Die Zwei-Faktor-Authentifizierung (2FA) gibt es schon länger. Eine der gebräuchlichsten ist die Bank-Karte in Kombination mit der dazugehörigen PIN. Diese Form der Zwei-Faktor-Authentifizierung gibt es auch für den Rechner und verschiedene Online-Anwendungen. Wir stellen hier nun einige Authentifizierungsmöglichkeiten für den Rechner vor.
Der YubiKey
Ein YubiKey ist ein Sicherheits-USB-Gerät (Security-Token), der einen besser abgesicherten Zugang zu technischen Geräten, Webseiten oder Applikationen ermöglicht (z.B. Remote Access & VPN, Password Manager, Computer-Login, CMS, Online Services). Da der YubiKey als USB-Tastatur erkannt wird, kann jedes Gerät mit USB-Schnittstelle den Security-Token problemlos verwenden.
Es gibt unterschiedliche Versionen eines YubiKeys.
Die erste Version nutzt das Einmal-Passwort-Verfahren (One-Time-Password/ OTP). Durch das Aktivieren wird ein Einmal-Passwort generiert, was eindeutig auf diesen einen YubiKey zurückführbar ist.
Wenn bei z.B. dem Mailprovider Posteo oder bei WordPress die Zwei-Faktor-Autentifizierung aktiviert wird, wird nicht mehr nur der Username und das Passwort abgefragt, sondern noch ein OTP (bei vielen Onlinebanking-Anbietern z.B. eine TAN). Mit einem Security-Token fällt das lästige abtippen z.B. einer TAN weg und der Zugang kann weder durch das Einsetzen eines Keyloggers noch durch Passwort-Phishing erschlichen werden.
Auch ein statisches Passwort kann der YubiKey liefern. Allerdings sollte dieses Passwort aus Sicherheitsgründen nur als Prefixe eines individuellen Passwortes genutzt werden, damit das Stehlen des USB-Tokens nicht ausreicht, um sich z.B. an Ihrem Laptop anzumelden.
Universeller Zweiter Faktor
Im YubiKey Neo wurde nun zusätzlich zu dem OTP-Verfahren der allgemeingültige, offene Industriestandart U2F* eingeführt, der u.a. von PayPall, GoogleMail und Chrome genutzt wird. Dazu kommt, dass der YubiKey Neo zusätzlich über Funk funktioniert, weswegen auch kein USB-Steckplatz mehr vonnöten ist. Somit ist er auch an Smartphone und Tablett nutzbar.
Beide Versionen sind auch noch in der Nano-Ausführung erhältlich.
Der Fido-U2F Security-Key
Als dritte Variante gibt es noch den Fido-U2F Security-Key. In diesem ist aber nur das U2F-Verfahren implementiert und hat damit nur eine beschränkte Anwendbarkeit, doch er baut auf Sicherheit.
Ähnlich dem FidoKey funktioniert auch der Smartcard-basierte Plug-up Security-Key des französischen Herstellers Plug-up international.
WordPress Sicherheit mit YubuKey – Unser Ergebnis
Wir haben jetzt mal den Selbsttest mit diesem Blog hier gemacht und mit dem YubiKey abgesichert.
Die Installation war einfach und es hat auf Anhieb funktioniert. Wir denken, dass gerade durch die U2F-Kryptographie ein deutlicher und gleichzeitig einfach zu händelnder Sicherheitsgewinn für Postfächer und Handys gewonnen werden könnte. Bisher gibt es noch nicht so viele Anwendungsmöglichkeiten, doch es lohnt sich unserer Meinung nach diese auszuweiten.
*U2F (Universeller 2. Faktor) arbeitet mit Public-Key-Kryptographie. Wenn sich die Nutzerin bzw. der Nutzer bei einem Dienst registriert, generiert das USB-Gerät ein Schlüsselpaar aus privatem und öffentlichem Schlüssel. Danach wird der öffentliche Schlüssel an den Dienst geschickt. Beim Login schickt der Dienst eine Anfrage an das USB-Gerät, welches diese mit ihrem privaten Schlüssel signiert und zurückschickt. Dadurch ist sichergestellt, dass die Person, der sich einzuloggen versucht, nicht nur die Zugangsdaten kennt, sondern auch Zugriff auf den mit dem Account verknüpften USB-Gerät hat.
Links zum Thema Zwei-Faktor-Authentifizierung / FA2:
Überblick über die Zwei-Faktor-Authentifizierung
http://www.die-zwei-faktor-authentifizierung.de/
Nutzung eines YubiKeys bei dem Mailanbieter Posteo
https://posteo.de/hilfe/wie-kann-ich-einen-YubiKey-f%C3%BCr-die-zwei-faktor-authentifizierung-von-posteo-nutzen
Nutzung eines YubiKeys bei Roundcube
https://github.com/northox/roundcube-YubiKey-plugin
Aktivierung eines YubiKeys auf WordPress
http://blog.check-and-secure.com/wordpress-mit-yubikeys-gegen-bruteforce-attacken-absichern/
YubiKey for secure authentication in Webapplications and Linux
http://techblog.mastbroek.com/2012/07/YubiKey-for-secure-authentication-in-webapplications-and-linux/
Beschreibungen verschiedener YubiKey-Produkte mit den unterschiedlichen Anwendungen
http://www.yubico.com/products/yubikey-hardware