welcome: please sign in
location: Änderungen von "MehrSicherheitMitYubikey"
Unterschiede zwischen den Revisionen 5 und 12 (über 7 Versionen hinweg)
Revision 5 vom 2017-06-21 08:18:22
Größe: 3086
Autor: hayd@cbs.mpg.de
Kommentar:
Revision 12 vom 2017-06-28 12:15:50
Größe: 6870
Autor: hayd@cbs.mpg.de
Kommentar:
Gelöschter Text ist auf diese Art markiert. Hinzugefügter Text ist auf diese Art markiert.
Zeile 1: Zeile 1:
#acl All:read ## page was renamed from MehrSicherheitMit Yubikey
#acl hayd@cbs.mpg.de:read,write,delete,revert,admin All:read
Zeile 6: Zeile 7:
Wie kann man die Sicherheit mit Yubikey's erhöhen? Wie kann man die Sicherheit mit [[https://en.wikipedia.org/wiki/YubiKey|Yubikeys]] erhöhen?
Zeile 23: Zeile 24:
  * NFC hilft nur begrenzt, iPhone hat kein NFC; mit USB-Adapter funktioniert es immer; funzt wie Tastur
Zeile 24: Zeile 27:
 * Welchen Yubikey sollte man einsetzen, den man auch für 2FA verwenden kann?   * Geht nicht, denn man kann keine PIN setzen.
  * Yubikey ist in diesem Szenario rel. leicht angreifbar, denn man kann das PW auslesen ohne den Schlüssel zu stehlen ([[shoulder surfing|https://en.wikipedia.org/wiki/Shoulder_surfing_(computer_security]]).
  * Auch Trojaner bleibt wirksam bei diesem YubiKey-Einsatz.
  * Workaround: Man setzt PW aus 2 Teilen zusammen: 1. Teil des PWs (Prefix) wird per Hand eingeben, 2. langer, immer gleicherTeil kommt vom YubiKey.

 * Kann man sich mittels Yubikey an unterschiedlichen Servern mit unterschiedlichen Passworten anmelden?
  * YubiKey hat 2 Slots: kurz oder lang drücken liefert 2 verschiedene PWs
  * Workaround: anderes Prefix (Mini-PW, s.o.) für die verschiedenen Dienste
Zeile 26: Zeile 37:
  * Welche Probleme davon lassen sich wie lösen?
 * Kosten		   * Yubikey schickt immer die gleichen Scan-Codes, die an den unterschiedlichen Tastaturen das gleiche bedeuten müssen.
  * Es gibt eine Schnittmenge der gängigen Tastatur-Layouts: base16 (= a-z mit Abstrichen, 0-9), Sonderzeichen werden überbewertet, [[https://developers.yubico.com/yubico-c/Manuals/modhex.1.html|modhex]]
  * Wenn man sich auf ein Tastatur-Layout festlegt, kann man mehr Zeichen nutzen.
  
 * Welches [[https://www.yubico.com/store/|Yubikey-Modell]] sollte man einsetzen, den man auch für 2FA verwenden kann?
  * Yubikey 4, Modell FIDO U2F Security Key kann kein statische PW, Neo = 4 + NFC
 * Kosten, Mengenrabatte, Bezugsquellen
  * 1 Stück: 38€ netto, ab 50 Stück: 36,50€, nächste Rabattstufe: 500 Stück
  * z.B. http://www.netknights.it in Kassel
Zeile 47: Zeile 66:
  * System zur Verwaltung der YubiKeys notwendig, z.B. [[https://de.wikipedia.org/wiki/PrivacyIDEA|PrivacyIDEA]] , ca. 3 Tage zum Aufsetzen von PrivacyIDEA; ist in UCS integriert und ist damit schneller am Start
  * Wie man 2. Faktor zum Endkunden bringt, bestimmt Aufwand wesentlich.
  * Applikation muss mit 2FA umgehen können
  * Einsatz der RADIUS-Authentifizierung macht es einfacher.
  * Mail-Abruf vom Smartphone aus geht nicht mit 2FA, weil Smartphone PW cachen will => app-spezifische PWs notwändig
Zeile 48: Zeile 73:
  * dafür zentrales Management nötig wie z.B. [[https://de.wikipedia.org/wiki/PrivacyIDEA|PrivacyIDEA]]
  * privacyIDEA enthält einen Helpdesk, der mit wenigen Clicks einen alternativen Zugang ermöglichen kann z.B. Passwort
Zeile 49: Zeile 77:
  * Aufwand für privacyIDEA: Pflegeaufwand gering
  * erster ssh-Server läuft nach 2 Tagen
Zeile 71: Zeile 101:
 * Zimbra: SAML in Zimbra macht es einfach, funzt sofort

