YubiKey - Erfahrungen und Tipps

[Norbert]

Hallo ihr Lieben, der olle Norbert mal wieder

Seit über einer Woche teste ich den YubiKey 5 NFC aber komme irgendwie nicht auf einen grünen Zweig, obwohl alles so funktioniert wie es soll.

Hauptsächlich soll dieser u.a. genutzt werden um ein vollverschlüsseltes Linux (LUKS) zu entsperren und ggf. auch KeePassXC.
Geplant war ebenso Passwörter zu reduzieren bzw. wie bei den Passkeys, darauf gänzlich zu verzichten. Dabei geht es mir hauptsächlich nicht nur um Phishing, Keylogging o.ä., sondern eher um das Problem des Vergessens.

Denn es ist leider schonmal vorgekommen das ich die Passphrase von LUKS kurzeitig vergessen hatte, obwohl ich diese jeden Tag benutze.

Was bisher in einer VM erfolgreich getestet wurde:

1. LUKS-Entsperrung: 2FA und 1FA
Nach dieser Anleitung kann ich mit dem Yubikey und einer Passphrase via Challenge-Response LUKS entsperren (2FA).

In der

Code Auswählen Erweitern

/etc/ykluks.cfg wurde der Eintrag

Code Auswählen Erweitern

YUBIKEY_CHALLENGE="enrolled-challenge-password" hinzugefügt.
Ohne Yubikey wird die urpsrüngliche Passphrase abgefragt, da ja die ursprüngliche Passphrase noch im LUKS-Slot existiert.
Mit Yubikey wird LUKS automatisch entsperrt (1FA).

Der fade Beigeschmack mit 1FA bleibt natürlich zwecks Sicherheit.

2. KeePassXC
Momentan bestehend aus Master-Passwort (leider eher schlampig) + Schlüsseldatei, welche sich ebenfalls auf dem gleichen Gerät (Laptop) befindet, allerdings gut "versteckt".
Hier wäre es auch via Challenge-Response möglich, die Datenbank zu entsperren:
a) Master-Passwort + Schlüsseldatei + Yubikey
b) Master-Passwort + Yubikey
c) NUR Schlüsseldatei + Yubikey

Anmerkung:
Beide Anwendungen, also LUKS und KeePassXC, nutzen auf dem Yubikey die Challenge-Response des Slot 2.
D.h. 1 Secret für beide (bzw. auch in Zukunft für mehrere) Anwendungen.
-> Wie sicherheitskritisch ist dies zu beurteilen?

Slot 1 ist beim Yubikey ja für YubicoOTP vorprogrammiert. Da dafür aber die YubicoCloud notwendig wäre, hätte ich dafür keine Verwendung und könnte den Slot 1 anderweitig konfigurieren.

*Dilemma*
- 2FA (Passphrase + YubiKey) wäre sicherer, aber was, wenn ich die Passphrase 
  vergesse?
- 1FA (nur YubiKey) ist bequem, aber unsicherer

[Bit]

Denn es ist leider schonmal vorgekommen das ich die Passphrase von LUKS kurzeitig vergessen hatte, obwohl ich diese jeden Tag benutze.

Das ist mir tatsächlich mit der PIN zur Bankkarte so gegangen. Da kommt dann schon mal Panik hoch.
Aber ich kann mich auf mein Hirn verlassen: wenn mir etwas nicht mehr einfallen will, muss ich einfach Zeit vergehen lassen, es fällt mir irgendwann ganz spontan und von alleine ein.
Nichtsdestotrotz, bei all den Passwörtern heutzutage und der Seltenheit, in der ich manche benutze, fürchte ich schon den Ausfall des PW-Managers und daß dann niemand die Sicherungsdatei lesen kann.
Kürzlich wollte er meine Passphrase nicht annehmen und ich war verzweifelt, weil völlig sicher, daß ich sie richtig geschrieben hatte. Ich musste das AddOn erst neu starten, dann ging es wieder ...

[Exciter]

fürchte ich schon den Ausfall des PW-Managers und daß dann niemand die Sicherungsdatei lesen kann.

Genau deshalb sollte man ja mal ein Backup inkl. Restore testen, dass beste Backup nützt nix, wenn du es im Ernstfall nicht lesen kannst;)

[Bit]

Restore testen

Ja, das ist schon klar, aber in dem Fall geht das nur in place und wenn ich Pech habe, zerschieße ich mir damit den aktuellen Stand.
Also hebe ich mir das für den Krisenfall auf und bete ...
Ansonsten muss ich eben alles Notwendige aus einem .CSV pulen und den Spaß gönne ich mir nicht zum Test. 

Im Übrigen würde mir das beim PW-Verlust sowieso nicht helfen.

[Norbert]

Hallo ihr Lieben.

Erstmal danke für eure Antworten und ich bin froh das ich nicht der einzigste bin dem es so geht.
Ja, die Erinnerung der Passphrase für LUKS kam dann irgendwann wieder aber die Panik war erstmal da und vorallem sehr groß.

