Yubikey - richtig verwenden

[DrCox1911]

Hallo zusammen,

ich hoffe, der Bereich hier passt.
Ich habe schon seit Ewigkeiten einen Yubikey 4 (leider ohne NFC) und benutze ihn bisher nur für bitcoin.de. Gerne würde ich den Yubi jetzt aber für so gut wie alles nutzen, also bei so vielen Accounts wie möglich verwenden.

Zu meinen Anwendungsfällen zählen unter anderem (kein Anspruch auf Vollständigkeit):

• Steam
• KeepassXC
• Mail (mailbox.org)
• Github
• Bitbucket
• Onlinebanking (Consorsbank, Audibank, Sparkasse)
• Seafile (yousecurecloud)
• diverse Foren
• Youtube
• ...

Wie genau muss ich denn den Yubi konfigurieren?
Ich bin auch am überlegen mir zwei neue zu besorgen, die dann auch NFC können. Dann könnte ich nämlich einen am Schlüsselbund mitführen um unterwegs am Handy dann auch den zweiten Faktor nutzen zu können.

Bei KeepassXC strebe ich aktuell drei Datenbanken an. Eine für Mail-Konten, eine für Onlinebanking und eine für alles andere.
Den Yubi würde ich dann für alle drei verwenden, oder ist sowas dann unsicher?

Bin ehrlich gesagt von der ganzen Yubikey-Sache etwas überfordert mit all den verschiedenen Abkürzungen bei den Authentifizierungsfunktionen.

EDIT:
Und welchen Yubi würdet ihr denn empfehlen, wenn ich zwei neue kaufe (einer dient dann als Backup)?

 

[Yuuri]

Bei Golem gabs die Woche erst nen Bericht: https://www.golem.de/news/fido-sticks-im-test-endlich-schlechte-passwoerter-1903-139953.html Vielleicht wirst du da ein wenig schlauer.

Wonach du Ausschau halten musst ist (FIDO) U2F. Herkömmlicher 2FA ist mittels TOTP abgesichert - heißt über eine übliche Authenticator App, wo ein Secret generiert und ein QR Code erstellt wird, welches du dann mittels Kamera scannst und dir die App dann den Code generiert.

Bei allen großen Anbietern bekommst du eigentlich zu allen Schritten Hilfe.

Github, Google, Google von Yubico, Microsoft, Bitbucket, mailbox.org usw.

$Dienst und U2F bzw. 2FA kannst du in der Suchmaschine deiner Wahl sicherlich selbst eingeben.

 

[DrCox1911]

Danke, den Golem-Artikel kenne ich, genau aus diesem Grund wollte ich meinen Yubi jetzt endlich mal richtig einsetzen.

Die Auflistung der Dienste war eher so gedacht: Ich habe beim Yubi ja nur die zwei Konfigurationsslots zur Verfügung und blicke da irgendwie nicht so recht durch, mit welchen ich am besten/meisten Kompatibilität zu den Diensten habe.

Bei Steam nutze ich bereits den Guard übers Handy, aber will eigentlich gerne davon weg und hin zum Yubi. Auch die SMS-Codes von diversen anderen Diensten hätte ich dann gern über den Yubi.

 

[Yuuri]

Das geht nicht. Wenn der Dienst kein U2F unterstützt, stehst du im Dunkeln. PayPal bspw. kann nur SMS als 2FA (weitere Kommentare darüber spar ich mir)... Steam hat nur seinen Guard, welcher auch gleich mit dem Konto verknüpft ist (was absolut bescheuert ist). Beim Onlinebanking solltest du eigentlich bereits einen Hardwaretoken verwenden (nicht dass du ihn brauchen würdest...). Ich bezweifel allerdings, dass die Banken so fortschrittlich sind bzw. je sein werden und U2F unterstützen (gibt ja immerhin ein paar Euro für das Gerät, mit nem eigenen Key verdienen die ja nichts mehr).

Hab grad die schöne Seite gefunden: https://www.dongleauth.info Da kannst du dir ggf. auch mal ne Übersicht verschaffen.

Zum Yubikey kann ich dir leider nichts sagen, da ich keinen habe. Wollte mir eigentlich auch mal einen holen, aber hab immer wegen der imho quasi aussichtslosen Lage bzgl. der Dienste mir nie einen geholt.

Du kannst zwar TOTP mit dem Yubikey nutzen (siehe Youtube, Yubico), womit du zumindest einen Hardwarekey für die Authenticator App hast, allerdings ist der Prozess der selbe. Nummer raus suchen -> kopieren/abtippen.

 

[uigo]

Ich habe den aktuellen Nano 5 dauerhaft im Rechner.

Die Slots spielen mit der aktuellen Firmware fast keine Rolle mehr. Ich benutze wo es möglich ist U2F und bei allen anderen TOTP. Bei allen U2F-fähigen Seiten habe ich zusätzlich ein TOTP Secret erstellt und sichere die Secrets in einer verschlüsselten Textdatei als Backup, falls der Yubikey mal abhanden kommt. Die TOTP zu den U2F-fähigen Seiten braucht man auch dann, wenn man sich in die mobile Apps der Anbieter einloggen will (z.B. Dropbox, Dashlane) und keinen NFC Yubikey hat.

TOTP gleich auf dem Rechner zu erstellen, finde ich wesentlich angenehmer und schneller, als dafür das Smartphone in die Hand zu nehmen.

Nutze den ansonsten noch für Verschlüsselung mit GPG.