Der Zugangsschutz geht in eine neue Runde – diesmal kontaktlos per NFC. Mit einem Smartphone und dem YubiKey Neo greifen Sie von mobilen Geräten sicher auf Ihre Daten zu.
Mobile Geräte lösen in vielen Bereichen mittelfristig stationäre PCs ab. Dabei liegt die Masse der Daten in Online-Speichern, nur noch ausgewählte Teile lagern auf den Geräten. Daher verdienen Mobil-Devices besondere Aufmerksamkeit in Bezug auf das Absichern und Autorisieren.
Der NSA-Überwachungsskandal hat gezeigt, dass viele Sicherheitsmaßnahmen nicht ausreichend schützen. Aus dieser Perspektive verbindet die Kombination von Smartphone oder Tablet und YubiKey Neo [1] einen einfachen Zugriff mit einem komplexen Sicherheitssystem. Die bisher erhältlichen Modelle (siehe Tabelle “Die Varianten”) haben sich in der Praxis bewährt [2].
Die Varianten
| Modell | Funktionen | Preis | Einsatzfeld |
|---|---|---|---|
| YubiKey 2 | Authentifizierung mittels dynamischem und statischem Passwort; funktioniert als Tastatur über USB. | 30 Euro | Geräte mit USB-Slot; kurzzeitiger Einsatz. |
| YubiKey Nano | Authentifizierung mittels dynamischem und statischem Passwort; funktioniert als Tastatur über USB. | 50 Euro | Geräte mit USB-Slot; permanenter Einsatz. |
| YubiKey Neo | Authentifizierung mittels dynamischem und statischem Passwort; funktioniert als Tastatur über USB, stellt zusätzlich dynamisches Passwort mittels NFC bereit. | 60 Euro | Geräte mit USB/NFC/RFID-Schnittstelle; Kurzzeitbetrieb. |
Im Herbst 2012 berichtete LinuxUser zum ersten Mal über das kleine USB-Token ([3],[4]). Im Mittelpunkt stand die Authentifizierung über SSH-Verbindungen auf der Basis dynamisch generierter Einmalpasswörter (One Time Passwords, OTP) unter Linux.
Damals noch neu und verhältnismäßig unbekannt, kommt der Token inzwischen in über 120 Ländern bei vielen Online-Plattformen zum Einsatz, wie etwa bei Google, Lastpass, Facebook oder PayPal. Mittlerweile liegt mit dem YubiKey Neo der Nachfolger in den Regalen, er kostet rund 60 Euro. Der neue Token erweitert den Funktionsumfang der Vorgänger um kontaktlose Kommunikation über Near Field Communication (siehe Kasten “Was ist NFC?”). Gleichzeitig ersetzt er das bislang erhältliche Modell, das lediglich RFID unterstützte.
Was ist NFC?
NFC steht für “Near Field Communication”, sinngemäß als Nahfeldkommunikation oder Nahfeldkopplung über Induktion übersetzt. Es bezeichnet einen internationalen Übertragungsstandard zum kontaktlosen Austausch von Daten per Funktechnik. Die Datenübertragungsrate beträgt maximal 424 kbit/s, die Teilnehmer funken auf 13,56 MHz [5].
NFC kombiniert die Techniken aus der Smartcard-Welt mit kontaktlosen Verfahren. Der maximale Abstand zwischen zwei Geräten beträgt 10 Zentimeter, größere Distanzen gelten gemäß der Spezifikation als Abbruch der Kommunikation. Der YubiKey Neo braucht keine eigene Energiequelle und bezieht die Betriebsspannung über elektromagnetische Induktion vom Smartphone.
NFC kommt als Technologie bereits recht häufig zum Einsatz, etwa für Bibliothekskarten, den deutschen Personalausweis (seit 2011) oder manche Fahrausweise für den ÖPNV [6]. So statten der Rhein-Main-Verkehrsverbund (RMV) und der Verkehrsverbund Berlin-Brandenburg (VBB) [7] neuere Ausweise mit NFC aus, erfassen darüber Fahrten und prüfen die Gültigkeit des Tickets. In die gleiche Richtung geht das Programm Touch & Travel der Deutschen Bahn [8].
