Yubikey duplizieren

[time-machine]

Hey,

habe mir 2x Yubikey 5 zugelegt, dabei habe ich den ersten schon soweit für alle meine accounts eingerichtet.
Soweit so gut, wie gehe ich nun am besten mit dem 2 Yubikey vor? über das Yubikey Personalization tool, gibt es die möglichkeit, unter dem Reiter "Static Password - Programm in Static Password" Program multiple keys with fixed Parameter.
Dort schreibe ich den ersten Yubikey, entferne den ersten Yubikey und schreibe die informationen, Private und secret Key auf den 2. Yubikey, soweit richtig?



Dann geht es weiter mit Yubikey OTP, auch unter advanced, dort unter program multiple keys, habe ich folgende Auswahl increment identity, randomized secrets oder randomize all parameters oder indentify from serial randomize secrets, welches wäre die richtige option um 2. identische Yubikey zu bekommen?

Ich habe das so verstanden, wenn die Keys idtentisch sind, brauche ich in meinen Accounts keine 2 Passkeys, andernfalls müsste ich 2 Keys anlegen. Sollte ich einen Key verlieren oder der Key geht defekt, habe ich noch ein Backup, allerdings wüstte ich ganz gerne wie die vorgehensweise, gerade bei OTP ist, denke bei dem Reiter Static password, habe ich das soweit verstanden, das man den secret und die private identity, vom ersten Yubikey auf den 2. Yubikey überträgt.

 

[tollertyp]

Wenn es um Backups geht, würde ich schauen, dass die zu sichernden Dinge (Passkeys, TOTP-Secrets) nicht exklusiv auf den Ubikeys gespeichert sind.
Ob das für Passkeys geht, keine Ahnung.

 

[time-machine]

Die Secrets habe ich gesichert, meine Frage bezieht sich darauf, mit dem 2. key den Zugang zu erhalten,der bereits aktiv mit dem ersten yubikey erstellt wurde.

 

[CoMo]

Warum so kompliziert? Richte den zweiten Yubikey einfach als zusätzlichen Authenticator bei deinen Diensten ein.

 

[time-machine]

Richte den zweiten Yubikey einfach als zusätzlichen Authenticator bei deinen Diensten ein.

kompliziert eigentlich nicht, ich wollte mir einfach den weg sparen, einen 2. Passkey einzurichten und die informationen aus dem ersten key, auf den 2. übertragen.

 

[CoMo]

Du kannst den privaten Schlüssel aus einem Yubikey nicht auslesen. Das ist genau der Sinn solcher Hardware-Token. Den kannst du also nicht "duplizieren".

Es sei denn, die Firmware deiner Keys ist anfällig. Dann kannst du dich mit viel Zeit, Know-How und teurem Elektronik-Equipment damit beschäftigen https://heise.de/-9856972.

 

[msgt]

Da hat ja Mal jemand den Sinn bzw. Das Konzept von Hardware-Schlüsseln so gar nicht verstanden, wenn man die Dinger einfach duplizieren könnte wären sie unsicher und man bräuchte sie gar nicht erst.

 

[tollertyp]

Ich kann dein Anliegen (also das Ziel) ja durchaus verstehen.
Und um das Ergebnis zu erreichen, müsste ja nicht mal "ausgelesen" werden, wenn die Personalization-Software dafür gemacht wäre (oder halt die Software, die dafür verantwortlich ist, dass ein neuer Passkey auf dem Yubikey landet). Dazu müsste sie die Passkeys halt selbst bei sich nochmals lokal halten, oder zumindest die Möglichkeit dafür anbieten. Und das bezweifle ich halt.

Man kann natürlich argumentieren: Erzeuge halt jeden Passkey zwei Mal. Das mag bei den gefühlt zwei Seiten, wo man Passkeys verwenden kann heutzutage noch zumutbar sein. Wenn sie sich aber wirklich mal stärker verbreiten, dann ist das um so ärgerlicher, denn Passwörter kann man sich vielleicht merken, Passkeys nicht, gerade da ist ja ein Hardware-Schlüssel um so charmanter.

 

[time-machine]

Da hat ja Mal jemand den Sinn bzw. Das Konzept von Hardware-Schlüsseln so gar nicht verstanden

Da hat ja mal jemand das Konzept von Internet foren so gar nicht verstanden.
Solche Leute wie dich mögen wir besonders, nichts beitragen, und sich als Problemlöser darstellen.

Das mag bei den gefühlt zwei Seiten, wo man Passkeys verwenden kann heutzutage noch zumutbar sein

Genau darum ging es, falls es sich vermeiden ließe mehrere keys zu hinterlegen. Wenn sich die zu sichernden Seiten häufen, ist es zeitaufwendig, durch otp würde man ja sowieso nicht jedes mal dasselbe Passwort vergeben.

