Entdecke mit mir die Welt von Yubico und seinem Starprodukt, dem YubiKey – den Ecksteinen moderner digitaler Sicherheit. In diesem Beitrag dreht sich alles um die Rolle von Yubico in der Sicherheitslandschaft, mit einem besonderen Augenmerk auf die Bedeutung des YubiKeys für sichere Logins. Yubico, eine in der Industrie und besonders unter Support-Mitarbeitern beliebte Marke, bietet innovative Lösungen, um die vielfältigen Herausforderungen der Cybersicherheit zu bewältigen. Ich gebe dir einen umfassenden Einblick in die Produktpalette von Yubico und erkläre, wie all dies funktioniert, wobei der Fokus klar auf dem YubiKey liegt.
Für Interessierte bietet der BerryBase Shop eine Auswahl an Yubico-Produkten. Entdecken Sie die Vielfalt und Funktionalität von Yubico im BerryBase Shop. Begleiten Sie uns auf dieser informativen Reise in die Welt der modernen Authentifizierungstechnologien und lernen Sie mehr über die Bedeutung und Einsatzmöglichkeiten von Yubico’s Lösungen für eine verbesserte Cybersicherheit.
2FA / MFA was es ist und warum du es sogar vermutlich bereits nutzt
2FA ist die Abkürzung für Zwei–Faktor-Authentisierung häufig aber auch gerne Zwei-Faktoren-Authentifizierung oder TFA (two-factor-authentification) genannt. Der Hintergedanke dabei ist, dass mit einer Kombination aus zwei unabhängigen Komponenten etwas besser geschützt wird, als es mit einem einzigen Key möglich wäre. Den klassischen Vertreter der 2FA, den jeder von euch im Alltag immer wieder verwendet, ist die Bankkarte! Diese ist der Zugang zu deinem Bankkonto, aber nur zusätlich gültig mit einem zweiten Faktor, der Pin.
Ein weiteres Beispiel ist z.B. der Zugang zu einem Bürogebäude. Mittlerweile kann/muss man sich in vielen Büros mit seinem Mitarbeiterausweis oder Transponder an der Tür anmelden und zusätzlich mit einer Pin den Zugang freischalten. Einige Firmen gehen sogar so weit, dass nur mit einem Mitarbeiterausweis und einem Passwort der Arbeitsrechner freigeschaltet werden kann. Wie du also siehst, unbewusst hat vermutlich jeder von uns schon einmal 2FA benutzt.
2FA ist dabei ein Spezialfall der sogenannten Multi-Faktor-Authentisierung, da bei MFA mit mehreren unabhängigen Komponenten der Zugang gesichert wird. Interessant ist in diesem Zusammenhang das IT-Grundschutz-Kompendium vom BSI.
Aber wie genau funktioniert diese 2FA/MFA nun im IT-Alltag? Durchgesetzt hat sich dabei das sogenannte TOTP-Verfahren, was ich später noch genauer erklären werde. Will ein Anwender sich z.B. bei seinem Clouddienst anmelden und gibt dazu zunächst seinen Username und sein Passwort ein, wird er direkt im Anschluss nach einem Einmalkennwort gefragt, das sogenannte TOTP (Time-based One-Time Passwort), welches über den Authenticator auf dem Handy generiert werden kann. Dumm ist an der Stelle nur, wenn wir das Handy nicht dabei haben oder -noch schlimmer- verloren haben. In diesem Fall besteht keine Zugriffsmöglichkeit. Der Grund, warum all dieser Aufwand betrieben wird, ist nicht uns Anwender zu ärgern, sondern es Angreifern und Hackern so schwer wie möglich zu machen an unsere Daten zu kommen.
Hand aufs Herz: Wie oft nutzt du ein- und dasselbe Passwort, ggf. nur leicht abgewandelt, für verschiedene Dienste? Nutzt du konsequent einen Passwortmanager, wie es das BSI vorschlägt und benutzt mindestens 20 Zeichen mit Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen im Passwort? Wenn die erste Antwort „Oft“ und die zweite „Nein“ ist, dann bist du genauso faul wie (fast) jeder andere Mensch. Wir sind nun einmal bequem und machen es uns so einfach wie möglich! Nicht zuletzt ist dadurch das Passwort „123456“ immer noch ungeschlagen auf Platz 1 (Stand März 2022) der wohl häufigsten genutzten Passwörter im Internet!
