YubiKey – zwischen Wahrheit und Dichtung

Cloud, Tutorial Leave a comment

Titelbild: KI generierte Fantasie mit Adobe Express by foto-gustav

Ein Sicherheits-Key ist kein Gott – auch keine Göttin. Er kann viel, aber nicht alles. Er kann deine Sicherheit zu Lasten deiner Bequemlichkeit deutlich erhöhen, aber es bleiben trotzdem Restrisiken.

Was kann die kleine Hardware und was kann sie nicht? Darum soll es in diesem Beitrag gehen. Um aufkommenden Mythen und „alternativen Fakten“ etwas vorzubeugen, hier mein Versuch die Möglichkeiten und Grenzen der Security‑Keys aus meiner Sicht aufzuzeigen.

Und noch eins vorweg: Die Machtgeilheit der großen Tech-Konzerne hat uns in den letzten Jahrzehnten zu Plug-and-Play und weiter-weiter-weiter Junkies abgerichtet, möglichst ohne zu lesen, ohne zu denken immer weiter-weiter-weiter – nur noch bezahlen mit weiter-weiter-weiter. Dieser Mentalität/Manipulation möchte ich entgegenwirken, jedenfalls zumindest für mich. Erst denken und dann handeln, besonders bei Sicherheitsfragen.

Vorab

Mit der Firmware 5.7 gehören meine beiden aktiven YubiKeys 5c zu den aktuell leistungsfähigsten Modellen: Sie können alle klassischen 5‑Serien‑Funktionen, plus deutlich erweiterte PIN‑Policies, mehr Speicher für Passkeys/OATH und moderne Algorithmen – bestimmte Dinge wie Firmware‑Upgrade oder riesige Dateispeicher können die kleinen Keys aber weiterhin nicht.

Ich setze sie im Alltag ein und habe z.B. meine Zugänge Google/Youtube, Instagram, die UI meines Mailservers und meine WordPress Blogs- und Webseiten etc. damit abgesichert.

Die Handhabung ist durchaus praxistauglich, aber das Mehr an Log-in Sicherheit ist auch, gepaart mit einem leichten Komfortverlust. Was meine ich damit?

Der Sicherheits-Key muss für jeden Zugang separat konfiguriert werden und als zweites auch mein Back-up Key. Der Back-up Key sollte an sicherer Stelle verwahrt werden, d.h. aber auch, wenn ein neuer Zugang hinzu kommt, muss ich den Back-up Key aus der Verwahrung holen und anschließend auch wieder zurückbringen. Das ist für mich nicht komfortabel, sondern eher eine lästige Notwendigkeit.

Eine der Stärken der Sicherheits-Keys ist, dass sie sich in meinem physischen Besitz befinden und für einen Angreifer nicht so ohne weiteres zugänglich sind. Auch nicht, wenn sie angesteckt sind, da ich sie beim Login-Vorgang physisch berühren – und ggf. eine PIN eingeben – muss. Das bedeutet aber auch, ich muss meinen Sicherheit Key bei jedem einloggen dabei haben. – also immer. Das ist auch nicht sonderlich komfortabel.

Offene Sitzung habe ich früher oft aus fehlendem Sicherheitsbewusstsein nicht geschlossen. Das war bequem, aber auch natürlich leichtsinnig. Ein Sicherheit-Key wie der der YubiKey 5C entbindet dich nicht von einem verantwortungsvollen log-out, denn eine offene Sitzung ist nach wie vor ein Risiko – darüber später mehr. Auch das ist nicht komfortabel, aber unserem gestiegenem Sicherheitsbewusstsein geschuldet.

Vorab-Fazit: Das Mehr an Sicherheit müssen wir bezahlen. Und damit meine ich neben den eher moderaten Preis für die Hardware eher den damit einhergehenden aber verschmerzbaren zusätzlichen Aufwand und Komfortverlust. Darüber hinaus sind auch weitere Aspekte der Härtung (Abdichtung) notwendig, auf die ich am Ende kurz eingehe.

