Yubikey Backup?
Hallo, ich überlege mir vielleicht eine Yubikey zu kaufen. Da es ja empfohlen ist 1 Backup key zu kaufen habe ich mir überlegt. Eine teuren Series 5 zu kaufen und einen gunstigen Security Key als Backup zu kaufen. Geht dass? Macht dass Sinn? Lohnt sich ein teurer Series 5 überhaupt oder reichen auch 2 Security Keys?
2 Antworten
Erst mal musst du wissen was du überhaupt damit machen möchtest. Die primäre Funktion von Yubikeys ist als FIDO Authenticator. Der blaue "Security Key" kann eben nur das, aber wenn du nur dafür einen backup key brauchst, dann reicht der natürlich komplett aus. Es könnte genau so gut ein FIDO Authenticator von einer anderen Marke sein wie ein Titan Key von Google.
Wenn du Leute davon reden, dass du einen Backup key haben solltest, dann meinen sie auch primär das. Also teilweise ergibt es komplett Sinn einen Security Key als Backup key zu verwenden und das habe ich Leuten auch schon empfohlen.
Dinge die über den Fido Standard funktionieren wären (wenn dir etwas nichts sagt, ignorier es dann brauchst du es vermutlich nicht.
- Browser wie Firefox oder Chrome über die Webauthn (Web Authentication API). Das ist wenn du vom Browser einfach ein Popup bekommst Berühre jetzt deinen Authenticator (eventuell mit PIN in manchen Fällen)
- OpenSSH ab einer bestimmten Version. Da gibt es dann neue keytypen, z.B. ed25519-sk . Das SK steht für security key und an sich funktioniert es wie jeder normale SSH key, nur du musst eben deinen FIDO Authenticator haben um den SSH Key zu nutzen.
- LUKS über systemd, also Linux Festplattenverschlüsselung
- PAM, also Linux Authentication. Z.B. für Sudo oder zum einloggen.
Das Ding bei FIDO Authenticatorn ist, dass Geheimnis wird auf dem USB Schlüssel selber generiert und du kannst es davon niemals extrahieren. Also auch nicht backupen. Die Lösung ist hier mehrere Keys zu deinen Accounts hinzuzufügen.
Die 5er Serie kann noch mehr. Das wichtigste Feature meiner Meinung nach ist hier TOTP. Das sind die Codes die du vielleicht von Apps wie Google Authenticator oder Authy kennst. Die 5er Reihe kann hier das Geheimnis aus den QR Codes auf dem USB Schlüssel speichern und über ein extra Programm/App dir dann die OTP Codes generieren. Dabei ist das Geheimnis auf dem USB Schlüssel geschützt und kann nicht davon extrahiert werden, aber du kannst das Geheimnis backupen wärhend du den Key hinzufügst.
Andere coole Features, die man aber nicht unbedingt braucht, wären so was wie GPG Smartcard support. Darüber kannst du GPG Schlüssel auf dem USB Gerät speichern. Früher ging das auch für SSH, aber wenn du eine aktuelle SSH Version hast kann die mittlerweile wie gesagt einfach FIDO.
Über HMAC Challange Response kann man 2fa für KeePassXC Datenbanken z.B. einrichten. Das können ebenfalls nur die 5er. Und in dem Fall könnte es auch Sinn machen einen 5er Backup key zu haben. Aber das HMAC Challange Response Geheimnis kannst du auch z.B. auf ein Blatt Papier schreiben als Backup.
Die 5er Keys haben auch das "Yubico OTP" Feature. Das ist ein Spezielles second factor Verfahren von Yubico, also den Herstellern der Yubikeys. Aber ganz ehrlich, das kannst du ignorieren. Meiner Meinung nach ist das dadurch das jetzt so vieles FIDO support hat nicht mehr relevant.
Der Grund warum Leute einen Backup Schlüssel empfehlen ist primär für FIDO, einfach weil du keine unsichere Backup Methode haben möchtest. Teilweise bieten dir Seiten an eine Liste an Einmalcodes die man sich aufschreiben kann zu nutzen. Die anderen Features die so ein 5er Key kann kann man in der Regel auch anders backupen wenn man das möchte. Da FIDO immer mehr supported wird werden die Securiy Keys von Yubico die eben nur das können aber dafür günstiger sind meiner Meinung nach auch immer interessanter.
