YubiKey: Mehr Sicherheit am Schlüsselbund

Vor gut einem Monat schrieb mir der Sascha eine Mail und wies mich auf die YubiKeys des amerikanischen Unternehmens Yubico hin. Die kleinen USB-Dongles sollen passwortgeschützte Anmeldungen beispielsweise durch Einmalkennwörter zusätzlich absichern. In Deutschland werden die YubiKeys von der MTRIX GmbH im eigenen Online-Shop oder auf Amazon verkauft. Das Portfolio umfasst (Stand: 04/2015) den Security Key für FIDO U2F (Universal Second Factor) und sechs weitere Modelle. Alle Versionen, ausgenommen der Security Key, unterstützen die Generierung von statischen Passwörtern, YubiKey OTP, OATH-HOTP, OATH-TOTP (nur mit zusätzlicher Helper App möglich) und Challenge-Response.


Introducing the YubiKey

Gegenüber der Standardausführung bietet der Edge noch FIDO U2F an und der Neo darüber hinaus NFC, OpenPGP Card, und eine Smart Card Unterstützung. Alle Modelle gibt es passend für den Schlüsselbund oder als Kompaktvarianten. Die Preise für die USB-Schlüssel liegen zwischen 17 Euro und 65 Euro. Für meinen Testbericht habe ich mir den YubiKey Neo für 54,09 Euro über Amazon bestellt. Nach wenigen Tagen lag der YubiKey in meinem Briefkasten. Der Stick besteht aus Plastik, macht aber einen wertigen und stabilen Eindruck.

Was fängt man jetzt mit dem YubiKey an?

Das ist wohl eine berechtigte Frage. Einfach an den PC stecken und los geht’s? Nicht ganz. Entweder folgt man dem Link aus der Verpackung (mtrix.de/yubikey) oder seinem eigenen Gespür. Der YubiKey verfügt über zwei programmierbare Profile. Aha, also liegt es nahe, dass es eine Software dafür geben muss. Richtig kombiniert Sherlock. Auf der Yubico-Webseite findet sich tatsächlich ein Personalization Tool für Windows, Linux und Mac OS X. In meinem Test setze ich auf Windows 8.1. Daher kann ich zu den Versionen für Linux und Mac OS X nicht viel sagen. Das Interface des Tools ist weitestgehend klar strukturiert und zeigt die Möglichkeiten des Dongles auf einen Blick. Mithilfe des Tools lässt sich der YubiKey komplett verwalten.

Yubico Personalization Tool für die YubiKeys
Yubico Personalization Tool für die YubiKeys

Also Slots neu programmieren, Konfiguration löschen und Einstellungen ändern. Die Firmware ist aus Sicherheitsgründen nicht aktualisierbar. Daraus entsteht mitunter ein Nachteil. Einerseits, erhält man so keine neuen Funktionen und Sicherheitslücken können nur mit einem Neukauf geschlossen werden. Ich empfehle jedem, sich vorher mit den Passwortmethoden vertraut zu machen. Grundlegende Kenntnisse über OTP, OATH-HOTP und TOTP, sowie Challenge-Response sind essenziell. Ansonsten fehlt euch wichtiges Hintergrundwissen.

Für was kann ich den YubiKey einsetzen?

Die Einsatzmöglichkeiten der YubiKeys wirken im ersten Moment breit gefächert. Ein Blick auf die Yubico-Webseite gibt einen groben Einblick, meist sogar samt passender Anleitung. Nachfolgend eine kleine Auflistung:

  • Systemintegration einer Zweifaktorauthentifizierung
  • Remote-Zugriff und VPN
  • Passwort Manager — KeePass, LastPass, Password Safe
  • Salesforce Login
  • FIDO U2F für Google-Account und in ferner Zukunft weitere Dienste
  • Single Sign-On via SAML oder OpenID
  • Computer-Anmeldung an Windows, Linux und Mac OS X
  • CMS — WordPress, Drupal, Joomla
  • Festplattenverschlüsselung
  • Internetdienste per OATH-TOTP

Das klingt zunächst nach vielfältigen Möglichkeiten. Doch bei genauerer Betrachtung schaut es ganz anders aus. Denn auf der einen Seite bietet ein YubiKey nur Platz für zwei Profile und andererseits sind die genannten Anwendungsmöglichkeiten meist auf spezielle Dienste oder Anwendungen reduziert. Möchte ich also mein KeePass und meine Windows-Anmeldung absichern dann klappt das. Will ich aber auch noch meinen WordPress-Zugang zusätzlich sichern, stößt der YubiKey schon an seine Grenzen.

Der YubiKey Neo verfügt über NFC, damit er auch in Kombination mit einem NFC-fähigen Smartphone genutzt werden kann. Allerdings lassen sich damit nur Einmalkennwörter und bestenfalls noch Challenge-Response übermitteln. Die App-Landschaft bei Android ist überschaubar. Es funktioniert, aber nicht unbedingt super. Hier wird erneut deutlich, wie begrenzt das Ökosystem rund um die YubiKeys ist. Yubico trifft dabei keine direkte Schuld. Gefragt sind vorrangig die Entwickler.


