Ich habe vor, mir evtl. einen Yubikey 5 NFT in der USB-A Variante zu kaufen um meinen Kraken Account abzusichern.
Da ich weder Zugang zu einem Windowsrechner, noch zu einem Mac habe, sondern mittlerweile mit meinem iPad Mini (neueste Version) + iPhone Mini alle täglich- anfallenden Tasks erledige, wüsste ich gerne ob ich das obenstehende Gerät auch ohne es über USB einzustöpseln, per NFC benutzen kann.
Mein iPhone, sowie mein iPad sind NFC Geräte… allerdings heißt es auf der Kraken Website, dass ich den Yubikey einstecken soll, was mich jetzt nachdenklich macht… ich habe zwar ein USB zu Lightning Adapter aber möchte darauf jetzt nicht vertrauen.
Falls jemand Brscheid weiß… vielleicht schon selbst damit Erfahrung gemacht hat, würde ich mich mega über eine Antwort freuen, bevor ich nur Kohle zum Fenster raus haue.
Ich würde diesen etwas älteren Thread gerne aufwärmen, da ich selbst überlege mir einen Yubikey anzuschaffen.
Einerseits würde mich interessieren, ob du schon Erfahrungen im Zusammenspiel von YubiKey und Kraken sammeln konntest?
Außerdem interessiert mich, ob es bereits Banken gibt, die den YubiKey oder andere U2F Geräte beim Online-Banking unterstützen. Ich habe keine gefunden.
Erfahrung mit YubiKey und Kraken: Top!
Sign-In und „Funding“ kann man mit dem YubiKey absichern, Trading nur über normale 2FA.
Zum YubiKey an sich: Sehr gut verarbeitet, schön leicht und klein. NFC funktioniert einwandfrei. Einloggen macht zum ersten mal in der Geschichte der Menschheit Spaß (meistens zumindest).
Die leben mit ihrem photoTAN und mobileTAN noch im letzten Jahrzehnt. Für die bedeutet „Zwei-Faktor-Verifizierung“ eine andere App auf dem Smartphone zu öffnen und einmal von links nach rechts zu wischen. Mir ist auch keine deutsche Bank bekannt die U2F unterstützt.
Mein Forums-Account ist wahrscheinlich um ein vielfaches besser gesichert als mein Bankkonto. (Ja, sogar Discourse unterstützt Sicherheitsschlüssel…)
TLDR:
Fast niemand implementiert Sicherheitsschlüssel richtig und wenn man 2021 wirklich Wert darauf legen möchte, wird man eigentlich fast überall enttäuscht. Dieser Artikel fasst das wunderbar zusammen:
In einer optimalen Welt kann ich mich mit meinem YubiKey anmelden, ohne ein Passwort oder eine E-Mail Adresse. Der YubiKey ist nur durch eine PIN vor physischem Zugriff geschützt. Ähnlich wie eine Hardware Wallet. Verliere ich den YubiKey habe ich einen zweiten Schlüssel (in meinem Fall BitBox02 Multi). Verliere ich beide Schlüssel kann ich mit meiner BIP39 Mnemonic wiederherstellen.
Das war jetzt die ideale Welt. Kein einziger mir bekannter Anbieter erlaubt die Nutzung von Sicherheitsschlüsseln in dieser Form.
In den meisten Fällen kann ich den YubiKey nur als zweiten Faktor verwenden, brauche also immernoch meine E-Mail und mein Passwort. Das ist zwar etwas übertrieben, im Bitcoin Netzwerk muss ich mich auch nicht zusätzlich mit einem Passwort einloggen, aber ich will mich jetzt nicht über zu viel Sicherheit beschweren.
