IT-Sicherheit - Diskussion YubiKey

[virginorange]

Zur potentiellen Verbesserung meiner privaten IT-Sicherheit bin ich schon häufiger über YubiKeys gestoßen.
Ich kann mir allerdings schwer vorstellen, wofür ich einen YubiKey konkret nutzen könnte.

Fragen:
Habt ihr bereits mit YubiKeys Erfahrungen gemacht?
Wie viele YubiKeys habt ihr?
Wie verwendet ihr die YubiKeys?
Welchen Typen habt ihr gekauft?

YubiKey Anwendung:
1.) YubiKey bewahrt ein statisches Passwort
2.) YubiKey dient der 2FA


1.) Der YubiKey schickt ein statisches Passwort per USB in den PC (in Form eines Tastaturinputs).
Dies ändert die Zugangsregel von Wissen (Passwort im Gehirn gespeichert, keiner kann mir in den Kopf sehen) zu Besitz (Passwort ist auf dem YubiKey gespeichert, wer meinen Schlüsselbund ergattert bekommt den Zugriff auf meine Laufwerke)

YubiKey Vorteile:
 + wir vergessen unser Passwort nicht
  -> abgesehen von einem Masterpasswort können wir alle Passwörter in einem Passwortmanager lagern
  -> wir können uns unser Masterpasswort mit Wörtern oder Geschichten gut merken
  -> im Falle von Gedächtnisverlust gibt uns ein Vertrauter oder ein Dead-man-switch eine verschlüsselte Anleitung, der mit einem leicht auffindbaren Amnesie-Passwort entschlüsselt wird. Mit dieser Anleitung kommen wir zum Papier-Backup unseres Masterpassworts
 + ermöglicht komplexe Passwörter
  -> wenn wir uns nur eine Masterpasswortgeschichte merken müssen, dann kann dies ruhig auch komplex sein
 + wir sparen Zeit bei der Eingabe komplexer Passwörter
  -> wir sparen uns täglich 10 Sekunden bei der Anmeldung, aber dafür haben wir Kauf, Einrichtung und Wartung des YubiKeys. In Summe sparen wir vermutlich keine Zeit.


YubiKey Nachteile:
 - den YubiKey kann jeder benutzen, dein Gehirn nur du selbst
  -> Den YubiKey können wir mit einem PIN schützen oder biometrisch. Der Pin reduziert die zu merkende Entropie. Gegen Brute Force Angriffe ist die Anzahl an Fehlversuchen bei der PIN-Eingabe auf drei begrenzt. Beim PIN verlassen wir uns jedoch wieder auf unser Gedächtnis, nur mit etwas weniger Entropie. Es ist m.E. einfacher sich direkt das Masterpasswort zu merken als sich den PIN zu merken und den YubiKey zu verwalten.
 - vom YubiKey lässt sich auf die Existenz eines Geheimnisses schließen (z.B. Einbrecher findet YubiKey-PasswortA, YubiKey-PasswortB, Festplatte_Entschlüsselt_mit_PasswortA, da kann dich der Einbrecher fragen, wo ist Festplatte_Entschlüsselt_mit_PasswortB?) befinden sich die PasswörterA und B im Kopf bleibt die Existenz von Datenträger B verborgen.

Nicht nützlich wäre ein statischer YubiKey ohne PIN/Biometrie m.E. für Laptop und verschlüsselte Laufwerke. Ein Bösewicht, der deinen Laptop in die Finger bekommt, der bekommt wahrscheinlich auch den YubiKey in die Hände.

Nützlich wäre er für einen (versteckten) gemieteten Server. Der Hacker findet deinen Server, hat aber keinen physischen Zugriff auf deinen YubiKey. Der Einbrecher bekommt zwar deinen YubiKey, hat aber keine Ahung, dass du Dateien auf einem Server versteckt hast. Aber hier kannst du alternativ wieder mit einem Passwortmanager arbeiten.

Nur beim Entsperrpasswort für meinen Laptop sehe ich einen Vorteil, weil wir unseren Rechner mehrmals täglich entsperren. Hier würden wir tatächlich Zeit sparen und schwierigere Passwörter verwenden.


