AA_buchstaben_sxc-624069_StephenTainton.jpg

© Stephen Tainton, sxc.hu

Sichere Authentifizierung mit dem YubiKey

Ausbuchstabiert

,
1001 Passworte verwalten: Ein Alptraum. Passwortzettel am Monitor: Keine gute Idee. Passwort zu kompliziert und vergessen: Ärgerlich. Der YubiKey löst all diese Probleme und ist kinderleicht zu handhaben.

Viele Dienste, Geräte und Systeme, die wir im Alltag nutzen, speichern persönliche oder sensible Daten. Wir erwarten, dass nur berechtigten Nutzer Zugang zu diesen Daten erhalten. Das umfasst nur einen begrenzten Personenkreis und im Minimalfall niemand außer uns selbst.

Systemadministratoren stehen vor der Herausforderung, jeden Zugriff verlässlich abzusichern. Bei eigenverantwortlich konzipierten, umgesetzten und nach der Inbetriebnahme kontinuierlich weiter betreuten Systemen gelingt das häufig am besten. Von Dritten entwickelte und -gewartete Systeme setzen Vertrauen dahingehend voraus, dass fremde Ingenieure die eigenen Sicherheitsvorstellungen mittragen und diese konsequent umsetzen. Ein Zugriffsschutz lässt sich durch Verschlüsselung der Daten oder durch die Kontrolle des Zugangs zum System (Autorisierung) realisieren. Dieser Artikel fokussiert auf die Autorisierung.

Zugangskontrolle

Die derzeit meistgenutzte Form der Zugangskontrolle besteht aus den beiden Komponenten Benutzerkennung ("Login") und Geheimnis ("Secret").

Die Benutzerkennung setzt sich aus einzelnen Buchstaben oder Ziffern zusammen, die häufig ein lesbares Wort ergeben, etwa einen Benutzernamen. Das Geheimnis besteht meist aus einer Folge von Buchstaben, Ziffern und Sonderzeichen und wird als Personal Identification Number (PIN) oder Passwort bezeichnet.

In der analogen Welt entspricht die Funktion des Passwort der eines Schlüssels. Verlieren sie ihn, können Unbefugte das damit verbundene Objekt für sich selbst benutzen. Als Alternativen zu Passwörtern kommen inzwischen häufig eindeutige, persönliche Merkmale zum Einsatz, als beispielsweise ein biometrischer Fakt wie ein Fingerabdruck oder eine Irisstruktur.

Dass Biometrie mehr Sicherheit nur vorgaukelt, zeigt die Vervielfältigung gesammelter Fingerabdrücke und deren Verbreitung derer in einem Sammelalbum durch den Chaos Computer Club [1].

Vom Einzelfall zur Datensammlung

Viele Anwender überblicken mittlerweile ihre Sammlung an Zugangsdaten kaum mehr. Gestaltete sich die Situation früher die Situation noch recht einfach und überschaubar, merken sich inzwischen Programme wie Webbrowser oder Mailclient die Zugangsdaten. Daher empfiehlt sich die Nutzung von zusätzlichen Programmen wie etwa von Gnome Keyring [2] zum Verwalten eines digitalen Schlüsselbundes, mit dem Sie die Masse an Informationen bändigen und sicher verwahren. Kommerzielle Dienste wie Clipperz oder LastPass versprechen eine sichere und insbesondere standort- und geräteunabhängige Ablage ihrer Zugangsdaten.

Je mehr verschiedene Zugänge Sie verwenden, desto schwerer fällt naturgemäß die Zuordnung zwischen Gerät, Dienst und den passenden Zugangsdaten. Das bleibt nicht ohne Einfluss auf die Auswahl der Passwörter und führt oft zu deren nicht ganz ungefährlicher Wiederverwendung. Welche Zeichenfolge man wählt, hängt oft vom Sicherheitsverständnis ab, aber auch vom Glauben und vom eigenen Weltbild. Ebenso spielen die Lebenserfahrung, die Fantasie und der Kreativität des Einzelnen mit hinein. Als Anregung zu dieser Thematik sei auf den Artikel "Sicherer Zeichensalat" [3] verwiesen: Er beschreibt detailliert, nach welchen Kriterien Sie ein sicheres Passwort wählen sollten.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 5 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