Nach euren bisherigen Antworten zufolge nutzt keiner von euch einen Hardware-Key und habt es wahrscheinlich auch nicht vor?
Verlasst ihr euch tatsächlich immer auf eure naturgegebene Festplatte (Gehirn)?

Mir ist das mittlerweile etwas zu heikel, auch da ich nicht jünger werde 

Nun wie dem auch sei, Yubikey ist nunmal da, funktioniert eigentlich auch so wie vorgesehen.
Was halt fehlt ist das beste aus 2 Welten, also ein Spagat zwischen Benutzung+Sicherheit.

Backups von allem wichtigem ist natürlich vorhanden, aber um da dran zukommen, da ebenfalls verschlüsselt, werden wieder Passwörter benötigt usw. usf.... -> abgelegt im Passwort-Manager.

Fluch und Segen zugleich.

Bei den Hardware-Keys ist es eigentlich auch nicht besser, wenn ich nochmal genau drüber nachdenke:
Zum Schutz des Zugriffs werden sowohl PIN, PUK, Management-Key und ein Passwort/Passphrase für FIDO2 benötigt, bzw. geraten, was ja auch Sinn macht.

Nur damit erweitert man selber die Probleme...., so mein momentanes Gefühl.

[Bit]

nicht der einzigste

Sicher nicht.

einen Hardware-Key und habt es wahrscheinlich auch nicht vor

Ich sage mal nicht "nie", vielleicht ändern sich die Verhältnisse und Erkenntnisse irgendwann mal.
Angefangen habe ich möglicherweise noch im letzten Jahrtausend mit einer harmlos klingenden Datei, die ich irgendwo auf dem Rechner versteckte. Damals schon gab es gelegentlich die Situation, daß ich sie suchen musste.
Zwischenzeitlich hatte ich für diesen Zweck eine 3,5" Floppy, die ich unter den Schreibtisch geklebt habe ... ^^

Als USB laufen lernte, fand ich es logisch, sie dort unterzubringen: abseits vom kompromitierten System.
Aber USB erwies sich (zumindest damals) als nicht sehr zuverlässig: es traten Formatierungsfehler auf und man konnte leicht alle Daten verlieren.
Und dann noch das Gerät: Hardware, vor allem selten benötigte, kann man leicht verlieren. Ich bin mittlerweile in einem Alter, wo ich ein Werkzeug aus der Hand lege und augenblicklich vergesse, wo ich es hingelegt habe. Ich kann mich glasklar an das Werkzeug erinnern, aber nicht, wo ich es gelassen habe. Dabei liegt es vor mir, allein, ich sehe es nicht, es diffundiert scheinbar in die Oberfläche.

Aber im Laufe der Jahre (auch als Handwerker) habe ich gelernt, daß es mir irgendwann ganz von alleine wieder einfällt, wenn ich nicht mehr danach suche.
Nur können USB-Sticks auch gerne mal geklaut werden, darüber habe ich dann keine Gewalt. Einen habe ich mal auf diese Weise verloren und hoffe noch immer, daß seine Verschlüsselung gehalten hat. Es war aber nicht der zentrale Sicherheitsschlüssel.
Den nächsten habe ich mit einem Gummiband am Handgelenk befestigt: wenn ich den Platz verließ, musste er mit.

Dann bin ich auf Gratis-Webspace gekommen und nicht nur, daß ich alle wichtigen Daten verschlüsselt an mehreren Orten, in verschiedenen Ländern und Kontinenten gespiegelt habe, ich habe auch die Schlüssel jeweils kreuzweise gesichert. Das ging ganz gut, ich habe es allerdings nie gebraucht.

Schließlich hatte ich irgendwann mal den PW-Manager gewechselt, weil ich einen Dienst brauchte, der voraussichtlich extrem lange zur Verfügung stehen würde und eine Sicherung erlaubt, die man angeblich in andere PW-Manager einspielen konnte.
Der PW-Manager wurde zwar verkauft und der neue Besitzer war mir nicht so sympathisch, aber er hat die Jahrzehnte überstanden. Irgendwann versuchte ich mal, mein Backup zu testen und stellte fest, daß das gar nicht funktionierte. Klasse.
Aber: es ist im Grunde eine .CSV und wenn ich da reinsehe, kann ich mich anhand meines Restwissens durch den Datendschungel tasten, und die wichtigsten Passwörter rauskopieren. Es wird allerdings sehr mühsam werden.
Mal ehrlich, von den über 500 Einträgen verwende ich übers Jahr gesehen keine 5 % ...

Es ist irgendwie wie mit Verschlüsselung. Die allerwichtigsten Dinge habe ich irgendwo unverschlüsselt, weil mir der Schlüssel abhanden kommen könnte ‒ und dann? Dann hätte ich mir selbst ins Knie ... und so weiter.