Frage:
Was ist ein YubiKey und wie funktioniert er?
Gabriel Fair
2012-07-31 20:11:09 UTC
view on stackexchange narkive permalink

Wie funktioniert YubiKeys? Gibt es Alternativen?

Hier ist ein Bild von einer: yubikey

Einige Dinge, die bei der Verwendung eines [yubikey] zu beachten sind (https://security.stackexchange.com/q/17921/6402)
Fünf antworten:
#1
+42
SPRBRN
2015-09-09 01:48:31 UTC
view on stackexchange narkive permalink

Soweit ich weiß, verhält sich Yubikey wie eine USB-Tastatur. Sie schließen es an Ihren Computer an, platzieren den Cursor in einem Formularfeld, drücken die Taste auf dem Yubikey und es sendet eine Textzeichenfolge mit 44 Zeichen an den Computer, während Sie diese 44 Zeichen eingeben. Der Computer kennt den Unterschied zwischen der Eingabe und dem Yubikey, der ihn generiert, nicht.

Eine Website wie eine Wordpress-Site mit Yubikey-Plugin oder das Lastpass-Addon in Firefox oder jede andere Website mit einer Yubikey-Option verfügt über ein Anmeldeformular mit Benutzername, Passwort und Yubikey-Passwort. Sie geben Ihren Benutzernamen und Ihr Passwort ein, setzen den Cursor in das Yubikey-Feld, drücken die Yubikey-Taste und geben das Yubikey-Passwort in das Feld ein.

Dann wird das Formular gesendet und der Yubikey in der Yubicloud validiert. Die Website prüft, ob das eingegebene Yubikey-Passwort gültig ist. Der Yubikey selbst verbindet sich nicht mit der Yubicloud. Es ist nur ein Gerät, das eine Zeichenfolge generiert, die sich wie eine Tastatur verhält, und es stellt keine Verbindung zum Internet oder etwas anderem her, außer zu dieser Tastatur.

Bevor dies alles funktioniert, müssen Sie Ihr Konto auf der Website aktualisieren, um Yubikey verwenden zu können. Das heißt, Sie müssen Ihren Schlüssel mit dem Konto verknüpfen. Auf diese Weise kann die Yubicloud den generierten Code überprüfen und anhand Ihres Kontos validieren.

Die Website muss natürlich die Yubikey-Funktionalität implementieren, die als kostenloser Service für Websitebesitzer verfügbar ist.

Wenn der Yubikey verloren geht, können Sie die normalen Wiederherstellungsmethoden verwenden, die die Website benötigt, um Ihr Konto wiederherzustellen und den Yubikey zu deaktivieren. Normalerweise bedeutet dies, dass Sie per E-Mail einen Link zur Passwortwiederherstellung erhalten und dieser Link die Yubikey-Funktion in Ihrem Konto deaktiviert.

Ich habe den Yubikey-Support per E-Mail benachrichtigt, um festzustellen, ob diese Antwort korrekt ist. Sie sagten, diese Erklärung sei richtig, außer dass sie nur einen Teil der Funktionsweise des Schlüssels erklärte.

Die anderen Antworten hier geben keine wirkliche Erklärung. Selbst der Linuxjournal-Artikel erklärt es nicht so. Die akzeptierte Antwort gibt eine Black-Box-Antwort - nicht das, wonach ich gesucht habe, als ich diese Seite geöffnet habe. Ich hoffe, diese Antwort gibt eine bessere Erklärung und durch das Schreiben habe ich den Yubikey besser verstanden.

Genial, Danke.Wissen Sie, wie der Code generiert wird und wie die Ubicloud ihn validiert?
Ich weiß es nicht, aber das ist eine gute Vermutung.Sie erstellen oder aktualisieren Ihr Konto auf der Website.Wenn der Senden-Button gedrückt wird, kontaktiert die Website die Ubicloud.Es sendet die gerade eingegebene Zeichenfolge, möglicherweise zusammen mit einer (von der Website generierten) Identifikationszeichenfolge.Die Ubicloud registriert dies dann irgendwie und gibt der Website eine Antwort (oder vielleicht einen anderen Code), die besagt, dass alles in Ordnung ist.Wenn sich der Benutzer das nächste Mal anmeldet, kontaktiert er die Ubicloud erneut mit den angegebenen IDs, und die Ubicloud antwortet, dass der verwendete Schlüssel mit diesem Konto verknüpft ist oder nicht.
#2
+19
Polynomial
2012-07-31 20:18:22 UTC
view on stackexchange narkive permalink

Ich habe eine und würde sie empfehlen! Ich habe es tatsächlich kostenlos von den Yubico-Leuten bekommen, als ich an BSidesLondon teilnahm.