Willkommen bei Yubico
Wie du es dir wahrscheinlich bei dieser Kooperationsthemenwoche schon gedacht hast, spielt das Thema Sicherheit der Firma Yubico in die Hände. Denn Yubico bietet eine Vielzahl von Produkten an, um die vielen Authentifizierungs-Verfahren zu vereinen, um so Anbieter-Dienste oder die gesamte IT ein Stück sicherer zu machen! Angefangen vom einfachen YubiKey-USB-Stick bis hin zu teuren Dongle-Lösungen bietet Yubico eine breite Palette an Produkten an. Abgerundet wird das Ganze dann noch mit der zugehörigen Software für alle gängigen Betriebssysteme, um die Hardware auch optimal zu nutzen. Hier zu erwähnen ist z.B. der Yubico Authenticator (für iOS und Android), oder der Yubico Manager. Das sind Programme, mit denen man TOTP und HOTP, sowie den YubiKey generell konfigurieren kann. Ist dein Unternehmen an einer Sicherheitslösung für ihre IT interessiert, bietet Yubico auch hier entsprechende Produkte an, die ich persönlich aber hier nicht testen kann.
FĂĽr dich als Anwender kann ich aktuell den YubiKey NFC der Serie 5 empfehlen, siehe Abbildung 1.
Dieser kann alle gängigen Protokolle und kann mit “USB-A-Anschluss und NFC” oder “USB-C-Anschluss und NFC” gekauft werden. Großer Vorteil dabei ist, dass der Yubico Authenticator und nicht der Google Authenticator im späteren verwendet werden kann. Bitte nicht falsch verstehen, der Google Authenticator macht seine Aufgabe gut, der Yubico Authenticator bietet aber durch einen zusätzlichen Pin-Schutz noch höhere Sicherheit. Gleichzeitig erlaubt er auch das PC Login und supportet eine größere Auswahl an Anwendungen. Eine umfängliche Liste stellt Yubico selbst bereit, siehe hier.
An dieser Stelle darf man mich nun nicht falsch verstehen, ich spreche mich hier aus persönlichen Gründen für die YubiKey 5 NFC Serie aus, alle anderen Produkte erfüllen ebenfalls den Punkt Sicherheit, jedoch ist der Umfang dessen beschränkter, was das jeweilige Produkt genau kann. Als Backup-Key sind die günstigeren YubiKeys perfekt, für den vollen Schutz sollte es aber ein etwas teureres Modell sein.
So kommt der YubiKey bei dir zu Hause an
Beziehst du nun einen YubiKey bei uns, dann kommt dieser schnell per Post in einer kleinen Verpackung, siehe Abbildung 2.
Interessant ist aber auch die RĂĽckseite, welche ebenfalls ĂĽberschaubar bedruckt ist: Sie liefert den Hinweis auf die Einrichtungshilfe-Webseite, siehe Abbildung 2.
Diese Webseite ist insoweit hilfreich, da Yubico keine Anleitung zu den Keys mitliefert. Ein großer Pluspunkt in meinen Augen, um das Thema Müll ein bisschen zu reduzieren und gerade durch leicht verständliche Videos ist der Einstieg noch einfacher für dich. Auf der Homepage yubico.com/start, wählst du die Serie deines gekauften YubiKeys aus und erhältst dazu dann alle Infos und Programme, die du brauchst. Einzig, dass alles nur auf Englisch ist, könnte den Einstieg etwas trüben. Hier soll aber unsere Themenwoche vieles abfangen.
Die OATH und WebAuthn
Die OATH (Initiative For Open Authentication) hat sich für diverse Authentifizierungs-Dienste im Internet eingesetzt, genau wie zum Beispiel auch die FIDO-Allianz. Die von der OATH ins Leben gerufenen Authentifizierungs-Protokolle TOTP und HOTP basieren beide auf Einmalcodes, die du, wie in meinem Beispiel vorhin erklärt, eingeben musst, um Zugang zu deinen Daten zu bekommen. Interessant an der Stelle ist aber, wie beide Verfahren genau funktionieren und warum es sie nun gibt.
