Wie funktioniert YubiKeys? Gibt es Alternativen?
Wie funktioniert YubiKeys? Gibt es Alternativen?
Soweit ich weiß, verhält sich Yubikey wie eine USB-Tastatur. Sie schließen es an Ihren Computer an, platzieren den Cursor in einem Formularfeld, drücken die Taste auf dem Yubikey und es sendet eine Textzeichenfolge mit 44 Zeichen an den Computer, während Sie diese 44 Zeichen eingeben. Der Computer kennt den Unterschied zwischen der Eingabe und dem Yubikey, der ihn generiert, nicht.
Eine Website wie eine Wordpress-Site mit Yubikey-Plugin oder das Lastpass-Addon in Firefox oder jede andere Website mit einer Yubikey-Option verfügt über ein Anmeldeformular mit Benutzername, Passwort und Yubikey-Passwort. Sie geben Ihren Benutzernamen und Ihr Passwort ein, setzen den Cursor in das Yubikey-Feld, drücken die Yubikey-Taste und geben das Yubikey-Passwort in das Feld ein.
Dann wird das Formular gesendet und der Yubikey in der Yubicloud validiert. Die Website prüft, ob das eingegebene Yubikey-Passwort gültig ist. Der Yubikey selbst verbindet sich nicht mit der Yubicloud. Es ist nur ein Gerät, das eine Zeichenfolge generiert, die sich wie eine Tastatur verhält, und es stellt keine Verbindung zum Internet oder etwas anderem her, außer zu dieser Tastatur.
Bevor dies alles funktioniert, müssen Sie Ihr Konto auf der Website aktualisieren, um Yubikey verwenden zu können. Das heißt, Sie müssen Ihren Schlüssel mit dem Konto verknüpfen. Auf diese Weise kann die Yubicloud den generierten Code überprüfen und anhand Ihres Kontos validieren.
Die Website muss natürlich die Yubikey-Funktionalität implementieren, die als kostenloser Service für Websitebesitzer verfügbar ist.
Wenn der Yubikey verloren geht, können Sie die normalen Wiederherstellungsmethoden verwenden, die die Website benötigt, um Ihr Konto wiederherzustellen und den Yubikey zu deaktivieren. Normalerweise bedeutet dies, dass Sie per E-Mail einen Link zur Passwortwiederherstellung erhalten und dieser Link die Yubikey-Funktion in Ihrem Konto deaktiviert.
Ich habe den Yubikey-Support per E-Mail benachrichtigt, um festzustellen, ob diese Antwort korrekt ist. Sie sagten, diese Erklärung sei richtig, außer dass sie nur einen Teil der Funktionsweise des Schlüssels erklärte.
Die anderen Antworten hier geben keine wirkliche Erklärung. Selbst der Linuxjournal-Artikel erklärt es nicht so. Die akzeptierte Antwort gibt eine Black-Box-Antwort - nicht das, wonach ich gesucht habe, als ich diese Seite geöffnet habe. Ich hoffe, diese Antwort gibt eine bessere Erklärung und durch das Schreiben habe ich den Yubikey besser verstanden.
Ich habe eine und würde sie empfehlen! Ich habe es tatsächlich kostenlos von den Yubico-Leuten bekommen, als ich an BSidesLondon teilnahm.
Betrachten Sie es als einen sicheren RSA-Schlüssel, außer viel kleiner, billiger und ohne Batterie. Sie erhalten (im Wesentlichen) die gleiche Sicherheit, obwohl YubiKeys einen deutlich größeren Schlüsselbereich als die RSA-Schlüssel haben. Sie sind außerdem unglaublich robust und können ohne Beschädigung vollständig in Wasser getaucht werden.
Hier ist meine:
Ich weiß, das klingt wie eine Werbung, aber sie sind wirklich toll. Im Vergleich zum Mitführen einer Reihe dieser sicheren Schlüssel sind sie auf einem Schlüsselbund fast unbemerkt.
