AA_paint_ba1969_freeimages_1021326.jpg

© Ba1969, freeimages.com

Via NFC authentifizieren mit YubiKey Neo und Smartphone

Angestrichen

,
Der Zugangsschutz geht in eine neue Runde – diesmal kontaktlos per NFC. Mit einem Smartphone und dem YubiKey Neo greifen Sie von mobilen Geräten sicher auf Ihre Daten zu.

Mobile Geräte lösen in vielen Bereichen mittelfristig stationäre PCs ab. Dabei liegt die Masse der Daten in Online-Speichern, nur noch ausgewählte Teile lagern auf den Geräten. Daher verdienen Mobil-Devices besondere Aufmerksamkeit in Bezug auf das Absichern und Autorisieren.

Der NSA-Überwachungsskandal hat gezeigt, dass viele Sicherheitsmaßnahmen nicht ausreichend schützen. Aus dieser Perspektive verbindet die Kombination von Smartphone oder Tablet und YubiKey Neo [1] einen einfachen Zugriff mit einem komplexen Sicherheitssystem. Die bisher erhältlichen Modelle (siehe Tabelle "Die Varianten") haben sich in der Praxis bewährt [2].

Die Varianten

Modell Funktionen Preis Einsatzfeld
YubiKey 2 Authentifizierung mittels dynamischem und statischem Passwort; funktioniert als Tastatur über USB. 30 Euro Geräte mit USB-Slot; kurzzeitiger Einsatz.
YubiKey Nano Authentifizierung mittels dynamischem und statischem Passwort; funktioniert als Tastatur über USB. 50 Euro Geräte mit USB-Slot; permanenter Einsatz.
YubiKey Neo Authentifizierung mittels dynamischem und statischem Passwort; funktioniert als Tastatur über USB, stellt zusätzlich dynamisches Passwort mittels NFC bereit. 60 Euro Geräte mit USB/NFC/RFID-Schnittstelle; Kurzzeitbetrieb.

Im Herbst 2012 berichtete LinuxUser zum ersten Mal über das kleine USB-Token ([3],[4]). Im Mittelpunkt stand die Authentifizierung über SSH-Verbindungen auf der Basis dynamisch generierter Einmalpasswörter (One Time Passwords, OTP) unter Linux.

Damals noch neu und verhältnismäßig unbekannt, kommt der Token inzwischen in über 120 Ländern bei vielen Online-Plattformen zum Einsatz, wie etwa bei Google, Lastpass, Facebook oder PayPal. Mittlerweile liegt mit dem YubiKey Neo der Nachfolger in den Regalen, er kostet rund 60 Euro. Der neue Token erweitert den Funktionsumfang der Vorgänger um kontaktlose Kommunikation über Near Field Communication (siehe Kasten "Was ist NFC?"). Gleichzeitig ersetzt er das bislang erhältliche Modell, das lediglich RFID unterstützte.

Was ist NFC?

NFC steht für "Near Field Communication", sinngemäß als Nahfeldkommunikation oder Nahfeldkopplung über Induktion übersetzt. Es bezeichnet einen internationalen Übertragungsstandard zum kontaktlosen Austausch von Daten per Funktechnik. Die Datenübertragungsrate beträgt maximal 424 kbit/s, die Teilnehmer funken auf 13,56 MHz [5].

NFC kombiniert die Techniken aus der Smartcard-Welt mit kontaktlosen Verfahren. Der maximale Abstand zwischen zwei Geräten beträgt 10 Zentimeter, größere Distanzen gelten gemäß der Spezifikation als Abbruch der Kommunikation. Der YubiKey Neo braucht keine eigene Energiequelle und bezieht die Betriebsspannung über elektromagnetische Induktion vom Smartphone.