 * UCS
  * Kerberos/Samba kann kein 2FA mit OTP, nur mit Smartcards funzt es
  * Kerberos kann via RADIUS eine Pre-Authentifizierung durchführen
   


== Misc ==

 * Mischbetrieb (mit und ohne 2FA) ist möglich, d.h. 2FA nur für bestimmte Anwendungen,
 * möglicher Datendownload kann alle Sicherheitsmaßnahmen sinnlos machen
 * Yubikey kann auch Container ver/entschlüsseln, Container muss aber autark (ohne ursprüngliche Umgebung) funktionieren Z.B. [[https://www.golem.de/news/systemverschluesselung-yubikeys-zwei-faktor-authentifizierung-unter-linux-nutzen-1507-115155-2.html|LUKS unter Linux]]
 * Smartcards (mit Zertifikat) brauchen immer Treiber (z.B. via openSC)
 * Yubikey kann man auch als Smartcard verwenden
 * Man sollte bei Einführung von 2FA mit der kritischten Anwendung anfangen, Erfahrung sammeln und dann auf immer mehr Anwendungen ausdehnen. Kritisch sind Dienste, die von aussen erreichbar sind, und damit sollte man beginnen.
 * An Uni Marburg wird 2a lang "FA ausgerollt mit 1 Extra-Stelle
 * Viele Menschen erfüllen inzwischen die Definition eines[[https://de.wikipedia.org/wiki/Cyborg|Cyborgs]], weil mit Smartphone "verwachsen". Das kann/sollte man bei 2FA ausnutzen.

Mehr Sicherheit mit Yubikey

Wie kann man die Sicherheit mit Yubikeys erhöhen?

Es sollen Aspekte einer 2-stufigen Einführung von Yubikey's beleuchtet werden:

  1. als Gerät, das einem die Eingabe langer Passworte abnimmt
  2. als Hardware-Komponente für eine 2-Faktor-Authentifizierung (2FA)

Inhaltsverzeichnis

  1. Mehr Sicherheit mit Yubikey
    1. Yubikey statt langem Passwort
      1. offene Fragen
      2. Siehe auch
    2. 2FA mit Yubikey
      1. offene Fragen
      2. Siehe auch
    3. Einsatzszenarien für 2FA
    4. Misc
    5. Siehe auch
    6. Anmerkungen, Anregungen

Yubikey statt langem Passwort

Lange Passworte bieten eine hohe Sicherheit sind aber mühsam. Ein Yubikey kann einem diese mühsame Eingabe abnehmen.

offene Fragen

  • Gibt es Szenarien, in denen ein Yubikey als Passwort-Spender versagt (,von einem fehlenden USB-Port abgesehen)?
    • NFC hilft nur begrenzt, iPhone hat kein NFC; mit USB-Adapter funktioniert es immer; funzt wie Tastur
  • Wie schütze ich den Yubikey vor unbefugter Nutzung?
    • Geht nicht, denn man kann keine PIN setzen.

    • Yubikey ist in diesem Szenario rel. leicht angreifbar, denn man kann das PW auslesen ohne den Schlüssel zu stehlen (https://en.wikipedia.org/wiki/Shoulder_surfing_(computer_security).

    • Auch Trojaner bleibt wirksam bei diesem YubiKey-Einsatz.

    • Workaround: Man setzt PW aus 2 Teilen zusammen: 1. Teil des PWs (Prefix) wird per Hand eingeben, 2. langer, immer gleicherTeil kommt vom YubiKey.

  • Kann man sich mittels Yubikey an unterschiedlichen Servern mit unterschiedlichen Passworten anmelden?

    • YubiKey hat 2 Slots: kurz oder lang drücken liefert 2 verschiedene PWs

    • Workaround: anderes Prefix (Mini-PW, s.o.) für die verschiedenen Dienste
  • Welche Pobleme bringen unterschiedliche Keyboard-Layouts mit sich?
    • Yubikey schickt immer die gleichen Scan-Codes, die an den unterschiedlichen Tastaturen das gleiche bedeuten müssen.