Wie sie funktionieren, validieren sie anhand eines von Yubico ausgeführten Cloud-Dienstes und bieten eine Zwei-Faktor-Authentifizierung . Die gesamte Serversoftware ist Open Source und Sie können gerne Ihre eigenen Authentifizierungsserver ausführen. Es ist völlig transparent.
Stöbern Sie auf ihrer Website, dort finden Sie viele technische Informationen und Beschreibungen.
Der YubiKey gibt es in verschiedenen Varianten, zum Beispiel den YubiKey 4 und den YubiKey U2F. Alle YubiKeys sind Hardware-Token und an einen USB-Anschluss angeschlossen. Die meisten verfügen über einen induktiven Knopf und ein Modell verfügt auch über NFC (den YubiKey Neo). Die Varianten unterscheiden sich hinsichtlich des Formfaktors und der Anzahl der unterstützten Funktionen.
Der YubiKey 4 bietet verschiedene Funktionen:
Für einige seiner Funktionen präsentiert es sich als USB HID -Gerät.
Es gibt alternative Lösungen, die ähnliche oder ähnliche Funktionen bieten eine Teilmenge des YubiKey 4 mit mehreren Funktionen. Zum Beispiel klassische Hardware-Chipkartenleser (möglicherweise sogar mit Tastatur) in Kombination mit einer OpenPGP-kompatiblen Chipkarte.
Der YubiKey U2F ist nur ein U2F-Gerät, dh ein Gerät, das ein originenspezifisches öffentliches / privates Schlüsselpaar erzeugen kann d gibt ein Schlüsselhandle und einen öffentlichen Schlüssel an den Aufrufer zurück. Wie bei anderen kostengünstigen U2F-Geräten werden die privaten Schlüssel nicht gespeichert, sondern symmetrisch verschlüsselt (mit einem internen Schlüssel) und als Schlüsselhandle zurückgegeben. Mithilfe des Schlüsselhandles kann das U2f-Gerät dann eine Herausforderung signieren und so eine Antwort als Teil einer Multi-Faktor-Authentifizierung erstellen.
Da U2F ein offener Standard ist (der auch von Unternehmen wie z Google) gibt es mehrere alternative kostengünstige U2F-Hardware-Token (Suche nach ' FIDO U2F-Schlüssel').
Schauen Sie hier vorbei http://www.linuxjournal.com/magazine/yubikey-one-time-password-authentication
Das folgende Outtake wurde von Dirk geschrieben Merkel, Autorin des zuvor verlinkten Artikels:
Jedes Mal, wenn Sie die Taste auf dem Gerät drücken, wird ein Einmalkennwort generiert und an den Host-Computer gesendet, als hätten Sie es eingegeben eine Tastatur. Dieses Kennwort kann dann vom Dienst verwendet werden, um Sie als Benutzer zu authentifizieren.
Ich schlage vor, Sie lesen den 5-seitigen Artikel durch, da dies zu viel ist, um ihn hier zu übernehmen.
Soweit ich weiß, besteht das Einmalkennwort aus mehreren verschiedenen Informationen, z. B. einem Zeitstempel (wie lange sich der Schlüssel in Ihrem Computer befindet), einem Yubikey-Sitzungsstempel (wie oft Sie ihn eingesteckt haben) in Ihren Computer), einen zufälligen Spezialcode, einen Stempel dafür, wie oft Sie ein Passwort generiert haben usw. Dann wird es verschlüsselt. Dann schlägt es auf einen speziellen Code, der diesem bestimmten Yubikey zugewiesen ist, von dem es erneut verschlüsselt. Dann wird es selbst an Yubikey gesendet (weil sie alle speziellen Codes kennen) und sie überprüfen, ob Ihr Schlüssel korrekt ist und was auch immer. Dann wird angezeigt, bei wem Sie sich anmelden möchten, z. B. bei Google, dass Sie die richtige Person sind. Dann lässt Google Sie ein.
Es gibt andere Funktionen, bei denen lediglich eine Zeichenfolge oder ein Kennwort auf dem Gerät und gespeichert wird Wenn Sie darauf klicken, erhalten Sie ein Passwort. Ziemlich einfach.