Mehr Sicherheit mit Yubikey
Wie kann man die Sicherheit mit Yubikeys erhöhen?
Es sollen Aspekte einer 2-stufigen Einführung von Yubikey's beleuchtet werden:
- als Gerät, das einem die Eingabe langer Passworte abnimmt
- als Hardware-Komponente für eine 2-Faktor-Authentifizierung (2FA)
Inhaltsverzeichnis
Yubikey statt langem Passwort
Lange Passworte bieten eine hohe Sicherheit sind aber mühsam. Ein Yubikey kann einem diese mühsame Eingabe abnehmen.
Fragen und Antworten
- Gibt es Szenarien, in denen ein Yubikey als Passwort-Spender versagt (,von einem fehlenden USB-Port abgesehen)?
- NFC hilft nur begrenzt, iPhone hat kein NFC; mit USB-Adapter funktioniert es immer; funzt wie Tastur
- Wie schütze ich den Yubikey vor unbefugter Nutzung?
- Geht nicht, denn man kann keine PIN setzen.
Yubikey ist in diesem Szenario rel. leicht angreifbar, denn man kann das PW auslesen ohne den Schlüssel zu stehlen (https://en.wikipedia.org/wiki/Shoulder_surfing_(computer_security).
Auch Trojaner bleibt wirksam bei diesem YubiKey-Einsatz.
Workaround: Man setzt PW aus 2 Teilen zusammen: 1. Teil des PWs (Prefix) wird per Hand eingeben, 2. langer, immer gleicherTeil kommt vom YubiKey.
- Kann man sich mittels Yubikey an unterschiedlichen Servern mit unterschiedlichen Passworten anmelden?
YubiKey hat 2 Slots: kurz oder lang drücken liefert 2 verschiedene PWs
- Workaround: anderes Prefix (Mini-PW, s.o.) für die verschiedenen Dienste
- Welche Pobleme bringen unterschiedliche Keyboard-Layouts mit sich?
- Yubikey schickt immer die gleichen Scan-Codes, die an den unterschiedlichen Tastaturen das gleiche bedeuten müssen.
Es gibt eine Schnittmenge der gängigen Tastatur-Layouts: base16 (= a-z mit Abstrichen, 0-9), Sonderzeichen werden überbewertet, modhex
- Wenn man sich auf ein Tastatur-Layout festlegt, kann man mehr Zeichen nutzen.
Welches Yubikey-Modell sollte man einsetzen, den man auch für 2FA verwenden kann?
- Yubikey 4, Modell FIDO U2F Security Key kann kein statische PW, Neo = 4 + NFC
- Kosten, Mengenrabatte, Bezugsquellen
- 1 Stück: 38€ netto, ab 50 Stück: 36,50€, nächste Rabattstufe: 500 Stück
z.B. http://www.netknights.it in Kassel
Siehe auch
Secure Password Check von Kaspersky
In KeePassXC 2.2 lässt sich die Verschlüsselung der Datenbank durch YubiKey weiter stärken
2FA mit Yubikey
Wenn man ohnehin schon einen Yubikey im Einsatz hat, könnte man ihn auch für die 2-Faktor-Authentifizierung verwenden.
Fragen und Antworten
- Wie aufwändig ist 2FA?
System zur Verwaltung der YubiKeys notwendig, z.B. PrivacyIDEA , ca. 3 Tage zum Aufsetzen von PrivacyIDEA; ist in UCS integriert und ist damit schneller am Start
- Wie man 2. Faktor zum Endkunden bringt, bestimmt Aufwand wesentlich.
- Applikation muss mit 2FA umgehen können
- Einsatz der RADIUS-Authentifizierung macht es einfacher.
Mail-Abruf vom Smartphone aus geht nicht mit 2FA, weil Smartphone PW cachen will => app-spezifische PWs notwändig
- Kann man einen Helpdesk aufbauen, der Nutzern weiterhelfen kann, wenn sie ihren Yubikey vergessen haben?
dafür zentrales Management nötig wie z.B. PrivacyIDEA
- privacyIDEA enthält einen Helpdesk, der mit wenigen Clicks einen alternativen Zugang ermöglichen kann z.B. Passwort
- Wie aufwändig ist diese Unterstützung?
- Aufwand für privacyIDEA: Pflegeaufwand gering
- erster ssh-Server läuft nach 2 Tagen
Siehe auch
Einsatzszenarien für 2FA
Zugriff auf |
von ... aus |
Zimbra Mail-Server |
Windows, Mac, Linux, Android, iOS |
PC unter Windows, Linux |
lokalem Arbeitsplatz = Login am PC, vor dem man sitzt |
Citrix-Server |
Windows, Mac, Linux |
NX-Server |
NX-Client unter Windows, Mac, Linux |
ssh-Server |
ssh-Client unter Windows, Mac, Linux |
Windows, Mac, Linux |
- Zimbra: SAML in Zimbra macht es einfach, funzt sofort
- UCS
- Kerberos/Samba kann kein 2FA mit OTP, nur mit Smartcards funzt es
- Kerberos kann via RADIUS eine Pre-Authentifizierung durchführen
Misc
- Mischbetrieb (mit und ohne 2FA) ist möglich, d.h. 2FA nur für bestimmte Anwendungen,
- möglicher Datendownload kann alle Sicherheitsmaßnahmen sinnlos machen
Yubikey kann auch Container ver/entschlüsseln, Container muss aber autark (ohne ursprüngliche Umgebung) funktionieren Z.B. LUKS unter Linux
- Smartcards (mit Zertifikat) brauchen immer Treiber (z.B. via openSC)
- Yubikey kann man auch als Smartcard verwenden
- Man sollte bei Einführung von 2FA mit der kritischten Anwendung anfangen, Erfahrung sammeln und dann auf immer mehr Anwendungen ausdehnen. Kritisch sind Dienste, die von aussen erreichbar sind, und damit sollte man beginnen.
- An Uni Marburg wird 2a lang "FA ausgerollt mit 1 Extra-Stelle
Viele Menschen erfüllen inzwischen die Definition einesCyborgs, weil mit Smartphone "verwachsen". Das kann/sollte man bei 2FA ausnutzen.
Siehe auch
U2F -2-Faktor-Authentifizierung
FIDO-Allianz - Fast IDentity Online
NetKnights GmbH in Kassel
Anmerkungen, Anregungen
Anmerkungen, Anregungen, Verbesserungsvorschläge hinterlasse man bitte auf der Diskussionsseite