Der Nitrokey Pro 2 deckt eine Vielzahl kryptographischer Funktionen ab, die den IT-Einsatz auf einfache Weise sicherer gestalten.
Klein und unscheinbar kommt der Nitrokey Pro 2 daher, doch er entpuppt sich als hilfreicher digitaler Türöffner, in dessen Passwort-Safe Sie Ihre Zugangsdaten sicher verschließen und mit dem Sie Einmalpasswörter zum sichereren Anmelden bei Online-Diensten erzeugen. Die integrierte OpenPGP-Card erlaubt es, Mails zu verschlüsseln und zu signieren.
Den Nitrokey Pro 2 beziehen Sie für rund 50 Euro über den Online-Shop [1] des Herstellers (Abbildung 1). Dort finden Sie auch den Nitrokey Storage 2, der dieselben Funktionen wie der Nitrokey Pro 2 bereitstellt, zusätzlich aber über einen verschlüsselten Massenspeicher von – je nach Variante – 16 bis 64 GByte verfügt. Je nach Speicherplatz schlägt er mit 109 bis 199 Euro zu Buche.
Abbildung 1: Den Nitrokey Pro 2 nutzen Sie nicht nur wie eine OpenPGP-Smartcard, sondern speichern auch Zugangsdaten ab und erzeugen Einmalpasswörter. Entscheiden Sie sich für den Nitrokey Storage 2, erhalten Sie außerdem einen verschlüsselten Massenspeicher von bis zu 64 GByte. Quelle: Nitrokey GmbH
Konfigurieren
Neben dem Nitrokey selbst benötigen Sie noch die Nitrokey App, die für verschiedene Betriebssysteme bereitsteht. Das ermöglicht es, die Hardware betriebssystemunabhängig an verschiedenen Rechnern zu nutzen. Für Linux bietet der Hersteller auf seiner Internetseite Pakete für verschiedene Distributionen sowie den Quellcode zum selber kompilieren an [2].
Haben Sie den Nitrokey gekauft und die App auf dem Computer installiert, schließen Sie den Stick an den Rechner an und starten die Software mit dem Befehl nitrokey-app in der Shell oder mit einem Klick auf das entsprechende Icon in den Anwendungsmenüs (Abbildung 2).
Abbildung 2: Die Nitrokey App ist einfach und übersichtlich gehalten. Hier nehmen Sie Grundeinstellungen vor, erzeugen Einmalpasswörter und speichern Zugangsdaten ab. Nutzen Sie den Nitrokey Storage 2 greifen Sie hier zusätzlich auf die verschlüsselten Dateien und die versteckten Laufwerke zu.
Verschlüsseln
Der Zugriff auf den Nitrokey ist durch eine PIN geschützt (siehe Kasten “Start-PIN”). So sind Ihre Daten sicher, selbst wenn Sie den Stick verlieren sollten. Zum Verändern von Einstellungen geben Sie die Admin-PIN ein. Bevor Sie mit der Arbeit loslegen, steht als Erstes an, eine eigene PIN und eine Admin-PIN festzulegen. Dies erledigen Sie in der Nitrokey App links oben über Menü | Konfigurieren | Benutzer-PIN ändern und Administrator-PIN ändern.
Start-PIN
Die Start-PIN des Nitrokeys lautet immer auf 123456 und die Start-Admin-PIN immer 12345678. Die PIN sollten Sie umgehend vor dem ersten Gebrauch ändern. Die dafür nötigen Einstellungen finden Sie in der Nitrokey App unter Menü | Konfigurieren.
Mit dem Passwort-Safe speichern Sie nun wichtige Zugangsdaten sicher auf dem Nitrokey ab. Dafür sperren Sie den Safe in der App über Menü | Passwort-Safe entsperren und die PIN auf. Klicken Sie danach auf den Reiter Passwort-Safe, wo Sie bis zu 16 Zugangsdaten und Passwörter hinterlegen. Wählen Sie einen Platz aus der Liste aus, vergeben einen Namen und tragen Sie die Login-Informationen und das Passwort ein.
