Keine faulen Kompromisse

Innerhalb der letzten Jahre etablieren sich Stück für Stück auch andere Verfahren zur Authentifizierung unter Verwendung zusätzlicher Hardware und dem Grundsatz der Zwei-Faktor-Authentifizierung. Letztere basiert auf einem Geheimnis, das Sie besitzen (Faktor 1) und einem weiteren Geheimnis, welches Sie kennen (Faktor 2). Nur wenn Sie zeitgleich beide Geheimnisse vorweisen können, erhalten Sie Zugang auf die damit abgesicherte Ressource. Der wohl bekanntester Vertreter dieser Gattung ist die EC-Karte mit den Kartendaten auf dem Magnetstreifen respektive dem Kartenchip als Faktor 1 und der PIN als Faktor 2.

Zum Einsatz kommt verschiedenste Hardware, beispielsweise Magnetkarten, Smartcards und RFID-Karten, der neue Personalausweis und bald auch die Krankenkassenkarte, One Time Passwords In Everything (OPIE) und Token (eToken, OTP-Token). Ebenfalls in Gebrauch sind PGP/GPG-USB-Speicher sowie biometrische Scanner für den Abgleich mit dem Fingerabdruck, der Iris oder dem gesamten Gesicht.

Die Alltagstauglichkeit einer Authentifizierungslösung wird an den Attributen "bezahlbar", "einfach merkbar", "praktisch nutzbar" und "handhabbar" sowie "sicher" und "zuverlässig" gemessen. Häufig gelingt nur ein Kompromiss mit mehr oder weniger großen Abstrichen. Für Systemadministratoren entsteht bei der Integration der einzelnen Komponenten zur Authentifizierung und der Wartung der ausgerollten Lösung mitunter ein enormer Aufwand. Das betrifft insbesondere die Aktualisierung beteiligter Software. In der Praxis klappt ein stabiles Zusammenspiel der Komponenten meist nur mit ausgewählten Versionen, deren Abstimmung untereinander oft zum Geduldsspiel ausufert.

YubiKey

Das international tätige Unternehmen Yubico [4] bietet seit 2008 mit dem YubiKey eine vielversprechende Lösung an. Dabei handelt es sich um einen OTP-Token von der Größe und Form eines USB-Sticks (Abbildung 1). Über die USB-Schnittstelle wird das Token vom Hostsystem mit Strom versorgt, es verfügt weder über eine Batterie noch über bewegliche Teile. Der YubiKey beeindruckt durch sein geringes Gewicht von 2 Gramm, ist zudem sehr dünn, bruchsicher und vor allem wasserdicht. Ob er allerdings häufige Spülgänge in der Waschmaschine überlebt, bedarf einer größeren Stichprobe. Zwar gibt es entsprechende (unfreiwillige) Erfolgsgeschichten, wir würden uns aber nicht darauf verlassen wollen.

Durch das kleine Loch eignet sich der YubiKey zur Befestigung am Schlüsselbund (wovon wir abraten) oder Halsband. Über den Fachhandel bezogen, liegt der Endpreis um die 25 Euro. Für einfache Anwendungsfälle braucht man auf dem Hostsystem keine weitere Software: Der YubiKey funktioniert ab Auslieferung, und das unabhängig von Betriebssystem.

Im Fokus dieses Beitrags steht der YubiKey 2, doch viele der im Folgenden genannten Details lassen sich ohne Abstriche auf die Varianten YubiKey Nano und Neo (für Android) sowie RFID YubiKey übertragen. Der Nano hat einen sehr kleinen Formfaktor, der Neo beherrscht zusätzlich Near Field Communication (NFC). Der RFID-YubiKey lässt sich über kontaktlose Radio-Frequency Identification nutzen.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 5 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

Kommentare
Mehrere Dienste mit einem YubiKey?!
Arno (unangemeldet), Sonntag, 26. Oktober 2014 20:17:21
Ein/Ausklappen

Super Artikel,

ich habe aber noch eine /vielleicht was doofe) Frage:

- Kann ich also mit nur EINEM YubiKey mehrere Dienste (zB. Google 2-Step-Auth UND WOrdpress 2-Step-Auth UND Windows Login) nutzen? Oder brauche ich für jeden Dienst einen eigenen USB/NFC Schlüssel?

Dank Euch!
Arno


Bewertung: 260 Punkte bei 64 Stimmen.
Den Beitrag bewerten: Gut / Schlecht
-
Re: Mehrere Dienste mit einem YubiKey?!
Jörg Luther, Dienstag, 28. Oktober 2014 11:56:56
Ein/Ausklappen

Ich habe mal den Autor befragt. Seine Auskunft: Ein Schlüssel genügt, um damit mehrere Dienste abzusichern. Es wird jedesmal ein eindeutiger Zugang/Key erzeugt. Es ist ratsam, einen Zweitschlüssel zu hinterlegen. Das geht definitiv über PAM (lokal), die Webdienste sind nach Meinung des Autors da noch nicht ganz so weit. Der Zweitschlüssel sichert den Fall ab, dass der Erstschlüssel kaputtgeht, Sie ihn verlieren oder er gestohlen wird.

Herzliche Grüße
Jörg Luther
Chefredakteur


Bewertung: 230 Punkte bei 67 Stimmen.
Den Beitrag bewerten: Gut / Schlecht
-
Re: Mehrere Dienste mit einem YubiKey?!
Arno (unangemeldet), Dienstag, 28. Oktober 2014 22:56:09
Ein/Ausklappen

Super, danke für die schnelle Antwort!


Arno


Bewertung: 265 Punkte bei 71 Stimmen.
Den Beitrag bewerten: Gut / Schlecht

Infos zur Publikation

LU 11/2017: Server für Daheim

Digitale Ausgabe: Preis € 8,50
(inkl. 19% MwSt.)

LinuxUser erscheint monatlich und kostet 5,95 Euro (mit DVD 8,50 Euro). Weitere Infos zum Heft finden Sie auf der Homepage.

Das Jahresabo kostet ab 86,70 Euro. Details dazu finden Sie im Computec-Shop. Im Probeabo erhalten Sie zudem drei Ausgaben zum reduzierten Preis.

Bei Google Play finden Sie digitale Ausgaben für Tablet & Smartphone.

HINWEIS ZU PAYPAL: Die Zahlung ist ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!

Stellenmarkt

Aktuelle Fragen

Lieber Linux oder Windows- Betriebssystem?
Sina Kaul, 13.10.2017 16:17, 2 Antworten
Hallo, bis jetzt hatte ich immer nur mit
IT-Kurse
Alice Trader, 26.09.2017 11:35, 2 Antworten
Hallo liebe Community, ich brauche Hilfe und bin sehr verzweifelt. Ih bin noch sehr neu in eure...
Backup mit KUP unter Suse 42.3
Horst Schwarz, 24.09.2017 13:16, 3 Antworten
Ich möchte auch wieder unter Suse 42.3 mit Kup meine Backup durchführen. Eine Installationsmöglic...
kein foto, etc. upload möglich, wo liegt mein fehler?
kerstin brums, 17.09.2017 22:08, 5 Antworten
moin, zum erstellen einer einfachen wordpress website kann ich keine fotos uploaden. vom rechne...
Arch Linux Netzwerkkonfigurationen
Franziska Schley, 15.09.2017 18:04, 0 Antworten
Moin liebe Linux community, ich habe momentan Probleme mit der Einstellung des Lan/Wlan in Arc...