Übrigens können auch Geräte über Android oder Windows Hello selber als FIDO Authenticator fungieren. Das funktioniert dann über TPMs oder Secure Elements in der Hardware und das OS regelt die Zugangskontrolle über z.B. den Fingerprint Sensor oder das Nutzerpasswort. Allerdings bleibt es im Web den Seiten offen ob sie solche Software Lösungen als Authenticator akzeptieren oder einen physischen Schlüssel wie einen Yubikey vorraussetzen. Wenn man nicht so hohe Sicherheitsanforderungen hat & die Seite das zulässt könnte man das also eventuell auch verwenden um mehrere FIDO Schlüssel zu einem Account zu registrieren.
Ich hoffe das hilft dir weiter. Ich weiß das die ganzen Abkürzungen am Anfang sehr verwirrend sind. Du kannst mich gerne Fragen wenn was noch unklar ist. Auf https://demo.yubico.com/playground kann man die ganzen Verfahren auch ausprobieren.
Ich persönlich hab mir zuerst einen 5er geholt zum ausprobieren und später dann einen zweiten als ich gemerkt habe das ist nützlich für mich.
Genau, der Security Key kann das nicht. Nur die 5er. Der Authenticator ist für TOTP, das steht für Timebased One Time Passwort, also "Zeitbasiertes Einmalpasswort".
Das ist genau das selbe wie Google Authenticator, Authy und so weiter.
Der Sicherheitsvorteil ist, dass das Geheimins auf dem Yubikey gespeichert ist und das Gerät welches du nutzt (PC, Smartphone…) darauf keinen Zugriff hat. Selbst wenn es mit Malware infiziert wäre.
Außerdem ist es praktischer weil man einfach die Codes am PC per Copy & Paste nutzen kann und sie nicht abtippen muss.
Ich finde auch, für normale Nutzer ist es das interessanteste Feature der 5er Reihe. Nützlich ist das für Dienste die noch kein Webauthn können wie PayPal oder Amazon, aber TOTP.
Ob man es braucht ist so eine Sache … ich denke es ist nett wenn man viele Accounts hat die nur TOTP können aber der Aufpreis wenn man nur das eine Feature möchte ist schon ein bisschen hart.
Als Backup bei dieser Methode reicht es theoretisch die QR Codes die man bekommt wenn man einen Account registiert irgendwo verschlüsselt zu speichern. Man bräuchte also für TOTP Codes nicht unbedingt einen zweiten Key als Backup.
Danke. Das bedeutet also, das der individuelle code für das errechner der 2fa codes nicht in der App gespeichert werden (durch Malware hackbar), sondern auf dem yubikey. Also so wie bei TPM2.0 oder?
Genau, ja. Beim Yubikey muss man dann ja auch immer den Key ein mal physisch berühren wenn man den Code generiert. Kann man aber auch pro TOTP Account (de)aktivieren.
Man muss aber auch sagen, dass die Betriebssysteme auf Smartphones nicht gerade unsicher sind.
Ok vielen Dank. jetzt hab ich noch eine letzte Frage unzwar: Würde das mit dem TOTP dann auch das Problem lösen, wenn man das Handy wechselt vergisst den Authetikator "ummelden" und man dann keinen Zugriff mehr?
An sich ja weil das Geheimnis eben auf dem Yubikey gespeichert ist, aber der Yubikey könnte ja selber noch verloren gehen oder kaputt gehen. Das Prinzip ist immer das gleiche egal ob Handy App oder Yubikey.
Vereinfacht ist TOTP technisch gesehen eine Function die folgendes macht:
Geheimnis + aktuelle Zeit = 6 Stellen Zahlen Code
Im Prinzip kannst du bei TOTP mehrere Authenticator, also so was wie Yubikey 5 oder Handy App, gleichzeitig registieren. Einfach den QR Code mit mehreren Authenticator einscannen.
Ich hab auch teilweise TOTP Geheimnisse auf dem Yubikey registriert einfach damit ich darauf zugreifen kann falls mein Handy mal kaputt geht oder so.
Ok vielen Dank. Das war sehr aufschlussreich. Ich denke ich hole mir erst mal einen Security Key schaue, ob das sich für mich lohnt und dann kauf ich vielleicht ein Series 5. Die Wiederherstellungscodes schreib ich mir auf und leg sie in den safe. 1000x Danke
Überleg mal, was passiert, wenn der einzige Key kaputt geht und Du keine Alternative hast.
Du musst natürlich für Dich selbst das Risiko abschätzen.
