Keine faulen Kompromisse

Innerhalb der letzten Jahre etablieren sich Stück für Stück auch andere Verfahren zur Authentifizierung unter Verwendung zusätzlicher Hardware und dem Grundsatz der Zwei-Faktor-Authentifizierung. Letztere basiert auf einem Geheimnis, das Sie besitzen (Faktor 1) und einem weiteren Geheimnis, welches Sie kennen (Faktor 2). Nur wenn Sie zeitgleich beide Geheimnisse vorweisen können, erhalten Sie Zugang auf die damit abgesicherte Ressource. Der wohl bekanntester Vertreter dieser Gattung ist die EC-Karte mit den Kartendaten auf dem Magnetstreifen respektive dem Kartenchip als Faktor 1 und der PIN als Faktor 2.

Zum Einsatz kommt verschiedenste Hardware, beispielsweise Magnetkarten, Smartcards und RFID-Karten, der neue Personalausweis und bald auch die Krankenkassenkarte, One Time Passwords In Everything (OPIE) und Token (eToken, OTP-Token). Ebenfalls in Gebrauch sind PGP/GPG-USB-Speicher sowie biometrische Scanner für den Abgleich mit dem Fingerabdruck, der Iris oder dem gesamten Gesicht.

Die Alltagstauglichkeit einer Authentifizierungslösung wird an den Attributen "bezahlbar", "einfach merkbar", "praktisch nutzbar" und "handhabbar" sowie "sicher" und "zuverlässig" gemessen. Häufig gelingt nur ein Kompromiss mit mehr oder weniger großen Abstrichen. Für Systemadministratoren entsteht bei der Integration der einzelnen Komponenten zur Authentifizierung und der Wartung der ausgerollten Lösung mitunter ein enormer Aufwand. Das betrifft insbesondere die Aktualisierung beteiligter Software. In der Praxis klappt ein stabiles Zusammenspiel der Komponenten meist nur mit ausgewählten Versionen, deren Abstimmung untereinander oft zum Geduldsspiel ausufert.

YubiKey

Das international tätige Unternehmen Yubico [4] bietet seit 2008 mit dem YubiKey eine vielversprechende Lösung an. Dabei handelt es sich um einen OTP-Token von der Größe und Form eines USB-Sticks (Abbildung 1). Über die USB-Schnittstelle wird das Token vom Hostsystem mit Strom versorgt, es verfügt weder über eine Batterie noch über bewegliche Teile. Der YubiKey beeindruckt durch sein geringes Gewicht von 2 Gramm, ist zudem sehr dünn, bruchsicher und vor allem wasserdicht. Ob er allerdings häufige Spülgänge in der Waschmaschine überlebt, bedarf einer größeren Stichprobe. Zwar gibt es entsprechende (unfreiwillige) Erfolgsgeschichten, wir würden uns aber nicht darauf verlassen wollen.

Durch das kleine Loch eignet sich der YubiKey zur Befestigung am Schlüsselbund (wovon wir abraten) oder Halsband. Über den Fachhandel bezogen, liegt der Endpreis um die 25 Euro. Für einfache Anwendungsfälle braucht man auf dem Hostsystem keine weitere Software: Der YubiKey funktioniert ab Auslieferung, und das unabhängig von Betriebssystem.

Im Fokus dieses Beitrags steht der YubiKey 2, doch viele der im Folgenden genannten Details lassen sich ohne Abstriche auf die Varianten YubiKey Nano und Neo (für Android) sowie RFID YubiKey übertragen. Der Nano hat einen sehr kleinen Formfaktor, der Neo beherrscht zusätzlich Near Field Communication (NFC). Der RFID-YubiKey lässt sich über kontaktlose Radio-Frequency Identification nutzen.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 5 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

Kommentare
Mehrere Dienste mit einem YubiKey?!
Arno (unangemeldet), Sonntag, 26. Oktober 2014 20:17:21
Ein/Ausklappen

Super Artikel,

ich habe aber noch eine /vielleicht was doofe) Frage:

- Kann ich also mit nur EINEM YubiKey mehrere Dienste (zB. Google 2-Step-Auth UND WOrdpress 2-Step-Auth UND Windows Login) nutzen? Oder brauche ich für jeden Dienst einen eigenen USB/NFC Schlüssel?

Dank Euch!
Arno


Bewertung: 271 Punkte bei 73 Stimmen.
Den Beitrag bewerten: Gut / Schlecht
-
Re: Mehrere Dienste mit einem YubiKey?!
Jörg Luther, Dienstag, 28. Oktober 2014 11:56:56
Ein/Ausklappen

Ich habe mal den Autor befragt. Seine Auskunft: Ein Schlüssel genügt, um damit mehrere Dienste abzusichern. Es wird jedesmal ein eindeutiger Zugang/Key erzeugt. Es ist ratsam, einen Zweitschlüssel zu hinterlegen. Das geht definitiv über PAM (lokal), die Webdienste sind nach Meinung des Autors da noch nicht ganz so weit. Der Zweitschlüssel sichert den Fall ab, dass der Erstschlüssel kaputtgeht, Sie ihn verlieren oder er gestohlen wird.

Herzliche Grüße
Jörg Luther
Chefredakteur


Bewertung: 241 Punkte bei 77 Stimmen.
Den Beitrag bewerten: Gut / Schlecht
-
Re: Mehrere Dienste mit einem YubiKey?!
Arno (unangemeldet), Dienstag, 28. Oktober 2014 22:56:09
Ein/Ausklappen

Super, danke für die schnelle Antwort!


Arno


Bewertung: 288 Punkte bei 81 Stimmen.
Den Beitrag bewerten: Gut / Schlecht

Infos zur Publikation

LU 12/2017: Perfekte Videos

Digitale Ausgabe: Preis € 5,95
(inkl. 19% MwSt.)

LinuxUser erscheint monatlich und kostet 5,95 Euro (mit DVD 8,50 Euro). Weitere Infos zum Heft finden Sie auf der Homepage.

Das Jahresabo kostet ab 86,70 Euro. Details dazu finden Sie im Computec-Shop. Im Probeabo erhalten Sie zudem drei Ausgaben zum reduzierten Preis.

Bei Google Play finden Sie digitale Ausgaben für Tablet & Smartphone.

HINWEIS ZU PAYPAL: Die Zahlung ist ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!

Stellenmarkt

Aktuelle Fragen

EasyBCD/NeoGrub
Wolfgang Conrad, 17.12.2017 11:40, 0 Antworten
Hallo zusammen, benutze unter Windows 7 den EasyBCD bzw. NEOgrub, um LinuxMint aus einer ISO Dat...
Huawei
Pit Hampelmann, 13.12.2017 11:35, 2 Antworten
Welches Smartphone ist für euch momentan das beste? Sehe ja die Huawei gerade ganz weit vorne. Bi...
Fernstudium Informatik
Joe Cole, 12.12.2017 10:36, 2 Antworten
Hallo! habe früher als ich 13 Jahre angefangen mit HTML und später Java zu programmieren. Weit...
Installation Linux mint auf stick
Reiner Schulz, 10.12.2017 17:34, 3 Antworten
Hallo, ich hab ein ISO-image mit Linux Mint auf einem Stick untergebracht Jetzt kann ich auch...
Canon Maxify 2750 oder ähnlicher Drucker
Hannes Richert, 05.12.2017 20:14, 4 Antworten
Hallo, leider hat Canon mich weiterverwiesen, weil sie Linux nicht supporten.. deshalb hier die...