AA_PO-21559-Fotolia-Nikolai_Sorokin_Fotolia-Keyboard.jpg

© Nikolai Sorokin, Fotolia

Sichere Authentifizierung mit dem YubiKey (Teil 2)

Schlüsselerlebnis

,
SSH-Zugänge gelten als sicher – sofern die Zugangsdaten in den richtigen Händen bleiben. Mit dem YubiKey ergänzen Sie ihr Sicherheitskonzept um eine wirksame 2-Faktor-Authentifizierung.

Der erste Teil dieses Beitrags in LU 09/2012 [1] beschrieb die grundlegenden Prinzipien des YubiKey, die zugehörige Client-Server-Architektur zur Authentifizierung sowie die sich daraus ergebenden Einsatzbereiche. Der vorliegende Artikel widmet sich der Einbindung des YubiKey in die eigene Linux-Infrastruktur, der Verwendung als Pluggable Authentication Module (PAM) und dem Zusammenspiel mit einem YubiKey-Authentifizierungsserver.

YubiKey-Tools

Grundsätzlich können Sie die auf dem YubiKey gespeicherten Daten nicht direkt auslesen. Sie erhalten lediglich die temporären Schlüssel als Ergebnis der entsprechend den beiden Slots zugewiesenen Aktionen, indem Sie den Knopf auf dem YubiKey drücken – weniger als 1,5 Sekunden für den ersten Slot und rund 3 Sekunden für den zweiten Slot. Die ersten zwölf Zeichen des dynamisch generierten Schlüssels beinhalten die Geräteidentifikation des YubiKey ("Public ID"), die man in der Regel administrativ eindeutig einem Nutzer zuweist. An dieser Public ID orientiert sich der Autorisierungsserver zur Schlüsselüberprüfung.

Die Konfiguration des YubiKey nehmen Sie entweder über die Kommandozeile mit dem Werkzeug Ykpersonalize aus dem Paket yubikey-personalization [2] vor oder mit dem grafischen YubiKey Personalization Tool (YKPT, [3]), einer Qt-Anwendung (Abbildung 1). Neben kostenlos von der Herstellerwebseite verfügbaren, plattformspezifisch übersetzten Binärversionen für Linux, OS X und MS Windows stehen bereits seit längerem auch fertige Pakete für Red Hat, Fedora, Ubuntu und Debian zur Verfügung. Letztere gibt es erst ab dem kommenden Debian-Release als Paket. Beide Programme liefen in unseren Tests jedoch soweit fehlerfrei, auch wenn die Pakete bislang nur zum Teil als stabil klassifiziert wurden. Auf Github [4] befindet sich ein Repository mit dem aktuellen, dazugehörigen Quellcode zum Selberbauen.

Abbildung 1: Qt-Anwendung zur YubiKey-Konfiguration – das YubiKey Personalization Tool.

Für das Ausführen sowohl von Ykpersonalize als auch YKPT benötigen Sie unter Debian und Ubuntu Root-Rechte (aufgrund einer vermurksten Udev-Regel), unter Mac OS X genügen bereits normale Benutzerrechte. Beide Werkzeuge zeigen die Seriennummer des YubiKey, die Versionsnummer der Firmware und damit auch die unterstützten Verfahren zur Authentifizierung an (Abbildung 1, rechts).

Sie rufen YKPT über das Shellskript YubiKey Personalization Tool.sh auf. Das Programm startet auch ohne angeschlossenen Token und gestattet eine Evaluation des Funktionsumfangs, was für eine erste Einschätzung ausreicht. Im Advanced Mode wird es etwas unübersichtlich – etwas Entdeckerfreude hilft hier weiter. Das legt in ihrem Home-Verzeichnis die Datei configuration_log.csv an. Sie enthält die Konfiguration des zuletzt von Ihnen bearbeiteten YubiKeys und somit auch die verwendeten Passworte. Verfahren Sie mit dieser Datei entsprechend Ihrer Sicherheitsrichtlinien, etwa indem Sie die Lese- und Schreibrechte der Datei radikal auf sich selbst einschränken oder die Datei regelmäßig löschen:

$ chmod go -rwx ~/configuration_log.csv

Unter dem Menüpunkt Settings | Logging Settings können Sie im YubiKey Personalization Tool eine andere Datei festlegen oder das Speichern der Daten vollständig deaktivieren (Abbildung 2).

Abbildung 2: Im YubiKey Personalization Tool legen Sie den Pfad zur Logging-Datei fest.

Passworte hinzufügen

Im Folgenden besprechen wir die beiden Varianten "statisches Passwort" und "Yubico OTP" (siehe [1]). Die Programmierung beider Varianten gestaltet sich recht ähnlich.

Beide Speicher auf dem YubiKey lassen sich getrennt voneinander programmieren. Üblich ist, den Speicher 1 für Einmalpassworte (Yubico OTP) und den Speicher 2 für ein statisches Passwort zu verwenden. Sie sind jedoch nicht an diese Gepflogenheit gebunden.

