Ich nutze die nicht, das ist halt nur ein weiterer Schlüssel den man mit sich rumtragen muss. Da kann man sich auch ein Cert File aufs Handy packen..
Aber ich bin mit meinen Laieneinsatz wohl auch nicht die Zielgruppe.
Hatte es mal auf der Arbeit für einen größeren Kunden im Einsatz, der darauf bestanden hatte aber sonst nee. Bei mir ist die Angst auch zu groß sowas zu verlieren. Gerade ich und Schlüssel/Geldbeutel, jedes mal geht die große Suche los. ![[ag]](https://www.kodinerds.net/wcf/images/smilies/smiley44.gif "ag"){kind=small}
Nutze einen Yubico5 NFC schon viele Jahre. 2fa für Google usw wo es supportet wird. Für meine ssh Zugänge nutze ich den PGP key welcher ebenfalls auf dem Yubikey ist, normaler ssh key ist aber auch möglich. Meine KeePass DB ist ebenfalls als zweiter Faktor mit dem yubikey abgesichert per challenge Response. Trage ihn um den Hals. Ein zweiter, welcher identisch eingerichtet ist, liegt an einem sicheren Ort. Achja Meine proxmox Server sind damit ebenfalls als zweiter Faktor abgesichert.
Meine KeePass DB ist ebenfalls als zweiter Faktor mit dem yubikey abgesichert per challenge Response.
Kannst du das bitte mal genauer erläutern? Ich kann mit challange response nix anfangen. Danke!
Ein zweiter, welcher identisch eingerichtet ist, liegt an einem sicheren Ort.
Ah okay, wusste nicht, dass sowas geht. Gut zu wissen, dann ist das für mich privat evtl. doch was.
@TehTux
Hier ist eine schöne Anleitung dazu von Yubi: https://support.yubico.com/hc/en-us/artic…ey-with-KeePass
Generell haben die wirklich viele Infos auf Ihrer Webseite wie und wozu man die Sticks alles benutzen kann.
Und wie @darkside40 schon sagte. Ein zweiter Stick welcher sicher verwahrt ist, also wirklich sicher, ist ein absolutes muss. Sonst stehts du nämlich vor einem echten Problem wenn Nr1 kaputt,geklaut,verloren geht.
Und ebenso sollten immer beide Sticks bei den Anbietern hinterlegt werden wenn man Fido2 nutzt z.B. bei Github usw. Es gibt zwar auch Recovery Codes aber den Umweg kann man dadurch verhindern.
Es ist am Anfang ne Menge Leserei und vorallem viel Arbeit, alleine schon sie bei den Anbietern zu hinterlegen. Lohnt sich aber auf lange Sicht weil es das Leben einfacher macht.
Hier noch grob was zu SSH: https://developers.yubico.com/SSH/
Von Dr. Peter Koch gibt es noch eine angepasste Pagent Version welche den YubiKey als Smartcard lesen kann zwecks der gespeicherten SSH/PGP Keys: https://smartcard-auth.de/ssh-de.html
Für die PGP Funktion muss man Ihm aber gerechterweise ein paar Taler zukommen lassen für eine Lizenz. Sieht bei mir z.B. so aus:
Da ich recht viele Linux Maschinchen verwalte muss ich so unter Windows nur meine Putty Links anklicken und bin eingeloggt wenn der Yubikey eingesteckt ist.
Ich habe insgesamt 3 Solokeys, von 2 Kickstarter Kampangen.
1x Solo 1 USB-C
2x Solo 2 (1x USB-C, 1x USB-A)
Bisher nutze ich sie als 2. Faktor für Webseiten wie z.B. github.
Insgesamt finde ich sie schon gut, sie tun was sie sollen und sind komplett open source (Firmware und Hardware!). Was mir nicht so gefällt: Die Entwickler sind etwas "wankelmütig" wenn es um die Software geht, insbesondere beim Updater zum aktualisieren der Firmware.
Es gab einen Updater im Browser, der nicht mehr weiter entwickelt wird und ein Desktopprogramm, welches (noch?) nicht offiziell eingestellt wurde, aber schon seit 2 Jahren nicht mehr weiterentwickelt wurde. M.W. unterstützen beide nur den Solo 1.
Dann gibt es ein Kommandozeilentool in Python für den Solo 1 und eines in Rust für den Solo 2. Beim Solo 2 ist auch die Firmware in Rust geschrieben, die vom Solo 1 ist in C. Der Updater als Desktopprogramm war/ist in Javascript geschrieben, genauso wie auch der Webupdater. Da fragt man sich, ob die Qualität des Codes nicht womöglich darunter leidet, wenn man so viele unterschiedlichen Sprachen verwendet.
Gleichzeitig scheinen sie durch dieses "rumprobieren" auch nie mit etwas fertig zu werden (außer der Firmware, glücklicherweise). Keiner der Updater kann als stabil angesehen werden. Selbst der in Python für den Solo 1 trägt Versionsnummer 0.0.30, hat aber keine Warnung im Gegensatz zu dem für den Solo 2: "This repository is incomplete and under active development." Beim Desktopprogramm steht "Not yet ready!"
Wenn es dann tatsächlich mal einen kritischen Bug gibt und man wirklich ein Firmwareupdate machen sollte/muss, müssen sie zumindest für manche eine detaillierte Anleitung schreiben, in der dann erklärt wird, wie man diese unfertige Software installiert und nutzt.
Obwohl ich vieles davon damals schon wusste, habe ich den Solo 2 trotzdem unterstützt, da ich hoffe, dass sich die Situation langfristig bessert, insbesondere auch wegen dem Opensource-Ansatz. Vielleicht schreibt ja irgendwann jemand (unabhängiges) eine GUI, die am Besten gleich beide CLIs vereint.
Ich habe nen Yubikey für die Arbeit. Den nutze ich für verschiedene Accounts als 2. Faktor, damit ich nicht immer meine 2FA App auf dem Handy öffnen muss um einen 6-stelligen Token eingeben zu müssen. Ich bin eigentlich sehr zufrieden.
Ein zweiter Stick welcher sicher verwahrt ist, also wirklich sicher, ist ein absolutes muss. Sonst stehts du nämlich vor einem echten Problem wenn Nr1 kaputt,geklaut,verloren geht.
Und ebenso sollten immer beide Sticks bei den Anbietern hinterlegt werden wenn man Fido2 nutzt z.B. bei Github usw. Es gibt zwar auch Recovery Codes aber den Umweg kann man dadurch verhindern.
Ich mache es so, dass ich beide Möglichkeiten einrichte. Also einmal den Yubi und dann noch eine andere Möglichkeit über einen Auth-Code meiner 2FA App auf dem Handy. Wenn ich den Yubi mal gerade nicht dabei habe, dann kann ich auch den Token verwenden. Damit fahre ich eigentlich sehr gut.
Ein 2. Stick ist aber natürlich auch eine sehr gute und sinnvolle Lösung.
Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!
