YubiKey 5 - Einrichten, Reset, Interfaces, FIDO2/"Passkeys", TOTP, Challenge-Response, OTP, PINs...
ฝัง
- เผยแพร่เมื่อ 6 ก.ค. 2024
- Wie könnte man einen neuen (oder auch weiteren Backup-)YubiKey der Serie 5 einrichten? - Damit werden wir uns hier ausführlicher beschäftigen. Von Begrifflichkeiten in diesem Zusammenhang, über die Interfaces des YubiKeys (USB/NFC), Werkseinstellungen, Reset-Möglichkeiten, bis hin zu Sicherheitsfragen/Sicherheitsaspekten (auf was Fremde alles Zugriff haben könnten, wenn sie unseren YubiKey in die Hände bekommen würden)...
Dabei werden wir uns auch konkret angucken, wie z.B. eine FIDO2-PIN beschaffen sein kann, wie in den Slots 1 und 2 (Short Touch / Long Touch) Yubico OTP, ein statisches Passwort (Static Password) und eine sogenannte "Challenge-Response" eingerichtet werden kann (letzteres kann z.B. als zusätzliche Absicherung der Datenbankdatei der Passwortmanager KeePass bzw. KeePassXC genutzt werden). Weiterhin wird die Nutzung von TOTP mit der Yubico Authenticator App gezeigt - und wir klären, dass dabei ein Passwort-Schutz eine sinnvolle Sache sein könnte.
PIV, OATH-HOTP, OpenPGP und einige andere fortgeschrittenere Sachen (u.a. auch RSA, SSH, "Kommandozeilenoperationen") werden hier allerdings nicht behandelt, da sie für "normale Nutzer" in der Regel nicht relevant sind, auch wenn es natürlich toll ist, dass die YubiKeys dies alles auch noch können!
00:00:00 Einführung und Übersicht
00:01:45 Grundlagen / Allgemeines (Verifizieren, Apps, USB/NFC, "Touch"...)
00:18:16 Was wir nicht (größer) besprechen (PIV, OATH-HOTP, OpenPGP, SSH, Kommandozeile, ...)
00:23:38 Was wir besprechen (Übersicht und erste Erklärungen)
00:29:12 Interfaces (USB/NFC)
00:37:50 Werkseinstellungen
00:42:49 Jeder hat potentiell Zugriff...
00:48:18 "Slots"/OTP (Yubico OTP, Static Password/Statisches Passwort, Challenge-Response)
01:03:48 FIDO (U2F) und FIDO2 ("Passkeys" und FIDO2-PIN)
01:17:09 FIDO2 "resetten"
01:19:36 PIV "resetten"
01:21:38 OATH-TOTP (mit Yubico Authenticator)
Links:
Video von mir zur Benutzung von YubiKeys im Passwortmanager "Bitwarden": • Bitwarden und YubiKeys...
YubiKey verifizieren: www.yubico.com/genuine/
Yubico Downloads (YubiKey Manager, Yubico Authenticator, …): www.yubico.com/support/download/
“Understanding YubiKey PINs”: support.yubico.com/hc/en-us/a...
OTP-Verifizierung (/Demo-Website): demo.yubico.com/otp/verify
Informationen zur YubiCloud / Yubico OTP: www.yubico.com/products/yubic...
„Resetting the OTP Application on the YubiKey”: support.yubico.com/hc/en-us/a...
WebAuthn Registration & Authentication: demo.yubico.com/webauthn-tech...
"Playground": demo.yubico.com/playground
Weitere Infos zu WebAuthn, OTP, U2F, OATH (TOTP/HOTP), PGP, PIV, u.a.): developers.yubico.com/WebAuthn/
Cybersecurity Glossary: www.yubico.com/resources/glos...
Vielen Dank für die sehr guten Erklärungen zum YubiKey. Das hat mir sehr geholfen!
Danke. Freut mich, dass dir das Video helfen konnte!
Eine Ergänzung/Korrektur zu dem Video: Als "Passkeys" werden im engeren Sinne eigentlich nur die sogenannten "(FIDO2) discoverable credentials" bezeichnet, mit denen ein vollständiger Login möglich ist (die also sozusagen Passwort und 2FA/MFA "ersetzen" können). "(FIDO2) non-discoverable credentials", wie sie hauptsächlich für 2FA/MFA allein benutzt werden, werden streng genommen eigentlich nicht als "Passkey" bezeichnet. Die allgemeine Verwendung ist hier jedoch nicht ganz einheitlich, manchmal wird das nämlich auch noch im weiteren Sinne als (mehr oder weniger) "Passkey" - oder auch "Passkey-ähnlich" bezeichnet (und in den "Passkey-Indizes", die Dienste mit Passkey-Unterstützung auflisten, ist meist auch "MFA" aufgelistet, was strenggenommen eben auch keine Passkeys wären, sondern eben "nur" die genannten "(FIDO2) non-discoverable credentials") - und deswegen habe ich es hier auch so aufgegriffen. Ich wollte damit keine Verwirrung stiften. Wer es aber ganz genau nehmen möchte, sollte lieber nur "(FIDO2) discoverable credentials" als eigentliche "Passkeys" ansehen.