NFC kommt als Technologie bereits recht häufig zum Einsatz, etwa für Bibliothekskarten, den deutschen Personalausweis (seit 2011) oder manche Fahrausweise für den ÖPNV [6]. So statten der Rhein-Main-Verkehrsverbund (RMV) und der Verkehrsverbund Berlin-Brandenburg (VBB) [7] neuere Ausweise mit NFC aus, erfassen darüber Fahrten und prüfen die Gültigkeit des Tickets. In die gleiche Richtung geht das Programm Touch & Travel der Deutschen Bahn [8].

Das Handy als Autoschlüssel befindet sich bislang noch im Versuchsstadium [9]. Bereits im Laden liegt dagegen das auf NFC und Bluetooth/WLAN aufsetzende Türschloss von Lockitron [10].

Der Neo beherrscht beide Techniken. Damit eröffnen sich neue Möglichkeiten im Zusammenspiel mit mobilen Anwendungen auf der Grundlage von Geräten, die ebenfalls über eine NFC-Schnittstelle verfügen. Dazu zählen bei den Smartphones etwa Samsungs Galaxy S2 bis S4, die Nokia-Modelle Lumia und N9 sowie das Blackberry Z10 [11], bei den Tablets unter anderem das Sony Xperia Tablet Z oder das Google Nexus 10.

Im Test kam ein Samsung Galaxy S3 mit vorinstalliertem Android 4.1.2 zum Einsatz. Der YubiKey-Hersteller Yubico unterstützt offiziell nur Google-Nexus-Smartphones, speziell die Modelle Galaxy Nexus, Nexus 4 und Nexus 7. Teure Smartphones unterstützen in aller Regel sowohl NFC als auch USB On-the-go (OTG). Zum Anschluss des YubiKey per USB-OTG benötigen Sie einen speziellen Adapter. Der ist preiswert, entspricht aber nicht der Vorstellung vom einfachen, mobilen Arbeiten.

NFC mit Android

Im Smartphone ist NFC standardmäßig ausgeschaltet. Sie aktivieren es in Android 4.1.2 unter Einstellungen | Weitere Einstellungen. Optional fügen Sie ein NFC-Symbol, das den aktuellen Status zeigt, über den Punkt Einstellungen | Anzeige | Benachrichtigungsfeld in die Benachrichtigungsleiste am oberen Displayrand ein (Abbildung 1).

Abbildung 1: Das entsprechende Symbol in der Leiste am oberen Displayrand signalisiert, ob die NFC-Funktion Ihres Smartphones aktiv ist.

Eigentlich erlaubt das NFC-Symbol auch, NFC ein- und auszuschalten. Das funktionierte im Test jedoch nicht zuverlässig. Bei aktiviertem NFC-Sensor können Sie Daten von NFC-Tags auslesen und diese verarbeiten. In den Tests war es für ein erfolgreiches Übertragen via NFC nicht erforderlich, die Schutzhülle des Smartphones abzunehmen. Als Hülle kam das Modell Commuter Case von Otterbox [12] zum Einsatz. Um die Hardware hingegen vollständig abzuschotten, bleibt nur das Einwickeln des Smartphones in Alufolie.

Funktionsweise

Bevor Sie das Token in Betrieb nehmen, hilft das Verständnis, welche Komponenten hier zur Authentifizierung überhaupt zusammenspielen (Abbildung 2). In der Werkseinstellung liefert der YubiKey Neo ein Einmalpasswort (OTP) in Form einer variablen Zeichenkette. Diese gilt gegenüber einer Authentifizierungsstelle – in diesem Fall dem Yubico-Server – nur ein einziges Mal. Weitere Aufrufe generieren ähnliche, aber niemals identische oder bereits erzeugte Zeichenketten.

Abbildung 2: Kommunikation zwischen dem Token, Smartphone und dem Server zum Authentifizieren.

Das Smartphone dient dabei als Kommunikationsmittel. Die entsprechende App auf dem Smartphone kommuniziert über die NFC-Schnittstelle mit dem YubiKey Neo und fängt das Einmalpasswort ab. Das Smartphone nimmt das OTP entgegen und übermittelt die Daten an den Authentifizierungsdienst. Damit das gelingt, halten Sie den YubiKey Neo an die Rückseite des Smartphones. Sender und Empfänger befinden sich in der Regel in der Mitte der Geräterückseite.

