Beeinträchtigt YubiKey die Authentifizierung in zwei Schritten?
Da die Anzahl der Hacking-Vorfälle von Tag zu Tag zunimmt, sollte jeder die Zwei-Schritt- / Zwei-Faktor-Authentifizierung (2FA) verwenden. Was ist Zwei-Faktor-Authentifizierung und warum sollten Sie sie verwenden? Was ist Zwei-Faktor-Authentifizierung und Warum sollten Sie dies tun? Verwenden Sie es Die Zwei-Faktor-Authentifizierung (2FA) ist eine Sicherheitsmethode, für die zwei verschiedene Methoden zum Nachweis Ihrer Identität erforderlich sind. Es wird häufig im Alltag verwendet. Zum Beispiel erfordert das Bezahlen mit einer Kreditkarte nicht nur die Karte, sondern auch… Lesen Sie mehr. Es fügt eine kugelsichere Schicht um Ihr Online-Konto hinzu, was das Eindringen eines Hackers extrem erschwert, wenn nicht sogar unmöglich macht.
Aber viele Leute werden von der Verwendung von 2FA abgeschreckt, einfach wegen der Unannehmlichkeiten. Kann die Überprüfung in zwei Schritten weniger irritierend sein? Vier geheime Hacks, die garantiert zur Verbesserung der Sicherheit beitragen Kann die Überprüfung in zwei Schritten weniger irritierend sein? Vier geheime Hacks, die garantiert die Sicherheit verbessern Wünschen Sie eine kugelsichere Kontosicherheit? Ich empfehle dringend die Aktivierung der sogenannten Zwei-Faktor-Authentifizierung. Lesen Sie mehr darüber, dass Sie jedes Mal, wenn Sie sich anmelden möchten, einen zweiten Code von Ihrem Telefon abrufen müssen. Die Benutzer deaktivieren entweder die Funktion oder machen sich überhaupt keine Gedanken darüber. Sie sollten jedoch, da viele Unternehmen jetzt mit der Idee einsteigen.
Wenn Sie sich in der “leicht belästigt” Gruppe, dann werden Sie froh sein zu hören, dass es anstelle von 2FA eine andere Option gibt. Diese Option schützt Ihr Konto genauso sicher, aber Sie müssen nur einen Knopf drücken, und Sie sind dabei. Es wird als YubiKey bezeichnet und nach einigen Tagen der Verwendung bin ich bereits konvertiert. Baby, du hattest mich bei hallo.
Was ist ein YubiKey??
Ein YubiKey ist ein USB-ähnlicher Stick der Firma Yubico. Sie stellen verschiedene Produkte her, die alle ähnliche Aufgaben erfüllen. Im Rahmen dieses Artikels werde ich mich jedoch auf den Fido U2F (Universal 2-Factor) konzentrieren, den ich erhalten habe. Es ist einfach einzurichten und zu verwenden und ist anscheinend unzerstörbar.
Von der Website:
“Alle YubiKeys sind nahezu unzerstörbar. Der Standard-YubiKey (wie der YubiKey Standard, der YubiKey NEO, der YubiKey Edge und der FIDO U2F-Sicherheitsschlüssel) besteht aus spritzgegossenem Kunststoff, der die Schaltung umgibt, während die freiliegenden Elemente aus gehärtetem Gold in militärischer Qualität bestehen. Der YubiKey in Standardgröße ist wasserdicht und druckfest und wird neben Ihrem Haus- und Autoschlüssel an Ihrem Schlüsselbund befestigt”.
Es ist ein ziemlich kleines, zierlich aussehendes Ding, und es wäre Ihnen verzeihen, das zu bezweifeln “unzerstörbar” Anspruch. Mit einem Gewicht von nur 3 Gramm sind es nur 18 mm x 45 mm x 3 mm. Aber dieser kleine Schlüssel, zusammen mit dem Speichern aller Passwörter in KeePass, hat die Anmeldung in Konten plötzlich schmerzfrei und störungsfrei gemacht. Google und Facebook verwenden den YubiKey für Mitarbeiteranmeldeinformationen, so dass das Konzept einige sehr schwere Hitter hinter sich hat, die es unterstützen. Google hat es 2014 für seine Nutzer eingeführt.