Melden Sie sich gerade bei einem Online-Dienst neu an, unterstützt Sie die App bei der Wahl eines neuen Passworts durch einen Klick auf Zufälliges Passwort generieren. Der Speicherplatz auf dem Nitrokey ist begrenzt, daher sehen Sie hinter jedem Feld, wie viele Zeichen noch maximal bereitstehen. Sind alle Daten erfasst, sichern Sie diese mit einem Klick auf Speichern.
Aufsperren
Haben Sie die Passwörter erfasst, verwenden Sie diese bei Bedarf ganz einfach: Vorausgesetzt, dass der Nitrokey eingesteckt und der Passwort-Safe entsperrt ist, finden Sie in der App unter Menü | Passwörter eine Liste mit den Passwörtern, die Sie auf Ihrem Nitrokey abgespeichert haben. Nach einem Klick auf den gewünschten Eintrag kopiert das Programm das passende Passwort in die Zwischenablage der Desktop-Umgebung, von wo aus Sie es weiterverwenden und in die Anmeldemaske einfügen.
Hier liegt allerdings eine Schwachstelle, denn das Passwort wandert im Klartext in die Zwischenablage, wo es theoretisch einem Angreifer möglich wäre, es abzufangen. Daher ist Vorsicht angebracht, wenn Sie an einem fremden Rechner arbeiten.
Damit Ihr Passwort nicht unbegrenzt in der Zwischenablage bleibt, legen Sie über den Reiter Einstellungen in der App die Zeit fest, nach der diese das Passwort aus der Zwischenablage löscht. Voreingestellt sind 60 Sekunden, in der Regel genügen allerdings 30 Sekunden. Danach verschwindet das Passwort wieder aus der Zwischenablage. Problematisch wird es, wenn Sie einen Clipboard-Manager nutzen. Im Test blieben die kopierten Passwörter in dessen Verlauf erhalten.
Einmalpasswörter
Um die Sicherheit beim Einloggen zu erhöhen, verwenden Online-Dienste vielfach Einmalpasswörter. Diese generieren Sie für viele Online-Dienste einfach mithilfe der App, sodass Sie nicht für jedes Benutzerkonto auf die App des Anbieters angewiesen sind. Eine allgemeine Anleitung finden Sie auf der Internetseite des Herstellers [3].
Das Grundprinzip ist bei allen Diensten dasselbe: Aktivieren Sie die Zwei-Faktor-Authentifizierung für den betreffenden Dienst und tragen Sie den geheimen Schlüssel, mit dessen Hilfe Einmalpasswörter eigentlich über die eigene App des Anbieters erzeugt würden, in die Nitrokey App ein. Wir zeigen Ihnen hier als Beispiel, wie Sie Einmalpasswörter für Ihr Google-Konto erzeugen.
Loggen Sie sich über https://myaccount.google.com in Ihr Google-Konto ein. Klicken Sie dann links auf Sicherheit und entscheiden Sie sich unter Bei Google anmelden für Bestätigung in zwei Schritten. Dort richten Sie zunächst Ihr Smartphone ein. Danach zeigt Ihnen das System verschiedene Möglichkeiten an, wie Sie Ihr Smartphone für die Zwei-Faktor-Authentifizierung nutzen können. In der Voreinstellung sendet Google Ihnen die Einmalpasswörter per SMS.
Privater Schlüssel
Wählen Sie aus der Liste der angezeigten Möglichkeiten Authenticator App aus und klicken Sie auf Einrichten. Die Authenticator App wollen Sie in Wirklichkeit gar nicht nutzen, aber das ist die einzige Möglichkeit, dass Google den privaten Schlüssel herausrückt, auf den Sie es eigentlich abgesehen haben. Nun erscheint ein Barcode auf der Seite, den Sie eigentlich mit der Authenticator App scannen würden. Tun Sie das aber nicht, sondern klicken Sie auf die Option Sie können ihn nicht scannen.
