Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
um z. B. Dienste wie GMail, FB etc. abzusichern. Wenn man sich die Rezensionen bei Ama... durchliest ist das ja sehr durchwachsen. Ich würde sowas z. B. für die Absicherung meines Keepass Files nutzen wollen.
Ja, ich benutze mehrere Yubikeys. Wüsste aber nicht was es da zu berichten gäbe. Funktionieren wie sie sollen.
Müsste da schon spezifische Fragen gestellt bekommen.
Mein Bruder hat so einen Yubikey und benutzt das für seinen Passwort-Manager Bitwarden am Iphone (NFC) und PC. Er ist damit sehr zufrieden. Willst du etwas spezielles wissen?
Die Dinger sind halt physisches Schlösser vor virtuellen Türen. Die funktionieren halt so wie sie sollen und du brauchst dir keine Zugangsdaten mehr merken. Verlust/Defekt der Hardware bedeutet im Umkehrschluss aber auch, der Schlüssel ist weg und die virtuelle Tür bleibt zu. Sprich du solltest dich definitiv auf diesen Notfall vorbereiten und die Notfallkeylisten EXTREMST gut absichern und ggfs. auch ausgedruckt zum abtippen aufbewahren.
Nitrokey wäre eine Alternative. Aber für Keepass(xc) sollte ein Yubikey auch gehen.
Die Nitrokeys kommen aus Deutschland und sind was Hard und Software angeht Opensource.
Yubikey ist inzwischen ein amerikanisches Unternehmen.
Ich frage einfach mal dazwischen - wie robust sind die Teile denn? Halten die sich am Schlüsselbund? Ich schmeiße meinen Schlüssel nicht durch die Gegend o.Ä., habe ihn aber schon den ganzen Tag in der Tasche. Sehen auf dem ersten Blick schon anfällig für Brüche aus.
Um GMail und andere Accounts auf Webseiten abzusichern sind Yubikeys sehr gut geeignet. Du musst dir aber Gedanken um den Fall das der Key verloren geht machen. Mindestens eine Backup 2FA Methode muss es sein, ich hab lieber zwei verschiedene. Ich hab 2 Yubikeys die ich beide verknüpfe, und dann meistens entweder TOTP auf dem Handy oder ausgedruckte Einmalcodes als letztes Backup.
Besonders interessant ist die FIDO/U2F Funkionalität, das schützt robust gegen Fishing. Wird leider nicht überall unterstützt, aber schon bei vielen größeren wie GMail.
Keepass ist komplizierter, da habe ich keine Erfahrung mit. Man kann da z.B. die Passphrase oder nur einen Teil davon auf den Yubikey speichern. Aber auch hier muss man sich wieder Gedanken um Backups machen.
Ergänzung ()
Departet schrieb:
Ich frage einfach mal dazwischen - wie robust sind die Teile denn? Halten die sich am Schlüsselbund? Ich schmeiße meinen Schlüssel nicht durch die Gegend o.Ä., habe ihn aber schon den ganzen Tag in der Tasche. Sehen auf dem ersten Blick schon anfällig für Brüche aus.
Die sind wirklich robust (die USB-A Varianten, die USB-C hatten am Anfang mal Probleme) hab meinen schon seit Ewigkeiten am Schlüsselbund. Sollen sogar die Waschmaschine überleben, habe ich aber nie ausprobiert.
Nitrokey kann ich empfehlen, wie Groug auch schon bemerkte, da alles Opensource.
Ich benutze ihn um E-Mail zu verschlüsseln (openpgp) und für meinen signierten Bootloader im Thinkpad x230/Coreboot/Heads.
Ein Backup der Keys ist immer möglich wenn man den Private-key und andere in einer CA erstellt zB. unter Tails und nicht auf dem Key selber und anschließend importiert.
ich habe (privat) einen Yubi-Key und beruflich "so'n Spielkram".
die Frage ist, was man eigentlich machen möchte.
die Kern-Funktion eines FIDO(2) Sticks ist ja durch den Namen gegeben Fast IDenfication Online, das ist ja aber etwas "völlig anderes" (übertrieben) as die Verschlüselung eines Passwort Safes.
Keepass selber sagt ja zu FIDO, dass das in ihrem Fall gar kein echtes F2A ist.
am Ende geht es ja wirklich um die Passphrase mit der dein "Tresor" verschlüsselt ist, der Yubi-Key ermöglicht nur einen einfacheren Zugang dazu. Man kann jetzt eine extrem lange Passphrase wählen und statt die immer eintippen zu müssen nimmt man den Stick.
Nitrokey wäre eine Alternative. Aber für Keepass(xc) sollte ein Yubikey auch gehen.
Die Nitrokeys kommen aus Deutschland und sind was Hard und Software angeht Opensource.
Yubikey ist inzwischen ein amerikanisches Unternehmen.
Und genau das ist wohl die wichtigste Information.
Wenn man so etwas schon einem US Unternehmen anvertraut, kann man auch gleich die angebotenen 2-Faktor-Apps von Microsoft, Google, etc. verwenden. Das wäre dann kostenlos und noch praktischer.
Allerdings könnte man sich auch die Frage stellen, ob Deutschland vertrauenswürdig ist, da seit Jahren alles dafür getan wird, die Überwachung auszuweiten und Trojaner in der gesamten Bevölkerung zu integrieren. In enger Zusammenarbeit mit den USA. Die Grundrechte werden jedes Jahr mehr und mehr eingeschränkt. Hier ein aktuelles Beispiel, wo Deutschland erneut den besten Zeitpunkt herausgesucht hat, in dem man nicht demonstrieren darf, ansonsten sind es immer Events wie die Fuball WM, wo sich niemand um Grundrechtseinschränkungen interessiert.
Ein schweizer Unternehmen ist viel vertrauenswürdiger.
Für Passwörter gilt: Nur 100% OpenSource und ohne Cloud verwenden!
Jede Art von (Hardware-)Token kann oder wird früher oder später kaputt oder verloren gehen, genau so wie ein handelsüblicher Schlüssel für die eigenen vier Wände. Deshalb hat man ja in der Regel mehr als einen Schlüssel. Das kann ein zweiter yubi-/nitro-/was-auch-immer-Key sein oder eben sicher aufbewahrte Backup-Keys aller damit verknüpften Dienste oder eine entsprechende TOTP-App auf dem Handy oder ähnliches.
In den Beschlüssen der MPK ist soweit mir bekannt keine Einschränkung des Demonstrationsrechtes genannt, Umsetzung auf Länderebene teilweise noch offen.
Ja, wenn du eine Demo anmeldest wirst vermutlich erst ein Nein bekommen aber das wäre nicht das erste Nein, das schneller gekippt wird als man 'Ordnungsamt' buchstabieren kann. Brauchst halt ein Hygienekonzept und im besten Fall keine bis wenig Idioten die meinen sich nicht daran halten zu müssen.
Finde ich das Verhalten gut wenn irgendwelche Großereignisse als Ablenkung genutzt werden um unbeliebte Dinge durchzudrücken? Auf gar keinen Fall und ich sehe das vermutlich genauso kritisch wie du.
Zu der Vertrauenswürdigkeit von Schweizer Unternehmen verweise ich einfach mal kurz auf das Vorzeigebeispiel der Crypto AG.
Open Source hilft auch nur bedingt. Wenn nie ein Audit gemacht wurde oder Personen mit begrenzten Kenntnissen von Kryptographie etwas zusammen klöppeln kann es open source sein aber gut ist es dadurch noch nicht. Aber ja, immerhin ist es dann überprüfbar. Cloud ohne weitere Angaben kann ich nur milde lächeln. Miete ich bei beliebigem Anbieter einen Server, installiere den selbst, verwende eine Full-Disk-Encryption und betreibe dort eine Nextcloud ist die warum genau jetzt böse? Ist ja immerhin auch eine Cloud...
Keepass selber sagt ja zu FIDO, dass das in ihrem Fall gar kein echtes F2A ist.
am Ende geht es ja wirklich um die Passphrase mit der dein "Tresor" verschlüsselt ist, der Yubi-Key ermöglicht nur einen einfacheren Zugang dazu. Man kann jetzt eine extrem lange Passphrase wählen und statt die immer eintippen zu müssen nimmt man den Stick.
Bei lokalen Daten wie einem Keepass Safe geht vom Prinzip her keine echte Challenge-Response Methode wie z.B. FIDO U2F. Egal wie es implementiert ist, am Ende muss da ein statisches Geheimnis rauskommen das zum Entschlüsseln verwendet wird.
Für Methoden wie TOTP oder FIDO U2F braucht es einen Server an den man nicht rankommt. Der Server kann dann dynamisch entscheiden ob er die Informationen rausrückt, z.B. weil man den Zahlencode der gerade diese Minute gültig ist eingegeben hat.
Bei einem lokalen Safe ist am Ende jede 2FA Methode in etwa das Gleiche als ob man sich die Hälfte der Passphrase irgendwo aufschreibt und bei Bedarf von da abliest.