Wie funktioniert es?
Der YubiKey ist eine Hardware, die Einmalkennwörter, Verschlüsselung und Authentifizierung mit öffentlichen Schlüsseln sowie das von der FIDO Alliance entwickelte Universal 2nd Factor-Protokoll (U2F) unterstützt. Sie können es verwenden, um sich sicher bei Ihren unterstützten Konten anzumelden, indem Sie ein Einmalkennwort oder ein FIDO-basiertes öffentliches / privates Schlüsselpaar verwenden. Wie funktioniert die Verschlüsselung und ist es wirklich sicher? Wie funktioniert die Verschlüsselung und ist sie wirklich sicher? Lesen Sie mehr, die vom Gerät generiert wurde. Nach dem Eingeben der Taste drücken Sie die goldene Taste, und die Berührung Ihres Fingers führt zu einer geringen elektrischen Ladung, die das Gerät aktiviert.
Wie richten Sie es ein??
Ein YubiKey ist sehr einfach einzurichten, wie Sie unten sehen werden. Ein U2F-Schlüssel funktioniert für Google-Konten, Dropbox, Github Was ist Git und warum sollten Sie die Versionskontrolle verwenden, wenn Sie ein Entwickler sind Was ist Git und warum sollten Sie die Versionskontrolle verwenden? Wenn Sie ein Entwickler sind Als Webentwickler eine Menge Die Zeit, in der wir auf lokalen Entwicklungsseiten arbeiten, lädt dann einfach alles hoch, wenn wir fertig sind. Dies ist in Ordnung, wenn es nur um Sie geht und die Änderungen klein sind… Lesen Sie mehr, und Dashlane Dashlane - Ein glatter neuer Passwortmanager, Formulierer und Online-Shopping-Assistent Dashlane - Ein Slick neuer Passwortmanager, Formulierer und Online-Einkaufsassistent Wenn Sie ' Ich habe bereits ein paar Passwort-Manager ausprobiert. Wahrscheinlich haben Sie gelernt, dass Sie an den Rändern etwas Unebenheit erwarten. Sie sind solide und nützliche Anwendungen, aber ihre Schnittstellen können zu komplex und unpraktisch sein. Dashlane reduziert nicht nur… Weiterlesen. Für die Zwecke dieses Artikels verwende ich Google-Konten, aber die anderen werden mehr oder weniger dem gleichen Verfahren folgen. Nur verschiedene Screenshots.
Gehen Sie auf Ihre Google 2-Step-Authentifizierungsseite zu und klicken Sie auf Sicherheitsschlüssel Tab.
Sie gelangen dann auf die Setup-Seite. Befolgen Sie die Anweisungen auf der Seite. Es ist alles sehr einfach und unkompliziert.
Wenn der Schlüssel erfolgreich registriert wurde, wird die “Registrieren” Die Taste am unteren Rand wird grün und zeigt an “Eingetragen”. Wenn dies nicht der Fall ist, fangen Sie wieder von vorne an, bis dies der Fall ist.
Sie können überprüfen, ob der Schlüssel erfolgreich registriert wurde, indem Sie zum zurückkehren Sicherheitsschlüssel Tab.
Und das, meine Damen und Herren, ist es.
Was ist, wenn Sie sich mit einem Smartphone oder Tablet anmelden?
Dies war eines der ersten Dinge, die mir in den Sinn kamen. Ich melde mich bei allen meinen Google-Konten an viel auf meinen iOS-Geräten. Meine iDevices sind wunderbar und alle, aber die einzige Schwachstelle ist, dass sie keinen USB-Anschluss haben. Wohin geht der YubiKey, wenn er mich fragt?
