sind yubicos yubikes sicher?
ich interessiere mich für diese yubikaes also 2 Faktor Autorisierung bei den das über die Hardware geht wie sieht es mit der Sicherheit aus besteht dort auch die Gefahr das die angegriffen werden z.b. das die otp generierten Codes abgefangen oder kompromittiert werden? wer kennt sich aus und kann mehr darüber sagen ?
3 Antworten
Yubikeys sind prinzipiell ziemlich sicher. Die Dinger kann niemand hacken, da sie nicht mehr einfach so ausgelesen werden können, außer man bricht sie auf, lötet sich den Datenträger heraus und schafft es diesen irgendwie auszulesen. Die Codes werden IM Yubikey generiert. Theoretisch kann ein Trojaner mitlesen was du beim Einloggen im Browser eingibst, aber das wird ihm kaum etwas bringen, da diese Codes TOTP sind, sprich Time-based onetime Passwords. Die sind nach Gebrauch und Ablauf der 20(?) Sekunden ungültig für die Session und es wird ein neues TOTP benötigt.
Will jemand genau DICH hacken und deine Loggins haben, muss er dir schon den Yubikey physisch klauen und selbst benutzen. Da sind wir dann schon bei dem Punkt der hier schon angesprochen wurde: Für Gelegenheitshacker, bist du mit einem Yubikeys absolut unattraktiv. Hat es jemand auf sich abgesehen findet er einen Weg z.B. deinen Key stehlen (in diesem Fall gäbe es theoretisch Yubikeys mit Fingerabdruckscanner, dann bräuchte er zusätzlich auch noch deinen Finger :D die haben aber weniger Features eingebaut so weit ich weiß)
Falls du dich genauer über Yubikeys und 2FA informieren willst, empfehle ich das YouTube Video von Morpheus Tutorials zu Yubikeys!
Ich benutze selbst zwei Yubikeys für meine Logins (einer als Backup. Unbedingt einen Backupkey kaufen, für den Fall dass du einen verlierst! Sonst kommst du nirgends mehr hinein. Direkt beim Einrichten jeder 2FA BEIDE Keys registrieren. Im Idealfall packst du den Backupkey in einen Safe. Um ganz sicher zu gehen :D).
Das kann ich nicht zu 100% sagen (besitze keinen NFC Reader), aber wenn ich mir die NFC-Anwendung dieser Keys so durchdenke, komme ich zu diesem Schluss:
Am Beispiel Smart-Phone halte ich den Key hinten am Handy ran (bei meinem Handy in maximal 1-2 cm Abstand). Dann wird die Yubikey Authenticator App getriggert, ich bestätige das Öffnen der App und werde in der App nocheinmal aufgefordert, die den Key zu verbinden (über NFC oder USB). Dann werden mir alle Accounts angezeigt, die ich mit meinem Yubikey verbunden habe, ABER noch ohne Codes. Ich muss einen Account auswählen, dann werde ich noch einmal aufgefordert den YubiKey zu ran zu halten und DANN sehe ich EINEN Code für nur diesen Account der für kurze Zeit gültig ist, den der YubiKey an die App geschickt hat. Das heißt für mich, dass die TOTPs des Keys nur mit der App ausgelesen werden können und dann auch immer nur einer auf einmal.
Also hätte jemand einen NFC-Reader und würde den Key ranhalten, sollte er nicht plötzlich alle TOTPs und andere Keys bekommen.
Wenn du der englischen Sprache mächtig bist, hier ein interessanter Reddit Thread mit ähnlicher Frage: https://www.reddit.com/r/yubikey/comments/n3fygs/security_risks_to_nfc_based_yubikeys/
Zusammengefasst steht dort:
- Es ist möglich dem Key einen PIN zuzuweisen, das heißt jemand der deinen Key mit einem NFC Reader auslesen will, bräuchte zusätzlich diesen PIN.