    • Es gibt eine Schnittmenge der gängigen Tastatur-Layouts: base16 (= a-z mit Abstrichen, 0-9), Sonderzeichen werden überbewertet, modhex

    • Wenn man sich auf ein Tastatur-Layout festlegt, kann man mehr Zeichen nutzen.

  • Welches Yubikey-Modell sollte man einsetzen, den man auch für 2FA verwenden kann?

    • Yubikey 4, Modell FIDO U2F Security Key kann kein statische PW, Neo = 4 + NFC
  • Kosten, Mengenrabatte, Bezugsquellen
    • 1 Stück: 38€ netto, ab 50 Stück: 36,50€, nächste Rabattstufe: 500 Stück

    • z.B. http://www.netknights.it in Kassel

Siehe auch

2FA mit Yubikey

Wenn man ohnehin schon einen Yubikey im Einsatz hat, könnte man ihn auch für die 2-Faktor-Authentifizierung verwenden.

offene Fragen

  • Wie aufwändig ist 2FA?

    • System zur Verwaltung der YubiKeys notwendig, z.B. PrivacyIDEA , ca. 3 Tage zum Aufsetzen von PrivacyIDEA; ist in UCS integriert und ist damit schneller am Start

    • Wie man 2. Faktor zum Endkunden bringt, bestimmt Aufwand wesentlich.
    • Applikation muss mit 2FA umgehen können
    • Einsatz der RADIUS-Authentifizierung macht es einfacher.

    • Mail-Abruf vom Smartphone aus geht nicht mit 2FA, weil Smartphone PW cachen will => app-spezifische PWs notwändig

  • Kann man einen Helpdesk aufbauen, der Nutzern weiterhelfen kann, wenn sie ihren Yubikey vergessen haben?

    • dafür zentrales Management nötig wie z.B. PrivacyIDEA

    • privacyIDEA enthält einen Helpdesk, der mit wenigen Clicks einen alternativen Zugang ermöglichen kann z.B. Passwort
  • Wie aufwändig ist diese Unterstützung?
    • Aufwand für privacyIDEA: Pflegeaufwand gering
    • erster ssh-Server läuft nach 2 Tagen

Siehe auch

Einsatzszenarien für 2FA

Zugriff auf

von ... aus

Zimbra Mail-Server

Windows, Mac, Linux, Android, iOS

PC unter Windows, Linux

lokalem Arbeitsplatz = Login am PC, vor dem man sitzt

Citrix-Server

Windows, Mac, Linux

NX-Server

NX-Client unter Windows, Mac, Linux

ssh-Server

ssh-Client unter Windows, Mac, Linux

KeePass(X)

Windows, Mac, Linux

  • Zimbra: SAML in Zimbra macht es einfach, funzt sofort
  • UCS
    • Kerberos/Samba kann kein 2FA mit OTP, nur mit Smartcards funzt es
    • Kerberos kann via RADIUS eine Pre-Authentifizierung durchführen

Misc

  • Mischbetrieb (mit und ohne 2FA) ist möglich, d.h. 2FA nur für bestimmte Anwendungen,
  • möglicher Datendownload kann alle Sicherheitsmaßnahmen sinnlos machen

  • Yubikey kann auch Container ver/entschlüsseln, Container muss aber autark (ohne ursprüngliche Umgebung) funktionieren Z.B. LUKS unter Linux

  • Smartcards (mit Zertifikat) brauchen immer Treiber (z.B. via openSC)
  • Yubikey kann man auch als Smartcard verwenden
  • Man sollte bei Einführung von 2FA mit der kritischten Anwendung anfangen, Erfahrung sammeln und dann auf immer mehr Anwendungen ausdehnen. Kritisch sind Dienste, die von aussen erreichbar sind, und damit sollte man beginnen.
  • An Uni Marburg wird 2a lang "FA ausgerollt mit 1 Extra-Stelle

  • Viele Menschen erfüllen inzwischen die Definition einesCyborgs, weil mit Smartphone "verwachsen". Das kann/sollte man bei 2FA ausnutzen.

Siehe auch

Anmerkungen, Anregungen

Anmerkungen, Anregungen, Verbesserungsvorschläge hinterlasse man bitte auf der Diskussionsseite

MehrSicherheitMitYubikey (zuletzt geändert am 2017-06-30 14:27:09 durch hayd@cbs.mpg.de)