Nachdem Sie sich mit dem Unternehmen in Verbindung gesetzt haben, scheint es, als würden Sie, wenn Sie sich über ein Telefon oder Tablet in Ihr Konto einloggen, der YubiKey dies feststellen, und der Anmeldebildschirm verwendet standardmäßig automatisch Ihre 2-Faktor-Authentifizierungsmethode (SMS, Authy oder Google Authenticator) Google empfiehlt 2 -Schrittprozess zum Schutz Ihres Kontos [Nachrichten] Google empfiehlt einen 2-Schritte-Prozess zum Schützen Ihres Kontos [Nachrichten] Die meisten Internetnutzer haben wahrscheinlich mindestens ein Google-Konto - hauptsächlich, weil Google, ob gut oder schlecht, mit so vielen Pfaden kreuzt andere Websites, die schwer zu vermeiden sind, wenn Sie die… Read More) verwenden. Der YubiKey selbst wird nur angefordert, wenn er feststellt, dass Sie einen Desktop-Computer oder ein Laptop verwenden, der über einen USB-Anschluss verfügt.
Es ist auch erwähnenswert, dass, wenn Sie Ihre E-Mail über einen lokalen Client wie Apple Mail oder Outlook weiterleiten Weder der YubiKey noch der 2FA werden unterstützt. In diesem Fall müssen Sie ein spezielles App-Passwort aus der betreffenden App verwenden.
Ihre Vorteile
Lassen Sie uns nun einige der Vorteile eines solchen Schlüssels durchgehen.
Es ist extrem einfach zu bedienen
Es gibt wirklich keine Möglichkeit, so etwas durcheinander zu bringen. Nach der richtigen Konfiguration stecken Sie einfach den Schlüssel in den USB-Anschluss und drücken einmal die leuchtende Taste. Das ist es. Nun, wie könnte jemand das falsch verstehen?
Ihr Konto bietet zusätzliche Sicherheit ohne Ärgernis
Wie bereits erwähnt, ist 2FA gut - aber es kann nervig sein. Wenn ich mit jemandem spreche, der keine 2FA hat, ist die normale Entschuldigung ausnahmslos “es ist zu umständlich“. Aber mein Gegenargument ist immer “und wie viel Ärger es mit sich bringt, ein gehacktes Konto abzurufen?“. Aber ich verstehe es trotzdem. Bei 2FA müssen Sie sich bei Ihrem Telefon anmelden, den Code abrufen und eingeben. Einmal zu tun ist keine große Sache, aber wenn Sie es regelmäßig tun, wird es langsam langweilig. Sogar ich war schon mehrmals versucht, die ganze Sache auszuschalten und sich nicht darum zu kümmern, dass jemand in meine Konten einbricht, und ich bin damit nicht allein.
Ein YubiKey beseitigt diese Belästigung und macht Sie mehr geneigt, den zusätzlichen Schutz zu verwenden. Sie müssen jedoch 2FA einrichten, wenn Sie über ein Smartphone oder Tablet auf Ihre Online-Konten zugreifen. So können Sie 2FA nicht vollständig entkommen.
Es ist billig
Die verschiedenen YubiKeys bieten unterschiedliche Preise (40-50 USD), da jeder eine bestimmte Aufgabe erfüllt (siehe “Nachteile” Abschnitt für mehr dazu). Allerdings ist der U2F wirklich günstig (18 Dollar bei Amazon), da er weniger als die anderen Tasten ist. Um Ihre Füße mit dem Gerät nass zu machen, ist es ideal, mit dem U2F zu beginnen. Betrachten Sie es als Laufräder eines Kinderfahrrads.
