Yubikey, was ist das?


Yubikey ist nach meiner Recherche ein kommerzielles Produkt was die Passwortsicherheit erhöhen soll. Wenn ich das Prinzip richtig verstanden habe, handelt es sich um Public-Key-Kryptographie die in Hardware one-time-passworte erzeugt. Das Prinzip ist vergleichbar wie bei SSH wo man den privaten Schlüssel auf seinem Rechner speichert, und den öffentlichen Schlüssel auf der Gegenseite hinterlegt. Wenn jetzt der öffentliche Schlüssel entwendet wird, bleibt das System trotzdem noch sicher. Beim Yubikey wurde das ganze zusätzlich noch in Hardware realisiert.

Wenn man dem Hersteller glauben schenken will, wird hier am ganz großen Rad gedreht. Im Grunde sollen alle Dienste auf Yubikey umgestellt werden. Das betrifft:

– Anmeldung bei Linux
– SSH Verbindungen
– E-Mail Passworte
– Verschlüsselung wie PGP
– Anmeldung bei Online-Diensten wie dropbox und github
– VPN Verbindungen

Eine Demo gibt es auf https://demo.yubico.com/php-yubico/ Dort wird unterschieden zwischen two factor und one-factor Authentifzierung. Bei der Two factor Authentifizierung wird Yubikey als Ergänzung zu einem vorhandenen Passwort genutzt, beim One-Factor kommt nur der Yubikey zum Einsatz und sonst gar nichts. Ist das grundsätzlich eine gute Idee? Meiner Meinung nach ja. Aktuell ist der Sicherheitsstandard für die meisten Nutzer so, dass sie halbwegs lange Passworte nutzen. Beim Yubikey ist das Passwort sehr viel länger und es wird ein öffentliches + privates Passwort verwendet. Dadurch steigt die Sicherheit signifikant an.

Natürlich kann man auch den Yubikey knacken. So ähnlich wie man heute auch SSH Anmeldungen hacken kann. Auch Public Key Kryptographie ist kein ultimativer Schutz. Aber, gegenüber einem simplen Passwort ist die Verwendung von Yubikey eine Sicherheitsverbesserung. Hinzu kommt, dass es den Anwender entlastet. Man könnte sich Passwortlisten schenken und stattdessen alles mit dem Key machen.

Am leichtesten lässt sich das Prinzip anhand der „Single-factor authentication“, das ist ein Verfahren was zwar nicht empfohlen wird, es macht jedoch deutlich wie es funktioniert. Bei Single Factor Authentification steckt man den Yubikey in den USB Port und fertig. Darüber meldet man sich beim jeweiligen Dienst an. Spannend wird es, wenn der Yubikey verloren geht oder ihn jemand klaut. Dann kann der andere sich damit ebenfalls einloggen, bzw. wenn er verloren geht kann man sich selber nicht mehr einloggen. soweit zur „Single Factor Autentification“. Um das Problem mit dem gestohlenen / verlorenen Stick zu entschärften gibt es jetzt allerhand erweiterungen. Diese werden als Two Factor authentification bezeichnet. Meist geht es darum, dass selbst bei Diebststahl der Angreifer sich noch nicht einloggen kann. Ebenfalls wichtig ist die Frage, wie man sein Passwort zurücksetzt, wenn der Yubikey verloren ging oder kaputt ist.

KRITIK
Bisher wurde weitestgehend ein Loblied auf den Yubikey eingestimmt. Es gibt jedoch eine Reihe von Kritikpunkten. Zunächst einmal kostet das gute Stück 50 US$, bei Amazon wird es derzeit mit 100 EUR angegeben. Das ist ziemlich teuer, nur um damit irgendwelche Accounts abzusichern. Zum Zweiten gibt es das Problem, dass die großen Anbieter wie Google, Amazon und github zwar Yubikey unterstützen aber nur in Kombination mit two factor Authentification. Das heißt konkret: der Anwender muss zunächst einmal seine Telefon-Nummer angeben, dann auf den Bestätigungscode warten und erst dann kann er den Yubikey einschieben. Im täglichen Betrieb muss der Anwender um in seinen Account zu gelangen dann folgendes tun:

1. Eingabe E-Mail Adresse
2. Eingabe Passwort
3. Bestätigung per SMS
4. Yubikey einstecken

Das heißt, die Dinge werden komplizierter als sie es ohnehin schon sind. Aber das größte Problem ist wohl, dass für die wirklich wichtigen Dinge der Yubikey nicht genutzt werden kann. Man kann damit weder Bitcoin absichern, noch seinen Bankaccount sichern. Weil dafür das gute Stück immernoch zu wenig Sicherheit besitzt. Ein wenig zynisch gesagt, ist der Yubikey einfach nur ein Zifferngenerator, so als wenn man auf der Tastatur irgendwelchen Unsinn eintippt. Es gaukelt Sicherheit vor wo keine da ist. Das heißt, der Endverbraucher gibt sich alle Mühe seinen Account zu sichern, wählt supersichere Passwörter und nutzt den Yubikey und auf der Gegenseite bei github hat der Root-Admin ein simples Passwort was die Hacker erraten und dann mit dem kompletten Datenbestand aus 10 Mio Accounts abhauen.

Schauen wir uns die Kosten dochmal etwas genauer an. Laut https://www.youtube.com/yt/press/de/statistics.html besitzt Youtube derzeit 1 Milliarde Nutzer, wenn sich jeder einen Yubikey für 50 US$ kauft um die Sicherheit zu erhöhen, wären das 50 Mrd US$. Wirklich sicherer wird dadurch gar nichts, weil das oben genannte Szenario das ein Angreifer bei Youtube die Server hackt ja trotzdem besteht. Dann dürfen die User trotzdem ihre Passwörter ändern, selbst wenn sie einen schicken USB Key besitzen. Ich will damit andeuten, dass das Konzept Yubikey sehr viel mit Marketing zu tun hat, jedoch keine technische Antworten gibt, wie man die Sicherheit erhöht.

Advertisements

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s