AA_paint_ba1969_freeimages_1021326.jpg

© Ba1969, freeimages.com

Angestrichen

Via NFC authentifizieren mit YubiKey Neo und Smartphone

18.06.2014
,
Der Zugangsschutz geht in eine neue Runde – diesmal kontaktlos per NFC. Mit einem Smartphone und dem YubiKey Neo greifen Sie von mobilen Geräten sicher auf Ihre Daten zu.

Mobile Geräte lösen in vielen Bereichen mittelfristig stationäre PCs ab. Dabei liegt die Masse der Daten in Online-Speichern, nur noch ausgewählte Teile lagern auf den Geräten. Daher verdienen Mobil-Devices besondere Aufmerksamkeit in Bezug auf das Absichern und Autorisieren.

Der NSA-Überwachungsskandal hat gezeigt, dass viele Sicherheitsmaßnahmen nicht ausreichend schützen. Aus dieser Perspektive verbindet die Kombination von Smartphone oder Tablet und YubiKey Neo [1] einen einfachen Zugriff mit einem komplexen Sicherheitssystem. Die bisher erhältlichen Modelle (siehe Tabelle "Die Varianten") haben sich in der Praxis bewährt [2].

Die Varianten

Modell Funktionen Preis Einsatzfeld
YubiKey 2 Authentifizierung mittels dynamischem und statischem Passwort; funktioniert als Tastatur über USB. 30 Euro Geräte mit USB-Slot; kurzzeitiger Einsatz.
YubiKey Nano Authentifizierung mittels dynamischem und statischem Passwort; funktioniert als Tastatur über USB. 50 Euro Geräte mit USB-Slot; permanenter Einsatz.
YubiKey Neo Authentifizierung mittels dynamischem und statischem Passwort; funktioniert als Tastatur über USB, stellt zusätzlich dynamisches Passwort mittels NFC bereit. 60 Euro Geräte mit USB/NFC/RFID-Schnittstelle; Kurzzeitbetrieb.

Im Herbst 2012 berichtete LinuxUser zum ersten Mal über das kleine USB-Token ([3],[4]). Im Mittelpunkt stand die Authentifizierung über SSH-Verbindungen auf der Basis dynamisch generierter Einmalpasswörter (One Time Passwords, OTP) unter Linux.

Damals noch neu und verhältnismäßig unbekannt, kommt der Token inzwischen in über 120 Ländern bei vielen Online-Plattformen zum Einsatz, wie etwa bei Google, Lastpass, Facebook oder PayPal. Mittlerweile liegt mit dem YubiKey Neo der Nachfolger in den Regalen, er kostet rund 60 Euro. Der neue Token erweitert den Funktionsumfang der Vorgänger um kontaktlose Kommunikation über Near Field Communication (siehe Kasten "Was ist NFC?"). Gleichzeitig ersetzt er das bislang erhältliche Modell, das lediglich RFID unterstützte.

Was ist NFC?

NFC steht für "Near Field Communication", sinngemäß als Nahfeldkommunikation oder Nahfeldkopplung über Induktion übersetzt. Es bezeichnet einen internationalen Übertragungsstandard zum kontaktlosen Austausch von Daten per Funktechnik. Die Datenübertragungsrate beträgt maximal 424 kbit/s, die Teilnehmer funken auf 13,56 MHz [5].

NFC kombiniert die Techniken aus der Smartcard-Welt mit kontaktlosen Verfahren. Der maximale Abstand zwischen zwei Geräten beträgt 10 Zentimeter, größere Distanzen gelten gemäß der Spezifikation als Abbruch der Kommunikation. Der YubiKey Neo braucht keine eigene Energiequelle und bezieht die Betriebsspannung über elektromagnetische Induktion vom Smartphone.

NFC kommt als Technologie bereits recht häufig zum Einsatz, etwa für Bibliothekskarten, den deutschen Personalausweis (seit 2011) oder manche Fahrausweise für den ÖPNV [6]. So statten der Rhein-Main-Verkehrsverbund (RMV) und der Verkehrsverbund Berlin-Brandenburg (VBB) [7] neuere Ausweise mit NFC aus, erfassen darüber Fahrten und prüfen die Gültigkeit des Tickets. In die gleiche Richtung geht das Programm Touch & Travel der Deutschen Bahn [8].

Das Handy als Autoschlüssel befindet sich bislang noch im Versuchsstadium [9]. Bereits im Laden liegt dagegen das auf NFC und Bluetooth/WLAN aufsetzende Türschloss von Lockitron [10].

Der Neo beherrscht beide Techniken. Damit eröffnen sich neue Möglichkeiten im Zusammenspiel mit mobilen Anwendungen auf der Grundlage von Geräten, die ebenfalls über eine NFC-Schnittstelle verfügen. Dazu zählen bei den Smartphones etwa Samsungs Galaxy S2 bis S4, die Nokia-Modelle Lumia und N9 sowie das Blackberry Z10 [11], bei den Tablets unter anderem das Sony Xperia Tablet Z oder das Google Nexus 10.

Im Test kam ein Samsung Galaxy S3 mit vorinstalliertem Android 4.1.2 zum Einsatz. Der YubiKey-Hersteller Yubico unterstützt offiziell nur Google-Nexus-Smartphones, speziell die Modelle Galaxy Nexus, Nexus 4 und Nexus 7. Teure Smartphones unterstützen in aller Regel sowohl NFC als auch USB On-the-go (OTG). Zum Anschluss des YubiKey per USB-OTG benötigen Sie einen speziellen Adapter. Der ist preiswert, entspricht aber nicht der Vorstellung vom einfachen, mobilen Arbeiten.