Betrachten Sie es als einen sicheren RSA-Schlüssel, außer viel kleiner, billiger und ohne Batterie. Sie erhalten (im Wesentlichen) die gleiche Sicherheit, obwohl YubiKeys einen deutlich größeren Schlüsselbereich als die RSA-Schlüssel haben. Sie sind außerdem unglaublich robust und können ohne Beschädigung vollständig in Wasser getaucht werden.

Hier ist meine:

YubiKey

Ich weiß, das klingt wie eine Werbung, aber sie sind wirklich toll. Im Vergleich zum Mitführen einer Reihe dieser sicheren Schlüssel sind sie auf einem Schlüsselbund fast unbemerkt.

Wie sie funktionieren, validieren sie anhand eines von Yubico ausgeführten Cloud-Dienstes und bieten eine Zwei-Faktor-Authentifizierung . Die gesamte Serversoftware ist Open Source und Sie können gerne Ihre eigenen Authentifizierungsserver ausführen. Es ist völlig transparent.

Stöbern Sie auf ihrer Website, dort finden Sie viele technische Informationen und Beschreibungen.

Ist ein Abonnementdienst erforderlich? Muss man eine monatliche Gebühr bezahlen?
AiliqvcmmnCMT Nope, it's free. From their website: *"Provided with free hosted validation service, YubiCloud"*
Da Sie "Betrachten Sie es als einen sicheren RSA-Schlüssel" erwähnen, ist ein wichtiger Unterschied, dass Sie die symmetrische AES-Verschlüsselung verwenden, damit theoretisch jemand, der sein HSM stiehlt (ohne erkannt zu werden), Ihren Schlüssel und Anspruch erhalten kann Sie zu sein, was eine asymmetrische Verschlüsselung wie RSA aufgrund des Servers nicht zulassen würde, wenn nur ein öffentlicher Schlüssel gespeichert wird ...
Wie ist das besser als ein USB-Stick mit einer Schlüsseldatei? Wenn ein Yubikey gestohlen wird, kann der Angreifer ihn trotzdem verwenden.
@Celeritas Malware oder die Ausnutzung des Systems können den YubiKey nicht trivial dazu bringen, sein Passwort aufzugeben, da Sie die physische Taste drücken müssen, um es einzugeben. Ein Wert auf einem USB-Stick kann einfach abgelesen werden.
Ja, aber Sie wissen nicht unbedingt, dass eine Datei eine Schlüsseldatei auf einem USB-Stick ist oder zu welchem ​​Passwort / Benutzernamen sie gehört. Könnten Sie diesen Angriffsvektor näher erläutern, wie USB-Sticks leicht zu lesen sind, um die Schlüsseldatei zu gefährden?
@Celeritas Mit vielen RATs kann ein Angreifer das Dateisystem manuell durchsuchen. Andere geben nur den Inhalt des Wechseldatenträgers für gängige Dokumenttypen (txt, doc, xls, docx, xlsx, mdb usw.) aus und senden ihn an C & C. Beachten Sie auch, dass der YubiKey eine Authentifizierung im CHAP-Stil für 2FA bietet und nicht nur eine Authentifizierung mit statischem Schlüssel, die dem Speichern eines Kennworts auf einem USB-Stick völlig überlegen ist.
Und der runde Kontakt ist für Nuke oder Nurse? Oder was?
@ott Der runde Kontakt ist für Sie zu drücken. Es ist das, was es dazu veranlasst, seine gespeicherten Daten einzugeben.
#3
+18
maxschlepzig
2016-01-02 17:06:47 UTC
view on stackexchange narkive permalink

Der YubiKey gibt es in verschiedenen Varianten, zum Beispiel den YubiKey 4 und den YubiKey U2F. Alle YubiKeys sind Hardware-Token und an einen USB-Anschluss angeschlossen. Die meisten verfügen über einen induktiven Knopf und ein Modell verfügt auch über NFC (den YubiKey Neo). Die Varianten unterscheiden sich hinsichtlich des Formfaktors und der Anzahl der unterstützten Funktionen.

Der YubiKey 4 bietet verschiedene Funktionen:

  • OTP -Generation
  • OATH-kompatible OTP-Generierung (dh HOTP und TOTP)
  • emulieren a Chipkartenleser mit eingelegter OpenPGP-Chipkarte (bis zu 4 KBit RSA oder 256 Bit ECC Größe des privaten Schlüssels)
  • fungieren als PIV-Gerät (bis zu 2 KB Bit RSA oder 256 Bit ECC Größe des privaten Schlüssels)
  • fungieren als U2F Gerät
  • Wiedergabe a statisches Passwort

Für einige seiner Funktionen präsentiert es sich als USB HID -Gerät.

Es gibt alternative Lösungen, die ähnliche oder ähnliche Funktionen bieten eine Teilmenge des YubiKey 4 mit mehreren Funktionen. Zum Beispiel klassische Hardware-Chipkartenleser (möglicherweise sogar mit Tastatur) in Kombination mit einer OpenPGP-kompatiblen Chipkarte.