Details

Texte, Bilder und Videos folgen

Angriffsversuche abwehren

2FA-Verfahren sind nicht perfekt und haben je nach Verfahren unterschiedlich ausgeprägte Schwächen. Einen zweiten Faktor einzurichten, ist trotzdem unbedingt empfehlenswert, auch wenn er keinen hundertprozentigen Schutz bietet.

Als Faustregeln gelten u.a: Fange mit dem ersten Faktor an.

  • Verlasse Deine Komfortzone. Sicherheitsmaßnahmen sind meistens unbequem.
  • Lege grundsätzlich starke Passwörter fest und, essentiell ausschlaggebend, wähle für jeden Account ein anderes Password. Nutze dafür einen Passwordmanager in möglichst sicherer Umgebung.
  • Nutze für den Passwordmanager mindestens ein sehr starkes Hauptpassword und speichere ihn an einem sicheren Ort.
  • Automatisches Ausfüllen von Browsern und Browsererweiterungen der Passwortmanager solltest du deaktivieren, weil das die Diebstahlgefahr von Login-Daten verringert.

Wähle je nach deinen Anforderungen und nach den Möglichkeiten respektive des technischen Angebots des jeweiligen abzusichernden Onlinedienstes das passende (sicherste) Verfahren für den zweiten Faktor. Auch hier orientiere ich mich persönlich an folgenden Regeln:

  • ein schwacher zweiter Faktor (wie z.B. SMS oder Anruf) ist suboptimal, aber besser als gar kein zweiter Faktor. Der wesentlich Nachteil ist, das Verfahren ist nicht an ein Gerät gebunden und ein Cyber-Angreifer kann durch SIM Swapping relativ einfach ihre 2FA-Daten erhalten.
  • marktbeherrschende Webdienste integrieren ihre probitären 2FA Verfahren z.B. in die mobile App in den Anmeldeprozess. Du kennst das Prinzip möglicherweise von Google, PayPal, Microsoft, Apple und anderen machtgeilen Konzernen. Du erhältst beim Anmelddn z.B. eine Push-Benachrichtigung der App auf deinem Smartphone oder Tablet. Entweder musst du dann die Anmeldung anschließend über eine Schaltfläche bestätigen oder eine Zahlenfolge oder ein Symbol abgleichen. Hauptnachteile dieser probitären Verfahren sind: Man kann nicht nachvollziehen, wie die Funktion implementiert ist und ob das deinen persönlichen Sicherheitsanforderungen genügt. Ausserdem kann man sich als Nutzer schnell daran gewöhnt, Login-Anfragen ohne Prüfung zu bestätigen, gerade wenn dazu nur der Klick auf eine Schaltfläche notwendig ist. Das nutzen Cyberkriminelle aus, in dem sie darauf bauen, dass dir eine fremde Anfrage durchrutscht.
  • zeitlich begrenzte Einmalpasswörter, OTP wie man sie zum Beispiel beim Mailcow UI Login (siehe einer der vorherigen Beiträge) oder TOTP wie man sie z.B. beim Instagram-Login (siehe nächster Beitrag) nutzen kann, sind etwas sicherer. Das Einmalpassword (oft 6-stelliger Zahlencode) wird dabei entweder in einer App (z.B. Google- oder Microsoft-Authenticator) erzeugt. Manche Passwordmanager können das auch. Alternativ mit separater Hardware wie einem TOTP-Stick, zum Beispiel einen YubiKey oder einen Hardware-TOTP-Generator wie den Reiner SCT Authenticator. So sind die kryptografischen Geheimnisse zum Erzeugen der Codes vor Trojanern geschützt, da sie auf einer gesicherten separaten Hardware gespeichert werden.
  • Wenn der Anbieter es ermöglicht, solltest du das FIDO2-Verfahren nutzen. FIDO2 nutzt ein kryptografisches Public-Private-Key-Verfahren. (PubKey PrivKey) Der private Schlüssel wird sicher auf der Hardware des Benutzers gespeichert, der öffentliche Schlüssel wird auf dem Server des jeweiligen Anbieters einer Website oder App abgelegt. Beide Bestandteile des Schlüsselpaars in Kombination sind nötig, um sich in einem sogenannten Challenge-Response-Verfahren zu authentifizieren. FIDO2 ist außerdem während der Anmeldeprozedur phishingresistent, da die Anmeldedomain mit verifiziert wird. Wenn also ein Cyberkrimmineller dich auf eine Fake-Anmeldeseite lockt, passiert nix hinsichtlich Login. FIDO2 ohne Password ist abhängig vom Onlinedienst-Anbieter. Es ist der Königsweg, denn wo es kein Passwort gibt, kann es auch nicht geklaut werden.
  • Passkeys sind die benutzerfreundliche Version der FIDO2 Implementierung. Demnächst dazu mehr in diesem Blog.