Ja stimmt. Kann ich aber 2 verschiedene Key mixen? Also series 5 und security
Ob das geht: Keine Ahnung.
Ich würde aber generell die Finger davon lassen, wenn es nicht geht.
Ich habe in den "Sagen und Legenden des Internets" schon von armen Seelen gehört, die nicht mehr an ihre Wallet ran kamen, weil sie "zu gut" gesichert war.
Das trifft übrigens auch auf alle Systeme mit 2-Faktor-Authentifizierung zu.
So macht z. B. ein 2. Smartphone mit einer Auth-App (google, microsoft, lastpass... whatever) als Rückfall-Lösung immer Sinn.
Oder ein Papier-Ausdruck mit Notfall-Schlüsseln.
Ob das geht: Keine Ahnung.
Warum schreibst du dann überhaupt eine Antwort wenn du die Antwort nicht kennst? :D
Weil nicht jeder unnütze Langtexte ansondert sondern sich erst mal um die Kernfragen kümmert. Bedauerlich, wer dies nicht erkennt. 🤷♂️
Die Frage beantworte ich in den ersten drei Sätzen :D
Im Gegensatz zu dir bin ich zumindest in der Lage die Frage zu beantworten ¯\_(ツ)_/¯
Weil nicht jeder unnütze Langtexte ansondert sondern sich erst mal um die Kernfragen kümmert. Bedauerlich, wer dies nicht erkennt.
Ein bisschen arrogant ist das schon. Natürlich ist das eine lange Antwort, aber in keinem Fall unnütz. Ich fand das sehr interessant, der Fragesteller wohl auch.
Die Frage war übrigens nicht, ob man einen zweiten Yubikey haben sollte. Die Frage war, ob der Backup-Key ein anderes Modell als der primäre Key sein kann. Und genau die Frage hast Du nicht beantwortet. Im Gegenteil, Deine Antwort ging komplett am Thema vorbei. Anderen dann "unnütze Langtexte" vorzuwerfen, ist reichlich verwegen, um nicht zu sagen: unverschämt.
@mchawk777 @BeamerBen Ja, ich mag es auch nciht lange Texte zu lesen, da ich einfach nicht gerne Lese, aber bei einem so wichtigen und komplizierten Thema ist mir sowas egal. Vor allem bin ich BeamerBen dankbar, weil er sich die Zeit nimmt mir soetwas kompliziertes zu erklären und dafür seine Zeit zu opfern, aber ich finde das jeder der irgendetwas über das Thema weis und wenigstens etwas weiter helfen kann immer noch hilfreich ist.
Ein bisschen arrogant ist das schon. Natürlich ist das eine lange Antwort, aber in keinem Fall unnütz. Ich fand das sehr interessant, der Fragesteller wohl auch.
Och, ich passe mich nur dem Arroganzlevel von BeamerBen an. Das ist alles.
Wer das nicht verträgt sollte selbst nicht verbal austeilen. 🤷♂️
Die Frage war übrigens nicht, ob man einen zweiten Yubikey haben sollte.
Guckst Du 2. Satz in der Frage:
Da es ja empfohlen ist 1 Backup key zu kaufen habe ich mir überlegt.
Es ging um einen Backup-Key. Und genau das wurde von mir beantwortet.
Ob das ein 2. Yubikey oder was auch immer ist - ist wuppe.
Es ging um einen Backup-Key.
Richtig. Ich habe nichts anderes behauptet.
Und genau das wurde von mir beantwortet.
Du hast lediglich geschrieben, dass man einen Backup Key haben sollte. Das war dem FS aber schon klar, das geht aus der Frage hervor.
Ob das ein 2. Yubikey oder was auch immer ist - ist wuppe.
Das hast Du nicht geschrieben.
Vielen Dank schon mal für die ausgiebige Erklärung die hat mir schon mal weitergeholfen, obwohl ich die Hälfte der Abkürzungen nich verstanden habe. Durch die Erklärung hab ich mir dann überlegt ob das für mich nutzlich sei kann und hab bemerkt das ich eigentlich nicht mehr als FIDO brauche. Aber was ich mich immer noch frage ob es sich lohnt den Yubico Authentikator zu nutzen, der laut dieser Tabelle nicht bei der Security series dabei ist. https://www.berrybase.de/yubico/ Die Tabelle schein aber auch irgendwie veraltet zu sein, da es jetzt eien Usb C Version für die Security Series gibt.