2.) YubiKey dient der 2FA

Ein 2FA auf dem Handy von Google oder Microsoft ist suboptimal. Eine open source 2FA-App Aegis wäre schon besser. Ob der YubiKey noch so viel Verbesserung bringt?

[1714477399]

1714477399

[1714477399]

1714477399

[Turbartuluk]

Ich hab mir mal gebraucht ein Set aus 3x YubiKey 5C geholt, alles auf Werkseinstellungen zurückgesetzt (pro key müssen 3-4 Funktionalitäten zurückgesetzt werden) und dann bissl damit rumgespielt. Im persönlichen "IT-Konzept für den Alltag" verwende ich sie noch nicht.

Ein paar Anmerkungen kann ich dir trotzdem mitgeben:

1.) Statisches Passwort
Vorteile: Der Komfortgewinn und die Zeitersparnis stehen hier sicherlich weit vorne. Dabei spart man sich nicht nur die Eingabe sondern auch das (tägliche) Merktraining für komplexe Passwörter. Wenn man nicht so diszipliniert ist und das Passwort regelmäßig wiederholt, sondern nur durch die regelmäßige Verwendung auffrischt (dürfte für die meisten der Fall sein), sehe ich hier auch einen deutlichen Zugewinn an Sicherheit oder zumindest noch die Zeitersparnis für den Vergessensfall.    

Nachteile: Sehe ich nicht unbedingt als solche. Für den Anwendungsfall Erbschaft/Zugriff durch Vertraute dürfte ein Yubikey deutlich praktikabler sein als ein komplexes Passwort. Zumal man das Yubikey-Passwort ja auch beliebig ergänzen kann. Yubikey-Passwort -> offener Datencontainer, Yubikey-Passwort + Sicherheitsfrage (z.B. Name 1. Haustier der Tochter) -> geschlossener Datencontainer. Die Vertrauensperson hat mit "einfachem" Passwort vollen Zugriff, dem Einbrecher nützt der Yubikey ohne Sicherheitsfrage (von der er nicht weiß dass es sie gibt) wenig. Keylogger und Brute-Force durch den Einbrecher stellen ein Risiko dar, die Wahrscheinlichkeit dürfte aber sehr gering sein.

2.) 2FA auf dem Handy
Ich finde es beim Onlinebanking merkwürdig wenn Transaktion und Freigabe über das selbe Gerät und ggf. noch die selbe App erfolgen. Gefühlt hätte ich in ein 2FA mit zweitem Gerät mehr Vertrauen (allerdings sind meine Fähigkeiten und mein Horizont begrenzt). Da ich bislang damit auch keine Praxiserfahrung habe, kann ich über die Nachteile im Handling nichts sagen.

3.) PGP Keys + SSH Verifikation über Tor
Ich fand die Videos dieser Playlist interessant. Für mich war das deutlich über meinen Fähigkeiten, aber du könntest das sicher umsetzen. Vielleicht ein relevanter 3. Anwendungsfall für dich.

[Lafu]

2.) 2FA auf dem Handy
Ich finde es beim Onlinebanking merkwürdig wenn Transaktion und Freigabe über das selbe Gerät und ggf. noch die selbe App erfolgen. Gefühlt hätte ich in ein 2FA mit zweitem Gerät mehr Vertrauen (allerdings sind meine Fähigkeiten und mein Horizont begrenzt). Da ich bislang damit auch keine Praxiserfahrung habe, kann ich über die Nachteile im Handling nichts sagen.

Das ist halt leider heut zu tage eben für die Masse gemacht , so das viele eben alles über ein Gerät erledigen können.

Noch vor jahren war es so wenn man Onlinebanking über das Handy gemacht hat , bekam man per sms einen Tancode der für die freigabe der Transaktion benötigt wurde.
Bei den heutigen Onlinebanking Apps (sumindest bei meiner) ist es so das eine weitere App für die freigabe benötigt wird , diese ist nur über Fingerabdruck einloggbar.
Benutze 2FA schon seit etlichen jahren auf dem Handy und hatte keine probleme oder bedenken.

Alternativ würde ein eigenes 2FA gerät für spezielle sachen sicherlich mehr sinn und sicherheit geben , aber keiner hat Lust 10 andere Geräten zu benutzen für 10 verschieden Seiten oder Apps.