{"id":13035,"date":"2018-07-14T11:14:18","date_gmt":"2018-07-14T09:14:18","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=13035"},"modified":"2018-07-12T11:18:45","modified_gmt":"2018-07-12T09:18:45","slug":"im-kurztest-zwei-faktor-authentifizierung-mit-dem-yubikey-4-von-yubico","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=13035","title":{"rendered":"Im Kurztest: Zwei Faktor-Authentifizierung mit dem YubiKey 4 von Yubico"},"content":{"rendered":"
\"\"<\/a>
Yubicos YubiKey 4 in der Originalverpackung<\/figcaption><\/figure>\n

Mit dem YubiKey 4 bietet Yubico einen Security Key, der sich nutzen l\u00e4sst, um den Zugriff auf Computer, Netzwerke, Applikationen und Online-Dienste zu regeln. Das Ger\u00e4t unterst\u00fctzt diverse Authentifikationsprotokolle wie FIDO U2F, WebAuthN, Yubico OTP, OpenPGP, OATH-TOTP, OATH, HOTP und Challenge-Response. In unserem Kurztest haben wir uns angesehen, wie der Key mit der Authentifizierung bei einer KeePass-Passwort-Datenbank klarkommt.<\/p>\n

<\/p>\n

F\u00fcr unseren Test stellte uns Yubico einen YubiKey 4 zur Verf\u00fcgung, der recht minimalistisch in einer kleinen Plastikh\u00fclle geliefert wird, die neben dem Key lediglich ein St\u00fcck Papier mit einem Link auf die Webseite des Herstellers enth\u00e4lt. Klickt der Benutzer auf dieser Seite auf den Link „Set up your YubiKey“, dann landet er auf einer Sub-Page, auf der er den Typ seines Schl\u00fcssels selektieren muss. Sobald das erledigt ist, pr\u00e4sentiert ihm die Webseite eine \u00dcbersicht \u00fcber alle Dienste, deren Authentifizierung mit dem YubiKey abgewickelt werden kann. Dazu geh\u00f6ren unter anderem die Betriebssysteme Linux, MacOS und Windows, die Cloud-Services Dropbox und Salesforce sowie Konten bei Facebook und Google. Au\u00dferdem unterst\u00fctzt das System auch diverse Anwendungen, wie beispielsweise das Open Source Passwortverwaltungsprogramm KeePass, das wir bei uns im Testlab seit langer Zeit einsetzen und dessen Datenbank wir in Zusammenhang mit dem YubiKey-Test besser absichern wollten.<\/p>\n

\"\"<\/a>
Der YubiKey 4 unterst\u00fctzt eine gro\u00dfe Zahl an Diensten<\/figcaption><\/figure>\n

Bevor wir mit der Einrichtung der KeePass-Authentifizierung anfingen, wollten wir aber noch kurz einen Blick auf die Konfigurationsm\u00f6glichkeiten der anderen \u00fcber die Webseite angebotenen Dienste werfen. Dazu klickten wir auf die Eintr\u00e4ge zu Google, Facebook und \u00e4hnlichem.<\/p>\n

Praktisch alle dieser Links verweisen auf die Supportseiten der jeweiligen Anbieter, also auf die Seite „Add s Security Key to your Google Account“ bei Google, die Seite „Was ist ein Sicherheitsschl\u00fcssel und wie funktioniert er?“ bei Facebook oder auch die Seite „Introducing U2F support for secure authentication“ bei Dropbox. Die ganze Sache ist recht un\u00fcbersichtlich, da die genannten Seiten bei jedem Anbieter anders gestaltet und aufgebaut wurden.<\/p>\n

Nur bei den Eintr\u00e4gen zu Linux, MacOS und Windows fanden wir konkrete Angaben von Yubico selbst.<\/p>\n

Einrichtung der KeePass-Authentifizierung<\/strong><\/p>\n

Nachdem der Einstieg sich etwas aufwendiger gestaltete als gedacht, gingen wir dazu \u00fcber, unseren Key zu konfigurieren. Dazu klickten wir auf den KeePass-Eintrag der eben erw\u00e4hnten Webseite und landeten auf der Webseite des KeeChallenge-Plugins f\u00fcr KeePass, das die YubiKey Challenge-Response-F\u00e4higkeit zu KeePass hinzuf\u00fcgen soll. Diese Seite enth\u00e4lt eine Menge Informationen \u00fcber das Kompilieren der Software und die Abh\u00e4ngigkeiten, erst unten findet man einen Abschnitt zu Thema „Using“.<\/p>\n

Im n\u00e4chsten Schritt luden wir das Plugin herunter und kopierten es in den Plugin-Ordner unserer KeePass-Installation. Danach arbeiteten wir uns durch die Anleitung auf der Plugins-Webseite. Darin stand unter anderem, wir sollten unseren YubiKey so programmieren, dass er HMAC-SHA1 in Slot 2 benutzte. Nach einigem Herumsuchen fanden wir auf der Yubico-Webseite ein Werkzeug namens YubiKey Personalization Tool, \u00fcber das man den Key tats\u00e4chlich programmieren kann. Es w\u00e4re sch\u00f6n, wenn die Anleitung solche Informationen direkt enthalten w\u00fcrde.<\/p>\n

