Autorisierungsserver

Yubico betreibt mit der YubiCloud [7] einen eigenen Dienst zur Überprüfung. Die YubiCloud besteht derzeit aus fünf weltweit verteilten, untereinander synchronisierten Servern. Das begrenzt die Ausfallwahrscheinlichkeit; im Bedarfsfall können Sie auf eine andere, aktive Instanz ausweichen. Der Dienst ist derzeit allerdings nur über IPv4 zu erreichen, die Anbindung über IPv6 fehlt noch.

Nachdem Sie sich bei dem Dienst angemeldet haben, erhalten Sie eine Übersicht über Ihre zugeordneten YubiKeys und können diese über die webbasierte Benutzeroberfläche des Dienstes verwalten. Das beinhaltet neben der Gültigkeitsprüfung des generierten Schlüssels auch die Deaktivierung von YubiKeys und das Hinzufügen weiterer Tokens.

Für die YubiCloud können Sie einen sogenannten API-Key beantragen. Spätere API-Anfragen, die mit einer API-ID einem solchen API-Key referenzieren, erhalten vom Autorisierungsserver eine per HMAC gestempelte Antwort. Damit lässt sich die Echtheit der Antwort sicherstellen.

Möchten Sie für die Überprüfung nicht auf die YubiCloud zurückgreifen und stattdessen einen kleineren, unabhängigen Sicherungskreis aufbauen, setzen Sie am besten einen eigenen Autorisierungsserver auf. Dazu stehen entsprechende Debian-Pakete bereit ([8],[9]).

Statisches Passwort

In Variante 2 liefert der YubiKey wie eingangs beschreiben auf Knopfdruck einen festen, vorab gespeicherten Wert. Dieser lässt sich auch ohne Autorisierungsserver nutzen. Der YubiKey liefert die Zeichen so, als würden sie über die Tastatur eingeben. Das erleichtert das Verwenden langer und komplexer Passworte ganz wesentlich – sei es für die Anmeldung bei einem Dienst, die Autorisierung zur Festplattenentschlüsselung oder den GnuPG-Schlüssel. Der Zettel unter der Tastatur gehört damit der Vergangenheit an. Stellen sie beim Programmieren des YubiKeys dem gespeicherten Passwort eine YubiKey-Public-ID voran, kann häufig ein Webformular die gesendete Eingabe direkt einem Nutzer zuordnen und dessen Passwort prüfen.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 5 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

Kommentare
Mehrere Dienste mit einem YubiKey?!
Arno (unangemeldet), Sonntag, 26. Oktober 2014 20:17:21
Ein/Ausklappen

Super Artikel,

ich habe aber noch eine /vielleicht was doofe) Frage:

- Kann ich also mit nur EINEM YubiKey mehrere Dienste (zB. Google 2-Step-Auth UND WOrdpress 2-Step-Auth UND Windows Login) nutzen? Oder brauche ich für jeden Dienst einen eigenen USB/NFC Schlüssel?

Dank Euch!
Arno


Bewertung: 260 Punkte bei 64 Stimmen.
Den Beitrag bewerten: Gut / Schlecht
-
Re: Mehrere Dienste mit einem YubiKey?!
Jörg Luther, Dienstag, 28. Oktober 2014 11:56:56
Ein/Ausklappen

Ich habe mal den Autor befragt. Seine Auskunft: Ein Schlüssel genügt, um damit mehrere Dienste abzusichern. Es wird jedesmal ein eindeutiger Zugang/Key erzeugt. Es ist ratsam, einen Zweitschlüssel zu hinterlegen. Das geht definitiv über PAM (lokal), die Webdienste sind nach Meinung des Autors da noch nicht ganz so weit. Der Zweitschlüssel sichert den Fall ab, dass der Erstschlüssel kaputtgeht, Sie ihn verlieren oder er gestohlen wird.

Herzliche Grüße
Jörg Luther
Chefredakteur


Bewertung: 230 Punkte bei 67 Stimmen.
Den Beitrag bewerten: Gut / Schlecht
-
Re: Mehrere Dienste mit einem YubiKey?!
Arno (unangemeldet), Dienstag, 28. Oktober 2014 22:56:09
Ein/Ausklappen

Super, danke für die schnelle Antwort!


Arno


Bewertung: 265 Punkte bei 71 Stimmen.
Den Beitrag bewerten: Gut / Schlecht

Infos zur Publikation

LU 11/2017: Server für Daheim

Digitale Ausgabe: Preis € 8,50
(inkl. 19% MwSt.)

LinuxUser erscheint monatlich und kostet 5,95 Euro (mit DVD 8,50 Euro). Weitere Infos zum Heft finden Sie auf der Homepage.

Das Jahresabo kostet ab 86,70 Euro. Details dazu finden Sie im Computec-Shop. Im Probeabo erhalten Sie zudem drei Ausgaben zum reduzierten Preis.

Bei Google Play finden Sie digitale Ausgaben für Tablet & Smartphone.

HINWEIS ZU PAYPAL: Die Zahlung ist ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!

Stellenmarkt

Aktuelle Fragen

Lieber Linux oder Windows- Betriebssystem?
Sina Kaul, 13.10.2017 16:17, 3 Antworten
Hallo, bis jetzt hatte ich immer nur mit
IT-Kurse
Alice Trader, 26.09.2017 11:35, 2 Antworten
Hallo liebe Community, ich brauche Hilfe und bin sehr verzweifelt. Ih bin noch sehr neu in eure...
Backup mit KUP unter Suse 42.3
Horst Schwarz, 24.09.2017 13:16, 3 Antworten
Ich möchte auch wieder unter Suse 42.3 mit Kup meine Backup durchführen. Eine Installationsmöglic...
kein foto, etc. upload möglich, wo liegt mein fehler?
kerstin brums, 17.09.2017 22:08, 5 Antworten
moin, zum erstellen einer einfachen wordpress website kann ich keine fotos uploaden. vom rechne...
Arch Linux Netzwerkkonfigurationen
Franziska Schley, 15.09.2017 18:04, 0 Antworten
Moin liebe Linux community, ich habe momentan Probleme mit der Einstellung des Lan/Wlan in Arc...