it-swarm-eu.dev

Was ist ein YubiKey und wie funktioniert er?

Wie funktioniert YubiKeys? Gibt es Alternativen?

Hier ist ein Bild von einem: yubikey

57
Gabriel Fair

Der YubiKey gibt es in verschiedenen Varianten, zum Beispiel den YubiKey 4 und den YubiKey U2F. Alle YubiKeys sind Hardware-Token und an einen USB-Anschluss angeschlossen. Die meisten verfügen über einen induktiven Knopf und ein Modell hat auch NFC (das YubiKey Neo ). Die Varianten unterscheiden sich hinsichtlich Formfaktor und Anzahl der nterstützten Funktionen .

Der YubiKey 4 bietet mehrere Funktionen:

  • OTP Generation
  • OATH-kompatible OTP-Erzeugung (d. H. HOTP und TOTP )
  • emulieren Sie einen Chipkartenleser mit eingelegter OpenPGP-Chipkarte (bis zu 4K Bit RSA oder 256 Bit ECC Größe des privaten Schlüssels)
  • fungieren als PIV-Gerät (bis zu 2K Bit RSA oder 256 Bit ECC Größe des privaten Schlüssels)
  • fungieren als 2F Gerät
  • wiederholen Sie ein statisches Passwort

Für einige seiner Funktionen präsentiert es sich als SB HID Gerät.

Es gibt alternative Lösungen, die ähnliche oder eine Teilmenge des YubiKey 4 mit mehreren Funktionen bieten. Zum Beispiel klassische Hardware-Chipkartenleser (möglicherweise sogar mit Tastatur) in Kombination mit einer OpenPGP-kompatiblen Chipkarte.

Das YubiKey U2F ist nur ein U2F-Gerät, d. H. Ein Gerät, das ein Origin-spezifisches öffentliches/privates Schlüsselpaar generieren kann und dem Aufrufer ein Schlüsselhandle und einen öffentlichen Schlüssel zurückgibt. Wie bei anderen kostengünstigen U2F-Geräten werden die privaten Schlüssel nicht gespeichert, sondern symmetrisch verschlüsselt (mit einem internen Schlüssel) und als Schlüsselhandle zurückgegeben. Mithilfe des Schlüsselhandles kann das U2f-Gerät dann eine Herausforderung signieren und so eine Antwort als Teil einer Multi-Faktor-Authentifizierung erstellen.

Da U2F ein offener Standard ist (der auch von Unternehmen wie Google vorangetrieben wird), stehen mehrere alternative kostengünstige U2F-Hardware-Token zur Verfügung (Suche nach ' FIDO U2F-Schlüssel ').

16
maxschlepzig

So wie ich es verstehe, verhält sich Yubikey wie eine USB-Tastatur. Sie schließen es an Ihren Computer an, platzieren den Cursor in einem Formularfeld, drücken die Taste auf dem Yubikey und es sendet eine Textzeichenfolge mit 44 Zeichen an den Computer, während Sie diese 44 Zeichen eingeben. Der Computer kennt den Unterschied zwischen der Eingabe und dem Yubikey, der ihn generiert, nicht.

Eine Website wie eine Wordpress Site mit Yubikey-Plugin oder das Lastpass-Addon in Firefox oder jede andere Website mit einer Yubikey-Option verfügt über ein Anmeldeformular mit Benutzername, Passwort und Yubikey-Passwort Geben Sie Ihren Benutzernamen und Ihr Passwort ein, setzen Sie den Cursor in das Yubikey-Feld, drücken Sie die Yubikey-Taste und geben Sie das Yubikey-Passwort in das Feld ein.

Dann wird das Formular gesendet und der Yubikey wird in der Yubicloud validiert. Die Website prüft, ob das eingegebene Yubikey-Passwort gültig ist. Der Yubikey selbst verbindet sich nicht mit der Yubicloud. Es ist nur ein Gerät, das eine Zeichenfolge generiert, die sich wie eine Tastatur sendet, und es stellt keine Verbindung zum Internet oder etwas anderem her, außer zu dieser Tastatur.

Bevor dies alles funktioniert, müssen Sie Ihr Konto auf der Website aktualisieren, um Yubikey verwenden zu können. Das heißt, Sie müssen Ihren Schlüssel mit dem Konto verknüpfen. Auf diese Weise kann die Yubicloud den generierten Code überprüfen und anhand Ihres Kontos validieren.

