AA_paint_ba1969_freeimages_1021326.jpg

© Ba1969, freeimages.com

Via NFC authentifizieren mit YubiKey Neo und Smartphone

Angestrichen

,
Der Zugangsschutz geht in eine neue Runde – diesmal kontaktlos per NFC. Mit einem Smartphone und dem YubiKey Neo greifen Sie von mobilen Geräten sicher auf Ihre Daten zu.

Mobile Geräte lösen in vielen Bereichen mittelfristig stationäre PCs ab. Dabei liegt die Masse der Daten in Online-Speichern, nur noch ausgewählte Teile lagern auf den Geräten. Daher verdienen Mobil-Devices besondere Aufmerksamkeit in Bezug auf das Absichern und Autorisieren.

Der NSA-Überwachungsskandal hat gezeigt, dass viele Sicherheitsmaßnahmen nicht ausreichend schützen. Aus dieser Perspektive verbindet die Kombination von Smartphone oder Tablet und YubiKey Neo [1] einen einfachen Zugriff mit einem komplexen Sicherheitssystem. Die bisher erhältlichen Modelle (siehe Tabelle "Die Varianten") haben sich in der Praxis bewährt [2].

Die Varianten

Modell Funktionen Preis Einsatzfeld
YubiKey 2 Authentifizierung mittels dynamischem und statischem Passwort; funktioniert als Tastatur über USB. 30 Euro Geräte mit USB-Slot; kurzzeitiger Einsatz.
YubiKey Nano Authentifizierung mittels dynamischem und statischem Passwort; funktioniert als Tastatur über USB. 50 Euro Geräte mit USB-Slot; permanenter Einsatz.
YubiKey Neo Authentifizierung mittels dynamischem und statischem Passwort; funktioniert als Tastatur über USB, stellt zusätzlich dynamisches Passwort mittels NFC bereit. 60 Euro Geräte mit USB/NFC/RFID-Schnittstelle; Kurzzeitbetrieb.

Im Herbst 2012 berichtete LinuxUser zum ersten Mal über das kleine USB-Token ([3],[4]). Im Mittelpunkt stand die Authentifizierung über SSH-Verbindungen auf der Basis dynamisch generierter Einmalpasswörter (One Time Passwords, OTP) unter Linux.

Damals noch neu und verhältnismäßig unbekannt, kommt der Token inzwischen in über 120 Ländern bei vielen Online-Plattformen zum Einsatz, wie etwa bei Google, Lastpass, Facebook oder PayPal. Mittlerweile liegt mit dem YubiKey Neo der Nachfolger in den Regalen, er kostet rund 60 Euro. Der neue Token erweitert den Funktionsumfang der Vorgänger um kontaktlose Kommunikation über Near Field Communication (siehe Kasten "Was ist NFC?"). Gleichzeitig ersetzt er das bislang erhältliche Modell, das lediglich RFID unterstützte.

Was ist NFC?

NFC steht für "Near Field Communication", sinngemäß als Nahfeldkommunikation oder Nahfeldkopplung über Induktion übersetzt. Es bezeichnet einen internationalen Übertragungsstandard zum kontaktlosen Austausch von Daten per Funktechnik. Die Datenübertragungsrate beträgt maximal 424 kbit/s, die Teilnehmer funken auf 13,56 MHz [5].

NFC kombiniert die Techniken aus der Smartcard-Welt mit kontaktlosen Verfahren. Der maximale Abstand zwischen zwei Geräten beträgt 10 Zentimeter, größere Distanzen gelten gemäß der Spezifikation als Abbruch der Kommunikation. Der YubiKey Neo braucht keine eigene Energiequelle und bezieht die Betriebsspannung über elektromagnetische Induktion vom Smartphone.

NFC kommt als Technologie bereits recht häufig zum Einsatz, etwa für Bibliothekskarten, den deutschen Personalausweis (seit 2011) oder manche Fahrausweise für den ÖPNV [6]. So statten der Rhein-Main-Verkehrsverbund (RMV) und der Verkehrsverbund Berlin-Brandenburg (VBB) [7] neuere Ausweise mit NFC aus, erfassen darüber Fahrten und prüfen die Gültigkeit des Tickets. In die gleiche Richtung geht das Programm Touch & Travel der Deutschen Bahn [8].

