Ein Kurzbericht aus Sicht des Erst-Benutzers eines Yubikeys. Der Remote-Zugang zur Web-Administration in einem Rechenzentrum (RZ) soll per 2FA-Verfahren gesichert werden. Habe sehr viel gelesen auf yubico.com und im Netz. Die Auswahl des Keys war nicht einfach: Leistungsmerkmale der verschiedenen Keys und die Anforderungen des RZ waren beide nicht gut zu finden. Je nach Typ, wird verschiedene Software benötigt. Die Anleitung auf yubico.com und die Erklärungen im Netz waren z.T. sehr umfangreich und dadurch unübersichtlich. Der RZ-Betreiber verweist für die Einrichtung auf den Hersteller Yubico und diese wiederum auf das RZ. Meine Erfahrung für einen Weg, der sich eher zufällig ergeben hat als durch das angelesene Fachwissen: Einrichtung eines Security Key NFC auf dem aktuellen Debain Bookworm: 1. Über die Debian-Paketquellen yibikey-manager installiert (Key soll per Shell bedienbar sein - leider unübersichtlich). 2. GUI AppImage von yubico.com heruntergeladen: 111 MB: bietet nur Ein/Ausschalten von USB/NFC und Eingabe für die PIN. PIN eingegeben. 3. Seite des RZ zur Einrichtung anklicken: man wird nach der PIN gefragt und muss dann den Key drücken (analog zum Login). Hinweis: der Trend geht anscheinend zur Serie 5. Diese kann mehr und soll leichter handhabbar sein (habe ich nicht getestet).
Ich hab auch ein Yubikey und zwar ein 5 NFC. Wenn ich was Wichtiges damit schützen würde wäre ich da jetzt vorsichtig, weil: EUCLEAK https://ninjalab.io/eucleak/ https://www.yubico.com/support/security-advisories/ysa-2024-03/
Aufpassen: Entgegen des Threadtitels beschreibst du die Funktionalität des Yubi-Securitykeys. Das ist im Grunde ein FIDO2-Token. Version 5 mit Firmware über 5.7 möchte man sowieso haben, weil bei älteren FW-Versionen eine Möglichkeit besteht, dass ein Angreifer den geheimen Schlüssel extrahieren kann, und ein Update der Firmware „aus Sicherheitsgründen“ nicht vorgesehen ist. Diese Security-Keys sind über die Sachen aus libfido2 benutzbar, ykman braucht man im Grunde nur zum Resetten oder zum Ändern der PIN, die, entgegen des N im Namen, alphanumerisch ist und 63 Zeichen (±, hab’s nicht genau im Kopf) lang sein kann. Die kann man aber auch in etwa Chromium bearbeiten. Für die „richtigen“ Yubikeys, mit Smartcard-Funktionalität und HMAC-Schlüsselkram und OTP und den ganzen Kram würde man dann yubico-authenticator (das GUI-Programm von denen) nutzen, oder man bleibt bei ykman (das ich ziemlich übersichtlich finde – mag daran liegen, dass die Command-Completion bei meinem System da vollständig funktioniert). Diese Security-Keys sind übrigens gerade unter Linux ziemlich genial: von der Festplatten- oder Datei-Verschlüsselung über den Login bis zur Steuerung der sudo-Nutzung ist damit ziemlich viel möglich. Dabei muss es nicht mal ein Token von Yubico sein, gibt auch andere Hersteller (die dann auch Firmware-Updates anbieten, damit es nicht zu solchen Sachen wie bei Yubico kommt: dass Sicherheitsprobleme nicht behoben werden können). Edit, Nachtrag: was eucleak angeht, muss man nicht direkt Panik schieben – der Schlüssel kann nicht einfach so ausgelesen werden, dazu muss der physische Schlüssel zerstört werden. Solange man sicherstellen kann, dass man die Kontrolle darüber behält, sind damit gesicherte Sachen nicht auf einmal unsicher.
:
Bearbeitet durch User
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.