Yubikey - Fragen zur Praxis (Key + Handy), welche nirgendswo beantwortet werden

[M.B.H.]

Nachdem ich nun unzählige Yubikey-Videos geschaut habe, habe ich immer noch einige Fragen zur Praxis Key + Handy (unterwegs, zuhause), bevor ich nun 200 Euro für 3 Keys ausgebe:
Mein Vorhaben speziell ist, dass ich meine HauptAccounts (gMail, Windows Live, Bitwarden (wohl Premium) sowie FB, IG) sicherer machen möchte, grundsätzlich geht es erstmal darum dass ich 100%ig verhindern möchte dass diese Accounts komplett übernommen/ich komplett enteignet werden kann und ich die Accounts dauerhaft verliere/Missbrauch stattfindet. Zweitens wäre wünschenswert dass natürlich auch das Risiko vermindert wird dass durch Lücken im Windows und AndroidHandy ein Hacker Zugriff auf meine Dienste hat und ohne mein Wissen irgendwas böses anstellt/generell auf meine Daten zugreifen kann. Derzeit nutze ich bei all diesen Apps den Aegis Authentificator (incl. Offline-Sicherung der Seeds/QRs, kann also definitiv nichts komplett verlieren) und habe auch da wo es geht Backup-Codes offline gespeichert. Trotzdem habe ich die Angst dass durch Hack meines Handies der Authenticator "ausgelesen" werden kann und somit sämtliche Accounts komplett gefährdet sind, sprich: Hacker loggt sich erfolgreich ein, entfernt meine Backup-Codes und Keys, und erstellt vllt sogar einen eigenen so dass ich selber nicht mehr zugreifen kann. Mit nem Yubikey wäre ich ja definitiv auf der sichereren Seite.

Fragen:

a) Wie wahrscheinlich ist es OHNE YubiKeys, wenn ich wirklich vorsichtig bin (Phishing-Mails, Virenscanner auf Handy (welchen am besten?) und Windows, Vorsichtig bei kleineren unbekannteren Apps (-> virtuelle Sandbox erst testen etc) bin, dass wirklich jemand Zugriff auf mein Handy bekommt und den Authenticator auslesen und auch wirklich missbrauchen kann (live Änderungen aus der Ferne durchführt)?

b) kann man den Yubikey oder die Dienste so konfigurieren, dass wenn ich am PC bin, meine Konten stets geschützt sind, ich also für die meisten oder alle Aktionen (Browser öffnen und PW-Manager nutzen) stets den Key bestätigen muss, ABER dass ich das am Handy nicht permanent machen muss? Also Unterwegs hätte ich den Key ja immer dabei am Schlüsselbund, aber wenn ich zuhause bin, liegt der Schlüssel/Key woanders, nie in der Hosentasche und ich gehe in der Freizeit echt sehr oft ans Handy, alle paar Minuten auf YT, IG, FB, Mails checken etc. Wenn ich mich dann jeden Tag 50-200 Mal erst über NFC/Key anmelden müsste wäre das ein absolutes No-Go. Wie sieht es hier in der Praxis aus? Ist es konfigurierbar dass ich mich einmal am Tag morgens mit dem Key authentifiziere (in allen Apps/Diensten gleichzeitig!) und gut ist? Oder kann man die Zeitintervalle noch genauer einstellen? Oder sogar App-weise?

c) Ist es überhaupt notwendig dass ich mich am Handy authentifiziere? Weil es ist ja mein vertrauenswürdiges Gerät (und bei Diebstahl eh über Fingerabdruck gesperrt). Ist es nicht möglich dass die komplette Authentifizierung NUR DANN mittels Key benötigt wird, sobald jemand versucht, über ein anderes, neues Gerät, neuer Browser oder aus einem anderen Land sich einzuloggen? Die Dienste müssten doch intelligent genug sein um das zu unterscheiden? Also jetzt trotz 2FA (Authenticator) bei all meinen Apps ist es ja auch so, dass ich am Handy nie irgendwas authentifizieren muss, nur ab und zu bei Windows Live. So würde ich es gerne beibehalten.