Die Website muss natürlich die Yubikey-Funktionalität implementieren, die als kostenloser Service für Websitebesitzer verfügbar ist.

Wenn der Yubikey verloren geht, können Sie die normalen Wiederherstellungsmethoden verwenden, die die Website benötigt, um Ihr Konto wiederherzustellen und den Yubikey zu deaktivieren. Normalerweise bedeutet dies, dass Sie per E-Mail einen Link zur Passwortwiederherstellung erhalten und dieser Link die Yubikey-Funktion in Ihrem Konto deaktiviert.

Ich habe den Yubikey-Support per E-Mail benachrichtigt, um festzustellen, ob diese Antwort korrekt ist. Sie sagten, diese Erklärung sei richtig, außer dass sie nur einen Teil der Funktionsweise des Schlüssels erklärte.

Die anderen Antworten hier geben keine wirkliche Erklärung. Selbst der Linuxjournal-Artikel erklärt es nicht so. Die akzeptierte Antwort gibt eine Black-Box-Antwort - nicht das, wonach ich gesucht habe, als ich diese Seite geöffnet habe. Ich hoffe, diese Antwort gibt eine bessere Erklärung und durch das Schreiben habe ich den Yubikey besser verstanden.

39
SPRBRN

Ich habe eine, und ich würde sie empfehlen! Ich habe es tatsächlich kostenlos von den Yubico-Leuten bekommen, als ich an BSidesLondon teilnahm.

Stellen Sie es sich als einen sicheren RSA-Schlüssel vor, außer viel kleiner, billiger und ohne Batterie. Sie erhalten (im Wesentlichen) die gleiche Sicherheit, obwohl YubiKeys einen deutlich größeren Schlüsselbereich als die RSA-Schlüssel haben. Sie sind außerdem unglaublich robust und können ohne Beschädigung vollständig in Wasser getaucht werden.

Hier ist meins:

YubiKey

Ich weiß, das klingt wie eine Werbung, aber sie sind wirklich großartig. Im Vergleich zum Mitführen eines Bündels dieser sicheren Schlüssel sind sie an einem Schlüsselring fast unbemerkt.

Die Funktionsweise wird anhand eines von Yubico ausgeführten Cloud-Dienstes überprüft und eine Zwei-Faktor-Authentifizierung bereitgestellt. Die gesamte Serversoftware ist Open Source und Sie können gerne Ihre eigenen Authentifizierungsserver ausführen. Es ist völlig transparent.

Werfen Sie einen Blick auf ihre Website , dort gibt es viele technische Informationen und Beschreibungen.

19
Polynomial

Schauen Sie hier vorbei http://www.linuxjournal.com/magazine/yubikey-one-time-password-authentication

Das folgende Outtake wurde von Dirk Merkel, Autor des zuvor verlinkten Artikels, geschrieben:

Jedes Mal, wenn Sie die Taste auf dem Gerät drücken, wird ein Einmalkennwort generiert und an den Host-Computer gesendet, als hätten Sie es über eine Tastatur eingegeben. Dieses Kennwort kann dann vom Dienst verwendet werden, um Sie als Benutzer zu authentifizieren.

Ich schlage vor, Sie lesen den 5-seitigen Artikel durch, da dies zu viel ist, um ihn hier zu übernehmen.

10
Lucas Kauffman

Soweit ich weiß, besteht das Einmalkennwort aus mehreren verschiedenen Informationen, z. B. einem Zeitstempel (wie lange sich der Schlüssel in Ihrem Computer befindet), einem Yubikey-Sitzungsstempel (wie oft Sie ihn an Ihren Computer angeschlossen haben) ), ein zufälliger Sondercode, ein Stempel dafür, wie oft Sie ein Passwort generiert haben usw. Dann wird es verschlüsselt. Dann schlägt es auf einen speziellen Code, der diesem bestimmten Yubikey zugewiesen ist, von dem es erneut verschlüsselt. Dann wird es selbst an Yubikey gesendet (weil sie alle speziellen Codes kennen) und sie überprüfen, ob Ihr Schlüssel korrekt ist und was auch immer. Dann wird angezeigt, bei wem Sie sich anmelden möchten, z. B. bei Google, dass Sie die richtige Person sind. Dann lässt Google Sie ein.

Es gibt andere Funktionen, zum Beispiel, dass nur eine Zeichenfolge oder ein Kennwort auf dem Gerät gespeichert wird. Wenn Sie darauf klicken, wird ein Kennwort angezeigt. Ziemlich einfach.

1