Es ist unmöglich, sich mit Viren zu infizieren
Eines der Dinge, die mir im Internet am meisten aufgefallen sind, wenn man über YubiKeys liest, ist das Kreischen der Leute “und in einem öffentlichen Internetterminal infiziert? NEIN DANKE!“. Zunächst sollten Sie keine öffentlichen Internetverbindungen verwenden. 5 Möglichkeiten, um sicherzustellen, dass die von Ihnen verwendeten öffentlichen Computer sicher sind 5 Möglichkeiten, um sicherzustellen, dass die von Ihnen verwendeten öffentlichen Computer sicher sind Öffentliches WLAN ist gefährlich, unabhängig davon, auf welchem Computer Sie sich befinden, aber auf fremden Computern fordern Sie noch mehr Vorsicht. Wenn Sie einen öffentlichen Computer verwenden, befolgen Sie diese Richtlinien, um Ihre Privatsphäre und Sicherheit zu gewährleisten. Lesen Sie aus Sicherheitsgründen mehr. Außerdem können die YubiKeys keine Viren erhalten, da keine Dateien darauf verschoben werden können. Es ist nicht so ein USB-Gerät. Hinzu kommt, dass die auf dem Schlüssel enthaltenen Informationen alle schreibgeschützt sind und der Computer den Schlüssel als Tastatur erkennt. In dieser Hinsicht müssen Sie sich also keine Sorgen machen.
Ihre Nachteile
Obwohl der YubiKey meiner Meinung nach ein großartiges Gerät ist, gibt es dennoch einige bemerkenswerte Nachteile, die Sie beachten sollten.
Es funktioniert nur in Chrome
Zum jetzigen Zeitpunkt funktioniert YubiKey nur in Google Chrome, Version 38 oder höher. So viel Glück Benutzer von Firefox, Safari, Opera und Edge 10 Gründe, warum Sie Microsoft Edge jetzt verwenden sollten 10 Gründe, warum Sie Microsoft Edge jetzt verwenden sollten Microsoft Edge stellt einen vollständigen Bruch mit dem Markennamen von Internet Explorer dar und macht damit 20 Jahre lang den Tod alter Stammbaum im Prozess. Deshalb sollten Sie es verwenden. Weiterlesen . Es ist sehr wahrscheinlich, dass sie in Zukunft mit an Bord kommen werden, aber im Moment unterstützen sie den YubiKey nicht. Ich kann nicht verstehen, warum nur Chrome unterstützt wird. Auf diese Weise werden viele Browserbenutzer entfremdet.
Unterschiedliche Konten erfordern unterschiedliche Schlüssel
Yubico stellt 7 verschiedene Produkte her und alle machen unterschiedliche Dinge. Zum Beispiel eröffnet mein Schlüssel, der Fido U2F, nur Konten bei Google, Dropbox, Github und Dashlane Passwortmanagern (nur Premium-Konten)..
Aber - und hier ist das wirklich große, aber - wenn Sie Ihr Betriebssystem, Ihr Paypal-, Evernote- oder WordPress-Konto sichern möchten, benötigen Sie verschiedene YubiKeys. Wenn Sie jedoch nur etwas zum Entsperren Ihres Google Mail-Kontos benötigen, ist die U2F ausreichend. Alles andere ist wie ein Panzer, um eine Fliege zu schlagen.
Der YubiKey 4 macht so ziemlich alles, aber bei 50 US-Dollar kann es für jemanden etwas zu teuer sein, der einfach nur in seine E-Mails einsteigen möchte.
Wenn jemand Ihr Schlüssel- und Kontokennwort erhält, ist Ihr Konto gefährdet
Die Sache mit 2FA ist, dass jeder Eindringling physischen Zugriff auf Ihr Telefon benötigt, um den SMS- oder Google Authenticator-Code zu erhalten. Wenn Sie einen Passcode auf Ihrem Telefon haben (was Sie sollten, insbesondere angesichts des Showdowns zwischen Apple und dem FBI, werden FBI-Backdoors niemandem helfen - auch nicht das FBI-FBI-Hintertüren hilft keinem - auch nicht das FBI. Das FBI möchte Technologieunternehmen dazu zwingen, dass Sicherheitsdienste Instant Messaging nutzen, aber solche Sicherheits-Hintertüren gibt es nicht wirklich, und wenn sie es tun würden, würden Sie Ihrer Regierung vertrauen? Lesen Sie mehr), dann wäre der Zugriff auf Ihre 2FA-Codes möglich für einen nicht autorisierten Dritten unmöglich. Es sei denn, Ihr Code ist etwas sehr Offensichtliches (wie z. B. Ihr Geburtstag) und der Eindringling kennt Sie gut genug, um das zu erraten.