d) Wie ist der genaue Entsperr-YubiKey-Ablauf? Wieviele Klicks notw.? Also wenn ich eine App auf Handy öffne: kommt direkt eine Zwischenmeldung mit Aufforderung Key dran halten (was ich dann mache) und ohne einen weiteren Klick werde ich dann direkt zur App geleitet? Oder dazwischen noch Fingerabdruck? Oder ist sogar noch nen Klick auf den Knopf notwendig, so dass ich sogar gezwungen bin jedes Mal den Key aus der Hosentasche zu holen? Oder ist soetwas optional einstellbar? Irgendwer bei FB meinte dass man erst das Handy 3 mal vor den Stick halten muss und 2 mal irgendwie was bestätigen muss, kann mir das nicht vorstellen.

e) ist der GoogleDienst am Handy nicht eh dauerhaft aktiv? Wenn ich nicht mal Apps wie gMail nutze sondern nur mal Kalendereinträge machen oder ansehen möchte, müsste ich selbst dafür mich mit dem Key authentifizieren? Was ist mit Widgets? Zeigen die den Inhalt von gMail/Kalender/Tasks weiterhin an? Wie ist es mit Google Tabellen (nutze ich haufenweise jeden Tag)?

f) Reichen für die Dienste wo ich eh Backup-Codes mir einmalig offline speichern kann, nicht auch einfach 2 Yubikeys, und für die restlichen paar sehr wichtigen Dinge wie Passwortmanager Bitwarden kaufe ich mir noch 1-2 zusätzliche Backup-Keys von Thetis für 1/3 des Preises?

 

[GrumpyCat]

Öh in b) hast Du völlig übertrieben panische Angst, dass Dein PC jeden Moment gehackt wird, und in c) sagst Du, dass Dein Handy aber total vertrauenswürdig ist? Ich würde da mal einen Reality Check machen.

Wie genau Security Tokens genutzt werden und genutzt werden können, hängt vom jeweiligen Dienst ab. Bei GitHub und Google etc. auf dem Desktop braucht man das Token immer dann, wenn man sich neu einloggt, oder seltener ab und zu zwischendurch. Wie das Mobil läuft, weiß ich nicht, vermutlich ähnlich.

Bei manchen Diensten wie z.B. Bankenkrams wird das Token natürlich dann bei jeder Transaktion angefordert.

Entsperren und Registrierung auf dem Desktop braucht jeweils genau eine Berührung des Tokens.

Oh und noch zu a), Yubikey ist ganz nett, aber bringt gegenüber TOTP mMn wenig sicherheitsrelevante Vorteile, sondern eher den Nachteil, dass man davon keine Kopie/Backup machen kann, der gemischte Einsatz Mobil/Desktop etwas sperrig ist und bei der Version ohne Fingerabdruckleser das ganze Konzept auch etwas fragwürdig ist.

Wenn man den Key für PGP einsetzt, ist das wieder was ganz anderes, da ist der sehr sinnvoll.

 

[BeBur]

a)

Extremst unwahrscheinlich. Vor allem, wenn du nur Smartphone einsetzt, die noch Sicherheitsupdates erhalten.

(und bei Diebstahl eh über Fingerabdruck gesperrt)

Wenn dir Sicherheit wichtig ist, dann solltest du das durch eine PIN ersetzen.

 

[madmax2010]

meine HauptAccounts (gMail, Windows Live, Bitwarden (wohl Premium) sowie FB, meine Dienste hat und ohne mein Wissen

Nur zum Verständnis: du nutzt einen online passwort Manager, bei dem du einem Dienstleister extern mit deinen Passwörtern vertraust, und du machst dir Sorgen über Sicherheit?
Oder ist es eine private, nicht aus dem Internet erreichbare Bitwarden Instanz?

a) Wie wahrscheinlich ist es OHNE YubiKeys, wenn ich wirklich vorsichtig bin (Phishing-Mails, Virenscanner auf Handy (welchen am besten?) und Windows, Vorsichtig bei kleineren unbekannteren Apps (-> virtuelle Sandbox erst testen etc) bin, dass wirklich jemand Zugriff auf mein Handy bekommt und den Authenticator auslesen und auch wirklich missbrauchen kann (live Änderungen aus der Ferne durchführt)?

