Instagram Login mit YubiKey 5c

Cloud, Tutorial One comment

Titelbild Pixabay ergänzt und modifiziert by foto-gustav

In diesem Beitrag zeige ich, wie man seinen Instagram-Zugang mit einem bzw. zwei YubiKeys einrichtet und damit die Log-in Sicherheit erhöhen kann.

Begriffe

Vorab ein paar Begriffe, kurz erklärt:

TFA oder 2FA sind die Abkürzung von „Two-Factor Authentication“, also Zwei‑Faktor‑Authentifizierung (2FA).
Bedeutung: Two-Factor Authentication ist ein Sicherheitsverfahren, bei dem du dich mit zwei verschiedenen Faktoren anmeldest, z.B.:

  • Faktor 1 (Wissen): Passwort oder PIN.
  • Faktor 2 (Besitz/Biometrie): Authenticator‑App (TOTP‑Code), SMS‑Code, Hardware‑Token wie YubiKey, Fingerabdruck, Face ID usw.

Dadurch reicht ein gestohlenes Passwort allein nicht mehr, um auf den Account zuzugreifen, weil der zweite Faktor zusätzlich nötig ist.

YubiKey 5c ist ein Hardware-Security-Token des Herstellers Yubico (USA, Schweden) mit USB-C Schnittstelle, das verschiedene Möglichkeiten zur Erhöhung der Sicherheit von verschiedenartigen Online-Konten (Accounts), Zugängen etc. von unterschiedlichen Endgeräten aus, wie zB MacBook, iPad, iPhone etc. bietet.

Yubi OTP (ONE TIME PASSWORD) ist das proprietäre Einmalpasswort‑Verfahren von Yubico, während Instagram gar kein Yubico‑OTP nutzt, sondern Standard‑TOTP (OATH).

TOTP (OATH), wird typischerweise über die Yubico Authenticator App in Verbindung mit deinem YubiKey verwendet, – auch benutze ich es hier so in Verbindung mit Instagram.
Die Abkürzungen stehen für TOTP Time-based One Time Password und OATH Initiative für OPEN AUTHENTICATOR.

Instagram unterstützt keine Hardware‑Security‑Keys direkt via FIDO2/WebAuthn, sondern Zwei‑Faktor‑Codes per TOTP (z.B. 6‑stellige App‑Codes).

YubiKey kommt hier nur indirekt ins Spiel: Du speicherst den TOTP‑Secret von Instagram im YubiKey (z.B. über die Yubico Authenticator App), und der YubiKey generiert dann Standard‑TOTP‑Codes, die Instagram akzeptiert.

Instagram lässt sich sicher mit YubiKey‑TOTP einrichten, indem du Instagram‑2FA per „Authentifizierungs‑App“ aktivierst und das dort angezeigte Secret in der Yubico‑Authenticator‑App auf deinem YubiKey speicherst. So generiert der YubiKey die 6‑stelligen Codes, während der geheime Schlüssel hardware‑geschützt bleibt.

OATH: Offene herstellerübergreifende Initiative für standardisierte Verfahren der starken Authentifizierung, z.B. TOTP (zeitbasierte Einmalpasswörter) und HOTP (ereignisbasierte Einmalpasswörter) etc. Open Authenticator.

Back-up Yubikey für Instagram: Einen „Back-up YubiKey“ richtest du ein, indem du den selben TOTP‑Secret auf einem zweiten YubiKey speicherst – das geht mit der Yubico Authenticator App.

Voraussetzungen

a) Entweder auf der Yubico Webseite unter Support den Authenticator downladen (Bild 1) oder im Store die gleichnamige APP instalieren.

b) Instagram‑Account mit aktiviertem Login.

c) Einen (besser zwei, wegen Back-up) Sicherheitsschlüssel wie z.B. YubyKey 5C oder NFC mit aktivem OATH‑TOTP‑App‑Slot.

Zweistufige Authentifizierung für Instagram und YubiKey aktivieren

  1. Tippe bei deinem Mobilgerät (zB iPhone) unten rechts auf  Profil oder dein Profilbild oder wähle im Browser (z.B. Safari auf dem iPad oder iOS) Profil ändern, um zu deinem Profil zu gelangen. (Bild 2)
  2. Tippe bei deinem Mobilgerät oben rechts auf Weitere Optionen Menü und dann auf Kontoübersicht.
  3. Wähle Passwort und Sicherheit.(Bild 3 und 4)
  4. Tippe auf Zweistufige Authentifizierungund wähle dann ein Konto aus. (Bild 5 und 6)
  5. Öffne die App Yubico Authenticator und lege dein Instagram Konto dort an. (Bilder 7, 8, 9, 21, 22 und 23)
    a) YubiKey einstecken bzw. per NFC verbinden und Yubico Authenticator öffnen.
    b)„Konto hinzufügen“ wählen und entweder
    • QR‑Code (Schlüssel) von Instagram scannen, oder
    • Schlüssel manuell hinzufügen, also den von Instagram angezeigten Secret‑Key (TOTP‑Secret) eintragen.
    (Code TOTP‑Secret für Punkt 9b) notieren/merken etc.)
    c) als Typ „TOTP“, 6‑stelligen Code, zeitbasiert, SHA-1 und 30‑Sekunden‑Intervall verwenden (Standard für Instagram). Ich wähle außerdem Berührung erforderlich.
    d) Anbieter instagram und als Kontoname deinen Usernamen bei Insta z.B. „mein instaname“ eingeben und speichern; das Secret liegt jetzt im autonomen YubiKey, nicht im Gerät.
  6. Einrichtung bei Instagram abschließen
    a) direkt nach dem Hinzufügen zeigt der Yubico Authenticator einen 6‑stelligen Code für „Instagram“ an,
    den am besten in die Zwischenablage übernehmen (Bild 23)
    b) diesen Code in Instagram im 2FA‑Dialog eingeben/einfügen und bestätigen. (Bild 9)
  7. Die angezeigten Backup‑Codes von Instagram sicher offline speichern (z.B. Passwort‑Manager + Papier‑Copy als Notfall). (Bild 11 und 12)
  8. Die Einrichtung des ersten YubiKey ist jetzt abgeschlossen.
  9. Back-up YubiKey wie folgt einrichten
    a) die Punkte 5a) bis 5d) sinngemäß wiederholen,
    b) jedoch 5b) manuell mit zuvor gemerkten Code (TOTP‑Secret) ausführen. (Bild 22)

Nun beide YubiKeys testen. Damit ist die Einrichtung für beide YubiKeys komplett fertig.

Weiterer abschließender Text folgt.

Hinweis: Ich bevorzuge in meinen Texten aus Gründen der besseren Lesbarkeit das Generisches Maskulinum. Weibliche und andere anderweitige Geschlechtsidentitäten werden dabei ausdrücklich mit gemeint, soweit es für die Aussage erforderlich ist.

Dieser Blog verfolgt keine kommerziellen Interessen. Etwaige Werbung ist kostenfrei! #supportyourlocal

One comment

  1. Pingback: YubiKey – zwischen Wahrheit und Dichtung – sommer-huenxe.net

Leave a Reply

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

This site uses Akismet to reduce spam. Learn how your comment data is processed.