstellt, eine lange, wirre Zeichenfolge. Er enthält das Geheimnis, aus dem der Yubikey immer wieder Einmalpasswörter generiert. Wichtig ist, dass man sich den Secret Key unabhängig von Keepass merken beziehungsweise ihn irgendwo speichern sollte. Denn geht später einmal etwas schief, komme ich mit dem Secret Key doch noch an meine Datenbank bei Keepass.

Ist der Yubikey eingerichtet, muss ich außerdem noch Keepass für den Yubikey im oath-hotp-mode einrichten. Dafür lade ich die Erweiterung OtpKeyProv herunter und entpacke die enthaltenen Dateien in den Ordner von Keepass. Das ist auch schon die Installation. Nach wenigen Schritten und unter Verwendung des Secret Key ist meine digitale Identität mit zwei Faktoren gesichert.

Was passiert, wenn der Yubikey verloren geht?

Diese Methode hat nun alle Vorteile gebündelt: einen Passwort-Manager mit starken Passwörtern, gesichert durch einen Token mit einem sehr langen Passwort und einem Einmalpasswort. Wenn ich Keepass starte, gebe ich nun erst mein sehr langes Passwort via Yubikey ein, indem ich drei bis vier Sekunden den Sensor gedrückt halte. Im zweiten Schritt kommt nun noch mein Einmalpasswort dazu. Ich drücke dazu den Sensor des Yubikey nur kurz. Fertig.

Gleichzeitig zeigt sich in diesem Modus aber auch eine Schwäche: Man ist komplett vom Yubikey abhängig. Wird der Yubikey beschädigt, zerstört, verlegt oder gestohlen, verliert man alle Passwörter in der Passwort-Datenbank.

Auf seiner Seite empfiehlt der Hersteller deshalb, einen zweiten Yubikey genau gleich zu konfigurieren. Das ist aber zum einen kostspielig und zum anderen im Falle des oath-hotp-mode auch unmöglich, denn jeder Secret Key ist einmalig. Wer den Yubikey also derart nutzt und dann verliert, ist vollends auf die Hilfe der unterstützenden Dienste angewiesen. Keepass zum Beispiel hat für genau diesen Fall einen Wiederherstellungsmodus (recovery mode). Dafür wird der Secret Key des Yubikey benötigt.

 Yubikey: Nie mehr schlechte PasswörterYubikey auf dem Smartphone nutzen 

eye home zur Startseite
das_mav 25. Mai 2015

Du redest vom KreditkarteOnline der Haspa? Da kann die HASPA nix für, das ist die Schuld...

theWhip 20. Mai 2015

diese Seite von howsecureismypassword.net , wer betreibt diese??? ;) digitale spuren...

Chargeback 16. Mai 2015

... Habe gelesen, dass 1Password nun auch eine aktuelle Windows Version herausbringt...

Nasenbaer 13. Mai 2015

Für Privatpersonen sind das aber keine Szenarien - oder ihr habt ein anderes Kaliber an...

velo 13. Mai 2015

Ich nutze den Yubikey schon lange mit Lastpass und finde es sehr gut. Falls es jemanden...



Anzeige

Stellenmarkt
  1. OSRAM GmbH, Garching bei München
  2. R&S Cybersecurity ipoque GmbH, Leipzig
  3. ENERTRAG Aktiengesellschaft, Dauerthal, Berlin, Edemissen
  4. doctronic gmbH & Co. KG, Bonn


Anzeige
Spiele-Angebote
  1. 64,97€/69,97€
  2. 6,99€
  3. 1,49€

Folgen Sie uns
       


  1. VLC, Kodi, Popcorn Time

    Mediaplayer können über Untertitel gehackt werden

  2. Engine

    Unity bekommt 400 Millionen US-Dollar Investorengeld

  3. Neuauflage

    Neues Nokia 3310 soll bei Defekt komplett ersetzt werden

  4. Surface Studio

    Microsofts Grafikerstation kommt nach Deutschland

  5. Polar

    Fitnesstracker A370 mit Tiefschlaf- und Pulsmessung

  6. Schutz

    Amazon rechtfertigt Sperrungen von Marketplace-Händlern

  7. CPU-Architektur

    RISC-V-Patches für Linux erstmals eingereicht

  8. FSP Hydro PTM+

    Wassergekühltes PC-Netzteil liefert 1.400 Watt

  9. Matebook X und E im Hands on

    Huawei kann auch Notebooks

  10. Celsius-Workstations

    Fujitsu bringt sichere Notebooks und kabellose Desktops



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Quantencomputer: Nano-Kühlung für Qubits
Quantencomputer
Nano-Kühlung für Qubits
  1. IBM Q Mehr Qubits von IBM
  2. Quantencomputer Was sind diese Qubits?
  3. Verschlüsselung Kryptographie im Quantenzeitalter

Tado im Langzeittest: Am Ende der Heizperiode
Tado im Langzeittest
Am Ende der Heizperiode
  1. Speedport Smart Telekom bringt Smart-Home-Funktionen auf den Speedport
  2. Tapdo Das Smart Home mit Fingerabdrücken steuern
  3. Mehr Möbel als Gadget Eine Holzfernbedienung für das Smart Home

Blackberry Keyone im Test: Tolles Tastatur-Smartphone hat zu kurze Akkulaufzeit
Blackberry Keyone im Test
Tolles Tastatur-Smartphone hat zu kurze Akkulaufzeit
  1. Blackberry Keyone kommt Mitte Mai
  2. Keyone Blackberrys neues Tastatur-Smartphone kommt später
  3. Blackberry Keyone im Hands on Android-Smartphone mit toller Hardware-Tastatur

  1. Re: Unity ist auch eine vergleichsweise gute Engine

    Hakuro | 07:18

  2. Schon bezeichnend das illegale Addons in Kodi...

    StefanGrossmann | 07:09

  3. Re: sehr interessant

    nille02 | 07:08

  4. Re: Unix, das Betriebssystem von Entwicklern, für...

    ML82 | 07:06

  5. Re: Marketing scheint bei Unity ein besonders...

    Hakuro | 06:57


  1. 18:58

  2. 18:20

  3. 17:59

  4. 17:44

  5. 17:20

  6. 16:59

  7. 16:30

  8. 15:40


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel