Nutzt jemand YubiKey oder OnlyKey

[Mickey Mouse]

genau, die Sache sieht ja so aus:
falls jemand Zugang zu den verschlüsselten Daten hat (und sich die auf seinen eigenen Rechner kopieren kann), dann kann er per brute force so lange daran herum knabbern wie er will, niemand kann das verhindern. Im Gegensatz zu einem Online Account, bei dem man z.B. nach 5 Fehlversuchen eine Sperre einbaut oder so etwas.

es geht also am Ende einzig und alleine darum den "finalen Key" so komplex wie möglich zu machen. Da hilft so ein Stick, genauso wie aber ein zusätzliches Key-File auch, das ist je nach Anwendungsfall komplizierter oder vielleicht sogar einfacher zu handhaben.

bitte nicht falsch verstehen, ich setze selber den Yubi-Key ein und finde das Teil schon "recht cool", auch wenn ich das mit OpenSSH immer noch nicht richtig hinbekommen habe. Man sollte sich halt nur immer um die Grenzen der verschiedenen Systeme bewusst sein.
FIDO ist nunmal für Passwort lose Online Transaktionen gedacht und spielt dort seine Stärken aus ... wenn es denn unterstützt wird...

 

[1lluminate23]

Ja, ich nutze einen YubiKey wo es nur möglich ist, z.B. Twitter, Google etc. Ansonsten nutzte ich wo es nur geht die 2FA.

 

[LouisXIV]

Ist denn generell zu einem Hardware-Token als zweiten Authentisierungs-Faktor zu raten oder gibt es (mindestens) ebenbürtige Alternativen?

Mir geht es um die zusätzliche Absicherung meiner verschlüsselten /home-Partition, meiner KeePassXC-Passwort-Datenbank und der Onlinedienste, die 2FA anbieten z. B. mailbox.org.
Darüber hinaus interessiert mich auch die Verschlüsselung von E-Mails.
Leider gibt es noch keinen Nitrokey mit nativem USB-C und NFC, ich denke das wäre die Hardwarekonfiguration, die mir mittelfristig am besten passen würde.

 

[Snowi]

Ich habe seit längerem einen (bzw mehrere) OnlyKeys im Einsatz, daher mal kurz warum und Pro/Contra von mir:
Vorteil ist hier ganz klar, dass die Firmware Open-Source ist. So Open Source, dass man in den ersten Versionen des Keys (Habe noch einen davon) bei einem gewollten Update die Firmware selbst compilen und aufspielen musste, u.a. mit überbrücken einer Schaltung mit einer Büroklammer o.ä. um das überhaupt zu ermöglichen. Ist mittlerweile aber einfacher geworden über deren Tool.

Was die Slots angeht: Der Key hat 6 kapazitive Tasten. Mit denen muss man vorher einen PIN eingeben zum freischalten (Kann man selbst festlegen, mindestens 8 Ziffern waren es glaube ich). Man kann auch Einstellen, dass der Key sich nach X falschen Eingaben selbst löscht.
Hat man den PIN eingegeben, hat man 6 Slots für Passwörter, theoretisch bis 56 Zeichen pro Passwort. Praktisch kann man aber auch URL und Benutzernamen speichern, auch je 56 Zeichen. Also könnte man die verketten auf 3x56=168 Zeichen (Groß,Klein,Zahlen,Sonderzeichen).
Dazu kann man auch Enter/Tab drücken lassen, um z.B. erst die URL einzutippen, dann Ok, dann den Usernamen nach 5Sek Verzögerung, dann Tab und dann das Passwort und dann Ok. Ist auch sehr simpel zu konfigurieren, benutze ich aber nicht.
Prinzip ist sehr simpel - es wird eine USB Tastatur emuliert, das hat bei mir auf jedem Gerät funktioniert (Linux, Windows + BIOS).
Es gibt ein Plausible-deniability-feature. Also einen zweiten PIN, mit dem man weitere 6 Passwörter speichern kann. Entweder richtige Passwörter, oder eben Fake-Passwörter, wenn man als Journalist erpresst wird o.ä. (Letzteres ist etwas paranoid, aber man hat das Feature und kann es eben auch als Zweitbereich nutzen, um mehr Passwörter zu speichern).

Haltbarkeit: Es wird eine kleine Silikonhülle geliefert gegen Kratzer etc., der Key selbst ist einfach ein sehr stabiles, dickes, schwarzes PCB (Platine) incl. Loch für Schlüsselanhänger o.ä.
Offiziell wohl auch Wasserfest, habe ich aber nie getestet, und werde ich auch nicht
Ich habe 3 Stück: Einen für Zuhause am Desktop, einen fürs Notebook in der Notebookhülle und einen als Backup an einem sicheren Ort, falls mir die Bude abfackelt o.ä.

Meine Meinung: Ich nutze den Key nur für statische Passwörter, also normale Textpasswörter incl. Sonderzeichen. Bin super zufrieden mit dem Teil, mein erster von vor 2 Jahren läuft auch noch. Backupfeature war anfangs buggy, mittlerweile klappt es aber gut. Würde aber immer einen als "Spare" parat haben, z.B. bei den Eltern im Haus, im Bankschließfach o.ä. wenn der normale mal kaputt geht oder so.
Also von mir klare Empfehlung. Wenn wer Fragen hat, ich antworte auch gerne

//Edit: Wobei mir dazu noch einfällt: Laut Amazon ist das GPG/SSH Feature wohl nicht so das wahre, und auch TOTP scheint nur mit der App zu gehen. Insofern: Wer das Teil nur für statische Passwörter will (BIOS/Disck-Encryption/KeePass) wird gut bedient sein, für alles weitere muss man sich ggf. doch eine Alternative suchen.