TOTP steht, wie schon erwähnt für Time-based One-Time Password und beschreibt ein für eine kurze Lebensdauer gültiges Passwort. Dieses Einmalpasswort wird aus der Zeit und nur dem Server und Client bekannten geheimer Schlüssel berechnet. Als Grundlage der Berechnung dieses Einmalcodes dient der Keyed-Hash Message Authentication Code, der für 30 Sekunden gültig ist. Damit das funktioniert, müssen Server und Client (meist unser Handy) nahezu die gleiche Unix-Zeit haben. Die Unix-Zeit ist ein spezielles Zeitformat, dass die Sekunden, seit dem 01. Januar 1970 0:0 Uhr UTC, beschreibt. Der ermittelte Hashwert der Berechnung wird meist auf eine Länge von 6 oder 8 Stellen gekürzt und ist das, was die meisten Authenticator-Apps am Ende anzeigen. Sollte wiedererwartend die Zeit nicht 100%ig zwischen Server und z.B. Handy stimmen, ist meist das vorherige und nachfolgende Einmalpasswort (noch) gültig. Das liegt aber in erster Linie daran, wie der Anbieter seinen Server konfiguriert hat!
Auf der anderen Seite steht das HOTP-Verfahren, was die Abkürzung für HMAC-based One-time Password ist. Hierbei handelt es sich um ein ereignisgesteuertes Verfahren, indem der geheime Schlüssel und ein Zähler die Basis der Berechnung bilden. Bei HOTP handelt es sich um den ursprünglichen OTP-Algorithmus, der aber gerade im Internet nur noch wenig zu Einsatz kommt. Die meisten Anwendungen setzen mittlerweile eher auf das TOTP-Verfahren.
Solltest du mal dein Handy verlieren oder es aber einen Defekt aufweisen, bieten die meisten Dienste sogenannte Backup-Codes an. Insgesamt erhältst du z.B. 10 Stück davon, um im Zweifelsfall noch einen Zugang zu deinen Daten zu bekommen. Bewahre diese Codes in eigenem Interesse sicher auf. Solltest du deinen Authenticator UND diese Codes verlieren, bist du extrem aufgeschmissen, denn du verlierst somit den Zugang zu deinen gut abgesicherten Diensten!
Zuletzt soll hier noch WebAuthn erklärt werden. Auch dieses Verfahren wird bei vielen Internetdiensten angeboten. Hierbei wird ein Token von einer Geräte-ID abhängig gemacht. Dazu muss dann das Device, hier mein YubiKey 5 NFC, via USB an einen PC angeschlossen werden (siehe Abbildung 4) und per Bestätigung durch Antippen des Keys erfolgt die Hardware-basierte Authentifizierung.
Das Antippen ist deswegen wichtig, da erst dadurch ein definierter Key vom YubiKey ĂĽbertragen wird. Es ist so, also ob du auf deiner Tastatur einen sehr langen Code eintippen wĂĽrdest. Bei der Registrierung des YubiKeys mit einer Anwendung (z.B. GitHub oder Nextcloud), wir ein sogenanntes SchlĂĽsselpaar aus einem Private- und einem Public-Key erzeugt.
Aber warum erzähle ich dir das nun? Der Grund ist, dass Yubico sich nicht auf einen Standard festgelegt hat, sondern viele Standards vereint hat. Damit ist ein YubiKey fast universal verwendbar, wobei es hier auf das gekaufte Modell ankommt. In meinem Fall des YubiKey 5 NFC habe ich alle gängigen Protokolle an Board.
Zuletzt möchte ich noch kurz erwähnen, warum einige YubiKey-Serien mit NFC ausgeliefert werden. Anders als z.B. bei dem Google Authenticator ist der geheime Code für TOTP nicht auf dem Handy, sondern auf dem YubiKey gespeichert. Im Zusammenspiel mit dem Yubico Authenticator kann so unabhängig vom verwendeten Device das Einmalpasswort nach TOTP generiert werden, ein NFC-fähiges Handy vorausgesetzt. Einfach den YubiKey ans Handy (Android oder iPhone) halten und der heruntergeladene Yubico Authenticator gibt die benötigen Einmalpasswörter bekannt. Genauere Beispiele werde ich aber noch in einem anderen Artikel mit der Vorstellung der Applikationen geben.
