Autorisierungsserver

Yubico betreibt mit der YubiCloud [7] einen eigenen Dienst zur Überprüfung. Die YubiCloud besteht derzeit aus fünf weltweit verteilten, untereinander synchronisierten Servern. Das begrenzt die Ausfallwahrscheinlichkeit; im Bedarfsfall können Sie auf eine andere, aktive Instanz ausweichen. Der Dienst ist derzeit allerdings nur über IPv4 zu erreichen, die Anbindung über IPv6 fehlt noch.

Nachdem Sie sich bei dem Dienst angemeldet haben, erhalten Sie eine Übersicht über Ihre zugeordneten YubiKeys und können diese über die webbasierte Benutzeroberfläche des Dienstes verwalten. Das beinhaltet neben der Gültigkeitsprüfung des generierten Schlüssels auch die Deaktivierung von YubiKeys und das Hinzufügen weiterer Tokens.

Für die YubiCloud können Sie einen sogenannten API-Key beantragen. Spätere API-Anfragen, die mit einer API-ID einem solchen API-Key referenzieren, erhalten vom Autorisierungsserver eine per HMAC gestempelte Antwort. Damit lässt sich die Echtheit der Antwort sicherstellen.

Möchten Sie für die Überprüfung nicht auf die YubiCloud zurückgreifen und stattdessen einen kleineren, unabhängigen Sicherungskreis aufbauen, setzen Sie am besten einen eigenen Autorisierungsserver auf. Dazu stehen entsprechende Debian-Pakete bereit ([8],[9]).

Statisches Passwort

In Variante 2 liefert der YubiKey wie eingangs beschreiben auf Knopfdruck einen festen, vorab gespeicherten Wert. Dieser lässt sich auch ohne Autorisierungsserver nutzen. Der YubiKey liefert die Zeichen so, als würden sie über die Tastatur eingeben. Das erleichtert das Verwenden langer und komplexer Passworte ganz wesentlich – sei es für die Anmeldung bei einem Dienst, die Autorisierung zur Festplattenentschlüsselung oder den GnuPG-Schlüssel. Der Zettel unter der Tastatur gehört damit der Vergangenheit an. Stellen sie beim Programmieren des YubiKeys dem gespeicherten Passwort eine YubiKey-Public-ID voran, kann häufig ein Webformular die gesendete Eingabe direkt einem Nutzer zuordnen und dessen Passwort prüfen.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 5 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

Kommentare
Mehrere Dienste mit einem YubiKey?!
Arno (unangemeldet), Sonntag, 26. Oktober 2014 20:17:21
Ein/Ausklappen

Super Artikel,

ich habe aber noch eine /vielleicht was doofe) Frage:

- Kann ich also mit nur EINEM YubiKey mehrere Dienste (zB. Google 2-Step-Auth UND WOrdpress 2-Step-Auth UND Windows Login) nutzen? Oder brauche ich für jeden Dienst einen eigenen USB/NFC Schlüssel?

Dank Euch!
Arno


Bewertung: 269 Punkte bei 76 Stimmen.
Den Beitrag bewerten: Gut / Schlecht
-
Re: Mehrere Dienste mit einem YubiKey?!
Jörg Luther, Dienstag, 28. Oktober 2014 11:56:56
Ein/Ausklappen

Ich habe mal den Autor befragt. Seine Auskunft: Ein Schlüssel genügt, um damit mehrere Dienste abzusichern. Es wird jedesmal ein eindeutiger Zugang/Key erzeugt. Es ist ratsam, einen Zweitschlüssel zu hinterlegen. Das geht definitiv über PAM (lokal), die Webdienste sind nach Meinung des Autors da noch nicht ganz so weit. Der Zweitschlüssel sichert den Fall ab, dass der Erstschlüssel kaputtgeht, Sie ihn verlieren oder er gestohlen wird.

Herzliche Grüße
Jörg Luther
Chefredakteur


Bewertung: 242 Punkte bei 79 Stimmen.
Den Beitrag bewerten: Gut / Schlecht
-
Re: Mehrere Dienste mit einem YubiKey?!
Arno (unangemeldet), Dienstag, 28. Oktober 2014 22:56:09
Ein/Ausklappen

Super, danke für die schnelle Antwort!


Arno


Bewertung: 291 Punkte bei 86 Stimmen.
Den Beitrag bewerten: Gut / Schlecht

Infos zur Publikation

LU 01/2018: FLINKE BROWSER

Digitale Ausgabe: Preis € 5,95
(inkl. 19% MwSt.)

LinuxUser erscheint monatlich und kostet 5,95 Euro (mit DVD 8,50 Euro). Weitere Infos zum Heft finden Sie auf der Homepage.

Das Jahresabo kostet ab 86,70 Euro. Details dazu finden Sie im Computec-Shop. Im Probeabo erhalten Sie zudem drei Ausgaben zum reduzierten Preis.

Bei Google Play finden Sie digitale Ausgaben für Tablet & Smartphone.

HINWEIS ZU PAYPAL: Die Zahlung ist ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!

Stellenmarkt

Aktuelle Fragen

Suchprogramm
Heiko Taeuber, 17.01.2018 21:12, 1 Antworten
Hallo liebe Community, keine Ahnung ob dieses Thema hier schon einmal gepostet wurde. Ich hab...
Linux Mint als Zweitsystem
Wolfgang Robert Luhn, 13.01.2018 19:28, 4 Antworten
Wer kann mir helfen??? Habe einen neuen Laptop mit vorinstaliertem Windows 10 gekauft. Möchte g...
externe soundkarte Kaufempfehlung
lara grafstr , 13.01.2018 10:20, 3 Antworten
Hallo Ich bin auf Suche nach einer externen soundkarte.. Max 150 Euro Die Wiedergabe is...
Prozessor-Sicherheitslücke Meltdown und Spectre
Wimpy *, 06.01.2018 10:45, 2 Antworten
Ich habe heute ein Sicherheitsupdate "ucode-intel" für openSuse 42.3 erhalten. Ist damit das Prob...
LENOVO ideapad320 Touchpad Linux Mint 18
Peter Deppen, 23.12.2017 16:49, 3 Antworten
Hallo, bin Linux Anfänger und habe das Problem, dass das Touchpad auf dem LENOVO ideapad320 mit L...