Slogan
technic-direct.eu

yubikey, 2Faktoren Authentifikation

YubiKey NEO - auch kontaktlosMit dem Yuikey Neo hat Yubico vor einiger Zeit ein NFC fähiges USB-Token auf den Markt gebracht. Unterstellt man den Cyberkriminellen einfach mal das es ihnen möglich ist sich auch mit einem PC als Smartphone auszugeben. dann bringt aber das schönste Security-Token nix mehr. Doch mit dem Yubikey Neo hat Yubico seit einiger Zeit ein Produkt auf dem Markt welches Besitzer NFC fähiger Smartphones auch unterwegs nutzen können und das mit dem NEO auch kontaktlos.

Frage: wozu das Alles? Warum brauch jemand das?

Dazu holen wir jetzt weit aus und fangen von vorne an. Üblicherweise meldet man sich bei Onlinediensten mit einem Nutzernamen und einem Passwort an. Das ganze könnte man als Frage formuliert so ausdrücken: Wer bist du? (Nutzername) und was weißt du? (Passwort). Wer das Internet nicht erst seit einer Woche nutzt wird mitbekommen haben das Passwörter sehr gerne “geklaut” werden.

Sei es durch Keylogger welche die Tastatureingaben der Nutzers dauernd mitlesen oder durch Phishingmails. Kommt ein böser Bub auf solchem Wege an Accountdaten, also Name und Passwort hat er Zugriff auf den jeweiligen Onlinedienst. Die ganze Sache wird nicht besser da der Durchschnittsnutzer meistens der Bequemlichkeit halber auf allen Websites das selbe Passwort verwendet. In diesem Fall hat ein Angreifer Zugang zu allen Seiten mit diesem Passwort. Sollte man also nicht machen, auch wenn es umständlich ist für jede Seite ein eigenes Passwort zu verwenden.

YubiKey Standard NanoFindige Programmierer kamen also auf den Gedanken eine Website mit einer zusätzlichen Sicherheitsstufe auszustatten. Zusätzlich zu dem Nutzernamen (wer bist du?) und dem Passwort (was weißt du?) fragt man dann noch: welches Gerät besitzt du?

Bekannt ist den meisten Menschen heutzutage das Verfahren von ELBA (= Electronicbanking) bei dem seit Jahren diese Art der Zweifaktorenauthentifizierung erfolgt. Hier wird aber kein Hardwarekey verwendet sondern das erfolgt dann via SMS (fürher TAN Codelisten)

Ein Angreifer müsste also nicht nur Accountdaten bestehend aus Name und Passwort in Erfahrung bringen sondern eer muss dann auch gleichzeitig den dazugehörenden Security-Token besitzen. Doch um das ganze noch sichererer zu machen generieren solche Token für gewöhnlich “One Time Passwörter” (OTP) -also ein Passwort mit einem Haltbarkeitsdatum von lediglich einigen Sekunden.

Das kann heute auf vielen Websites zusätzlich aktiviert werden. Meist wird dazu eine Smartphone App, z.b. der Google Authenticator genutzt, beim CMS Joomla ist ausserdem auch Yubikey möglich.

Ein Yubikey Neo kommt prinzipiell “ready to use”. Er hat zwei programmierbare Slots, diese können über die Android App YubikeyTOTP belegt werden. Slot eins ist dabei anfangs so konfiguriert das er ohne weiteres auf allen Websites welche den Yubikey unterstützen als Einmalpasswort generierendes Security-Token verwendet werden kann. Dieser Slot eins sollte auch nicht mit anderen Dingen belegt werden wenn der Yubikey wie gerade beschrieben bereits verwendet wird. Sonst sperrt man sich selbst aus!

Slot zwei kann man dann individuell frei programmieren. Die Auswahl ob Slot 1 oder Slot 2 erfolgt einfach per Fingertip mit unterschiedlicher Zeit. Reicht beim Slot 1 schon 1 Sekunde so muss man zur Aktivierung von Slot 2 mehrere Sekunden den Finger auf den Goldkontakt legen. Und - Nein - Yubikey ist keine biometrische Lösung bei der etwa Fingerabdrücke gelesen werden. Die vergoldete Fläche dient lediglich als Kontakt.

Wir haben auf unseren Servern die Lösung einige Monate ausführlich getestet und mit 1. Juni 2015 für alle freigeschaltet. Jeder kann also KOSTENLOS die Aktivierung der Zweifaktorauthentifizierung formlos per Email bei uns anfordern.

Keine Panik, selbst wenn der yubikey verloren geht, das CMS Joomla generiert bei Aktivierung eine TAN Liste mit der man auch bei verlorenem Yubikey einloggen kann. Ausserdem kauft man dann einfach neue Hardware, meldet sich beim Authentifizierungsserver an, generiert neue OPTs und schon funktioniert alles (auch bei anderen Seiten) wie gewohnt.

Kategorie: /