- NFC Verbindung funktioniert nur über sehr kurze Distanz ("ein paar Zoll").
- Essentielle Daten des Keys werden nicht per NFC übertragen.
- Bei NFC Fähigen Yubikeys ist es möglich das NFC Feature zu deaktivieren, falls du grundlegende Bedenken hast.
herzlichen dank für diese top antwort denke yubikay ist eien tolle sichere Sache
Du meinst Yubikeys? Die sind insofern sicher, dass der individuelle Schlüssel nicht extrahierbar ist. Es gibt keine Kopie von so einem Teil. Das bedeutet: Der Angreifer muss in den Besitz genau dieses Yubikeys kommen, um gültige Codes für Deine Konten zu generieren.
das die otp generierten Codes abgefangen
Was kann man mit einem abgefangenen Code anfangen? Das ist ein Einmal-Code, der genau einmalig und nur innerhalb eines bestimmten Zeitfensters nutzbar ist.
ich adachte halt das e sangraifbar ist iwe bei nfc wo auf geringe distanz auch ausgelesenwerdenkan mit lesegerät
Prinzipiell ist alles angreifbar. Absolute Sicherheit gibt es nicht.
Aber du musst es dir so überlegen: Bei Zweifaktor-Authentifizierung auf wirklich zwei verschiedenen Geräten muss jemand beide Geräte gleichzeitig unter seine Kontrolle bringen. Das ist extrem schwer.
Und wenn jemand diesen Aufwand betreibt, dann ist er wirklich hinter dir her :D
Das ist wie bei Einbrechern. Wenn jemand wirklich in deine Wohnung will, dann wird er es schaffen. Zur Not mit der Abrissbirne ein Loch durch ein Loch in der Wand. Das fällt aber doch dann irgendwie auf... :P
DIe übliche Account-Sicherheit zielt ja vor allem auf die Gelegenheits-Hacker. Und die sind dagegen quasi machtlos, wenn die zwei Geräte wirklich unabhängig voneinander sind.
Wenn ich aber bspw. mir meine TAN auf das Smartphone schicken lasse, mit dem ich gerade Online-Banking mache, dann ist das wieder unsicher.
Wenn ich aber die TAN oder das Passwort/OTP auf dem Smartphone / TAN-Leser erstelle und dann auf dem PC eintippe, passt das. Ähnlich ist es mit den Yubikeys, bei denen der Stick ja entweder ein Zahlencode oder Fingerabdruck-Scanner hat. Oder bin ich da falsch und das sind die Nitrokeys?
Sind von einer deutschen Firma USB Sticks und anderes zum Verschlüsseln und für Passwörter und was weiß ich:
wie ist das bei den yubikays man sagt ja man soll immer zwei haben msen das 2 von dem selben Model sein also wen ich den 5er habe z.b. dann der 2te auch ein 5er oder kann das ein andere sein?
Den zweiten als Fallback, wenn der andere defekt ist?
Dann würde ich eher einen anderen nehmen, um Fehler in der Produktion der Serie auszugleichen.
Aber das ist nur eine Schätzung. Habe das noch nie gehört und beschäftige mich nicht tiefgreifend mit Hardware Tokens.
ich mein gelesen zuhaben das wenn man eien yubikay hat solte man imemr ein zweiten kaufen fals einer verloren geht
Ja. Das ist sinnvoll, irgendeine Alternative zu haben. Bspw einen zweitschlüssel.
ja und das war eben die frage ob es da exakt der selbe sien muss oder auch ein andere
ok trozdem danke für den tip mit den yubicas die sidn echt kalsse herzlichen dank :)
ok danke stimt es ich hab mal irgend wo gelesen das nfc nicht ischre ist da man das mit lesegerät auslesne kan i bezug auf rfid geht das da auch
stimmt es das man wie bei nfc karten so ein key auslesn ann mit einem nfc lesegerät auch auf geringe distanz?