In meinem vorherigen Beitrag bin ich auf die Authentifzierungsmechanismen des Yubikey Neo eingegangen. Für den ein oder anderen stellt sich jetzt vielleicht die Frage, ob sich der Kauf lohnt – und wenn ja: Welche Yubikey-Version soll es dann sein? Sollte man lieber viel Geld für einen Neo ausgeben, oder doch zur günstigeren U2F-Version greifen?
Um diese Fragen zu beantworten, will ich euch erklären, welche Authentifizierungsmethoden ich mit meinem Yubikey Neo verwende, und wieso.
Yubikey OTP
Sehr bequem und einfach zu handhaben. Ein paar wenige Dienste (wie z.B. Mailbox.org) unterstützen diese Methode entweder über die offiziellen Yubico-Server oder über eigene Server (die dann nur mit speziell gefertigten Yubikeys kompatibel sind). Auch ein passendes PAM-Modul für die Anmeldung am Linux-Desktop gibt es. Doch leider macht man sich in jedem Fall abhängig von einem Authentifizierungsserver. Wenn einmal keine Internetverbindung möglich ist oder die Server aus anderen Gründen nicht verfügbar sind, ist keine Anmeldung möglich. Aus diesem Grund habe ich bisher auf Yubico OTP verzichtet.
HOTP / TOTP
TOTPs (Time-based OTPs) nutze ich relativ häufig für die Anmeldung im Browser: Für Bitcoin.de, Core-Networks.de, GitHub.com, Google, Hetzner und Servercow.de. Das TOTP-Verfahren ist am weitesten Verbreitet und kann auf den verschiedensten Endgeräten eingesetzt werden – auch ganz ohne Yubikey nur mit einer App auf dem Smartphone. Auf HOTP verzichte ich, weil ich es wegen des Zählers für weniger Zuverlässig halte: Dann doch lieber etwas Zeit-abhängiges, das nicht so einfach „kaputt“ gehen kann.
Challenge-Response via HID
Den HID Challenge-Reponse-Modus des Yubikeys konnte ich bisher nur über ein passendes PAM-Modul für den Login am Linux-Desktop einsetzen. Funktioniert und macht zunächst Spaß – aber mit der Zeit wird es dann doch lästig und man fragt sich, ob man seinen Desktoprechner Zuhause wirklich via 2FA absichern muss ;-) Für ein Notebook mit kritischen Geschäftsdaten im Einsatz unterwegs mag das aber ganz sinnvoll sein. Für mich gibt es aktuell kein Einsatzszenario, also kann ich auch gut auf die Funktion verzichten.
FIDO U2F
U2F ist mein persönlicher Liebling unter den Authentifizierungsmethoden: Neu, einfach, sicher, schnell. Leider unterstützen bisher viel zu wenige Onlinedienste dieses Verfahren, sodass ich mich damit nur bei GitHub und Google einlogge. Dropbox unterstützt das Verfahren auch. Firefox beherrscht U2F leider nur über ein zusätzliches Addon. Obwohl die erste Version des Standards schon 2014 verabschiedet wurde, hat U2F noch nicht in alle Browser Einzug gehalten und wird von Websites nur sehr vorsichtig implementiert. Ein Grund dafür könnte sein, dass es noch an einfachen Softwarebibliotheken und leicht verständlicher Dokumentation mangelt. Zudem ist noch nicht klar, wie eine Authentifizierung an mobilen Geräten (Smartphone, Tablet) funktionieren soll.
Gerade zu U2F würde ich mir aber wünschen, dass es mehr Verbreitung fände. Auf ellenlange Passwörter – individuell für jeden Service – und Passwortsafes könnten wir dann verzichten. Ein leicht zu merkendes Passwort und U2F-kompatibler USB-Stick würden dann für eine sichere Anmeldung ausreichen.
OpenPGP Smartcard
Neben den Autheitifizierungsfunktionen beherrscht das Neo-Modell des Yubikeys auch das Verschlüsseln und Signieren via OpenPGP. Der Stick bekommt unverschlüsselte Informationen übermittelt und führt intern eine PGP-Verschlüsselung mit einem auf ihm befindlichen PGP-Schlüssel durch. Leider unterstützt das ältere Neo-Modell nur Schlüssel bis 2048 Bit. Das ist mir zu wenig. Das neuere Modell (Yubikey 4) unterstützt Schlüssel bis 4096 Bit.
Die Smartcard-Funktion kann sowohl via USB als auch via NFC genutzt werden. Für mich stellt sich allerdings die Frage nach dem Sinn: In welchem Szenario hätte man denn durch die Verschlüsselung auf dem Stick einen Vorteil? Eigentlich nur dann, wenn der genutzte PC nicht vertrauenswürdig ist. Nur: Wer tippt denn auf einem nicht vertrauenswürdigen Rechner in Klartext seine E-Mail? Insofern ist das Feature zwar gut gemeint, aber einen Sinn kann ich darin nicht finden.
Fazit zum Yubikey Neo
Viele Features, hoher Preis: Der Yubikey Neo ist ein mächtiges Werkzeug, das seinen Preis hat. Von den zur Verfügung stehenden Features nutze ich allerdings nur einen Bruchteil: TOTP und die U2F-Funktion. Praktisch finde ich die NFC-Funktion des Neo-Modells. Damit kann ich auf jedem beliebigen, NFC-kompatiblen Smartphone mithilfe der Yubco Authenticator -App meine TOTPs abrufen. Die OTPs werden auf dem Key generiert, sodass auf dem Smartphone nur die App als Zeitgeber und Anzeige installiert werden muss. Sollte man sein Smartphone mit der passenden App einmal nicht für die Anmeldung zur Hand haben, kann man sich also auch einfach das Smartphone eines Freundes ausleihen. Leider ist das Neo-Modell (teuerste Ausstattungsvariante) das einzige mit NFC. Alle anderen lassen sich nur via USB Standardanschluss verwenden. Gerne hätte ich zum günstigsten U2F-Modell gegriffen, doch das schränkt die Nutzung meines Keys wegen der geringen Verbreitung von FIDO U2F noch stärker ein.
Daher ziehe ich folgendes Fazit:
- Der Yubikey Neo eignet sich für alle, die gerne experimentieren, oder TOTPs auf einem Smartphone generieren wollen (=> NFC)
- Wer einfach nur die Anmeldung via U2F z.B. für GitHub oder Google nutzen möchte, kann sich das günstige U2F-Modell kaufen, und hoffen, dass U2F sich in Zukunft für die Anmeldung im Web durchsetzt. Bis dahin ist allerdings noch ein weiter Weg …
Zufrieden bin ich mit der Situation im Allgemeinen nicht. Schön, wäre es, wenn man sich einfach überall via U2F einloggen könnte …