วีดีโอ

Interessant! Und da ich die Funktion selber nie wirklich benutzt habe, ist mir das doch auch neu. - Ich habe das gerade mal getestet und komme zum selben Ergebnis. Meine Vermutung: der YubiKey Manager läuft nur auf Englisch bei mir in Windows - ich sehe nicht, wo man die Sprache der App umstellen kann... deswegen scheint der Input beim Statischen Passwort (und dann vielleicht auch bei anderen Dingen wie Challenge-Response usw.?!?) tatsächlich sozusagen die englische Tastaturbelegung zu "benutzen". In meinem Windows ist jedenfalls Deutsch eingestellt und tatsächlich wird dann sozusagen von der (jetzt deutschen) Windows-Tastatur das Statische Passwort nicht 1:1 ausgespuckt, sondern dabei verändert. Einigermaßen erstaunlich... allerdings auch nicht ganz verwunderlich, da ja nicht der YubiKey selber das Passwort "schreibt" wenn man den YubiKey berührt, sondern es wird über Windows geschickt und dann von Windows ausgegeben... anders kann ich mir das nicht erklären. Also entweder auf gleiche Tastatureinstellung achten bei Input und Ausgabesituationen (Englisch/Englisch) oder den Input auf einer englischen Tastatur so eintippen und dann in den YubiKey einprogrammieren, dass es bei Umwandlung in z.B. Deutsch dann "passt"...

Ja und Nein. Fast alles kann man entsprechend schützen - z.B. durch den FIDO-PIN oder den Zugang zu den TOTP-Codes über den Yubico Authenticator sollte man per Passwort schützen... Das ganze habe ich ab 42:49 im Kapitel "Jeder hat potentiell Zugriff..." etwas genauer besprochen.

Freut mich! 👍

Das hängt zunächst mal davon ab, inwiefern du den YubiKey bei Accounts einbindest. Wenn es ein "device-bound" Passkey bzw. Passkey-ähnlich als 2FA ist auf dem YubiKey (PS: also ich meine hier exakter ausgedrückt "FIDO2-discoverable bzw. non-discoverable credentials"), dann empfiehlt sich in jedem Fall, alles genau gleich auf mindestens noch einem weiteren YubiKey ebenfalls einzurichten. Handelt es sich um TOTP-Codes, die du mit dem Yubico Authenticator verwendest, sollte man die Seed Codes / Secret Keys auch noch woanders als Backup abgespeichert haben, um sich das immer wieder für einen Account neu einrichten zu können, falls man den YubiKey mal verliert o.ä. Und dann gibt es ja noch bei vielen Accounts die Möglichkeit, sich Backup Codes / Recovery Codes generieren zu lassen (meistens "nur" als letzte Rettung, wenn man den zweiten Faktor verliert), die sollte man sich auch immer sicher speichern, so dass man das im Notfall benutzen könnte. Wenn du das alles nicht meinen solltest, dann müsste man nochmal genauer wissen, was du meinst.

@@IchbraucheeinenPasswortmanager Hallo. Alles klar ich kenne mich aus. Ich dachte mir schon dass es sinnvoll wäre mind. 2 Geräte einzusetzen oder im Falle von SEEDs für ein entsprechendes Backup Konzept zu sorgen. Bis jetzt verwende ich nur MFA in Verbindung mit Software. So einen Hardware Stick habe ich noch nicht probiert. Am Abend werde ich mir das Video von dir noch fertig schauen. Danke für deine Mühe und Infos

@@stone22121978 deswegen braucht man einfach 2 Yubikeys, da ist man auf sicheren Seite, man kann auch als Passkey in pw manager speichern und so mehrere Möglichkeiten zu haben.

Interessant und Danke für die Ergänzung - aber natürlich eine unschöne Einschränkung. Es bleibt zu hoffen, dass diese Funktion auch unter Linux irgendwann unterstützt wird. - Hast du denn eine aktuelle Distribution? Sonst würde vielleicht ein Update auf die neueste Version schon helfen?! - Und von Windows aus kann ich nur sagen (man hat es in dem Video ja wahrscheinlich gesehen), dass man bei den Dialogen extrem aufpassen muss, immer das richtige Gerät/Ziel anzusteuern. "Schlüssel berühren sollen" klingt für mich ein bisschen so, als ob du auf "Sicherheitsschlüssel" o.ä. gelandet sein könntest. (nur eine Vermutung, die total falsch sein kann) Außerdem kann ich nur noch mal sagen, dass auf beiden Geräten Bluetooth aktiviert sein muss, damit die QR-Code-Geschichte überhaupt funktionieren kann.

@@IchbraucheeinenPasswortmanager Ich habe gerade mal einen anderen Browser ausprobiert und da ging es dann. Firefox scheint mit meinen Einstellungen Probleme zu haben. Da wird ggf. was geblockt. Allerdings funktioniert die Anmeldung mit Passkey trotzdem nicht. Denn nach der erfolgreichen Einrichtung, ist das Telefon bei der Anmeldung der Meinung das für Bitwarden kein Passkey existiert. Alles ziemlich buggy das ganze. Ich denke ich bleibe lieber bei KeePassXC, da kann ich mich immer drauf verlassen das es funktioniert. Update: Bei mir funktioniert es nur, wenn ich nach der Einstellung unter Sicherheit im Reiter Master-Passwort, ganz unten auf der Seite die Passkey Funktion "Mit Passkey anmelden" aktiviere.

Ah, okay... "Anmelden mit Passkey" und "FIDO2/WebAuthn-2FA" sind aber zwei zwar ähnliche Sachen, aber nicht ganz das gleiche. FIDO2/WebAuthn ist dann nur der "zweite Faktor" für Bitwarden - der Passkey wiederum, der für "Anmelden mit Passkey" kreiert wird, ersetzt sozusagen "Master Passwort UND 2FA", aber auch nur, wenn dieser Passkey "mit Verschlüsselung" ist... Für FIDO2/WebAuthn-2FA bei Bitwarden wird ein sog. non-discoverable credential (was strenggenommen kein Passkey ist) kreiert. - Für "Anmelden mit Passkey" wird logischerweise tatsächlich ein Passkey = discoverable credential kreiert. "Anmelden mit Passkey" ist bei Bitwarden noch Beta und funktioniert aktuell nur im Web Vault (wird sich aber noch ausweiten) und hängt davon ab, dass alle beteiligten "Parteien" (OS, Browser, ...) PRF können/haben, wenn man "mit Verschlüsselung" möchte. Das ist übrigens bei Firefox aktuell noch nicht der Fall, deswegen funktioniert das bisher eigentlich nur mit Chromium-Browsern. - KeePassXC habe ich übrigens auch noch im Einsatz. :)

Danke. Freut mich, dass dir das Video helfen konnte!

Jeder weitere Benutzer, für den die 2FA im DSM aktiviert wurde, kann das im Prinzip für sich so einrichten wie es im Video gezeigt wird.

@@IchbraucheeinenPasswortmanager ja, war zu voreilig. Hatte sich scho n erledigt. Trotzdem danke :)