Ich habe ein Static password in YubiKey Manager festgelegt, und dort wird es auch korrekt angezeigt. Allerdings tauscht der YubiKey beim Auslösen die Buchstaben, als ob er zwischen deutscher und englischer Tastatur hin- und herschaltet (zum Beispiel wird aus „z“ ein „y“). Weißt Du, woran das liegen könnte?
Interessant! Und da ich die Funktion selber nie wirklich benutzt habe, ist mir das doch auch neu. - Ich habe das gerade mal getestet und komme zum selben Ergebnis. Meine Vermutung: der YubiKey Manager läuft nur auf Englisch bei mir in Windows - ich sehe nicht, wo man die Sprache der App umstellen kann... deswegen scheint der Input beim Statischen Passwort (und dann vielleicht auch bei anderen Dingen wie Challenge-Response usw.?!?) tatsächlich sozusagen die englische Tastaturbelegung zu "benutzen". In meinem Windows ist jedenfalls Deutsch eingestellt und tatsächlich wird dann sozusagen von der (jetzt deutschen) Windows-Tastatur das Statische Passwort nicht 1:1 ausgespuckt, sondern dabei verändert. Einigermaßen erstaunlich... allerdings auch nicht ganz verwunderlich, da ja nicht der YubiKey selber das Passwort "schreibt" wenn man den YubiKey berührt, sondern es wird über Windows geschickt und dann von Windows ausgegeben... anders kann ich mir das nicht erklären. Also entweder auf gleiche Tastatureinstellung achten bei Input und Ausgabesituationen (Englisch/Englisch) oder den Input auf einer englischen Tastatur so eintippen und dann in den YubiKey einprogrammieren, dass es bei Umwandlung in z.B. Deutsch dann "passt"...
35:13 also muss man um seinen key kämpfen wenn den jemand klauen will? weil er kann ja dann direkt die app benutzen und den key für sich benutzen
Ja und Nein. Fast alles kann man entsprechend schützen - z.B. durch den FIDO-PIN oder den Zugang zu den TOTP-Codes über den Yubico Authenticator sollte man per Passwort schützen... Das ganze habe ich ab 42:49 im Kapitel "Jeder hat potentiell Zugriff..." etwas genauer besprochen.
Was passiert wenn ich den verliere ? Komme ich dann bei meinen Accounts nicht mehr rein ?
Das hängt zunächst mal davon ab, inwiefern du den YubiKey bei Accounts einbindest.
Wenn es ein "device-bound" Passkey bzw. Passkey-ähnlich als 2FA ist auf dem YubiKey (PS: also ich meine hier exakter ausgedrückt "FIDO2-discoverable bzw. non-discoverable credentials"), dann empfiehlt sich in jedem Fall, alles genau gleich auf mindestens noch einem weiteren YubiKey ebenfalls einzurichten.
Handelt es sich um TOTP-Codes, die du mit dem Yubico Authenticator verwendest, sollte man die Seed Codes / Secret Keys auch noch woanders als Backup abgespeichert haben, um sich das immer wieder für einen Account neu einrichten zu können, falls man den YubiKey mal verliert o.ä.
Und dann gibt es ja noch bei vielen Accounts die Möglichkeit, sich Backup Codes / Recovery Codes generieren zu lassen (meistens "nur" als letzte Rettung, wenn man den zweiten Faktor verliert), die sollte man sich auch immer sicher speichern, so dass man das im Notfall benutzen könnte.
Wenn du das alles nicht meinen solltest, dann müsste man nochmal genauer wissen, was du meinst.
@@IchbraucheeinenPasswortmanager
Hallo. Alles klar ich kenne mich aus. Ich dachte mir schon dass es sinnvoll wäre mind. 2 Geräte einzusetzen oder im Falle von SEEDs für ein entsprechendes Backup Konzept zu sorgen.
Bis jetzt verwende ich nur MFA in Verbindung mit Software. So einen Hardware Stick habe ich noch nicht probiert.
Am Abend werde ich mir das Video von dir noch fertig schauen.
Danke für deine Mühe und Infos
@@stone22121978 deswegen braucht man einfach 2 Yubikeys, da ist man auf sicheren Seite, man kann auch als Passkey in pw manager speichern und so mehrere Möglichkeiten zu haben.