Yubico konfiguriert den Speicher 1 mit einem Schlüssel vor, mit dem Sie beispielsweise den Yubico-eigenen Autorisierungsdienst YubiCloud [5] nutzen können. Falls Sie den Inhalt dieses Speichers verändern, steht Ihnen dieser Dienst nicht mehr zur Verfügung. Haben Sie sich jedoch vorher bei YubiCloud angemeldet, können Sie ihren neuen Yubico-OTP-Schlüssel aus dem Speicherort 1 in ihrem YubiCloud-Profil nachtragen und ihren YubiKey wie gewohnt verwenden.

Indem Sie auf dem YubiKey ein statisches Passwort speichern, lagert dieses schon mal sicherer als auf dem Zettel am Monitor. Der YubiKey wirkt dabei allerdings nur wie eine Art Sichtschutz. Das Drücken des Knopfes auf dem YubiKey ist identisch zur Eingabe über die Tastatur, nur: Es sieht keiner, was Sie eingeben. Damit stellen auch längere, kompliziertere Passworte kein Problem mehr dar. Das gewählte statische Passwort kann auf dem YubiKey aus bis zu 38 Zeichen bestehen.

Sowohl mit Ykpersonalize als auch mit YKPT lässt sich der YubiKey programmieren und entsprechende Schlüssel speichern. Allerdings verhielten sich in unserem Test Kommandozeilentool und Qt-Anwendung nicht identisch. Bei den Versuchen mit dem Kommandozeilentool stellten wir fest, dass bei der Konfiguration eines statisches Passworts dieses nicht im Klartext auf dem YubiKey landete, sondern stattdessen eine zufällige Zeichenkette.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 5 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Sichere Authentifizierung mit dem YubiKey
    1001 Passworte verwalten: Ein Alptraum. Passwortzettel am Monitor: Keine gute Idee. Passwort zu kompliziert und vergessen: Ärgerlich. Der YubiKey löst all diese Probleme und ist kinderleicht zu handhaben.
  • Praktikable Zwei-Faktor-Authentifizierung für Linux
    Mobile Geräte benötigen ein Plus an Sicherheit, sollen die darauf gespeicherten Daten nicht in unbefugte Hände gelangen. Deswegen sichern Sie den Zugang am besten mit einem zweiten Faktor in Form eines YubiKeys ab.
  • Via NFC authentifizieren mit YubiKey Neo und Smartphone
    Der Zugangsschutz geht in eine neue Runde – diesmal kontaktlos per NFC. Mit einem Smartphone und dem YubiKey Neo greifen Sie von mobilen Geräten sicher auf Ihre Daten zu.
  • Doppelt gemoppelt
    Für die Desktop-Anmeldung genügen normalerweise Benutzername und Passwort – beide oft leicht zu erraten. Für besseren Schutz sorgt eine Zwei-Faktor-Authentifizierung mithilfe eines PAM-Moduls und einer kostenlosen Handy-App.
Kommentare

Infos zur Publikation

title_2016_06

Digitale Ausgabe: Preis € 5,99
(inkl. 19% MwSt.)

Mit der Zeitschrift LinuxUser sind Sie als Power-User, Shell-Guru oder Administrator im kleinen Unternehmen monatlich auf dem aktuelle Stand in Sachen Linux und Open Source.

Sie sind sich nicht sicher, ob die Themen Ihnen liegen? Im Probeabo erhalten Sie drei Ausgaben zum reduzierten Preis. Einzelhefte, Abonnements sowie digitale Ausgaben erwerben Sie ganz einfach in unserem Online-Shop.

NEU: DIGITALE AUSGABEN FÜR TABLET & SMARTPHONE

HINWEIS ZU PAYPAL: Die Zahlung ist auch ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!       

Aktuelle Fragen

Ideenwettbewerb
G.-P. Möller, 28.05.2016 10:57, 0 Antworten
Liebe User, im Rahmen eines großen Forschungsprojekts am Lehrstuhl für Technologie- und Innova...
Welche Drucker sind Linux-mint kompatibel?
Johannes Nacke, 20.05.2016 07:32, 4 Antworten
Hallo Ihr Lieben, ich bitte um mitteilung welche Drucker Kompatibel sind mit Linux-Mint. LG Joh...
MS LifeCam HD-5000 an Debian
Kay Michael, 13.04.2016 22:55, 0 Antworten
Hallo, ich versuche die oben erwähnte Cam an einem Thin Client mit Debian zu betreiben. Linux...
Import von Evolution nach KMail erzeugt nur leere Ordner
Klaus-Christian Falkner, 06.04.2016 12:57, 3 Antworten
Hallo, da ich vor einiger Zeit von Ubuntu auf Kubuntu umgestiegen bin, würde ich gerne meine E...
Sophos lässt sich nicht unter Lubuntu installieren
Chrstina Turm, 30.03.2016 20:56, 3 Antworten
Hi Leute, habe mir vor paar Tagen auf ein Notebook, das ohne Linux ausgedient hätte, Linux dr...