Ausblick

Das weitere Einsatzfeld des YubiKey umfasst beispielsweise die Anbindung an einen OpenID-Provider [16] sowie die Kombination mit den Pluggable Authentication Modules (PAM), Secure Shell (SSH) und einem Radius-Server. Damit können Sie sich mit dem YubiKey unter Verwenden eines statischen oder dynamischen Passworts an ihrem Linux-System anmelden.

Möchten Sie einen eigenen Autorisierungsserver über Yubico OTP und HOTP/OATH aufsetzen, stehen passende Debian-Pakete bereit. Zur Einrichtung ist jedoch das Wissen um die Protokolle zur Authentifizierung unumgänglich ([17],[18]). Einen ersten Einblick zu weiteren Einsatzszenarien erhalten Sie unter [19].

Teil 2 dieser Serie befasst sich mit der Programmierung des YubiKey unter Linux. Zur Sprache kommen dabei die Installation der Pakete sowie die Konfiguration eines SSH-Servers und eines Webdienstes in Kombination mit einem YubiKey. 

Glossar

OTP

One-time Password. Ein solches Einmalpasswort gilt nur für eine einzige Verwendung und lässt sich kein zweites Mal nutzen. Dadurch ist das OTP sicher gegen Mithören und Replay-Attacken.

HMAC

Keyed-Hash Message Authentication Code. Ein MAC erfordert als Eingabeparameter die zu schützenden Daten sowie einen geheimen Schlüssel. Daraus berechnet ein Verfahren eine Prüfsumme, den eigentlichen MAC. Dessen Berechnung beruht bei HMAC auf einer kryptografischen Hash-Funktion. HMACs kommen beispielsweise bei SSH, TLS und IPSec zum Einsatz.

Infos

[1] Biometrie-Debatte, "Schäubles Fingerabdruck": http://www.ccc.de/updates/2008/schaubles-finger

[2] Gnome Keyring: http://live.gnome.org/GnomeKeyring

[3] Passwortsicherheit: Tim Schürmann, "Sicherer Zeichensalat", LU 09/2012, S. 12, http://www.linux-community.de/26415

[4] Yubico Ltd.: http://www.yubico.com

[5] Wiki zu YubiKey: https://sarwiki.informatik.hu-berlin.de/Yubikey

[6] Yubico-Protokoll: http://code.google.com/p/yubikey-val-server-php/wiki/ValidationProtocolV20

[7] YubiCloud: http://www.yubico.com/yubicloud

[8] Libyubikey: http://packages.debian.org/squeeze/libyubikey0

[9] Yubikey-Server ("Squeeze"): http://packages.debian.org/squeeze/yubikey-server-c

[10] OATH: http://www.openauthentication.org/

[11] David Anderson, "Hybrid one-time authentication on Ubuntu Server": http://blog.natulte.net/posts/2010-06-06-hybrid-hotp-auth.html

[12] R.Mollon/R.Wartel: "Using YubiKey as a second authentication factor for SSH": https://twiki.cern.ch/twiki/bin/view/Main/Yubikeys

[13] YubiKey-Anbindung an GMail: http://yubico.com/totp

[14] "Personalizing yubikeys for passphrase management": http://s3hh.wordpress.com/2011/10/28/personalizing-yubikeys-for-passphrase-management/

[15] YubiKey-Plugin für Wordpress: http://wordpress.org/extend/plugins/yubikey-plugin/

[16] YubiKey-OpenID-Server: http://code.google.com/p/yubico-openid-server/

[17] YubiKey-Server ("Wheezy"): http://packages.debian.org/wheezy/yubiserver

[18] Einführung in das OATH-Toolkit: http://blog.josefsson.org/2011/01/20/introducing-the-oath-toolkit/

[19] Einsatzszenarien zu YubiKey: http://www.yubico.com/personal-use

[] Die Autoren bedanken sich bei Wolfram Eifler und Stefan Schumacher für deren kritische Anmerkungen, Kommentare und Ergänzungen im Vorfeld dieses Artikels.

[] Thomas Osterried verwendet Linux seit Anfang der 90er Jahre und arbeitet als Freelancer mit Linux systemnah in den Bereichen Virtualisierung, Embedded Systeme in LAN und WLAN.

