Yubikey duplizieren

[time-machine]

Hey,

habe mir 2x Yubikey 5 zugelegt, dabei habe ich den ersten schon soweit für alle meine accounts eingerichtet.
Soweit so gut, wie gehe ich nun am besten mit dem 2 Yubikey vor? über das Yubikey Personalization tool, gibt es die möglichkeit, unter dem Reiter "Static Password - Programm in Static Password" Program multiple keys with fixed Parameter.
Dort schreibe ich den ersten Yubikey, entferne den ersten Yubikey und schreibe die informationen, Private und secret Key auf den 2. Yubikey, soweit richtig?



Dann geht es weiter mit Yubikey OTP, auch unter advanced, dort unter program multiple keys, habe ich folgende Auswahl increment identity, randomized secrets oder randomize all parameters oder indentify from serial randomize secrets, welches wäre die richtige option um 2. identische Yubikey zu bekommen?

Ich habe das so verstanden, wenn die Keys idtentisch sind, brauche ich in meinen Accounts keine 2 Passkeys, andernfalls müsste ich 2 Keys anlegen. Sollte ich einen Key verlieren oder der Key geht defekt, habe ich noch ein Backup, allerdings wüstte ich ganz gerne wie die vorgehensweise, gerade bei OTP ist, denke bei dem Reiter Static password, habe ich das soweit verstanden, das man den secret und die private identity, vom ersten Yubikey auf den 2. Yubikey überträgt.

 

[tollertyp]

Wenn es um Backups geht, würde ich schauen, dass die zu sichernden Dinge (Passkeys, TOTP-Secrets) nicht exklusiv auf den Ubikeys gespeichert sind.
Ob das für Passkeys geht, keine Ahnung.

 

[time-machine]

Die Secrets habe ich gesichert, meine Frage bezieht sich darauf, mit dem 2. key den Zugang zu erhalten,der bereits aktiv mit dem ersten yubikey erstellt wurde.

 

[CoMo]

Warum so kompliziert? Richte den zweiten Yubikey einfach als zusätzlichen Authenticator bei deinen Diensten ein.

 

[time-machine]

Richte den zweiten Yubikey einfach als zusätzlichen Authenticator bei deinen Diensten ein.

kompliziert eigentlich nicht, ich wollte mir einfach den weg sparen, einen 2. Passkey einzurichten und die informationen aus dem ersten key, auf den 2. übertragen.

 

[CoMo]

Du kannst den privaten Schlüssel aus einem Yubikey nicht auslesen. Das ist genau der Sinn solcher Hardware-Token. Den kannst du also nicht "duplizieren".

Es sei denn, die Firmware deiner Keys ist anfällig. Dann kannst du dich mit viel Zeit, Know-How und teurem Elektronik-Equipment damit beschäftigen https://heise.de/-9856972.

 

[msgt]

Da hat ja Mal jemand den Sinn bzw. Das Konzept von Hardware-Schlüsseln so gar nicht verstanden, wenn man die Dinger einfach duplizieren könnte wären sie unsicher und man bräuchte sie gar nicht erst.

 

[tollertyp]

Ich kann dein Anliegen (also das Ziel) ja durchaus verstehen.
Und um das Ergebnis zu erreichen, müsste ja nicht mal "ausgelesen" werden, wenn die Personalization-Software dafür gemacht wäre (oder halt die Software, die dafür verantwortlich ist, dass ein neuer Passkey auf dem Yubikey landet). Dazu müsste sie die Passkeys halt selbst bei sich nochmals lokal halten, oder zumindest die Möglichkeit dafür anbieten. Und das bezweifle ich halt.

Man kann natürlich argumentieren: Erzeuge halt jeden Passkey zwei Mal. Das mag bei den gefühlt zwei Seiten, wo man Passkeys verwenden kann heutzutage noch zumutbar sein. Wenn sie sich aber wirklich mal stärker verbreiten, dann ist das um so ärgerlicher, denn Passwörter kann man sich vielleicht merken, Passkeys nicht, gerade da ist ja ein Hardware-Schlüssel um so charmanter.

 

[time-machine]

Da hat ja Mal jemand den Sinn bzw. Das Konzept von Hardware-Schlüsseln so gar nicht verstanden

Da hat ja mal jemand das Konzept von Internet foren so gar nicht verstanden.
Solche Leute wie dich mögen wir besonders, nichts beitragen, und sich als Problemlöser darstellen.

Das mag bei den gefühlt zwei Seiten, wo man Passkeys verwenden kann heutzutage noch zumutbar sein

Genau darum ging es, falls es sich vermeiden ließe mehrere keys zu hinterlegen. Wenn sich die zu sichernden Seiten häufen, ist es zeitaufwendig, durch otp würde man ja sowieso nicht jedes mal dasselbe Passwort vergeben.