NFC erfordert im Alltag weniger als 5 Millimeter Abstand zwischen beiden. Die Lage des YubiKey – quer, längs oder schräg zur Geräterückseite – spielt keine Rolle. Von der Vorderseite des Smartphones aus geht es jedoch nicht, außerdem darf das Display des Smartphones nicht abgeschaltet oder gesperrt sein.

Beim Auslesen öffnet sich die App mit der eingefangenen Zeichenkette. Sie haben nun die Möglichkeit, diese gegenüber weiteren Diensten zu verwenden, wie einem Server im Web, der den YubiKey als Methode zum Authentifizieren unterstützt. Nur wer den Schlüssel besitzt, darf loslegen – alle anderen nicht.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 7 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Sichere Authentifizierung mit dem YubiKey
    1001 Passworte verwalten: Ein Alptraum. Passwortzettel am Monitor: Keine gute Idee. Passwort zu kompliziert und vergessen: Ärgerlich. Der YubiKey löst all diese Probleme und ist kinderleicht zu handhaben.
  • Sichere Authentifizierung mit dem YubiKey (Teil 2)
    SSH-Zugänge gelten als sicher – sofern die Zugangsdaten in den richtigen Händen bleiben. Mit dem YubiKey ergänzen Sie ihr Sicherheitskonzept um eine wirksame 2-Faktor-Authentifizierung.
  • Praktikable Zwei-Faktor-Authentifizierung für Linux
    Mobile Geräte benötigen ein Plus an Sicherheit, sollen die darauf gespeicherten Daten nicht in unbefugte Hände gelangen. Deswegen sichern Sie den Zugang am besten mit einem zweiten Faktor in Form eines YubiKeys ab.
  • Doppelt gemoppelt
    Für die Desktop-Anmeldung genügen normalerweise Benutzername und Passwort – beide oft leicht zu erraten. Für besseren Schutz sorgt eine Zwei-Faktor-Authentifizierung mithilfe eines PAM-Moduls und einer kostenlosen Handy-App.
Kommentare

Infos zur Publikation

LU 08/2016: Multimedia

Digitale Ausgabe: Preis € 5,99
(inkl. 19% MwSt.)

LinuxUser erscheint monatlich und kostet 5,95 Euro (mit DVD 8,50 Euro). Weitere Infos zum Heft finden Sie auf der Homepage.

Das Jahresabo kostet ab 86,70 Euro. Details dazu finden Sie im Computec-Shop. Im Probeabo erhalten Sie zudem drei Ausgaben zum reduzierten Preis.

Bei Google Play finden Sie digitale Ausgaben für Tablet & Smartphone.

HINWEIS ZU PAYPAL: Die Zahlung ist ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!

Aktuelle Fragen

Wie kann man das berichtigen
Udo Muelle, 17.07.2016 20:39, 1 Antworten
Fehlschlag beim Holen von http://extra.linuxmint.com/dists/rosa/main/binary-i386/Packages Hash-S...
Installation Genimotion
Horst Müller, 15.07.2016 17:00, 1 Antworten
Hallo, ich kann Genimotion nicht installieren. Folgende Fehlermeldung habe ich beim Aufruf erh...
Probleme beim Hochfahren der Terastaion 5400 mit Unix-Distrib
Sheldon Cooper, 10.07.2016 09:32, 0 Antworten
Hallo ihr lieben, habe seit zwei Tagen das Problem, das das NAS (Raid5) nicht mehr sauber hoch...
Mit Firewire Videos improtieren?
Werner Hahn, 09.06.2016 11:06, 5 Antworten
Ich besitze den Camcorder Panasonic NV-GS330, bei dem die Videos in guter Qualität nur über den 4...
lidl internetstick für linux mint
rolf meyer, 04.06.2016 14:17, 3 Antworten
hallo zusammen ich benötige eure hilfe habe einen lidl-internetstick möchte ihn auf linux mint i...