Musst du beim Google authenticator garnicht lange suchen: https://retool.com/blog/mfa-isnt-mfa/
Naja.. Was ich oben zu externen Dienstleistern gesagt habe gilt halt auch hier.
Antiviren tun das Gegenteil dessen was man will, wenn man sein System absichern will. Schau, dass dein Handy aktuelle Sicherheits Updates bekommst und du möglichst viel Werbung blocks5

b) kann man den Yubikey oder die Dienste so konfigurieren, dass wenn ich am PC bin, meine Konten stets geschützt sind, ich also für die meisten oder alle Aktionen (Browser öffnen und PW-Manager nutzen) stets den Key bestätigen muss, ABER dass ich das am Handy nicht permanent machen muss? Also Unterwegs hätte ich den Key ja immer dabei am Schlüsselbund, aber wenn ich zuhause bin, liegt der Schlüssel/Key woanders, nie in der Hosentasche und ich gehe in der Freizeit echt sehr oft ans Handy, alle paar Minuten auf YT, IG, FB, Mails checken etc. Wenn ich mich dann jeden Tag 50-200 Mal erst über NFC/Key anmelden müsste wäre das ein absolutes No-Go.

Du brauchst für den login bei diensten pro Session einmalig den key. ob auf dem handy oder desktop, ob u2f oder otp, 1x brauchst du ihn. Wielang die sesseion dauert, liegt an den Einstellungen des Anbieters.

c) Ist es überhaupt notwendig dass ich mich am Handy authentifiziere?

ja

Weil es ist ja mein vertrauenswürdiges Gerät (und bei Diebstahl eh über Fingerabdruck gesperrt).

warum ist das für dich vertrauenswürdig? Dabraucht es nur einmal Lücke einem deiner Funkmodule, meist bluetooth oder wlan, geben und jemand kann auf deinem Handy im vorbeigehen angrefien

Die Dienste müssten doch intelligent genug sein um das zu unterscheiden?

nutz die jeweiligeapp, so lange sie gepfelgt wird. Nutze App Passwörter. erlaubendir fast alle großen Dienste

d) Wie ist der genaue Entsperr-YubiKey-Ablauf? Wieviele Klicks notw.? Also wenn ich eine App auf Handy öffne: kommt direkt eine Zwischenmeldung mit Aufforderung Key dran halten (was ich dann mache) und ohne einen weiteren Klick werde ich dann direkt zur App geleitet? Oder dazwischen noch Fingerabdruck? Oder ist sogar noch nen Klick auf den Knopf notwendig, so dass ich sogar gezwungen bin jedes Mal den Key aus der Hosentasche zu holen? Oder ist soetwas optional einstellbar? Irgendwer bei FB meinte dass man erst das Handy 3 mal vor den Stick halten muss und 2 mal irgendwie was bestätigen muss, kann mir das nicht vorstellen.

Kommt drauf an ob totp oder u2f..

e) ist der GoogleDienst am Handy nicht eh dauerhaft aktiv? Wenn ich nicht mal Apps wie gMail nutze sondern nur mal Kalendereinträge machen oder ansehen möchte, müsste ich selbst dafür mich mit dem Key authentifizieren? Was ist mit Widgets? Zeigen die den Inhalt von gMail/Kalender/Tasks weiterhin an? Wie ist es mit Google Tabellen (nutze ich haufenweise jeden Tag)?

Nutze App Passwörter. Die apps erlauben dir oft ohnehin kein totp / u2f

f) Reichen für die Dienste wo ich eh Backup-Codes mir einmalig offline speichern kann, nicht auch einfach 2 Yubikeys,

kommt drauf an ob du totp oder u2f willst. u2f ist angenehmer, aber viele supporten da nur einen einzelnen key.

und für die restlichen paar sehr wichtigen Dinge wie Passwortmanager Bitwarden kaufe ich mir noch 1-2 zusätzliche Backup-Keys von Thetis für 1/3 des Preises?

thetis... eine firma, die kein gescheites impressum hat, deren website aus nichts als einershopify seite besteht, die angelich aus den USA kommt und doch englische Grammatikfehler auf der website hat..Wirkt irgendwie scammy.. Dann doch lieber Nitrokey oder Yubikey..

 

[M@rsupil@mi]

100%ig verhindern möchte

100% gibt es nicht. Risiken hat man immer und die 'Gefahr' kann von überall kommen.

