Dies ist die archivierte Version des Blogs vom 05.01.2017. Aktuelle Beiträge findest du unter thomas-leister.de
 

Lohnt sich der Kauf eines Yubikey NEO?

In meinem vorherigen Beitrag bin ich auf die Authentifzierungsmechanismen des Yubikey Neo eingegangen. Für den ein oder anderen stellt sich jetzt vielleicht die Frage, ob sich der Kauf lohnt – und wenn ja: Welche Yubikey-Version soll es dann sein? Sollte man lieber viel Geld für einen Neo ausgeben, oder doch zur günstigeren U2F-Version greifen?

Um diese Fragen zu beantworten, will ich euch erklären, welche Authentifizierungsmethoden ich mit meinem Yubikey Neo verwende, und wieso.

Weiterlesen ›


Authentifizierungsmechanismen des Yubikeys erklärt

Je nach Modell beherrschen die Yubikeys der Firma Yubico verschiedene Authentifizierungsverfahren. Nach dem ich mir einen Yubikey Neo zugelegt hatte, fiel es mir schwer, zwischen den Betriebsmodi zu unterscheiden. Mit diesem Beitrag will ich neuen Usern einen Überblick über die möglichen Authentifizierungsverfahren geben, sie erklären und die Vor- und Nachteile nennen.

Vorgestellt werden hier die folgenden Yubikey-Modi:

  • HOTP
  • TOTP
  • Challenge-Response via HID
  • Yubico OTP
  • U2F

Weiterlesen ›


Yubikey OTPs (TOTP/HOTP) unter Fedora generieren

Zur Generierung von OTPs mittels Yubikey und dem HOTP/TOTP-Verfahren ist die Yubico Authenticator-App für Android nicht zwingend notwendig. Wer gerade sein Smartphone nicht zur Hand hat (oder wer kein NFC-kompatibles Smartphone hat), kann sich die „Yubiath-Desktop“-Anwendung auf seinem Desktop-Rechner installieren und sich damit bei angeschlossenem Yubikey die Einmalpasswörter generieren lassen. Unter Fedora Linux heißt das notwendige Paket „yubioath-desktop“:

sudo dnf install yubioath-desktop

(Im Programmmenü zu finden unter dem Namen „Yubico Authenticator“). Nach einem Rechner-Neustart wird der Yubikey von der App korrekt erkannt und spuckt für bereits eingerichtete Accounts OTPs aus.

Der Yubico Authenticator ist in der Desktopversion übrigens auch für andere Linux-Distributionen und für Windows erhältlich.


TOTP mit Yubikey auf Smartphone und Desktop

Die meisten Webdienste, die eine Zwei-Faktor-Authentifizierung anbieten, unterstützen das TOTP (Time-based one time password) -Verfahren. Dabei bleiben die Codes nur eine gewisse Zeit lang gültig und ändern sich ständig. Zugriff auf die Codes bekommt man bei den Yubikeys nur über eine dritte Software, die mit dem Yubikey kommuniziert. Das liegt daran, dass der Yubikey keine eigenständige Code-Berechnung ausführen kann, weil ihm für eine eigene Systemuhr die notwendige Energieversorgung fehlt. Die Berechnung des Codes geschieht immer im Yubikey selbst – die geheimen Schlüssel verlassen also niemals den Yubikey. Die Clientprogramme liefern dem Yubikey nur die Systemzeit,  holen die fertig generierten Einmalcodes ab und zeigen sie an. „Yubikey Authenticator“ heißt der TOTP Client für den Yubikey, den es für Android, Linux, Windows und MacOS gibt.

Weiterlesen ›


Mit Yubikey unter Arch Linux einloggen (Challenge-Response, offline)

Vor ein paar Tagen habe ich mir einen Yubikey Neo zugelegt. Dabei handelt sich um eine Kombination aus One-Time-Passwort-Generator (OTP-Generator) und PGP-Smartcard. Außerdem können auch statische Passwörter hinterlegt werden. Der Yubikey unterstützt eine Fülle an Authentifizierungsmechanismen, egal ob online, über fremde oder eigene Server, oder offline.

In diesem Beitrag soll es um den Login an einem Arch Linux Rechner gehen – abgesichert mit dem Yubikey, oder Passwort + Yubikey (Two-Factor-Auth). Für eine PAM-basierende Authentifizierung, wie wir sie unter Linux und Mac OS haben, stellt Yubico ein Open Source PAM Modul zur Verwendung mit dem Yubikey bereit. Das Modul kann in zwei verschiedenen Betriebsmodi genutzt werden: Entweder in Kombination mit dem Yubico-OTPs über Yubico-eigene Server oder über ein HMAC-SHA1-basiertes Challenge-Response Verfahren, das auch offline (und damit unabhängig von Servern) funktioniert.  Ich ziehe die offline-Methode vor, denn der große Nachteil der online-Variante ist: Wenn die Server offline sind (oder mein Rechner) kann ich mich nicht mehr einloggen.

Weiterlesen ›