Passwortmanager sinnvoll ?

Anzeige

Der YubiKey ist doch letztendlich ein FIDO-USB-Stick. Du brauchst also diese extra Hardware. Hat man nicht immer dabei und kann verloren oder geklaut werden. Die Hardware kann kaputt gehen.

Was passiert da in diesem Fall? Kann man den Schlüssel zurücksetzen? Ich frage rein interessiert.

 

Nicht zwangsläufig,
es werden hauptsächlich zwei Methoden genutzt.
- Basic Authentication (welche als Klartext betrachtet werden kann)
- Digest Access Authentication

HTTP-Authentifizierung – Wikipedia

Für Laien ist es leider nicht nachvollziehbar welche Methode genutzt wird. Allerdings erfolgt die Übertragung mit SSL-Verschlüsselung, und daher müsste erstmal diese von Hackern überwunden werden.

 

Richtig, die brauche ich. Aber die Sicherheit ist es mir zu Lasten der Bequemlichkeit wert.

Nein, das ist etwas komplett anderes. Nahezu kein Webdienst verwendet diese Methoden mehr, unter anderem, weil sie in der Standardimplementierung sehr nutzerunfreundlich sind. Statt der gewohnten Webseite mit Anmeldemaske sieht der Nutzer bei diesen beiden RFC-konformen Authentifizierungsmethoden nur ein Promptbox:

 

Habe deine Ergänzungen erst im Nachhinein gesehen. Das ist in der Tat ein sehr wichtiger Punkt bzw. eine sehr gute Frage.

Ein Zurücksetzen ist nicht möglich (das würde dem Grundprinzip der Hardware-basierten Sicherheit entgegenstehen). Ich habe aber einen "Spare key" (Ersatzschlüssel) zu Hause liegen, also einen zweiten YubiKey. Außerdem, aber das ist diensteabhängig, habe ich für einige Dienste Backup-Keys für die MFA sowie ein separate Standard-PKI-Authentifizierung angelegt (die Private Keys liegen ebenfalls zu Hause).

Wer nur einen YubiKey ohne diese "Backups" nutzt, schließt sich ultimativ aus. Wie bei einem Passwortmanager, wenn man das Masterpasswort vergessen hat und keine alternativen Authentifizierungsmethoden definiert hat.

 

Für diesen Fall wird geraten zwei von diesen Sticks einzurichten, einen zu benutzen u. den anderen Stick sicher aufzubewahren. (Bankschließfach bei ganz wichtigen Benutzerkonten)

Der Schlüssel selber lässt sich nicht umprogrammieren. Man kann den Schlüssel nur als Authentifizierungsmethode hinzufügen oder entfernen.

@butthead hat das bereits erklärt.

 

Ja, das kann man mittlerweils als veraltete Methode ansehen.

Webforen, wie z.B. diese hier, verwenden eine Methode welche in die Software implementiert wurde, wie z.B. bcrypt oder scrypt.
Wird eine noch höhere Sicherheit gefordert dann steht auch Argon2 als Authentifizierungsverfahren zur Verfügung, welche aber mehr Systemresourcen benötigt, und für normale Nutzerforen übertrieben scheint.

Die Frage ist ob das Hashen des Passworts auf dem Client-Rechner oder auf dem Server stattfindet, denn falls es erst auf dem Server stattfindet dann wird es im Klartext übertragen, und nur durch eine SSL-Verschlüsselung geschützt.

 

@butthead

Nochmal aus Interesse, weil ich mich bislang nur oberflächlich damit befasst habe:

Wie würde eine Anmeldung mit dem Stick hier im Forum stattfinden? Ich brauche doch hier Benutzername und Passwort. Mir ist nicht ganz klar, wie das ersetzt werden sollte und wo man das einstellt.

 

Das funktioniert hier nicht (zumindest nicht out-of-the-Box), weil XenForo das WebAuthn-Protokoll nicht unterstützt. Es ist diensteabhängig, ob der YubiKey nativ unterstützt wird. Ich nutze den Yubikey unter anderem auf GitHub.

 

Ergänzung: Wenn WebAuthn von XenForo unterstützt würde, könntest du in deinen Profileinstellungen einen Menüpunkt wie "MFA" aufrufen. Dort könntest du einen "Security stick" registrieren, anschließend die passwortbasierte Authentifizierung deaktivieren und fortan beim Login einfach nur noch deinen YoubiKey einstecken und je nach Modell z.B. mittels Fingerabdruck freischalten und wärst dann angemeldet (analog zum letzteren Teil dieses Videos am Beispiel von MS).

Der Vorteil dieses Verfahrens:

- Ausschließlich der Betreiber des Forums hätte deinen forenspezifischen Public Key.
- Der dienstspezifische Private Key liegt ausschließlich auf deinem YoubiKey.
- Die Freischaltung deines Private Keys erfolgt ausschließlich "in Hardware" auf deinem YoubiKey, was inbesondere Phishing nahezu unmöglich macht.
- Kein Dritter hätte bei der Generierung des Key Pairs seine Hand im Spiel.
- Dank des 1:1-Handshakes über WebAuthn gibt es keinen externen Anbieter oder eine zwischengeschaltete Cloud, in der Daten (zwischen-)gespeichert, abgegriffen oder manipuliert werden könnten.