Folgen

YubiKeys sind gerade reduziert und will mir vllt auch mal einen zulegen.
Wie sinnvoll ist es denn nur einen zu haben?
Liegen die Passwörter/TOTP Secrets da direkt drauf?
Sonstige Anmerkungen?

· · Web · 2 · 0 · 0

@satan Ich würde gleich 2 kaufen um einen Ersatz zu haben... man bekommt die Keys (gewolltermaßen) aus dem Stick nicht wieder raus, also gleich 2 programmieren und einen sicher weglegen.

Zur Not kann man die Keys natürlich auch auf normalen Datenträgern sichern... aber da sind sie nicht kopiergeschützt.

@ls Also keine Möglichkeit auch nach dem drauflegen noch ein Backup zu machen?
Das heißt wenn man neue Accounts anlegt muss man immer beide zur Hand haben?

@satan Das Optimum ist, dass das Key-Paar auf dem Stick erzeugt wird und der Private Key den Stick niemals verlässt.

Aber die YubiKeys haben verschiedene Modi... man kann GPG-Keys draufpacken bzw. darauf erzeugen, sie können auf Tastendruck ein statisches Passwort eintippen (Tastatur-Simulation), sie können einen Hash über eine Challenge+Secret berechnen... kommt drauf an was Du vor hast.

Ich benutze meine nur für den Passwortmanager, somit muss ich den YubiKey selbst nie umprogrammieren.

@ls Kann man die Modi mischen?
Weil den PW Manager damit aufmachen würde fast alles abdecken was ich brauche.
Daneben habe ich nur noch TOTP, GPG und SSH Keys.

@satan Ja, in Grenzen geht das. Die GPG-Funktionen sind eh separat.

Ansonsten kann man einen kurzen und einen langen Tastendruck unabhängig programmieren. Z.B. für zwei verschiedene statische Passwörter. Oder ein statisches Passwort und die manuelle Freigabe für die Hash-Berechnung. Letztere geht meine ich auch ohne Tastendruck, aber wenn jedes Programm Hashen kann sobald der Stick steckt (ohne dass der User per Tastendruck autorisiert) ist es ja witzlos.

@satan Mit KeePassXC klappt es recht gut. Man gibt das Passwort ein, dann blinkt der YubiKey. Dort drückt man die Taste, woraufhin der das Passwort zusammen mit einem Secret im Key hasht und dies ist dann der Key, mit dem die Datenbank verschlüsselt ist.

Da sollte man dann aber einen 2. YubiKey haben, denn das Hashing kann man schlecht manuell machen.

@ls Ah danke. Das ist das Hashing. Ja das fände ich ziemlich overkill, wenn mein Passwortmanager schon mit dem YubiKey verschlüsselt ist

@satan Welche Hashfunktionen unterstützt werden hängt glaube ich vom konkreten YubiKey-Modell ab. Für Mobilbetrieb ist einer mit NFC praktisch.

Wie weit man das treiben möchte, hängt vom persönlichen Paranoia-Level ab... wenn man die Passwort-Datenbank via Cloud syncen möchte, fühlt es sich besser an, wenn der Key das Passwort noch mal richtig durchhasht (mehr Entropie). Dann muss das Passwort nicht ganz so lang sein.

Sicherheit ist immer ein Konzept und Prozess und kein Zustand... YMMV

@ls Nutze pass. Die Passwörter sind deswegen eh schon 2 Level verschlüsselt. GPG + passwort vom GPG-Key.

Irgendwo nimmt die Praktikabilität dann auch wieder ab.

@satan Wenn Keylogger und Leute, die einem über die Schulter gucken, unwahrscheinlich sind, wird das wahrscheinlich auch ausreichen.

FIDO2 fände ich zum Login spannend, aber da muss man sich dann wieder Gedanken über Desaster Recovery machen... der Weisheit letzter Schluss ist bei diesem Thema noch nicht gefunden (und wird es vermutlich auch nie).

@satan Wie es mit TOTP aussieht weiß ich leider nicht, allerdings lassen einige Webservices das registrieren von mehreren Yubikeys zu, falls einer verloren geht. Ich habe außerdem meinen GPG Schlüssel auf dem Yubikey und nutze passwordstore.org/ (nutzt GPG und git) als Password Manager. Habe den gleichen Schlüssel auf einem zweiten Yubikey, falls ich meinen verliere.

@ochnygosch Ah das ist gut zu wissen. Nutze auch pass. Das heißt ich kann Redundanz schaffen, wenn ich den GPG Key noch woanders habe.

@satan Ja, habe den GPG Key mit einer Linux live CD und ohne Netzwerkzugriff erstellt, auf einem USB Stick verschlüsselt gesichert und den GPG Key dann auf beide Yubikeys transferiert. Der USB Stick wird dann sicher verwahrt und sollte es nötig sein wieder nur mit einer live CD und ohne Netzwerkzugriff genutzt, falls ich den GPG Key auf einem weiteren Yubikey spielen muss

@ochnygosch Ok. Ich würde meinem System jetzt soweit vertrauen, dass ich nicht so weit gehen muss.
Und mit dem GPG Key auf dem YubiKey kann man alles machen und er kommt da trotzdem niemals runter?

@ochnygosch Ich frage für den Fall das man den verliert.

@satan Genau. Der lässt sich nicht wieder aus dem Yubikey auslesen. Deswegen die Sicherung auf dem USB Stick.

@satan und es ist wichtig den zu sichern, bevor man den auf dem Yubikey transferiert. Beim Transfer wird der nämlich vom Rechner gelöscht

@ochnygosch Wie verwendet man den denn dann? Also wie wird sichergestellt, dass jemand der den YubiKey findet meinen GPG Key nicht verwenden kann.

@satan der ist durch einen PIN gesichert, der eingeben werden muss, um den GPG Key zu entsperren

@ochnygosch Ist das das standard GPG Passwort oder muss das eine spezielle Software machen, die man dann braucht?

@satan ist Standard GPG. Der Yubikey verhält sich dann wie eine Smartcard.

@satan und funktioniert unter Linux, Windows, MacOS und Android (NFC und USB)

Melde dich an, um an der Konversation teilzuhaben
fem.social

Eine Mastodon-Instanz gehostet im Thüringer Wald von FeM e.V.