Das Handy als Autoschlüssel befindet sich bislang noch im Versuchsstadium [9]. Bereits im Laden liegt dagegen das auf NFC und Bluetooth/WLAN aufsetzende Türschloss von Lockitron [10].

Der Neo beherrscht beide Techniken. Damit eröffnen sich neue Möglichkeiten im Zusammenspiel mit mobilen Anwendungen auf der Grundlage von Geräten, die ebenfalls über eine NFC-Schnittstelle verfügen. Dazu zählen bei den Smartphones etwa Samsungs Galaxy S2 bis S4, die Nokia-Modelle Lumia und N9 sowie das Blackberry Z10 [11], bei den Tablets unter anderem das Sony Xperia Tablet Z oder das Google Nexus 10.

Im Test kam ein Samsung Galaxy S3 mit vorinstalliertem Android 4.1.2 zum Einsatz. Der YubiKey-Hersteller Yubico unterstützt offiziell nur Google-Nexus-Smartphones, speziell die Modelle Galaxy Nexus, Nexus 4 und Nexus 7. Teure Smartphones unterstützen in aller Regel sowohl NFC als auch USB On-the-go (OTG). Zum Anschluss des YubiKey per USB-OTG benötigen Sie einen speziellen Adapter. Der ist preiswert, entspricht aber nicht der Vorstellung vom einfachen, mobilen Arbeiten.

NFC mit Android

Im Smartphone ist NFC standardmäßig ausgeschaltet. Sie aktivieren es in Android 4.1.2 unter Einstellungen | Weitere Einstellungen. Optional fügen Sie ein NFC-Symbol, das den aktuellen Status zeigt, über den Punkt Einstellungen | Anzeige | Benachrichtigungsfeld in die Benachrichtigungsleiste am oberen Displayrand ein (Abbildung 1).

Abbildung 1: Das entsprechende Symbol in der Leiste am oberen Displayrand signalisiert, ob die NFC-Funktion Ihres Smartphones aktiv ist.

Eigentlich erlaubt das NFC-Symbol auch, NFC ein- und auszuschalten. Das funktionierte im Test jedoch nicht zuverlässig. Bei aktiviertem NFC-Sensor können Sie Daten von NFC-Tags auslesen und diese verarbeiten. In den Tests war es für ein erfolgreiches Übertragen via NFC nicht erforderlich, die Schutzhülle des Smartphones abzunehmen. Als Hülle kam das Modell Commuter Case von Otterbox [12] zum Einsatz. Um die Hardware hingegen vollständig abzuschotten, bleibt nur das Einwickeln des Smartphones in Alufolie.

Funktionsweise

Bevor Sie das Token in Betrieb nehmen, hilft das Verständnis, welche Komponenten hier zur Authentifizierung überhaupt zusammenspielen (Abbildung 2). In der Werkseinstellung liefert der YubiKey Neo ein Einmalpasswort (OTP) in Form einer variablen Zeichenkette. Diese gilt gegenüber einer Authentifizierungsstelle – in diesem Fall dem Yubico-Server – nur ein einziges Mal. Weitere Aufrufe generieren ähnliche, aber niemals identische oder bereits erzeugte Zeichenketten.

Abbildung 2: Kommunikation zwischen dem Token, Smartphone und dem Server zum Authentifizieren.

Das Smartphone dient dabei als Kommunikationsmittel. Die entsprechende App auf dem Smartphone kommuniziert über die NFC-Schnittstelle mit dem YubiKey Neo und fängt das Einmalpasswort ab. Das Smartphone nimmt das OTP entgegen und übermittelt die Daten an den Authentifizierungsdienst. Damit das gelingt, halten Sie den YubiKey Neo an die Rückseite des Smartphones. Sender und Empfänger befinden sich in der Regel in der Mitte der Geräterückseite.