Kommentare
Mehrere Dienste mit einem YubiKey?!
Arno (unangemeldet), Sonntag, 26. Oktober 2014 20:17:21
Ein/Ausklappen

Super Artikel,

ich habe aber noch eine /vielleicht was doofe) Frage:

- Kann ich also mit nur EINEM YubiKey mehrere Dienste (zB. Google 2-Step-Auth UND WOrdpress 2-Step-Auth UND Windows Login) nutzen? Oder brauche ich für jeden Dienst einen eigenen USB/NFC Schlüssel?

Dank Euch!
Arno


Bewertung: 262 Punkte bei 57 Stimmen.
Den Beitrag bewerten: Gut / Schlecht
-
Re: Mehrere Dienste mit einem YubiKey?!
Jörg Luther, Dienstag, 28. Oktober 2014 11:56:56
Ein/Ausklappen

Ich habe mal den Autor befragt. Seine Auskunft: Ein Schlüssel genügt, um damit mehrere Dienste abzusichern. Es wird jedesmal ein eindeutiger Zugang/Key erzeugt. Es ist ratsam, einen Zweitschlüssel zu hinterlegen. Das geht definitiv über PAM (lokal), die Webdienste sind nach Meinung des Autors da noch nicht ganz so weit. Der Zweitschlüssel sichert den Fall ab, dass der Erstschlüssel kaputtgeht, Sie ihn verlieren oder er gestohlen wird.

Herzliche Grüße
Jörg Luther
Chefredakteur


Bewertung: 226 Punkte bei 61 Stimmen.
Den Beitrag bewerten: Gut / Schlecht
-
Re: Mehrere Dienste mit einem YubiKey?!
Arno (unangemeldet), Dienstag, 28. Oktober 2014 22:56:09
Ein/Ausklappen

Super, danke für die schnelle Antwort!


Arno


Bewertung: 261 Punkte bei 62 Stimmen.
Den Beitrag bewerten: Gut / Schlecht

Infos zur Publikation

LU 08/2017: VIRTUALISIERUNG

Digitale Ausgabe: Preis € 5,95
(inkl. 19% MwSt.)

LinuxUser erscheint monatlich und kostet 5,95 Euro (mit DVD 8,50 Euro). Weitere Infos zum Heft finden Sie auf der Homepage.

Das Jahresabo kostet ab 86,70 Euro. Details dazu finden Sie im Computec-Shop. Im Probeabo erhalten Sie zudem drei Ausgaben zum reduzierten Preis.

Bei Google Play finden Sie digitale Ausgaben für Tablet & Smartphone.

HINWEIS ZU PAYPAL: Die Zahlung ist ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!

Aktuelle Fragen

Bash awk Verständnis-Frage
Josef Federl, 22.07.2017 17:46, 2 Antworten
#!/bin/bash # Skriptdateiname = test.sh spaltennummer=10 wert=zehner awk '{ $'$spaltennummer'...
Bash - verschachtelte Variablenersetzung, das geht doch eleganter als meine Lösung?
Josef Federl, 18.07.2017 20:24, 2 Antworten
#!/bin/bash #Ziel des Skriptes wird sein die ID zu extrahieren hier nur als Consolentest: root@...
Speicherplatzfreigabe mit "sudo apt-get clean" scheitert
Siegfried Böttcher, 16.07.2017 21:16, 2 Antworten
Speicherplatzfreigabe mit "sudo apt-get clean" scheitert, weil aus mir unerfindlichen Gründen im...
Möchte Zattoo vom PC am Fernsehgerät sehen können
Ilona Nikoui, 15.07.2017 18:25, 3 Antworten
Hallo, ich habe mein Fernsehgerät, ein LG 26LE3300 mit dem PC verbunden per HDMI Kabel, wie empfo...
TUXEDO und Hardwareauswahl , fragwürdig / Kritik
Josef Federl, 11.07.2017 12:44, 7 Antworten
Auf tuxedocomputers.com steht: "....Aber wir können auch Linux und das so, dass "einfach" alles...