Ein kurzer YubiKey-Vergleich
Bevor ich nun zu meiner Zusammenfassung komme, möchte ich noch kurz die wichtigsten Eigenschaften der YubiKeys aufzeigen und dir eine grobe Richtung geben, welcher Key speziell für dich optimal ist. Als Vergleich habe ich dazu eine Tabelle von Yubico zusammengefasst und verkürzt. Die volle Liste findest du direkt bei Yubico auf der Website. Alle gezeigten Keys findest du auch bei berrybase im Shop, in der eigene Kategorie Yubico. Es kann sich aber auch durchaus lohnen sich die komplette Produktpalette von Yubico einmal anzusehen.
| SicherheitsschlĂĽssel | Yubico Bio Serie | YubiKey 5-Serie | YubiKey 5 FIPS-Serie | ||
|---|---|---|---|---|---|
| Benutzer | |||||
| Normaler Verbraucher | X | X | X | X | |
| Unternehmen / Behörde |  |  | X | X | |
| Authentifizierungsmethoden | |||||
| Kennwortlos | X | X | X | Â | |
| Sichere 2FA | X | X | X | X | |
| Sichere MFA | X | X | X | X | |
| Kommunikationsschnittstellen | |||||
| USB-A | X | X | X | X | |
| USB-C | X | X | X | X | |
| NFC | Â | Â | X | X | |
| Lightning (iPhone) | Â | Â | X | X | |
| Biometrisch | Â | X | Â | Â | |
| VerfĂĽgbare Authentifizierungen | |||||
| WebAuthn | X | X | X | X | |
| FIDO2 CTAP1 | X | X | X | X | |
| FIDO2 CTAP2 | X | X | X | X | |
| U2F | X | X | X | X | |
| Smartcard (PIV) | Â | Â | X | X | |
| Yubico OTP | Â | Â | X | X | |
| OATH – HOTP |  |  | X | X | |
| OATH – TOTP |  |  | X | X | |
| OPEN PGP | Â | Â | X | X | |
| Statisches Kennwort | Â | Â | X | Â | |
| Computeranmeldung | |||||
| Windows | Â | Â | X | X | |
| macOS | Â | Â | X | X | |
| Linux | Â | Â | X | X | |
| Kompatible Passwortmanager (Beispiele) | |||||
| Dashlane Premium | X | X | X | X | |
| Keeper | X | X | X | X | |
| LastPass Premium | Â | Â | X | X | |
| 1Password | X | X | X | X | |
| Gerätetyp | |||||
| FIDO-HID-Gerät | X | X | X | X | |
| CCID Smart Card | Â | Â | X | X | |
| HID-Tastatur | Â | Â | X | X | |
| Gerätedesign | |||||
| Wasserfest | X | X | X | X | |
| Keine Batterie erforderlich | X | X | X | X | |
| Keine beweglichen Teile | X | X | X | X | |
Wie du Tabelle 1 entnehmen kannst, erfüllt die YubiKey 5-Serie und YubiKey 5 FIPS-Serie das höchste Maß an Sicherheit und alle gängigen Authentifizierungsmethoden werden unterstützt. Einzig der fehlende biometrische Schutz ist nicht vorhanden. Weil aber die beiden genannten Serien auch für Behörden und Unternehmen genutzt werden können, sollte diese Serie bei dir im Fokus stehen. Ein zweiter Punkt ist, dass die beiden genannten Serien auch die Login-Funktion bei allen gängigen Betriebssystemen beherrschen. Großen Manko ist aber der Preis: Diese Versionen liegen bei 50 bis 100 Euro. Die kleineren Varianten kosten zwar deutlich weniger, aber der Funktionsumfang ist leider ebenfalls deutlich eingeschränkter.
Ich kann wieder nur die YubiKey 5-Serie empfehlen, auch wenn dieser, je nach AusfĂĽhrung, bis zu 60 Euro kosten kann. Das sollte aber dir das hohe MaĂź an Sicherheit auf jeden Fall wert sein. Letztendlich entscheidest du, ob und welche Serie du brauchst.
Zusammenfassung
In diesem Blogbeitrag habe ich versucht, dir zu erläutern, was 2FA bzw. MFA bedeutet und wie diese Technik schon jetzt unseren Alltag (un-)bewusst beeinflusst. Gleichzeitig habe ich simpel erklärt, wie die Technik hinter TOTP und HOTP funktioniert. Zugegeben, es ist keine wissenschaftliche Arbeit, jedoch ist die Grundfunktion dahinter hoffentlich anschaulich rübergekommen. Als letztes habe ich einen kurzen Schwenker in Richtung WebAuthn gemacht, um ein weiteres Feature der YubiKeys zu erläutern. Damit haben wir die Basis der nächsten Beiträge schon mal gelegt und werden dann noch tiefer in die Materie einsteigen. In meinem nächsten Blog-Artikel werde ich dir die verschiedenen Programme von Yubico eingehend vorstellen und den schon genannten Yubico Authenticator näher erklären. Anfangen werden wir aber mit der Grundeinrichtung vom YubiKey mit dem Yubico Manager und worauf du dabei achten solltest.