<\/p>\n

Immerhin gelang es uns mit dem Personalisierungswerkzeug den YubiKey 4 entsprechend der Anweisungen des Plugin-Autors zu konfigurieren und ein Secret zu erzeugen, das wir an einem sicheren Platz speicherten. Danach starteten wir KeePass, \u00f6ffneten unsere Datenbank und w\u00e4hlten den Befehl „Change Master Key“. Anschlie\u00dfend konnten wir ein neues Passwort f\u00fcr die Datenbank vergeben und die YubiKey Challenge-Response-Funktion unter Key Providers ausw\u00e4hlen. Nach einem Klick auf „OK“ \u00f6ffnete sich ein Fenster, in das wir unser zuvor \u00fcber das Personalization Tool erzeugte Secret eintrugen. Zum Schluss mussten wir noch den Knopf des YubiKey dr\u00fccken, daraufhin richtete KeePass die Datenbank neu ein.<\/p>\n

\"\"<\/a>
Das Personalisierungswerkzeug f\u00fcr den YubiKey<\/figcaption><\/figure>\n

Um sich in der Folgezeit zu authentifizieren, gen\u00fcgte es, KeePass aufzurufen, das Passwort f\u00fcr die Datenbank einzugeben und danach auf den Knopf des in einem USB-Slot des betroffenen Rechners eingesteckten YubiKey zu dr\u00fccken. Danach \u00f6ffnete sich die Datenbank und wir konnten mit ihr arbeiten.<\/p>\n

Fazit<\/strong><\/p>\n

Die YubiKeys bringen einen gro\u00dfen Funktionsumfang mit und unterst\u00fctzen viele Dienste. Wenn man es einmal geschafft hat, sie korrekt zu konfigurieren, l\u00e4uft die Arbeit mit ihnen vollkommen unproblematisch ab. Was die Dokumentation angeht, bleibt aber noch viel Luft nach oben. W\u00e4hrend der Suche nach dem Personalisierungswerkzeug stie\u00dfen wir \u00fcbrigens auf eine Support-Seite des Herstellers, die tats\u00e4chlich Schritt-f\u00fcr-Schritt-Anleitungen enthielt, die die Konfiguration des Keys f\u00fcr die einzelnen Dienste genau beschreiben. Hier das Beispiel f\u00fcr Password Safe: https:\/\/support.yubico.com\/support\/solutions\/articles\/15000006481<\/a>. Leider unterschied sich die Anleitung f\u00fcr KeePass sehr von dem von uns verwendeten Weg, da sie sich auf ein anderes Plugin namens OtpKeyProv bezog. Wir brachten dieses Plugin im Test auch nicht zum Laufen, so dass wir schnell auf das oben genannte KeeChallenge-Plugin zur\u00fcck kamen. Es mag aber sein, dass die Support-Seite f\u00fcr andere Dienste Anleitungen enth\u00e4lt, die besser sind. Sie ist deswegen durchaus einen Blick wert.<\/p>\n

\"\"<\/a>
Die Konfiguration des Challenge-Response-Mode<\/figcaption><\/figure>\n

Auf Anfrage erkl\u00e4rte Yubico, dass das Unternehmen stets daran arbeitet, seine Dokumentation auf dem neuesten Stand zu halten, und dass es empfohlen wird, einen bestimmten Dienst oder eine bestimmte Anwendung f\u00fcr seine Implementierungsdokumentation zu kontaktieren, da die Einrichtung je nach Dienst oder Anwendung variiert. Dar\u00fcber hinaus ist der beste Weg f\u00fcr Unternehmen, um sicherzustellen, dass ihre Implementierungsdokumentation am besten geliefert wird, die Teilnahme an Yubicos Works with YubiKey-Programm, das sich hier findet: https:\/\/www.yubico.com\/solutions\/for-technology-partners<\/a>. Es ist also durchaus Besserung zu erwarten.<\/p>\n","protected":false},"excerpt":{"rendered":"

Mit dem YubiKey 4 bietet Yubico einen Security Key, der sich nutzen l\u00e4sst, um den Zugriff auf Computer, Netzwerke, Applikationen<\/p>\n","protected":false},"author":1,"featured_media":13036,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[37,9],"tags":[342,11580,6257,720,3275,11575,3247,8086,10054,181,397,11579,11578,3334,4594,11576,344,9299,11577,11574],"class_list":["post-13035","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-security","category-test","tag-authentifizierung","tag-challenge-response","tag-cloud","tag-dropbox","tag-facebook","tag-fido-u2f","tag-google","tag-hotp","tag-keepass","tag-linux","tag-macos","tag-oath","tag-oath-totp","tag-openpgp","tag-salesforce","tag-webauthn","tag-windows","tag-yubico","tag-yubico-otp","tag-yubikey4"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/13035","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=13035"}],"version-history":[{"count":1,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/13035\/revisions"}],"predecessor-version":[{"id":13040,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/13035\/revisions\/13040"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/13036"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=13035"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=13035"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=13035"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}