Wenn jedoch jemand Ihren YubiKey in die Hände bekommt und auch Ihr Kontopasswort kennt, sind Sie schneller in dem Konto als ein heißes Messer durch Butter. Sie hätten keinen Smartphone-Passcode, den sie umgehen könnten. Vorausgesetzt, Sie haben zu Beginn einen Passcode auf Ihrem Telefon. Wenn nicht, dann besteht kein Unterschied zwischen der Verwendung von 2FA und der Verwendung eines YubiKey.
Sie können dieses Problem am besten beheben, indem Sie ein sehr langes, schwer zu erratendes Kennwort für das Kennwort verwenden. Kennwortverwaltungshandbuch Kennwortverwaltungshandbuch Fühlen Sie sich nicht mit Kennwörtern überfordert oder verwenden Sie einfach dasselbe Kennwort für jede Website, damit Sie sich daran erinnern können Sie: Entwerfen Sie Ihre eigene Kennwortverwaltungsstrategie. Lesen Sie mehr (und bewahren Sie es in einem verschlüsselten Passwort-Manager auf. Password Manager Battle Royale: Wer wird oben landen? Passwort Manager Battle Royale: Wer wird oben landen? Weitere Informationen). Selbst wenn der Schlüssel in die falschen Hände gerät, wäre das Herausfinden des Kontopassworts äußerst schwierig, wenn nicht gar unmöglich. Ohne das Passwort wäre der Schlüssel ein unbrauchbares Stück Plastik.
Gibt es Alternativen zu YubiKey?
Nachdem Sie sich umgesehen haben, scheint Nitrokey die einzige Alternative zu YubiKey zu sein. NitroKey wird in etwa zu dem Preis des YubiKey in Deutschland hergestellt und ist stolz darauf, Open Source zu sein. Es scheint auch viel mehr zu tun als ein YubiKey, was mich dazu bringt, einen zu kaufen und ihn zu testen. Das Produkt hieß zuvor Crypto-Key und wurde 2012 von Danny überprüft. Der Crypto Stick der Deutschen Datenschutzstiftung - wie und warum es sicherer ist Der Crypto Stick der Deutschen Datenschutzstiftung - Wie und warum es sicherer ist Es werden ständig neue Technologien geschaffen Um die Sicherheit zu erhöhen, gehen viele dieser Technologien aufgrund von Lücken und anderen Problemen verloren, die schließlich entdeckt werden. Keine Form der Sicherheit ist ausgenommen… Lesen Sie weiter .
Aber es ist schön zu sehen, dass mindestens ein anderes Unternehmen ein konkurrierendes Produkt herstellt und dabei das gesamte Konzept eines Sicherheitsschlüssels vorantreibt. Rivalität fördert Forschung und Forschung führt zu besseren Produkten (normalerweise).
Seelenfrieden oder Bequemlichkeit?
Die ganze Erforschung des YubiKey-Konzepts hat für mich ohnehin die ganze Frage aufgeworfen, was wir im Namen der Sicherheit in Kauf nehmen sollten. Die 2-Faktor-Authentifizierung ist eine hervorragende Möglichkeit, um sicherzustellen, dass Ihr Konto gesperrt ist. Wie ich bereits erwähnt habe, kann dies jedoch ein schmerzhaftes Problem sein. Das bringt viele Leute dazu, zu sagen “Scheiß drauf, ich schalte das aus!”.
Auf der anderen Seite macht so etwas wie ein YubiKey oder ein NitroKey den gesamten Prozess bequem. Drücken Sie eine Taste und Sie sind drin. Wenn Sie jedoch den Schlüssel verlieren, und jemand das Passwort leicht erraten kann, haben Sie einen sehr schlechten Tag. Sie können also beruhigt sein (und einige zusätzliche Schritte unternehmen) oder die Taste auf einer Taste drücken und 60 Sekunden sparen? In welches Lager fallen Sie? Sagen Sie uns in den Kommentaren.
Erfahren Sie mehr über: Computersicherheit, Kennwort, Zwei-Faktor-Authentifizierung.