Das Handy als Autoschlüssel befindet sich bislang noch im Versuchsstadium [9]. Bereits im Laden liegt dagegen das auf NFC und Bluetooth/WLAN aufsetzende Türschloss von Lockitron [10].
Der Neo beherrscht beide Techniken. Damit eröffnen sich neue Möglichkeiten im Zusammenspiel mit mobilen Anwendungen auf der Grundlage von Geräten, die ebenfalls über eine NFC-Schnittstelle verfügen. Dazu zählen bei den Smartphones etwa Samsungs Galaxy S2 bis S4, die Nokia-Modelle Lumia und N9 sowie das Blackberry Z10 [11], bei den Tablets unter anderem das Sony Xperia Tablet Z oder das Google Nexus 10.
Im Test kam ein Samsung Galaxy S3 mit vorinstalliertem Android 4.1.2 zum Einsatz. Der YubiKey-Hersteller Yubico unterstützt offiziell nur Google-Nexus-Smartphones, speziell die Modelle Galaxy Nexus, Nexus 4 und Nexus 7. Teure Smartphones unterstützen in aller Regel sowohl NFC als auch USB On-the-go (OTG). Zum Anschluss des YubiKey per USB-OTG benötigen Sie einen speziellen Adapter. Der ist preiswert, entspricht aber nicht der Vorstellung vom einfachen, mobilen Arbeiten.
NFC mit Android
Im Smartphone ist NFC standardmäßig ausgeschaltet. Sie aktivieren es in Android 4.1.2 unter Einstellungen | Weitere Einstellungen. Optional fügen Sie ein NFC-Symbol, das den aktuellen Status zeigt, über den Punkt Einstellungen | Anzeige | Benachrichtigungsfeld in die Benachrichtigungsleiste am oberen Displayrand ein (Abbildung 1).
Abbildung 1: Das entsprechende Symbol in der Leiste am oberen Displayrand signalisiert, ob die NFC-Funktion Ihres Smartphones aktiv ist.
Eigentlich erlaubt das NFC-Symbol auch, NFC ein- und auszuschalten. Das funktionierte im Test jedoch nicht zuverlässig. Bei aktiviertem NFC-Sensor können Sie Daten von NFC-Tags auslesen und diese verarbeiten. In den Tests war es für ein erfolgreiches Übertragen via NFC nicht erforderlich, die Schutzhülle des Smartphones abzunehmen. Als Hülle kam das Modell Commuter Case von Otterbox [12] zum Einsatz. Um die Hardware hingegen vollständig abzuschotten, bleibt nur das Einwickeln des Smartphones in Alufolie.
Funktionsweise
Bevor Sie das Token in Betrieb nehmen, hilft das Verständnis, welche Komponenten hier zur Authentifizierung überhaupt zusammenspielen (Abbildung 2). In der Werkseinstellung liefert der YubiKey Neo ein Einmalpasswort (OTP) in Form einer variablen Zeichenkette. Diese gilt gegenüber einer Authentifizierungsstelle – in diesem Fall dem Yubico-Server – nur ein einziges Mal. Weitere Aufrufe generieren ähnliche, aber niemals identische oder bereits erzeugte Zeichenketten.
Abbildung 2: Kommunikation zwischen dem Token, Smartphone und dem Server zum Authentifizieren.
Das Smartphone dient dabei als Kommunikationsmittel. Die entsprechende App auf dem Smartphone kommuniziert über die NFC-Schnittstelle mit dem YubiKey Neo und fängt das Einmalpasswort ab. Das Smartphone nimmt das OTP entgegen und übermittelt die Daten an den Authentifizierungsdienst. Damit das gelingt, halten Sie den YubiKey Neo an die Rückseite des Smartphones. Sender und Empfänger befinden sich in der Regel in der Mitte der Geräterückseite.
NFC erfordert im Alltag weniger als 5 Millimeter Abstand zwischen beiden. Die Lage des YubiKey – quer, längs oder schräg zur Geräterückseite – spielt keine Rolle. Von der Vorderseite des Smartphones aus geht es jedoch nicht, außerdem darf das Display des Smartphones nicht abgeschaltet oder gesperrt sein.
Beim Auslesen öffnet sich die App mit der eingefangenen Zeichenkette. Sie haben nun die Möglichkeit, diese gegenüber weiteren Diensten zu verwenden, wie einem Server im Web, der den YubiKey als Methode zum Authentifizieren unterstützt. Nur wer den Schlüssel besitzt, darf loslegen – alle anderen nicht.
