YubiKey Wiki
Das Projekt
Beim "YubiKey Wiki" handelt es sich um ein Semsterprojekt im Rahmen des Studiums für Sichere Informationssysteme an der FH-Hagenberg. Das Projekt wurde von Alexander Hamann, Kristoffer Dorfmayr und Mathias Huber bearbeitet und hatte das Ziel, ein möglichst umfangreiches Wiki rund um den YubiKey Security Token zu erstellen. Das Wiki soll als Anlaufstelle für YubiKey-Einsteiger dienen und bietet neben der generellen Funktionsbeschreibung auch konkrete Einsatzbeispiele mit Anwendungsanleitungen und Sicherheitsempfehlungen.
Du hast einen Fehler entdeckt oder möchtest einen weiteren Artikel zum Wiki hinzufügen? Hier gehts zum How-To
Wiki-Struktur
Das Wiki hat zwei Hauptartikel die für das Verständnis wichtig sind und auf die später referenziert wird:
Abgesehen von den zwei Hauptartikeln gibt es noch Funktionsbeschreibungen 1 unter denen konkrete Anwendungsbeispiele 2 zur jeweiligen Funktionalität zu finden sind:
- OpenPGP
- E-Mail Verschlüsselung (Thunderbird, FairEmail)
- SSH-Authentifizierung
- FIDO2
- Anmeldung am Computersystem (=Systemlogin)
- Weblogin bei Onlineaccounts (Exemplarisch GitHub, Google und Microsoft)
Wir empfehlen folgende Vorgehensweise für einen raschen Einstieg in die Welt der YubiKeys:
- Zum allgemeinen Verständnis durchlesen der YubiKey Kurzbeschreibung.
- Zu dieser Übersicht zurückkehren und sich bei den obigen Links ein Anwendungsbeispiel heraussuchen das man umsetzten möchte.
- YubiKey im täglichen Gebrauch einsetzen
Viel Spaß beim Arbeiten mit dem YubiKey!
Funktionsempfehlung
Der YubiKey bietet eine Vielzahl an möglichen Funktionen. Hier möchten wir die einzelnen Verfahren etwas vergleichen und eine Verwendungsempfehlung aussprechen. Wenn man noch keinen Überblick über die Funktionalitäten hat empfehlen wir unsere YubiKey Kurzbeschreibung.
1. Authentifizierung
Vorteile | Nachteile | |
FIDO | Kein statisches Passwort nötig --> man muss sich nichts selber merken Anmeldung nur durch Druck auf den YubiKey Keine Replay-Attacken und MitM-Angriffe möglich Verwendet Public-Key-Krypthographie --> Kein Shared-Secret | Man muss den YubiKey immer mitführen Webbrowser bzw. Betriebssystem muss FIDO unterstützen |
OATH | Passwörter sind nur einmal für geringen Zeitraum gültig --> Replay nicht möglich Browser und Betriebssystem muss OATH nicht untersützen | Zusätzliche App bzw. Programm muss installiert werden OTP muss händisch eingegeben werden |
Static Password | Easy-to-Implement --> Funktioniert überall | Shared-Secret --> MitM und Replay ist möglich Man kann aufgrund der 2 verfügbaren Slots am YubiKey nur 2 Passwörter speichern |
FIDO bietet hohe Sicherheit gegen bekannte Angriffe bei vergleichsweise einfacher Handhabung. Der seit 2018 von der FIDO-Alliance veröffentlichte FIDO2-Standard ist dazu sehr aktuell und ermöglicht passwortloses Anmelden. Aufgrund dessen haben wir uns dazu entschlossen FIDO in unserem Wiki genauer zu bearbeiten, und empfehlen die Verwendung von FIDO wenn die Möglichkeit besteht. Ist die Verwendung von FIDO aus Kompatibilitätsgründen nicht möglich, kann man auch mit OATH eine starke Zweifaktor-Authentifizierung etablieren. Der Einsatz von Statische Passwörtern am YubiKey hat auch seine Berechtigung. Vor allem dann, wenn kein anderes Login-Verfahren unterstützt wird und wenn man das gespeicherte Passwort vom YubiKey oft auf verschiedenen Geräten einsetzen muss. Beispielsweise wenn der Einsatz eines Passwortmanagers nicht möglich ist, weil ich das Passwort zum Einloggen beim Rechner benötige und da noch keinen Passwortmanager zur Verfügung habe, oder weil ich mich auf einem fremden System befinde (z.B.: FH-Rechner).
Empfehlung:
Bei der Verwendung als zweiten Faktor:
- FIDO U2F
- OATH
Bei der Verwendung als einzelner Faktor:
- FIDO2
- statisches Passwort
2. E-Mail-Sicherheit
Vorteile | Nachteile | |
OpenPGP | Authentizität selbst festgelegt durch Signieren Verbreitet im GNU-Linux Umfeld | Umfangreiches Schlüsselmanagement notwendig Vertraulichkeitsproblem EFAIL? |
PIV | Weniger Aufwand da Signieren von Schlüsseln entfällt | Authentizität durch Certificate Authority vorgegeben Vertraulichkeitsproblem EFAIL? Zertifikate meist kostenpflichtig |
Empfehlung:
Bei der Email-Verschlüsselung:
- OpenPGP
- PIV
Der PIV Standard wurde von der NIST zum Einsatz in der öffentlichen Verwaltung geschaffen. PIV findet daher auch eher in Unternehmen Verwendung, da jedes Unternehmen selbst eine Certificate Authority betreibt. Nur im Unternehmensumfeld ist so eine Authentizität der Schlüssel gesichert. Im Privaten Umfeld kann man kostenlosen Zertifizierungen von verschiedensten Certificate Authorities nicht grundlegend vertrauen, weshalb die Authentizität nicht gegeben ist. Außerdem ist es immer schwieriger als Privatperson ein kostenloses X.509-Zertifikat zu bekommen, das für PIV notwendig ist. Bei OpenPGP hingegen hat man alles selbst in der Hand. Wenn man das Überprüfen von Schlüsseln vor dem Signieren sorgfältig betreibt, kann man sich der Authentizität von Schlüsseln sicher sein.
Fußnoten: