Frage zum Yubikey 5 NFC auf Kraken

Grüße!

Ich habe vor, mir evtl. einen Yubikey 5 NFT in der USB-A Variante zu kaufen um meinen Kraken Account abzusichern.

Da ich weder Zugang zu einem Windowsrechner, noch zu einem Mac habe, sondern mittlerweile mit meinem iPad Mini (neueste Version) + iPhone Mini alle täglich- anfallenden Tasks erledige, wüsste ich gerne ob ich das obenstehende Gerät auch ohne es über USB einzustöpseln, per NFC benutzen kann.

Mein iPhone, sowie mein iPad sind NFC Geräte… allerdings heißt es auf der Kraken Website, dass ich den Yubikey einstecken soll, was mich jetzt nachdenklich macht… ich habe zwar ein USB zu Lightning Adapter aber möchte darauf jetzt nicht vertrauen.

Falls jemand Brscheid weiß… vielleicht schon selbst damit Erfahrung gemacht hat, würde ich mich mega über eine Antwort freuen, bevor ich nur Kohle zum Fenster raus haue.

:raising_hand_man:

Ich würde diesen etwas älteren Thread gerne aufwärmen, da ich selbst überlege mir einen Yubikey anzuschaffen.

Einerseits würde mich interessieren, ob du schon Erfahrungen im Zusammenspiel von YubiKey und Kraken sammeln konntest?

Außerdem interessiert mich, ob es bereits Banken gibt, die den YubiKey oder andere U2F Geräte beim Online-Banking unterstützen. Ich habe keine gefunden.

@sutterseba, du hast ja z.B. einen YubiKey. :slight_smile:

1 „Gefällt mir“

Erfahrung mit YubiKey und Kraken: Top!
Sign-In und „Funding“ kann man mit dem YubiKey absichern, Trading nur über normale 2FA.

Zum YubiKey an sich: Sehr gut verarbeitet, schön leicht und klein. NFC funktioniert einwandfrei. Einloggen macht zum ersten mal in der Geschichte der Menschheit Spaß (meistens zumindest).

Die leben mit ihrem photoTAN und mobileTAN noch im letzten Jahrzehnt. Für die bedeutet „Zwei-Faktor-Verifizierung“ eine andere App auf dem Smartphone zu öffnen und einmal von links nach rechts zu wischen. Mir ist auch keine deutsche Bank bekannt die U2F unterstützt.

Mein Forums-Account ist wahrscheinlich um ein vielfaches besser gesichert als mein Bankkonto. (Ja, sogar Discourse unterstützt Sicherheitsschlüssel…)


TLDR:

Fast niemand implementiert Sicherheitsschlüssel richtig und wenn man 2021 wirklich Wert darauf legen möchte, wird man eigentlich fast überall enttäuscht. Dieser Artikel fasst das wunderbar zusammen:


In einer optimalen Welt kann ich mich mit meinem YubiKey anmelden, ohne ein Passwort oder eine E-Mail Adresse. Der YubiKey ist nur durch eine PIN vor physischem Zugriff geschützt. Ähnlich wie eine Hardware Wallet. Verliere ich den YubiKey habe ich einen zweiten Schlüssel (in meinem Fall BitBox02 Multi). Verliere ich beide Schlüssel kann ich mit meiner BIP39 Mnemonic wiederherstellen.

Das war jetzt die ideale Welt. Kein einziger mir bekannter Anbieter erlaubt die Nutzung von Sicherheitsschlüsseln in dieser Form.

In den meisten Fällen kann ich den YubiKey nur als zweiten Faktor verwenden, brauche also immernoch meine E-Mail und mein Passwort. Das ist zwar etwas übertrieben, im Bitcoin Netzwerk muss ich mich auch nicht zusätzlich mit einem Passwort einloggen, aber ich will mich jetzt nicht über zu viel Sicherheit beschweren.

Das eigentliche Problem liegt bei den alternativen Wiederherstellungsmethoden. Wenn ich mir statt dem YubiKey einen Code per Mail oder Handynummer schicken lassen kann bringt mir der YubiKey eigentlich nichts mehr, da die Schwachstelle jetzt bei meiner E-Mail bzw. meiner Telefonnummer liegt. Bei viel zu vielen Anbietern wird einem eine Wiederherstellungsmethode aufgezwungen, die man gar nicht möchte, zum Beispiel Microsoft.

Damit ich die volle Sicherheit eines Sicherheitsschlüssels ausnutzen kann, darf es keine schwächere Login-Methode geben. Ich muss also mind. zwei Schlüssel einrichten (einer als Backup), weil wenn ich ein schwächeres Backup (Normale TOTP 2FA, Handynummer, E-Mail) nutze, ist der YubiKey unnötig, da ich dann gleich bei der alten Variante bleiben kann.

Stell dir mal vor die BitBox App sagt dir „Und jetzt gib bitte eine E-Mail Adresse an um deine Bitcoin im Notfall wiederherzustellen“… Ergibt keinen Sinn.