Konfiguration
Ab Werk arbeitet der YubiKey Neo mit der YubiCloud zusammen, dem Yubico-eigenen Authentifizierungsdienst. Slot 1 des YubiKey Neo ist bereits mit einem validierten Yubico-OTP vorbelegt. Zum Validieren des Schlüssels benötigen Sie eine direkte Internetverbindung. Nutzen Sie das Token in Ihrer eigenen Infrastruktur, programmieren Sie den Schlüssel um, damit Ihr Dienst die generierten Einmalpasswörter als gültig einstuft. Für einige Anwendungen wie den Passwortmanager Lastpass ist keine individuelle Konfiguration des YubiKey Neo erforderlich.
Überraschenderweise zeigte sich im Test, dass die Android-App eine individuelle Konfiguration nicht unterstützt. Bislang steht eine entsprechende App weder für die NFC-Schnittstelle noch für eine Anbindung per USB-OTG-Adapterkabel bereit. Daher folgen Sie am einfachsten der Empfehlung des Herstellers und konfigurieren den YubiKey mit der Personalization GUI (Version 3.1.2) [13] unter Debian “Testing” (Abbildung 3). Nur neue Versionen des Debian-Paketes erkennen den YubiKey Neo.
Abbildung 3: Über die Personalization GUI konfigurieren Sie das USB-Token, damit es sich gegen einen anderen Server authentifiziert.
Neben einer Variante für andere Linux-Spielarten gibt es auf der Webseite des Herstellers auch Programmversionen für Windows und Mac OS X. Laut Yubico steht die Portierung auf Android noch aus. Möglich ist die Anbindung über die Yubico-j-Bibliothek, die in der YubiTOTP-App bereits zum Einsatz kommt [14].
Beobachtungen
Im Test fielen eine Reihe von Punkten auf: Halten Sie mehrere YubiKey Neo ans Smartphone, setzt sich einer davon stets durch – welcher, das lässt sich allerdings nicht vorhersehen. Der YubiKey Neo verfügt über zwei Slots. Beide eignen sich für den Einsatz dynamischer wie statischer Passworte. Die Konfiguration statischer Passworte zum Übertragen per NFC gelingt bislang nur im Advanced Mode. Zusätzlich klappt eine Auswahl zwischen Slot 1 und 2, praktisch funktionierte im Test mit NFC aber nur das Auslesen aus Slot 1. Ab Werk kommt im Zusammenspiel mit NFC stets Slot 1 zum Einsatz (siehe Kasten “Statisches Passwort”).
Statisches Passwort
Es besteht die Möglichkeit, den YubiKey Neo über das Personalization Tool mit einem statischen Passwort zu versehen. Die Einstellung erfolgt über das Personalization Tool im Advanced Mode. Damit reduzieren Sie jedoch die Sicherheit erheblich: Jeder Unberechtigte, der die Hardware in die Finger bekommt, kann das darauf gespeicherte Passwort mittels USB-Schnittstelle im Klartext auslesen. Daher rät Yubico von dieser Methode ab, zumal sich NFC ähnlich wie Bluetooth verhält: Mit einer entsprechenden Software lassen sich die Daten aus der Luft abfangen.
Die NFC-Schnittstelle lässt sich erst benutzen, wenn das Smartphone gebootet hat. Das Entschlüsseln der SD-Karte im Smartphone und das Anmelden auf dem Gerät scheiden somit aus. Selbst mit einem statischen Passwort, das an sich schon deutlich weniger Sicherheit bietet, klappte es aber im Test nicht: Das Passwort ließ sich nicht via NFC für das Anmelden per PIN und SD-Kartenverschlüsselung nutzen. Die Alternative Statisches Passwort via USB On-the-go funktioniert, zum Entschlüsseln erscheint diese Alternative aber umständlich.
Apps-Übersicht
Es gibt noch nicht viele Android-Apps, die den YubiKey Neo und das Verfahren NFC unterstützen. Einige davon sind kostenfrei und stammen direkt vom Hersteller Yubico, so auch die Demo-App [15], die sich aber nur zu Funktionstests eignet. YubiTOTP and YubiOATH ermöglichen hingegen den Einsatz des Challenge-Response-Verfahrens über NFC gemäß ISO-Standard 14443-4.