Quellen für diesen Abschnitt u.a.
c’t 2023 Heft 11 Abgedichtet Autorin K. Stoll
VINOVA Blog Cyber Security Strategic Implementation of Two-Factor Authentication for Secure Access in 2025

Wermutstropfen

Einen absolut sicheren Schutz bietet auch der Königsweg FIDO2 nicht. Nutzerkonten, die mit FIDO2 abgesichert sind, bieten zwar einen sehr sicheren Login-Prozeß; aber keine Schutz bei bestehenden Sitzungen bezüglich Session-Cokie-Klau/Session Hijacking. Bringt sich ein Cyberkrimineller z.B. über einen Trojaner auf deinem Endgerät in Besitz eines Session-Cokies einer offenen Sitzung in deinem Browser (Hijacked without a Password), kann er sich als Nutzer gegenüber dem Onlinedienst identifizieren und damit dein Konto kapern, ohne das er die Zugangsdaten kennen muß.

Was hilft dagegen? Wie kannst Du deine Angriffsfläche bezüglich Session-Diebstahl reduzieren?

  • VORSICHT! Keinen unbekannten Links folgen und nicht auf alles klicken was zappelt oder sagt klick mich. Besondere Vorsicht ist bei Mailanhängen geboten. Unbekannte oder unerwartete Anhänge grundsätzlich nicht öffnen, auch nicht von „bekannten“ Absendern.
  • ggf. Sandbox nutzen, um Anhänge zu testen / zu öffnen
  • Erst denken und dann handeln – insbesondere bei Sicherheitsfragen.
  • Betriebssystem, Browser und APPs auf Stand halten: Updates etc.
  • minimale Adminzugriffe
  • Malwareschutz!
  • Virenscanner insbesondere bei Windows
  • Sitzungen nicht unnötig offen lassen, – also Sitzungen schließen!
  • Die Einführung von DBSC Session-Binding (Device Bound Session Credentials) auf dein Gerät ist 2025 in Chrome und bei Google-Logins bestenfalls im Beta-Stadium. Das Feature soll Sitzungstoken kryptografisch an die Hardware binden und soll den Session-Diebstahl durch Malware erheblich erschweren.

Weitere Härtungen, die bedacht werden sollten

  • Bevorzuge FIDO2/WebAuthn mit Hardware Key oder passkey
  • Registriere bei FIDO2 mindestens zwei voneinander getrennte FIDO2-Authentikatoren
    z.B. Haupt-Key und Backup-Key
  • Kurze Session-Lifetimes
  • Backup-Codes sicher verwahren
  • Recovery-Kanäle (Backup-Codes, E-Mail-Reset etc.) mindestens so stark absichern, wie den primären 2FA

Texte, Bilder usw. folgen

Fazit

folgt …

Artikel/Beitrag noch in Arbeit!

Hinweis: Ich bevorzuge in meinen Texten aus Gründen der besseren Lesbarkeit das Generisches Maskulinum. Weibliche und andere anderweitige Geschlechtsidentitäten werden dabei ausdrücklich mit gemeint, soweit es für die Aussage erforderlich ist.

Dieser Blog verfolgt keine kommerziellen Interessen. Etwaige Werbung ist kostenfrei! #supportyourlocal

Leave a Reply

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

This site uses Akismet to reduce spam. Learn how your comment data is processed.