Das kann der böse 'Hacker' sein (primär schlecht gesicherte Logins oder via 'User installiert sich die Malware freiwillig selbst'), aber genauso jemand, der einfach (zum falschen Zeitpunkt) das Gerät in die Finger bekommt / darauf Zugriff hat (dann hängt z.B. deine Sicherheit nur noch am Fingerabdruck, so wie du es beschreibst) und am Ende kann man auch als Benutzer Fehler machen / sich selbst aussperren (insbesondere wenn ein Weg / Gerät zu Authentifizierung ausfällt).

Deswegen nicht die zusätzlichen Wege für Account Login & Recovery vergessen.

überhaupt notwendig dass ich mich am Handy authentifiziere? Weil es ist ja mein vertrauenswürdiges Gerät (und bei Diebstahl eh über Fingerabdruck gesperrt)

So etwas ist der feine Grad zwischen Bequemlichkeit und Sicherheit. In dem Fall hängt deine komplette Sicherheit einzig und allein vom Schutz beim Fingerabdruck ab (und davon sind einige auf dem Gerät^^).

 

[M.B.H.]

Danke erstmal für die vielen Tipps!
Dass ich Bitwarden lokal speichere habe ich auch schon in Betracht gezogen, sobald ich es aber wieder für Endgeräte (Handy/Surface, mit denen ich auch oft neue LogIns und sensible Daten speichere) synchronisiere, egal über welche Cloud, habe ich aber wieder das selbe Problem, dann könnte ich auch gleich bei bidwarden Cloud bleiben, oder sehe ich das falsch? Nach dem was ich gelesen habe kann bitwarden garnicht in meine Passwörter schauen. Und wenn ich Bitwarden wirklich permanent über nen YubiKey sichere, auch mobil, dann kann ja im prinzip nie jemand wirklich in meinen Bitwarden-Tresor und auf einmal alle Passwörter auslesen, höchstens über keylogging ein paar mit der Zeit mitsniffen.
Okey, zusätzliche App-Passwörter werde ich auch mal einrichten, habe ehrlichgesagt noch bei keiner einzigen App die Möglichkeit gesehen ein zus. Passwort zu vergeben.
Warum ist der Fingerabdruck-Scanner vom Handy unsicherer als nen Pin? Habe gelesen dass die neuen Scanner (in neueren Samsungs (in meinem Fall S21U, demnächst S24U), sehr save sind und nach paar falschen Scanns wird ja eh auf Pin gewechselt. Oder kann man bei aktiviertem Fingerabdruck-Entsperrmechanismus das Handy "einfacher" hacken/ über irgend eine Software "öffnen" als wenn man direkt nur über Pin sperrt? Da fehlen mir leider die Hintergründe.
Ich habe derzeit AVM Virenscanner fürs S21U installiert mit der Hoffnung, dass das etweas bringt und Spyware erkennen würde. Gibts bessere Methoden?
Dass ich zusätzlich überall wo es möglich ist Recovery-Codes offline sicher wegspeichere ist selbstverständlich und werde ich nicht vergessen.
-
Frage: U2f: wenn man da nur einen Key angeben kann, was ist denn dann wenn genau dieser Key defekt wäre, schließt man sich dann komplett selber aus sofern der Dienst keine BackupCodes supportet?

 

[madmax2010]

Ich habe derzeit AVM Virenscanner fürs S21U installiert mit der Hoffnung, dass das etweas bringt und Spyware erkennen würde. Gibts bessere Methoden?

Sicherheitsupdates.
Falls du den AVG Virenscanner meinst: Der ist von Avast. Die bude ist schon dadurch aufgefallen, dass ihre Programme sich wie schadsoftware verhalten. Aka: Kunden verunsicher, ueber die AGB hinaus ausspionieren, Gesicherte Verbindungen aufbrechen und nicht wieder gescheit absichern, Tastatureingaben aufzeichnen.. etc.
Wobei dein S21 mindestens letzteres auch tut. Man will ja wissen was du tippst.

egal über welche Cloud, habe ich aber wieder das selbe Problem, dann könnte ich auch gleich bei bidwarden Cloud bleiben, oder sehe ich das falsch?

Passwörter, die du im Internet, auf welcherplattform auch immer, ablegst, werden früher oder später, von irgend wem herausgetragen. Jeder der dir garantiert, dass das niemals passieren kann, lügt dich an.