[] Frank Hofmann (http://www.efho.de) hat Informatik an der Technischen Universität Chemnitz studiert. Der Spezialist für Druck und Satz koordiniert seit 2008 das Regionaltreffen der Linux User Groups aus der Region Berlin-Brandenburg.

[] Beide Autoren arbeiten in in Berlin im Büro 2.0 , einem Open-Source Experten-Netzwerk, und sind darüberhinaus Mitgründer des Schulungsunternehmens Wizards of FOSS.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 5 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

Kommentare
Mehrere Dienste mit einem YubiKey?!
Arno (unangemeldet), Sonntag, 26. Oktober 2014 20:17:21
Ein/Ausklappen

Super Artikel,

ich habe aber noch eine /vielleicht was doofe) Frage:

- Kann ich also mit nur EINEM YubiKey mehrere Dienste (zB. Google 2-Step-Auth UND WOrdpress 2-Step-Auth UND Windows Login) nutzen? Oder brauche ich für jeden Dienst einen eigenen USB/NFC Schlüssel?

Dank Euch!
Arno


Bewertung: 272 Punkte bei 77 Stimmen.
Den Beitrag bewerten: Gut / Schlecht
-
Re: Mehrere Dienste mit einem YubiKey?!
Jörg Luther, Dienstag, 28. Oktober 2014 11:56:56
Ein/Ausklappen

Ich habe mal den Autor befragt. Seine Auskunft: Ein Schlüssel genügt, um damit mehrere Dienste abzusichern. Es wird jedesmal ein eindeutiger Zugang/Key erzeugt. Es ist ratsam, einen Zweitschlüssel zu hinterlegen. Das geht definitiv über PAM (lokal), die Webdienste sind nach Meinung des Autors da noch nicht ganz so weit. Der Zweitschlüssel sichert den Fall ab, dass der Erstschlüssel kaputtgeht, Sie ihn verlieren oder er gestohlen wird.

Herzliche Grüße
Jörg Luther
Chefredakteur


Bewertung: 245 Punkte bei 80 Stimmen.
Den Beitrag bewerten: Gut / Schlecht
-
Re: Mehrere Dienste mit einem YubiKey?!
Arno (unangemeldet), Dienstag, 28. Oktober 2014 22:56:09
Ein/Ausklappen

Super, danke für die schnelle Antwort!


Arno


Bewertung: 291 Punkte bei 86 Stimmen.
Den Beitrag bewerten: Gut / Schlecht

Infos zur Publikation

LU 02/2018: PAKETE VERWALTEN

Digitale Ausgabe: Preis € 5,95
(inkl. 19% MwSt.)

LinuxUser erscheint monatlich und kostet 5,95 Euro (mit DVD 8,50 Euro). Weitere Infos zum Heft finden Sie auf der Homepage.

Das Jahresabo kostet ab 86,70 Euro. Details dazu finden Sie im Computec-Shop. Im Probeabo erhalten Sie zudem drei Ausgaben zum reduzierten Preis.

Bei Google Play finden Sie digitale Ausgaben für Tablet & Smartphone.

HINWEIS ZU PAYPAL: Die Zahlung ist ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!

Stellenmarkt

Aktuelle Fragen

JQuery-Script läuft nicht mit Linux-Browsern
Stefan Jahn, 16.02.2018 12:49, 2 Antworten
Hallo zusammen, ...folgender goldener Code (ein jQuery-Script als Ergebnis verschiedener Exper...
XSane-Fotokopie druckt nicht mehr
Wimpy *, 30.01.2018 13:29, 0 Antworten
openSuse 42.3 KDE 5.8.7 Seit einem Software-Update druckt XSane keine Fotokopie mehr aus. Fehler...
TOR-Browser stürzt wegen Wikipedia ab
Wimpy *, 27.01.2018 14:57, 0 Antworten
Tor-Browser 7.5 based on Mozilla Firefox 52.8.0 64-Bit. Bei Aufruf von http: oder https://de.wi...
Wifikarte verhindert Bootvorgang
Maik Kühn, 21.01.2018 22:23, 1 Antworten
iwlwifi-7265D -26 failed to load iwlwifi-7265D -25 failed to load iwlwifi-7265D -24 failed to l...
sharklinux
Gerd-Peter Behrendt, 18.01.2018 23:58, 2 Antworten
Hallo zusammen, ich habe sharklinux von der DVD Installiert. 2x, jedesmal nach dem Reboot ist di...