Hier im Forum ist das Thema eigentlich nahezu perfekt gelöst:

  • Ich kann mehrere Sicherheitsschlüssel hinterlegen
  • Ich kann Backup-Wörter bewusst deaktiviert lassen (Durch die BitBox02 brauche ich diese nicht)
  • Ich kann die normale TOTP 2FA deaktiviert lassen

Bei vielen Anbietern sind die Backup-Codes trotzdem ein Muss, was auch noch völlig in Ordnung ist. Bei Firmen besteht hier aber bereits wieder Phishing-Gefahr, die der YubiKey ja eigentlich beseitigen soll.

Dann gibt es wiederum Anbieter bei denen ich nur einen Schlüssel einrichten kann (z.B. Kraken), was mich zwingend von den Backup Codes abhängig macht. Am Ende stehe ich mit 30 Textdateien an Backups da und muss mich wieder um sichere Verwahrung kümmern…

Und dann gibt es die Anbieter die U2F nicht mal unterstützen… Willkommen in 2021. Hier muss ich weiter TOTP 2FA nutzen, allerdings kann ich das ja wunderbar mit meinem YubiKey tun. Der Vorteil ist, ähnlich wie mit einer Hardware Wallet, dass ich überall einstecken kann und sofort meine Codes habe.

Und dann gibt es die Anbieter die dir in 2021 immer noch eine SMS-TAN aufzwingen (Da wären wir wieder bei den Banken).

Und dann gibt es die Anbieter die dir ihre eigene proprietary 2FA Lösung vor die Nase setzen (Looking at you, Apple.)

Wie du merkst ist das ganze noch ziemlich nervig. Ich würde den Schlüssel an deiner Stelle nicht mit der Erwartung kaufen überall einen einfacheren Login zu haben, sondern einfach um Mail Account, Krypto-Exchanges und den Passwort Manager abzusichern. Daraus zieht man auch die größten Vorteile.

Die Passwort Manager bieten immerhin eine gute Implementierung an, mit Bitwarden habe ich z.B. freie Auswahl:

Genau so muss das.

Sorry für den Roman… :grin:

2 „Gefällt mir“

Also mit deinem iPhone 12 (?) Mini kannst du den YubiKey 5 NFC problemlos nutzen. Sowohl um dich im Browser direkt anzumelden oder mit der Authenticator App für die normalen 2FA Codes.

Mit deinem iPad mini funktioniert NFC leider nicht.

Da würde ich auch nicht drauf vertrauen wollen und das macht das ganze ja unnötig umständlich. Du kaufst dir ja einen YubiKey weil du es einfach haben möchtest.

Es gibt einen YubiKey mit Lightning und USB-C:

Der hat allerdings kein NFC, brauchst dann aber auch nicht.

Den kannst du dann mit deinem iPad und iPhone nutzen + er ist für zukünftige Geräte mit USB-C gewappnet.

Aber wahrscheinlich bin ich mit der Info jetzt 4 Monate zu spät :sweat_smile:

2 „Gefällt mir“

Super, danke für deine ausführliche Antwort!

Nachvollziehbar und wirklich irgendwie absurd.

Wie funktioniert das denn genau?

Bei einer HW Wallet kommt eine Transaktion rein und signiert wieder raus. Auf dem verbundenen Rechner gibt es erst gar keine Informationen, die kompromittiert werden können.

Sobald ich aber mit dem Yubikey den PW Manager entsperre, kann dann Spyware die entschlüsselten Passwörter auslesen?

Ich verwende Bitwarden auch, und traue mich ja kaum zu fragen: Verwendest du es offline oder online?

Ist es in Verbindung mit dem Yubikey möglich, die Passwörter verschlüsselt online auf deren Server oder meiner NAS abzulegen, so dass ich von überall darauf zugreifen kann, aber nur auf meinem Gerät entschlüsselt wird?

Online :see_no_evil:. Mit iPhone und Zweitrechner wäre mir das offline zu viel Aufwand, da hab ich ehrlich gesagt keine Lust zu…

Wenn du offline managen willst, was nochmal ne’ Ecke besser ist, bist du mit KeePassXC am besten aufgehoben.

Aber ob der Vorteil da wirklich so groß ist steht auf einem anderen Blatt…

Den YubiKey benutzt du nur zum Login (auf neuen Geräten), also der hat damit eigentlich nichts zu tun. Ob du einen verwendest macht nur was bei der Account-Sicherheit aus, nicht bei der eigentlichen Sicherheit der Passwörter. So oder so liegen deine Passwörter verschlüsselt auf deren Server.

Du kannst Bitwarden auch mit deinem NAS nutzen, Tutorials müsstest du finden, aber das ist jetzt kein riesiger Sicherheitsvorteil würde ich sagen.

Schau dir mal das Video an, da wird die Funktionsweise echt gut erklärt:

Du entschlüsselst deine Datenbank lokal auf deinem Rechner, also ja, das ist quasi „Hot-Wallet Niveau“.

Im Alltag brauchst du den YubiKey aber gar nicht, nur beim ersten Anmelden auf neuen Geräten oder im Browser.

2 „Gefällt mir“