How To: Adding a FIDO U2F Security Key by Yubico to your Google Account

Warum bietet mir etwa Twitter keine Möglichkeit meinen Account mit dem YubiKey abzusichern. Wieso ist der U2F-Support nach wie vor nur auf Google-Dienste und den Chrome Browser beschränkt? Die Standards werden eben nicht von jedem umgesetzt. Schade, denn wäre das anders, würden die YubiKeys noch mehr Potenzial bieten.

Lohnt der Kauf eines YubiKeys? Und wenn ja, für wen?

Lasst es mich mal so erklären: Den YubiKey Neo habe ich 14 Tage getestet und danach zurückgeschickt. Stattdessen habe ich mir den Standard für 27,05 Euro gekauft. Die Idee mit einem USB-Dongle die Sicherheit signifikant zu erhöhen, halte ich für sehr sinnvoll und wichtig in der heutigen Zeit. Im Vorfeld muss man sich aber ganz genau überlegen, wofür der YubiKey verwendet werden soll. Ansonsten lohnt der Kauf nicht.

In meinem Fall soll der Schlüssel meine KeePass-Datenbank schützen. Da mir die Android-Lösung da nicht sonderlich zugesagt hat, verzichte ich lieber auf NFC. Seit wenigen Tagen kann man den neue YubiKey Edge kaufen. Dieser bietet kein NFC, aber FIDO U2F. Da war ich noch am Überlegen, habe mich letzten Endes dagegen entschieden. Solange der Support derart begrenzt ist, lohnt das in meinen Augen kaum.

YubiKey Neo
YubiKey Neo

Also kurz um: Ein YubiKey ist für jeden sinnvoll, der konkrete Logins zusätzlich schützen möchte. Welcher YubiKey für einen am besten geeignet ist, muss man allerdings selbst anhand des Einsatzzwecks definieren.

In den kommenden Tagen werde ich noch zwei Anleitungen veröffentlichen, wie man mit einem YubiKey die KeePass-Datenbank absichern kann.


Avatar von reraiseace
Autor: Markus Werner (reraiseace) Twitterreraiseace, Google+reraiseace, Twittercb_werner
Ich bin Redaktionsvolontär bei der COMPUTER BILD in Hamburg, Fernstudent am Deutschen Journalistenkolleg und schreibe auf re{raise}ace privat über Webdesign und Programmierung. Seit 2015 schrieb ich auch regelmäßig für andere Medien.

5 Kommentare – Schreib mir deine Meinung!

Fülle bitte die nachstehenden Felder aus. Angaben mit einem Sternchen sind Pflichtangaben. Deine E-Mail-Adresse wird nicht veröffentlicht.

  1. Kommentar von David · · #

    Klingt nach einem guten Tool. Dachte erst, dass es einfache Passwörter schützt. Aber man muss sich schon auskennen, die Bedienung hört sich kompliziert an.

  2. Kommentar von reraiseace · · #

    Ein bisschen einlesen muss man sich schon. Die Komplexität hängt vom Einsatzzweck ab. In den meisten Fällen geht aber die Einrichtung recht leicht und schnell.

  3. Kommentar von Matze B. · · #

    Da ich Google und lastpass nutze, klingt die Sache schon interessant. Nur, wirklich viel mehr als die kostenlose Lösung der 2FA (Google Authenticator) ist das auch nicht. Der Neo ist mir deutlich zu teuer und der Edge scheidet wegen fehlender Benutzung am Androiden aus. Schade, zumal man kritische Anwendungen wie Ebay oder PayPal damit gar nicht zusätzlich absichern kann…

  4. Kommentar von brainadmin · · #

    Servus,

    ich habe seit einiger Zeit den Edge und den Edge-n im Einsatz, beide will ich nicht mehr missen! Nur suche ich gerade eine Anleitung wie ich mit einem Yubikey und U2F meine Festplatten verschlüsseln kann. Ich bin zwar auf linotp gestoßen, doch auch hier mankt es an einer Anleitung. Da Du über den Yubikey schreibst und auch die Festplattenverschlüsselung in Deinem Blog mit angibst, frage ich Dich ob Du eine Anleitung für Linux/Mac weißt?
    Über eine Antwort würde ich mich sehr freuen!
    Beste Grüße
    brainadmin

    P.S.: Man braucht in Verbindung mit Android nicht zwingend den Neo, ich schließe meinen Edge per Kabel an mein Handy und das funkt optimal, da es nur 1-2x pro Woche ist kann ich auf NFC locker verzichten…

  5. Kommentar von reraiseace · · #

    Da kann ich dir jetzt nur bedingt weiterhelfen. Meine Erfahrungen mit dem YubiKey beziehen sich lediglich auf Windows und Android. Du kannst also nur mal bei Yubico schauen. Dort gibt es beispielsweise ein Modul für eine vollständige Festplattenverschlüsselung unter Linux. Allerdings ist das Projekt schon etwas älter.

    Meinst du damit, dass du den YubiKey per OTG-Kabel anschließt? Welches Authentifizierungsverfahren verwendest du? Um welches Smartphone handelt es sich dabei?