Beim Thema Sicherheit und 2 Faktor kommt immer wieder der sogenannte YubiKey zur Sprache. Insbesondere da Microsoft das Passwordless Starter Kit an Azure und Office Kunden gratis verschickt hat. Wir haben uns dem Set gewidmet und es ausgestet.
Im Starter Set sind zwei Schlüssel von Yubico enthalten. Darunter der YubiKey 5 NFC, der neben dem USB-A Anschluss auch über WirlessNFC verfügt. Der 5C hat schlicht und ergreifend nur USB-C.
Zwei Faktoren Sicherheit schützt nicht nur davor das der Arbeitskollege sich Scherze auf dem eigenen PC erlaubt, sondern auch vor Industrie Spionage und Sabotage. Insbesondere bei Quellcode Verwaltungen wie GitHub, E-Mail-Accounts oder Wallets ist so ein Schutz äußerst hilfreich.
Einrichtung
In unserem Test gehen wir auch die Einrichtungsschritte von GitHub, Windows und Linux (Debian/Ubuntu) durch. Anhand dessen sieht man wie einfach sich etablierte Systeme damit nutzen lassen.
Github
Bei der Quellcode Verwaltung unserer Wahl greifen wir gerne auf GitHub zurück. Auch wenn es Alternativen wie Subversion und BitBucket gibt, so hat sich Github zum Entwickler Liebling entwickelt.
Unter Einstellungen -> Account Sicherheit finden wir den Bereich Zwei-Faktor Sicherheit. Diesen aktivieren wir und klicken bei Security Keys auf Set up. Dort gehen wir auf Register new security key und geben einen Wunschnamen ein. Daraufhin ploppt das Windows Sicherheitsfenster auf. Nun stecken wir den Key ein und Bestätigen mit einem Druck auf die Flächen den Key. Bebilder und beschrieben haben wir diesen Prozess auch ausführlich in der Review des Google Fido Beitrags.
Windows
Das erste Problem tritt auf, wenn hier Account genutzt werden, die durch Active Directory oder Azure Active Directory gemanagt werden. Diese werden derzeit nicht unterstützt. Unterstützt wird hier nur die offizielle Authentifikator App von Microsoft und lokale Accounts.
Um das lokale Konto zu schützen, benötigen wir die Yubico Login Software. Nach der Installation und einem Neustart, starten wir die Login Configuration Anwendung. Der Installer führt uns Schritt für Schritt durch die Registrierung und Anwendung des Yubikeys als Login Schlüssel. Hierbei kann auch ausgewählt werden, ob wir diesen als Zwei Faktor nutzen oder als Passwort Ersatz. Zusätzlich generiert das Tool einen Backup Code, sollte der Yubikey verloren gehen.
Linux (Debian/Ubuntu)
Ab Debian Jessie bzw. ab Ubuntu 16 benötigt man lediglich die libu2f-host libary. Dennoch ist die Installation hier sehr aufwendig, so das wir die Anleitung nur verlinken.
Benutzung
Die Handhabung dieser Keys ist schlicht und einfach. Melder die Anwendung den Key, so steckt man ihn ein und drückt die entsprechenden Flächen. Das kann man nicht nur bei System Passwörtern machen, sondern auch bei Password Managern und vielem mehr.
Zudem unterstützen beide PGP, so das auch eine E-Mail Verschlüsselung problemlos realisierbar ist. Einziges Manko bei der Benutzung ist, das die Schlüssel nicht geschützt sind. Hierfür haben Bastler eine eigene 3D Drucker Hülle entworfen.
Der USB-C Schlüssel hat zudem den nutzen, das man ihn bei aktuellen Smartphones auch ohne NFC oder mit dicker Hülle nutzen kann. Er ist zudem wasserdicht.
Die NFC Variante unterstützt eine Vielzahl weiterer Sicherheitsstandards wie OTP, Smart Card, OpenPGP, FIDO U2F und FIDO2. Damit sind alle gängigen Methoden abgedeckt.
Verfügbarkeit
Der Schlüssel ist ausschließlich über yubico.com erhältlich. Die Yubikeys sind ab 50 US-Dollar verfügbar und sogar für weitere 5 US-Dollar individuell gestaltbar.
Fazit
Die Schlüssel sind sehr hilfreich, sowohl in der Sicherheit, als auch im Komfort. Vor allem im Vergleich zur App oder SMS Authentifizierungen bei denen man auf Empfang angewiesen ist. In der täglichen Benutzung gewöhnt man sich schnell dran und möchte sie nicht mehr vermissen. Vor allem in Zeiten, in denen Passwort Leaks schon beinahe täglich geschehen. Wir nutzen den Yubikey nun immer mehr.
| Pro | Contra |
|---|---|
|
|
Dieser Test wurde nicht durch Yubico oder Microsoft unterstützt.