NFC mit Android

Im Smartphone ist NFC standardmäßig ausgeschaltet. Sie aktivieren es in Android 4.1.2 unter Einstellungen | Weitere Einstellungen. Optional fügen Sie ein NFC-Symbol, das den aktuellen Status zeigt, über den Punkt Einstellungen | Anzeige | Benachrichtigungsfeld in die Benachrichtigungsleiste am oberen Displayrand ein (Abbildung 1).

Abbildung 1: Das entsprechende Symbol in der Leiste am oberen Displayrand signalisiert, ob die NFC-Funktion Ihres Smartphones aktiv ist.

Eigentlich erlaubt das NFC-Symbol auch, NFC ein- und auszuschalten. Das funktionierte im Test jedoch nicht zuverlässig. Bei aktiviertem NFC-Sensor können Sie Daten von NFC-Tags auslesen und diese verarbeiten. In den Tests war es für ein erfolgreiches Übertragen via NFC nicht erforderlich, die Schutzhülle des Smartphones abzunehmen. Als Hülle kam das Modell Commuter Case von Otterbox [12] zum Einsatz. Um die Hardware hingegen vollständig abzuschotten, bleibt nur das Einwickeln des Smartphones in Alufolie.

Funktionsweise

Bevor Sie das Token in Betrieb nehmen, hilft das Verständnis, welche Komponenten hier zur Authentifizierung überhaupt zusammenspielen (Abbildung 2). In der Werkseinstellung liefert der YubiKey Neo ein Einmalpasswort (OTP) in Form einer variablen Zeichenkette. Diese gilt gegenüber einer Authentifizierungsstelle – in diesem Fall dem Yubico-Server – nur ein einziges Mal. Weitere Aufrufe generieren ähnliche, aber niemals identische oder bereits erzeugte Zeichenketten.

Abbildung 2: Kommunikation zwischen dem Token, Smartphone und dem Server zum Authentifizieren.

Das Smartphone dient dabei als Kommunikationsmittel. Die entsprechende App auf dem Smartphone kommuniziert über die NFC-Schnittstelle mit dem YubiKey Neo und fängt das Einmalpasswort ab. Das Smartphone nimmt das OTP entgegen und übermittelt die Daten an den Authentifizierungsdienst. Damit das gelingt, halten Sie den YubiKey Neo an die Rückseite des Smartphones. Sender und Empfänger befinden sich in der Regel in der Mitte der Geräterückseite.

NFC erfordert im Alltag weniger als 5 Millimeter Abstand zwischen beiden. Die Lage des YubiKey – quer, längs oder schräg zur Geräterückseite – spielt keine Rolle. Von der Vorderseite des Smartphones aus geht es jedoch nicht, außerdem darf das Display des Smartphones nicht abgeschaltet oder gesperrt sein.

Beim Auslesen öffnet sich die App mit der eingefangenen Zeichenkette. Sie haben nun die Möglichkeit, diese gegenüber weiteren Diensten zu verwenden, wie einem Server im Web, der den YubiKey als Methode zum Authentifizieren unterstützt. Nur wer den Schlüssel besitzt, darf loslegen – alle anderen nicht.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 7 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 

Ähnliche Artikel

Kommentare

Infos zur Publikation

LU 09/2015: Paketverwaltung

Digitale Ausgabe: Preis € 4,95
(inkl. 19% MwSt.)

Mit der Zeitschrift LinuxUser sind Sie als Power-User, Shell-Guru oder Administrator im kleinen Unternehmen monatlich auf dem aktuelle Stand in Sachen Linux und Open Source.

Sie sind sich nicht sicher, ob die Themen Ihnen liegen? Im Probeabo erhalten Sie drei Ausgaben zum reduzierten Preis. Einzelhefte, Abonnements sowie digitale Ausgaben erwerben Sie ganz einfach in unserem Online-Shop.

NEU: DIGITALE AUSGABEN FÜR TABLET & SMARTPHONE

HINWEIS ZU PAYPAL: Die Zahlung ist auch ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!       

Tipp der Woche

Grammatikprüfung in LibreOffice nachrüsten
Grammatikprüfung in LibreOffice nachrüsten
Tim Schürmann, 24.04.2015 19:36, 2 Kommentare

LibreOffice kommt zwar mit einer deutschen Rechtschreibprüfung und einem guten Thesaurus, eine Grammatikprüfung fehlt jedoch. In ältere 32-Bit-Versionen ...

Aktuelle Fragen

Scanner EPSON Perfection V 300 photo und VueScan
Roland Welcker, 19.08.2015 09:04, 1 Antworten
Verehrte Linux-Freunde, ich habe VueScan in /usr/local/src/vuex_3295/VueScan installiert, dazu d...
Empfehlung gesucht Welche Dist als Wirt für VM ?
Roland Fischer, 31.07.2015 20:53, 2 Antworten
Wer kann mir Empfehlungen geben welche Distribution gut geeignet ist als Wirt für eine VM für Win...
Plugins bei OPERA - Linux Mint 17.1
Christoph-J. Walter, 23.07.2015 08:32, 3 Antworten
Beim Versuch Video-Sequenzen an zu schauen kommt die Meldung -Plug-ins und Shockwave abgestürzt-....
Wird Windows 10 update/upgrade mein Grub zerstören ?
daniel s, 22.07.2015 08:31, 7 Antworten
oder rührt Windows den Bootloader nicht an? das ist auch alles was Google mir nicht beantw...
Z FUER Y UND ANDERE EINGABEFEHLER AUF DER TASTATUR
heide marie voigt, 10.07.2015 13:53, 2 Antworten
BISHER konnte ich fehlerfrei schreiben ... nun ist einiges drucheinander geraten ... ich war bei...