Der YubiKey U2F ist nur ein U2F-Gerät, dh ein Gerät, das ein originenspezifisches öffentliches / privates Schlüsselpaar erzeugen kann d gibt ein Schlüsselhandle und einen öffentlichen Schlüssel an den Aufrufer zurück. Wie bei anderen kostengünstigen U2F-Geräten werden die privaten Schlüssel nicht gespeichert, sondern symmetrisch verschlüsselt (mit einem internen Schlüssel) und als Schlüsselhandle zurückgegeben. Mithilfe des Schlüsselhandles kann das U2f-Gerät dann eine Herausforderung signieren und so eine Antwort als Teil einer Multi-Faktor-Authentifizierung erstellen.

Da U2F ein offener Standard ist (der auch von Unternehmen wie z Google) gibt es mehrere alternative kostengünstige U2F-Hardware-Token (Suche nach ' FIDO U2F-Schlüssel').

Zu Ihrer Information: Die OpenPGP-Implementierung auf dem Yubikey 4 [ist nicht Open Source] (https://github.com/Yubico/ykneo-openpgp/issues/2#issuecomment-218446368) - dies ist eine signifikante Abweichung von früheren Yubikey NEO-Geräten.
@JonathanCross Das ist schade.Auch etwas Wissenswertes: Neuere Yubikey-NEOs können anscheinend nicht mehr mit eigenen Applets angepasst werden, es sei denn, man bestellt speziell eine Entwickler-Edition (die ich nirgendwo gefunden habe)
#4
+10
Lucas Kauffman
2012-07-31 20:21:09 UTC
view on stackexchange narkive permalink

Schauen Sie hier vorbei http://www.linuxjournal.com/magazine/yubikey-one-time-password-authentication

Das folgende Outtake wurde von Dirk geschrieben Merkel, Autorin des zuvor verlinkten Artikels:

Jedes Mal, wenn Sie die Taste auf dem Gerät drücken, wird ein Einmalkennwort generiert und an den Host-Computer gesendet, als hätten Sie es eingegeben eine Tastatur. Dieses Kennwort kann dann vom Dienst verwendet werden, um Sie als Benutzer zu authentifizieren.

Ich schlage vor, Sie lesen den 5-seitigen Artikel durch, da dies zu viel ist, um ihn hier zu übernehmen.

Meine Bearbeitung wurde [abgelehnt] (http://security.stackexchange.com/review/suggested-edits/66637) von Lucas Kauffman mit 'Diese Bearbeitung macht den Beitrag nicht einmal ein bisschen leichter zu lesen, leichter zu finden, mehr genau oder zugänglicher. Änderungen sind entweder völlig überflüssig oder beeinträchtigen die Lesbarkeit aktiv. ' - obwohl es mehrere Fehler beseitigt und das Layout verbessert. Am wichtigsten ist, dass der Name des Autors festgelegt wird, auf den verwiesen wird. Der Name enthält derzeit zwei Rechtschreibfehler: "Drik Mekel" sollte "Dirk Merkel" lauten.
#5
+1
Neuralyzer Gaming
2017-03-06 03:34:33 UTC
view on stackexchange narkive permalink

Soweit ich weiß, besteht das Einmalkennwort aus mehreren verschiedenen Informationen, z. B. einem Zeitstempel (wie lange sich der Schlüssel in Ihrem Computer befindet), einem Yubikey-Sitzungsstempel (wie oft Sie ihn eingesteckt haben) in Ihren Computer), einen zufälligen Spezialcode, einen Stempel dafür, wie oft Sie ein Passwort generiert haben usw. Dann wird es verschlüsselt. Dann schlägt es auf einen speziellen Code, der diesem bestimmten Yubikey zugewiesen ist, von dem es erneut verschlüsselt. Dann wird es selbst an Yubikey gesendet (weil sie alle speziellen Codes kennen) und sie überprüfen, ob Ihr Schlüssel korrekt ist und was auch immer. Dann wird angezeigt, bei wem Sie sich anmelden möchten, z. B. bei Google, dass Sie die richtige Person sind. Dann lässt Google Sie ein.

Es gibt andere Funktionen, bei denen lediglich eine Zeichenfolge oder ein Kennwort auf dem Gerät und gespeichert wird Wenn Sie darauf klicken, erhalten Sie ein Passwort. Ziemlich einfach.

Willkommen bei Security StackExchange.Diese Antwort enthält wirklich nicht mehr Details als die anderen Antworten und es fehlen die Quelldaten, um zu erklären, was wie die anderen Antworten tatsächlich vor sich geht.Wollten Sie etwas anderes sagen als die anderen Antworten?
Ich bin mir auch nicht sicher, ob Sie den Zeitstempel angeben (UTC, nicht "wie lange der Schlüssel eingefügt wurde": https://developers.yubico.com/yubikey-val/Validation_Protocol_V2.0.html).


Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...