Frage: U2f: wenn man da nur einen Key angeben kann, was ist denn dann wenn genau dieser Key defekt wäre, schließt man sich dann komplett selber aus sofern der Dienst keine BackupCodes supportet?

wenn ein dienst dir, egal bei welchem verfahren, nicht mindestens einen Weg zur rettung des Accounts anbietet, wuerde ich diesen Dienst meiden. U2F und TOTP kannst du aber eig. immer kombinieren

 

[BeBur]

Ich rate dir, mach es nicht zu kompliziert. Es wird nicht die CIA kommen und versuchen dein Computerbase-Passwort auszuspähen. Schau dir lieber an, was tatsächlich draußen in der Welt passiert.

• Phishing, in den meisten Fällen hilft der Nutzer aktiv mit
• Selber die Schadsoftware installieren ist dann die nächste Stufe. Du brauchst unbedingt diesen Minecraft-Mod oder dieses Cheat-Tool oder oder
• Gleiche Passwörter, beliebt ist Passwort für E-Mail auch verwendet für Account X und über den E-Mail Account kommt man an sehr viele weitere Daten und Logins. Absicherung deiner aktiv genutzten E-Mail Accounts ist daher wichtig.
• Sicherheitslücken bei veralteter Hardware/Software, das kann der Windows 7 Rechner sein, kann der uralt Router sein oder das 8 Jahre alte Smartphone. Oder eben der alte Browser bzw. Email Programm

Sobald du irgendeinen Passwortsafe verwendest und irgendeine Zwei-Faktor-Methode bist du direkt so sicher, dass es 10mal wahrscheinlicher ist, dass du dich selber aussperrst, weil Backupcodes verloren "war da nicht dieses Hochwasser im Keller vor 8 Jahren?", "hatte ich nicht einen Reservekey irgendwo rumliegen?", "wieso funktioniert das mit dem Reservekey jetzt nicht?", "hab ich irgendwo noch eine Kopie von dem Safe?"

 

[Azdak]

Wenn du jetzt nicht gerade zu einer besonders bedrohten Personengruppe gehörst, sollten eigentlich die Basics reichen. Sprich Software aktuell halten, einen Passwortmanager sowie MFA nutzten, "Angemeldet bleiben" möglichst meiden und auf Geräten, die sicherheitsrelevant sind, nicht einfach jeden Scheiß machen.

Gehörst du zu einer besonders bedrohten Personengruppe, dann sollten dich andere und nicht wir hier im Forum dich beraten. Denn, was machst du z.B. gegen den netten Herren, der dein Gesicht solange mit seiner Faust bearbeitet, bis du ihn das Passwort sagst und den Key aushändigst?

Zum YubiKey
Damit bist du schon sehr weit vorne, aber auch dieser ist nicht unfehlbar. Zur Benutzung und den Möglichkeiten hat ja @madmax2010 schon einiges erzählt. Bei mir auf iOS funktioniert der Key z.B. bei Passbolt wunderbar, bei Paypal aber nur am PC. Am Handy bekomme ich die Meldung von PayPal, dass der nicht unterstützt wird und ich einen anderen Weg wählen soll.
Der Stick ist an einigen Stellen für mich einfacher und schneller als ein TOTP. Manchmal steckt man den Key nur ein und betätigt kurz das Touchfeld, manchmal muss er per PIN geschützt werden. Bei GCP kann man einen YubiKey grundsätzlich nur im Doppelpack hinterlegen, bei MS geht auch einer.
Hier heißt es leider ausprobieren. Zumindest mir war es das Geld wert.

 

[M.B.H.]

Sorry, habe den Text hier aus Sicherheitsgründen mal gelöscht

 

[M@rsupil@mi]

Ein wenig komisch ist es dann aber schon. Du möchtest es sicher haben, hast mit LastPass quasi live erlebt, wie gefährlich Passwörter in der Cloud beim Anbieter sind und dann setzt du gleich auf die nächste PW-Cloud?

Um die Passwortzurücksetz-Mail zu unterbinden musst du bei den Diensten andere Login-Daten verwenden (Benutzername / E-Mail, was halt für die Rücksetzung angestoßen werden kann).

 

[Andreas1402]

@M.B.H. Du kannst, wenn du einen kleinen Privaten Server zu Hause einrichtest, Bitwarden darauf installieren und von diesem synchronisieren.