 

[msgt]

War es dir nicht deutlich genug?! Man kann die Key's nicht duplizieren auch die auf dem Key gespeicherten Passkey's lassen sich nicht (nutzbar) kopieren da auch diese mit dem "privat key" des Hardware Schlüssel verknüpft sind.
Und der Privat Key eines Hardware Schlüssel lässt sich nicht auslesen und somit auch nicht Kopieren.
Auch der Hersteller selbst kann das nicht, es gibt also auch keine Software die das kann. Wenn das nicht der Fall wäre, wäre das Teil nichts weiter als ein "fancy USB Stick"

https://de.wikipedia.org/wiki/Security-Token
https://de.wikipedia.org/wiki/Asymmetrisches_Kryptosystem

edit: nur für den fall das es immer noch nicht klar ist, es bleibt dir nichts anderes übrig als einen weiteren Passkey mit dem zweiten Yubikey in jedem Account zu erstellen.

 

[tollertyp]

Und um es nochmal zu sagen:
Es spielt für sein Anliegen an und für sich keine Rolle, ob man die Passkeys auslesen kann von dem Gerät - wenn er selbst steuern könnte, welche Passkeys auf dem Gerät landen.

Angenommen er würde seine Passkeys mit Bitwarden erzeugen, da kann man seine Passkeys exportieren, dann würde der Passkey auch funktionieren, wenn man ihn nur importiert... aber geht das? Keine Ahnung.

Anbei ein Screenshot meines Exports:

Ich verstehe nicht, wieso sich hier so sehr auf das Extrahieren von Passkeys aus dem YubiKey konzentriert wird, würde das gehen, wäre das eine Möglichkeit das Zielbild zu erreichen, aber das geht aus verständlichen Gründen halt nicht. Dann sollte man fragen: Wie kann man das Ziel dennoch erreichen?

 

[Domi83]

Da hat ja Mal jemand den Sinn bzw. Das Konzept von Hardware-Schlüsseln so gar nicht verstanden, wenn man die Dinger einfach duplizieren könnte wären sie unsicher und man bräuchte sie gar nicht erst.

War es dir nicht deutlich genug?!

Dein Ton macht einfach die Musik! Allerdings ist es im Internet auch schwer zu deuten, wie der Ton aus deiner Sicht war.

Da hat ja mal jemand das Konzept von Internet foren so gar nicht verstanden.

Einfach nicht beirren lassen, hier mag es eventuell eine unterschiedliche Auffassung und Interpretation der Aussage sein. Auf den ersten Blick ist das aber auch eine Aussage von der Person, die mich nervt, auch wenn die Person es gar nicht so meint. Doch dank irgend eines Programmierers wurde irgendwann mal die "Blockieren" oder "Ignorieren" Funktion in Forensystemen etc. eingebaut und die verschafft einem schon Ruhe

Zu deinem Thema zurück... das primäre Anmeldeverfahren welches bei den Keys aktiviert ist (wenn du ihn nicht umgestellt hast) dürfte so ein WebAuthO / FIDO2 sein (bin jetzt kein Crypto Experte etc., korrigiert mich hier) und dieses sieht halt vor, dass dein privater Schlüssel NUR auf dem Key drauf liegt. Macht ja auch Sinn, finde ich.

Aufgrund von "Backup", habe ich mir damals drei Keys (nur für mich) gekauft. Einen den ich immer bei mir habe, einen Nano der eventuell an einem Gerät immer dran ist (buhu, Sicherheit, ja ja) und einen dritten für Backup.

Ich entsperre damit z.B. meinen Bitwarden und mein KeePassXC (Challange Response). Im Bitwarden sind alle drei Keys einzeln hinterlegt / registriert. Was diesen Challange Response für KeePassXC angeht, DEN wiederum konnte ich duplizieren und auf alle Keys verteilen. Somit habe ich für meinen Bitwarden als auch die KeePassXC Datenbank Redundanzen.

Allerdings verwende ich den YubiKey aktuell eher als 2FA und nicht als Passkey um "Pass-Less-Auth" durchführen zu können. Ich muss also bei den meisten Systemen einen Benutzer + Kennwort eingeben und habe dann einen TOTP oder meinen YubiKey.

Einzig das Google Konto nervt mich noch... hier sind die mobilen Endgeräte immer ein Passkey sowie auch die Yubikey. Das wollte ich abändern, aber die im Konto hinterlegten mobilen Endgeräte, ließen sich bisher nicht als Passkey entfernen. Wer also mal mein Handy hat, meinen Pin aushebelt, hat auch Zugang zu meinem Google Konto.

Am Ende ist es aber auch eine Frage des Risikos sowie des Impact der entstehen kann... das kann man nur selbst beantworten. Ist man nun der 0815 Dude, ist das eine oder andere eventuell übertrieben. Ist man nun aber jemand mit höchster Sicherheitsstufe bei einem Nachrichten- oder Geheimdienst, oder einer anderen Institution, muss man das anders bewerten.