Dies ist die archivierte Version des Blogs vom 05.01.2017. Aktuelle Beiträge findest du unter thomas-leister.de
 

Lohnt sich der Kauf eines Yubikey NEO?

In meinem vorherigen Beitrag bin ich auf die Authentifzierungsmechanismen des Yubikey Neo eingegangen. Für den ein oder anderen stellt sich jetzt vielleicht die Frage, ob sich der Kauf lohnt – und wenn ja: Welche Yubikey-Version soll es dann sein? Sollte man lieber viel Geld für einen Neo ausgeben, oder doch zur günstigeren U2F-Version greifen?

Um diese Fragen zu beantworten, will ich euch erklären, welche Authentifizierungsmethoden ich mit meinem Yubikey Neo verwende, und wieso.

Weiterlesen ›


Authentifizierungsmechanismen des Yubikeys erklärt

Je nach Modell beherrschen die Yubikeys der Firma Yubico verschiedene Authentifizierungsverfahren. Nach dem ich mir einen Yubikey Neo zugelegt hatte, fiel es mir schwer, zwischen den Betriebsmodi zu unterscheiden. Mit diesem Beitrag will ich neuen Usern einen Überblick über die möglichen Authentifizierungsverfahren geben, sie erklären und die Vor- und Nachteile nennen.

Vorgestellt werden hier die folgenden Yubikey-Modi:

  • HOTP
  • TOTP
  • Challenge-Response via HID
  • Yubico OTP
  • U2F

Weiterlesen ›


Yubikey OTPs (TOTP/HOTP) unter Fedora generieren

Zur Generierung von OTPs mittels Yubikey und dem HOTP/TOTP-Verfahren ist die Yubico Authenticator-App für Android nicht zwingend notwendig. Wer gerade sein Smartphone nicht zur Hand hat (oder wer kein NFC-kompatibles Smartphone hat), kann sich die „Yubiath-Desktop“-Anwendung auf seinem Desktop-Rechner installieren und sich damit bei angeschlossenem Yubikey die Einmalpasswörter generieren lassen. Unter Fedora Linux heißt das notwendige Paket „yubioath-desktop“:

sudo dnf install yubioath-desktop

(Im Programmmenü zu finden unter dem Namen „Yubico Authenticator“). Nach einem Rechner-Neustart wird der Yubikey von der App korrekt erkannt und spuckt für bereits eingerichtete Accounts OTPs aus.

Der Yubico Authenticator ist in der Desktopversion übrigens auch für andere Linux-Distributionen und für Windows erhältlich.


TOTP mit Yubikey auf Smartphone und Desktop

Die meisten Webdienste, die eine Zwei-Faktor-Authentifizierung anbieten, unterstützen das TOTP (Time-based one time password) -Verfahren. Dabei bleiben die Codes nur eine gewisse Zeit lang gültig und ändern sich ständig. Zugriff auf die Codes bekommt man bei den Yubikeys nur über eine dritte Software, die mit dem Yubikey kommuniziert. Das liegt daran, dass der Yubikey keine eigenständige Code-Berechnung ausführen kann, weil ihm für eine eigene Systemuhr die notwendige Energieversorgung fehlt. Die Berechnung des Codes geschieht immer im Yubikey selbst – die geheimen Schlüssel verlassen also niemals den Yubikey. Die Clientprogramme liefern dem Yubikey nur die Systemzeit,  holen die fertig generierten Einmalcodes ab und zeigen sie an. „Yubikey Authenticator“ heißt der TOTP Client für den Yubikey, den es für Android, Linux, Windows und MacOS gibt.

Weiterlesen ›


WordPress mit FIDO U2F / Yubikey absichern

Für WordPress gibt es verschiedene Plugins, über die sich ein Blog mit dem Yubikey absichern lässt. Eine Möglichkeit ist, die Authentifizierung via Yubikey OTP, die Yubico Server und dieses WordPress Plugin abzuwickeln. Der Vorteil: Yubikey OTPs funktionieren auf jedem Rechner, der eine USB-Schnittstelle hat, weil der Yubikey in diesem Fall nur eine Tastatur simuliert. Nach Nachteil bei dieser Methode: Man verlässt sich auf fremde Server (Die Yubico Authentifizierungsserver), über die man keine Kontrolle hat.

Neben der Yubico OTP-Methode beherrscht mein Yubikey Neo auch die Authentifizierung über das FIDO U2F Verfahren. Auch hierbei werden Einmalpasswörter generiert – allerdings ohne die Hilfe fremder Server. Ein Nachteil hierbei: Damit U2F funktionieren kann, muss der Webbrowser dies unterstützen. Google Chrome / Chromium beherrscht U2F seit Version 40. Firefox kommt noch ohne native U2F Unterstützung. Über ein Browser-Addon kann man das aber nachrüsten. Im Folgenden erkläre ich die Einrichtung der Authentifizierung über U2F. Ich gehe davon aus, dass der Browser U2F bereits beherrscht.

Weiterlesen ›


FIDO U2F Authentifizierung mit Yubikey und Firefox

Leider beherrscht Firefox im Gegensatz zu Google Chrome den FIDO U2F Authentifizierungsmechanismus noch nicht nativ. Wenn man sich mit seinem Yubikey via U2F bei Google, GitHub, Dropbox oder einem anderen unterstützten Dienst anmelden will, musste man bisher auf Chrome / Chromium ausweichen.

Heute morgen bin ich bei meinen Nachforschungen auf ein Firefox Plugin (»Github) gestoßen, das verspricht, U2F Unterstützung nachzurüsten. Tatsächlich wurde mein Yubikey damit auf der Yubico U2F Demo Seite problemlos erkannt – auch wenn mir noch die Warnung zur fehlenden Kompatibilität mit Firefox angezeigt wurde. Die Warnung bleibt bestehen, solange die Website erkennt, dass ich mit Firefox unterwegs bin. Schließlich unterstützt Firefox ja offiziell noch kein U2F.

Weiterlesen ›


Mit Yubikey unter Arch Linux einloggen (Challenge-Response, offline)

Vor ein paar Tagen habe ich mir einen Yubikey Neo zugelegt. Dabei handelt sich um eine Kombination aus One-Time-Passwort-Generator (OTP-Generator) und PGP-Smartcard. Außerdem können auch statische Passwörter hinterlegt werden. Der Yubikey unterstützt eine Fülle an Authentifizierungsmechanismen, egal ob online, über fremde oder eigene Server, oder offline.

In diesem Beitrag soll es um den Login an einem Arch Linux Rechner gehen – abgesichert mit dem Yubikey, oder Passwort + Yubikey (Two-Factor-Auth). Für eine PAM-basierende Authentifizierung, wie wir sie unter Linux und Mac OS haben, stellt Yubico ein Open Source PAM Modul zur Verwendung mit dem Yubikey bereit. Das Modul kann in zwei verschiedenen Betriebsmodi genutzt werden: Entweder in Kombination mit dem Yubico-OTPs über Yubico-eigene Server oder über ein HMAC-SHA1-basiertes Challenge-Response Verfahren, das auch offline (und damit unabhängig von Servern) funktioniert.  Ich ziehe die offline-Methode vor, denn der große Nachteil der online-Variante ist: Wenn die Server offline sind (oder mein Rechner) kann ich mich nicht mehr einloggen.

Weiterlesen ›