Insgesamt gestaltet sich die Recherche nach Apps mit Unterstützung für den YubiKey Neo im Google Play Store recht merkwürdig. Eine Suche nach der Zeichenkette yubi förderte zwar diverse Notizbuch-Anwendungen zutage, jedoch keine dedizierte App für den Neo.
Zum Speichern von Notizen auf dem Smartphone existiert im Play Store die App YubiNotes [16] – die Entwicklung eines Drittanbieters. Darin gespeicherte Notizen sind nur mit dem passenden YubiKey Neo zugänglich. Im Test fiel auf, dass die App derzeit instabil läuft und nicht zuverlässig arbeitet. Nach dem Neustart des Smartphones und dem ersten Login erscheint die Nachricht: YubiNotes angehalten. Entfernen Sie das Token während der Arbeit mit der App, lassen sich die Notizen nicht mehr öffnen. Unklar blieb, ob sich die Notizen im Bedarfsfall mit Linux oder anderen Betriebssystemen auslesen lassen und was mit den Notizen passiert, wenn der YubiKey Neo verloren geht. Ein Totalverlust ist nicht auszuschließen.
Die kostenpflichtige App NFCSecure [17] verspricht das Absichern des Smartphones über YubiKeys und NFC-basierte Armbänder. Jedoch fällt die Dokumentation recht spärlich aus und steht nur in der App selbst bereit. Der Preis von 3,89 Euro erscheint hoch, zumal jeweils ein Euro für den Support pro YubiKey Neo und für das Locale-Plugin hinzukommen – wobei sich Letzteres erst nach dem Kauf herausstellt.
Besteht der Bedarf, Zugangsdaten und Passworte im Web zu speichern, stehen diverse Plattformen zur Verwaltung bereit. Android Apps gibt es unter anderem für Lastpass [18], Keepass2Android [19] und Keepass NFC [20]. Während Lastpass als kommerzieller Dienst Passworte zentral verwaltet, handelt es sich bei dem für den dezentralen Einsatz geeigneten Keepass um Open Source. Keepass NFC und Keepass2Android versprechen die NFC-Funktionalität des YubiKey Neo zu unterstützen. Der Test beschränkte sich auf die kommerzielle Variante Lastpass.
Im Alltagstest
Lastpass arbeitet nur in der kostenpflichtigen Premium-Version mit dem YubiKey zusammen. Dafür fallen pro Jahr 12 US-Dollar an, also rund 10 Euro. Das Einrichten des Zugangs mittels YubiKey Neo erledigen Sie im Webbrowser [21]. Möchten Sie Einstellungen und Hilfe in deutscher Sprache benutzen, dann stellen Sie die Auswahl Deutsch bereits vor dem Login auf der Startseite ein. Die Option finden Sie links neben dem Feld Anmelden bei LastPass. Nach dem Login bewirkt das Umschalten auf German innerhalb von Settings nichts mehr.
Den YubiKey Neo registrieren Sie unter Einstellungen | Arten der mehrstufigen Anmeldung. Es empfiehlt sich, zwei Token für den Lastpass-Zugang zu registrieren: Das dient der Ausfallsicherheit, falls Sie ein Token verlieren. Es kommt nicht darauf an, zwei baugleiche Modelle zu verwenden. Für diesen Zweck genügt eine preiswertere Version, zumindest falls Sie alternativ zum Smartphone einen Computer mit USB-Anschluss nutzen oder ein USB-OTG-Kabel besitzen.
Ob Sie Slot 1 oder 2 mit dem Yubico OTP nutzen, spielt keine Rolle. Im Test war es aber wiederholt schwierig, die richtige Länge des Tastendrucks zu finden (laut Dokumentation 2,5 bis 5 Sekunden), um das Passwort aus Slot 2 zu aktivieren. Für Slot 1 genügt ein kurzes Tippen auf den grün leuchtenden Button.
Es besteht die Möglichkeit, bis zu fünf YubiKeys mit dem Konto zu verknüpfen. Da es in den Einstellungen keine Möglichkeit gibt, Notizen zu den verschiedenen Token zu machen, vermerken Sie am besten in Ihren Unterlagen die Zuordnung zwischen YubiKey und dem Slot, zusätzlich zur Seriennummer oder der Art und Farbe. Die weitere Konfiguration gerät sonst unübersichtlich.