NFC erfordert im Alltag weniger als 5 Millimeter Abstand zwischen beiden. Die Lage des YubiKey – quer, längs oder schräg zur Geräterückseite – spielt keine Rolle. Von der Vorderseite des Smartphones aus geht es jedoch nicht, außerdem darf das Display des Smartphones nicht abgeschaltet oder gesperrt sein.

Beim Auslesen öffnet sich die App mit der eingefangenen Zeichenkette. Sie haben nun die Möglichkeit, diese gegenüber weiteren Diensten zu verwenden, wie einem Server im Web, der den YubiKey als Methode zum Authentifizieren unterstützt. Nur wer den Schlüssel besitzt, darf loslegen – alle anderen nicht.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 7 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Sichere Authentifizierung mit dem YubiKey
    1001 Passworte verwalten: Ein Alptraum. Passwortzettel am Monitor: Keine gute Idee. Passwort zu kompliziert und vergessen: Ärgerlich. Der YubiKey löst all diese Probleme und ist kinderleicht zu handhaben.
  • Sichere Authentifizierung mit dem YubiKey (Teil 2)
    SSH-Zugänge gelten als sicher – sofern die Zugangsdaten in den richtigen Händen bleiben. Mit dem YubiKey ergänzen Sie ihr Sicherheitskonzept um eine wirksame 2-Faktor-Authentifizierung.
  • Praktikable Zwei-Faktor-Authentifizierung für Linux
    Mobile Geräte benötigen ein Plus an Sicherheit, sollen die darauf gespeicherten Daten nicht in unbefugte Hände gelangen. Deswegen sichern Sie den Zugang am besten mit einem zweiten Faktor in Form eines YubiKeys ab.
  • Doppelt gemoppelt
    Für die Desktop-Anmeldung genügen normalerweise Benutzername und Passwort – beide oft leicht zu erraten. Für besseren Schutz sorgt eine Zwei-Faktor-Authentifizierung mithilfe eines PAM-Moduls und einer kostenlosen Handy-App.
Kommentare

Infos zur Publikation

LU 12/2016: Neue Desktops

Digitale Ausgabe: Preis € 5,99
(inkl. 19% MwSt.)

LinuxUser erscheint monatlich und kostet 5,95 Euro (mit DVD 8,50 Euro). Weitere Infos zum Heft finden Sie auf der Homepage.

Das Jahresabo kostet ab 86,70 Euro. Details dazu finden Sie im Computec-Shop. Im Probeabo erhalten Sie zudem drei Ausgaben zum reduzierten Preis.

Bei Google Play finden Sie digitale Ausgaben für Tablet & Smartphone.

HINWEIS ZU PAYPAL: Die Zahlung ist ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!

Aktuelle Fragen

Drucker Epson XP-332 unter ubuntu 14.04 einrichten
Andrea Wagenblast, 30.11.2016 22:07, 1 Antworten
Hallo, habe vergeblich versucht mein Multifunktionsgerät Epson XP-332 als neuen Drucker unter...
Apricity Gnome unter Win 10 via VirtualBox
André Driesel, 30.11.2016 06:28, 2 Antworten
Halo Leute, ich versuche hier schon seit mehreren Tagen Apricity OS Gnome via VirtualBox zum l...
EYE of Gnome
FRank Schubert, 15.11.2016 20:06, 2 Antworten
Hallo, EOG öffnet Fotos nur in der Größenordnung 4000 × 3000 Pixel. Größere Fotos werden nic...
Kamera mit Notebook koppeln
Karl Spiegel, 12.11.2016 15:02, 2 Antworten
Hi, Fotografen ich werde eine SONY alpha 77ii bekommen, und möchte die LifeView-Möglichkeit nu...
Linux auf externe SSD installieren
Roland Seidl, 28.10.2016 20:44, 1 Antworten
Bin mit einem Mac unterwegs. Mac Mini 2012 i7. Würde gerne Linux parallel betreiben. Aber auf e...