Daraufhin zeigt Google Ihnen den privaten Schlüssel an. Wechseln Sie in die Nitrokey App und rufen Sie dort den Reiter Einmalpasswörter-Einträge auf. Dort vergeben Sie einen Namen für den Eintrag, in diesem Fall Google. Den privaten Schlüssel tragen Sie in das Feld Geheimnis ein und klicken auf Speichern. Damit ist das Einrichten in der Nitrokey App abgeschlossen. Wechseln Sie wieder zurück zum Google-Konto, denn dort geht die Konfiguration noch ein wenig weiter.
Klicken Sie in dem Dialog, aus dem Sie eben den privaten Schlüssel kopiert haben, auf Weiter. Google fragt Sie nun nach einem sechsstelligen Code, der Ihnen von der Authenticator App angezeigt wird – gemeint ist ein Einmalpasswort. So lässt sich direkt ausprobieren, ob in der Nitrokey App alles richtig eingerichtet wurde.
Rufen Sie die Nitrokey App auf und klicken Sie auf Menü | Passwörter | Google. Daraufhin erzeugt die Nitrokey App ein Einmalpasswort und kopiert es in die Zwischenablage, von wo aus Sie es in das Dialogfenster in Ihrem Google-Konto einfügen. Damit ist Ihr Google-Konto fertig eingerichtet und Sie nutzen zum Anmelden ab sofort die Nitrokey App zum Erzeugen von Einmalpasswörtern (Abbildung 3).
Abbildung 3: Die Nitrokey App nutzen Sie zum Erzeugen von Einmalpasswörtern zum sicheren Anmelden bei Online-Diensten.
Schlüsselkarte
Im Artikel “Schlüsselkarte” in diesem Heft haben wir Ihnen die OpenPGP-Smartcard vorgestellt. Im Nitrokey ist diese Funktion integriert, Sie nutzen Ihren Nitrokey genauso wie eine OpenPGP-Smartcard und benötigen nicht mal ein Kartenlesegerät (Abbildung 4).
Abbildung 4: Der GNU Privacy Assistant erkennt Ihren Nitrokey als OpenPGP-Karte. Daher stehen Ihnen mit dem Nitrokey dieselben Funktionen zur Verfügung wie mit einer OpenPGP-Smartcard.
Fazit
Der Nitrokey Pro 2 erweist sich als nützlicher Helfer. Die passende App, über die Sie mit dem Nitrokey arbeiten, ist einfach installiert und übersichtlich in der Bedienung. Dort legen Sie Ihre Zugangsdaten in einen digitalen Safe und haben ein Tool zur Hand, mit dem Sie Einmalpasswörter zum sichereren Anmelden bei Online-Diensten erzeugen.
Sogar eine OpenPGP-Card ist integriert, sodass Sie nicht mal ein Kartenlesegerät benötigen, wenn Sie sich für den Nitrokey entscheiden. Der Nitrokey Storage 2 bringt außerdem einen verschlüsselten Massenspeicher mit, wofür Sie aber deutlich tiefer in die Tasche greifen. (cla)
Glossar
-
Einmalpasswörter
-
Viele Online-Dienste verwenden zum sicheren Anmelden zusätzlich zu Benutzernamen und Passwort ein nur einmal gültiges Passwort (Englisch: “one-time password” oder abgekürzt OTP). Dazu kommt entweder eine eigene App des Anbieters zum Einsatz oder Sie erhalten es per SMS aufs Handy. So ist der Zugang zum Konto zusätzlich geschützt, wenn jemand die Benutzerdaten ausspioniert haben sollte.
Infos
-
Nitrokey Pro 2 im Nitrokey Shop: https://shop.nitrokey.com/de_DE/shop/product/nk-pro-2-nitrokey-pro-2-3
-
Nitrokey App: https://www.nitrokey.com/de/download
-
Zwei-Faktor-Authentifizierung mit One-Time-Passwörtern (OTP): https://docs.nitrokey.com/de/pro/otp.html