Nach dem Anmelden eines oder mehrerer Keys stehen Ihnen nun drei Optionen bereit: Mit YubiKey Authentifizierung schalten Sie die Zweifaktor-Authentifizierung per Hardware ein oder aus. Diese Funktion hilft beim Testen. Setzen Sie also diese Einstellung von dem voreingestellten Wert auf Aktiviert (Abbildung 4).
Abbildung 4: Der kommerzielle Dienst Lastpass unterstützt den YubiKey. Sie verwalten mit einem Konto Passwörter für Online-Dienste.
Mit der Option Zugriff von mobilen Geräten legen Sie fest, ob die Software bei den Geräten, die keinen USB-Anschluss besitzen, die Zweifaktor-Authentifizierung überspringt. Wählen Sie Verweigern, so erhöhen Sie die Sicherheit. Insgesamt empfiehlt es sich, diese Option zu nutzen.
Für das Überspringen gibt es zwei Optionen: Erlauben und Erlauben außer Android/Windows Phone. Das funktionierte im Test mit der Lastpass-App gut. Bei der Lastpass-Anmeldung im Browser eines Smartphones ohne USB und NFC verlangte der Server jedoch immer nach einer zusätzlichen Authentifizierung per YubiKey.
Mit der Option Offline gewähren Sie Zugang zum Lastpass-Konto, falls keine Verbindung zum Internet besteht. Dieses Verfahren ist allerdings weniger sicher: Ohne Netzzugang überprüft die Software nur den statischen Teil des Yubico OTP. Diese Option bleibt permanent gesetzt. Sollten Sie sie also nur temporär benötigen, vergessen Sie nicht, das Häkchen wieder zu entfernen. Mit einem Klick auf Aktualisierung setzen Sie die Konfiguration fort und beenden diese durch die Eingabe des Zugangspassworts.
Möchten Sie einen YubiKey aus dem Konto löschen, entfernen Sie einfach alle Daten aus dem entsprechenden Eingabefeld und klicken auf die Schaltfläche Aktualisierung. Falls Sie den YubiKey Neo verlieren oder jemand diesen stiehlt, hätte er die Möglichkeit, den Lastpass-Account zu nutzen. Dagegen hilft die Beschränkung der mit dem YubiKey Neo nutzbaren mobilen Geräte unter Einstellungen | Mobiles Gerät (Abbildung 5).
Abbildung 5: Zugangsbeschränkung auf bestimmte mobile Geräte.
Der Onlinedienst erkennt die Geräte selbstständig beim ersten Login von diesem Gerät und weist ihnen einen Hash zu. Bei mehreren mobilen Geräten gerät das aber schnell unübersichtlich, da es außer dem errechneten Wert keine Informationen gibt. Im Test funktionierte diese Beschränkung zuverlässig: Als ein nicht autorisiertes Gerät versuchte, Zugriff auf das Konto zu erhalten, verschickte der Dienstleister per E-Mail einen Warnhinweis.
Bevor Sie den YubiKey Neo nach der Einrichtung mit Ihrem Smartphone verwenden, folgen Sie am besten der Empfehlung von Lastpass und loggen sich aus dem Konto aus, damit ab sofort alle lokal zwischengespeicherten Daten mit dem YubiKey-Hash doppelt verschlüsselt werden können. Testen Sie nun das Anmelden über den Browser. Lastpass verlangt dabei eine Zweifaktor-Authentifizierung mit Passwort und YubiKey (Abbildung 6).
Abbildung 6: Lastpass-Authentifikation mit dem YubiKey.
Nehmen Sie dann Ihr Smartphone zur Hand,überprüfen Sie noch einmal, ob NFC aktiviert ist, und starten Sie dann die App von Lastpass. Nach Eingabe von Benutzername und Passwort fragt die Software nach dem Token. Ein kurzes Streichen über die Rückseite des Smartphones genügt zum Freischalten des Tresors.
