In den ersten Teilen ist viel Information über die Yubico Keys vermittelt worden und welche Programme generell sinnvoll zur Administration und Nutzung sind. Klar sollte sein, dass hierbei nur an der Spitze des Eisberges gekratzt wurde. Um das volle Potential auszuschöpfen, musst du hier noch weiter in die Doku eintauchen. Vieles wird dir aber während der Nutzung schnell klar werden.
In diesem Teil der Serie will ich dir anhand von einigen Diensten zeigen, wie einfach es ist, die 2-Faktor-Authentifizierung (2FA oder englisch TFA) einzurichten und worauf du achten musst.
Hardware und Software für diesen Beitrag
Damit du diesen Beitrag nachvollziehen, bzw. ein bisschen mehr Sicherheit in deine diversen (Online-) Konten bekommst, benötigst du mindestens einen YubiKey. An dieser Stelle empfehle ich den Yubico YubiKey 5 NFC. Alle anderen Yubico Keys gehen auch, jedoch ist hier auf die etwas eingeschränkten, möglichen Authentifizierungsmechanismen zu achten.
WARENKORBAlle für dieses Projekt notwendigen Artikel landen mit einem Klick auf den Button direkt in deinem Warenkorb, sofern sie in unserem Shop verfügbar sind. Kontrolliere daher deinen Warenkorb genau!
Die benötigte Software für den Yubico-Key findest du unter https://www.yubico.com/support/download/yubikey-manager/ und https://www.yubico.com/products/yubico-authenticator/. Den Authentificator kannst du sogar für Android- und Apple-Devices im entsprechenden Store herunterladen.
Bevor es losgeht
Ein kleiner Hinweis noch an dieser Stelle: Bei den gezeigten Diensten habe ich die Adresse und/oder den QR-Code zur Erzeugung des TOTP-Keys manipuliert! Du kannst zwar versuchen den Code zu scannen, aber es wird dir keinen brauchbaren Key bescheren.
Die eigene Nextcloud oder Owncloud absichern
Egal ob Nextcloud oder Owncloud, bei beiden Diensten sehen die Einstellungen identisch aus. Da Nextcloud ein Fork (also eine Abspaltung der Software vom Ursprungsprojekt) von Owncloud ist, kannst du daher alles hier gezeigte 1:1 verwenden. Wechsel in der Nextcloud über das Menü -> Einstellungen in den Tab Sicherheit. Solltest du dich als Administrator einloggen, dann achte darauf, dass es der Punkt Sicherheit unter der Kategorie Persönlich ist.
Setze den Haken bei TOTP aktivieren und scanne den QR-Code mit dem Yubico Authenticator, siehe Abbildung 1.
In der App wirst du nun ein paar Informationen zu dem QR-Code sehen, wie den Accountnamen und welcher Verschlüsselungsalgorithmus verwendet wird. Bestätige diese Angaben mit Save und halte den YubiKey dann wieder an dein Handy (sofern NFC-Variante). Direkt danach wirst du den 2FA-Code für deinen User sehen, den du bei der Nextcloud direkt unterhalb des QR-Codes eintragen musst. Hat alles so weit funktioniert, erscheint unter TOTP ein Haken bei TOTP aktivieren, siehe Abbildung 2.
Denke an der Stelle auch daran, dir noch Backup-Codes zu generieren und sie sicher zu verwahren. Solltest du den YubiKey verloren haben, ist das dann die einzige Möglichkeit, noch an deinen Account zu kommen. Als Tipp kann ich dir noch mitgeben, solltest du einen zweiten Backup-YubiKey haben, dann scanne den Code auch mit diesem. Der Code sollte auf beiden YubiKeys identisch sein.
Google Konto einrichten
Ich denke mal, fast jeder wird ein Google-Konto haben. Die Verlockung, sich über die Google-API bei anderen Diensten zu registrieren, ist groß. Hat ein Angreifer allerdings einmal dein Google-Konto gehacked, kann er schnell auf die verbundenen Dienste zugreifen. Daher ist der erste Weg, unbedingt das Google-Konto zu sichern. Dies erfolgt in den Kontoeinstellungen in dem Menüpunkt Sicherheit. Wähle dort Bestätigung in zwei Schritten aus, siehe Abbildung 3.
Im Folgenden suchst du nach dem Eintrag Authenticator App und wählst diesen aus, Abbildung 4. Google möchte an dieser Stelle, dass du den Google Authenticator nutzt, aber wir nutzen die Yubico-Version.
Wie schon bei der Nextcloud, aktivierst du die TOTP-Authentifizierung und scannst wieder über den Yubico Authenticator den QR-Code, siehe Abbildung 5. Speichere es auf den YubiKey und gehe im Dialog von Google auf Weiter und gibt den TOTP-Key ein.
Danach ist dein Konto mit dem TOTP-Verfahren gesichert. Willst du dich nun auf einem Gerät neu anmelden, so ist eine 2FA-Authentifizierung notwendig. Du wirst auch direkt über deine bei Google regisitrierte e-Mail Adresse über diese Änderung informiert.
Weitere Dienste mit TOTP einrichten
Die bisher gezeigten Dienste sind nur ein kleiner Teil dessen, was der Yubico unterstützt. In der Kategorie Compatible services unter der Adresse https://www.yubico.com/de/setup/yubikey-5-series/ finden sich noch wesentlich mehr bekannte Webseiten. Das TOTP-Verfahren ist universell und so kann man den Yubico Authenticator auch z.B. für die Authentifizierung an einem Synology NAS verwenden. Meist findet man die Option für die 2FA-Authentifizierung im Bereich Sicherheit der verschiedenen Dienste. Sollte es dort nicht zu finden sein, prüfe bei der zugehörigen Webseite, dem Dienst oder Service mal den Eintrag Kontoeinstellungen. Meist wirst du an dieser Stelle fündig werden. Das bisher gezeigte Verfahren wird in der Regel so -oder so ähnlich- wie in meinen beiden Beispielen eingerichtet. Es wird zunächst ein QR-Code eingescannt und zur schlussendlichen Aktivierung der TOTP, immer ein sechsstelliger Code als Bestätigung eingetragen.
Sollte es dir möglich sein, prüfe, ob du Backup-Codes generieren kannst: Meist sind das zehn statische Codes, die du sicher aufbewahren solltest. Wenn du diese auch verlierst, kannst du dich mit hoher Wahrscheinlichkeit nie wieder beim Service anmelden. Also gehe gut mit Deinen Daten um und bewahre alle Keys sicher auf!