Bei der Abfrage bietet die App die Option Diesem Gerät vertrauen? an. Setzen Sie hier ein Häkchen, entfällt in Zukunft die Sicherheitsabfrage (Abbildung 7). Das regelmäßige Erneuern der Zweifaktor-Authentifizierung stellen Sie bei Bedarf per Browser unter Einstellungen | Vertrauenswürdige Computer wieder her. Allerdings fällt es schwer, die Einträge für die Geräte zu unterscheiden, da die Software nur das Betriebssystem, den Namen des Modells und einen Hash anzeigt.
Abbildung 7: Vertrauenswürdige Computer erhalten über eine vereinfachte Prozedur Zugriff auf das Lastpass-Konto.
Halten Sie den YubiKey Neo kurz an die Rückseite des Smartphones – so sparen Sie sich das manuelle Öffnen der Lastpass-App: Der Dialog zum Anmelden öffnet sich automatisch (Abbildung 8). Die oben genannte Option Diesem Gerät vertrauen? bietet die App auf diesem Weg aber nicht an.
Abbildung 8: Der Anmeldebildschirm der App Lastpass.
Im offiziellen Handbuch von Lastpass beschreibt der Abschnitt YubiKey Authentification (Logging in with YubiKey Neo) eine weitere Methode per NFC über das Programmieren des NDEF-Tags. Diese Methode funktionierte im Test jedoch nicht.
Fazit
Derzeit gibt es nur wenige funktionierende Anwendungen für Smartphones, die NFC in Kombination mit dem YubiKey Neo nutzen. Ausprobiert haben wir neben der Demo-App auch NFCSecure sowie die Lastpass-App. Es existieren weitere Apps wie Keepass2Android, Keepass und YubiClip. Bislang hat aber nur die Lastpass-App als einfach zu handhabende Methode der Zweifaktor-Authentifizierung im Zusammenspiel zwischen Token und einem Smartphone überzeugt.
Infos
[] Die Autoren bedanken sich beim Support des Herstellers Yubico. Weiter gilt unser Dank Wolfram Eifler, Christoph Dahms und Michal Bielicki für deren Kritik und Anmerkungen im Vorfeld des Artikels.
[1] YubiKey Neo: http://www.yubico.com/products/YubiKey-hardware/YubiKey-neo/
[2] YubiKey in der Praxis: Oliver Frommel, “Schlüssel-Bund”, Admin-Magazin 01/2011, http://www.admin-magazin.de/Das-Heft/2011/01/Two-Factor-Authentication-fuer-Wordpress-Blogs
[3] Testbericht YubiKey: Thomas Osterried, Frank Hofmann, “Ausbuchstabiert”, LU 09/2012, S. 18https://www.linux-community.de/25925
[4] SSH absichern: Thomas Osterried, Frank Hofmann “Schlüsselerlebnisse”, LU 10/2012, https://www.linux-community.de/25961
[5] Near Field Communication: http://de.wikipedia.org/wiki/RFID
[6] “NFC – das Handy als Reiseticket”: http://www.heise.de/newsticker/meldung/NFC-Das-Handy-als-Reiseticket-1444092.html
[7] S-Bahn-Berlin – VBB-fahrCard: http://www.s-bahn-berlin.de/aboundtickets/fahrcard.htm
[8] Projektseite zu Touch & Travel: http://www.touchandtravel.de
[9] Intelligenter Autoschlüssel im Handy: http://www.telekom.com/innovation/81704
[10] Lockitron: https://lockitron.com
[11] NFC-Mobiltelefone im Überblick: http://www.handy-deutschland.de/nfc-handy.html
[12] Otterbox: http://www.otterbox.com
[13] Personalization Tool for YubiKey OTP Tokens, Debian-Paket (testing): http://packages.debian.org/jessie/yubikey-personalization
[14] Open-Source-Repository bei Yubico: http://opensource.yubico.com
[15] Demo-App für YubiKey Neo: https://github.com/Yubico/yubikey-neo-demo
[16] YubiNotes: https://play.google.com/store/apps/details?id=com.connectutb.yubinotes
[17] NFCSecure: http://www.nfcsecureapp.com
[18] Lastpass: https://lastpass.com
[19] Keepass2Android: http://keepass2android.codeplex.com
[20] Keepass: http://keepass.info
[21] Lastpass-Helpdesk: https://helpdesk.lastpass.com/security-options/multifactor-authentication-options/yubikey-authentication/