Das eigentliche Problem liegt bei den alternativen Wiederherstellungsmethoden. Wenn ich mir statt dem YubiKey einen Code per Mail oder Handynummer schicken lassen kann bringt mir der YubiKey eigentlich nichts mehr, da die Schwachstelle jetzt bei meiner E-Mail bzw. meiner Telefonnummer liegt. Bei viel zu vielen Anbietern wird einem eine Wiederherstellungsmethode aufgezwungen, die man gar nicht möchte, zum Beispiel Microsoft:
Damit ich die volle Sicherheit eines Sicherheitsschlüssels ausnutzen kann, darf es keine schwächere Login-Methode geben. Ich muss also mind. zwei Schlüssel einrichten (einer als Backup), weil wenn ich ein schwächeres Backup (Normale TOTP 2FA, Handynummer, E-Mail) nutze, ist der YubiKey unnötig, da ich dann gleich bei der alten Variante bleiben kann.
Stell dir mal vor die BitBox App sagt dir „Und jetzt gib bitte eine E-Mail Adresse an um deine Bitcoin im Notfall wiederherzustellen“… Ergibt keinen Sinn.
Hier im Forum ist das Thema eigentlich nahezu perfekt gelöst:
Ich kann Backup-Wörter bewusst deaktiviert lassen (Durch die BitBox02 brauche ich diese nicht)
Ich kann die normale TOTP 2FA deaktiviert lassen
Bei vielen Anbietern sind die Backup-Codes trotzdem ein Muss, was auch noch völlig in Ordnung ist. Bei Firmen besteht hier aber bereits wieder Phishing-Gefahr, die der YubiKey ja eigentlich beseitigen soll.
Dann gibt es wiederum Anbieter bei denen ich nur einen Schlüssel einrichten kann (z.B. Kraken), was mich zwingend von den Backup Codes abhängig macht. Am Ende stehe ich mit 30 Textdateien an Backups da.
Und dann gibt es die Anbieter die U2F nicht mal unterstützen… Willkommen in 2021. Hier muss ich weiter TOTP 2FA nutzen, allerdings kann ich das ja wunderbar mit meinem YubiKey tun. Der Vorteil ist, ähnlich wie mit einer Hardware Wallet, dass ich überall einstecken kann und sofort meine Codes habe.
Und dann gibt es die Anbieter die dir in 2021 immer noch eine SMS-TAN aufzwingen (Da wären wir wieder bei den Banken).
Und dann gibt es die Anbieter die dir ihre eigene proprietary 2FA Lösung vor die Nase setzen (Looking at you, Apple.)
Wie du merkst ist das ganze noch ziemlich nervig. Ich würde den Schlüssel an deiner Stelle nicht mit der Erwartung kaufen überall einen einfacheren Login zu haben, sondern einfach um Mail Account, Krypto-Exchanges und den Passwort Manager abzusichern. Daraus zieht man auch die größten Vorteile.
Die Passwort Manager bieten immerhin eine gute Implementierung an, mit Bitwarden habe ich z.B. freie Auswahl:
Also mit deinem iPhone 12 (?) Mini kannst du den YubiKey 5 NFC problemlos nutzen. Sowohl um dich im Browser direkt anzumelden oder mit der Authenticator App für die normalen 2FA Codes.
Mit deinem iPad mini funktioniert NFC leider nicht.
Da würde ich auch nicht drauf vertrauen wollen und das macht das ganze ja unnötig umständlich. Du kaufst dir ja einen YubiKey weil du es einfach haben möchtest.
Bei einer HW Wallet kommt eine Transaktion rein und signiert wieder raus. Auf dem verbundenen Rechner gibt es erst gar keine Informationen, die kompromittiert werden können.
Sobald ich aber mit dem Yubikey den PW Manager entsperre, kann dann Spyware die entschlüsselten Passwörter auslesen?
Ich verwende Bitwarden auch, und traue mich ja kaum zu fragen: Verwendest du es offline oder online?
Ist es in Verbindung mit dem Yubikey möglich, die Passwörter verschlüsselt online auf deren Server oder meiner NAS abzulegen, so dass ich von überall darauf zugreifen kann, aber nur auf meinem Gerät entschlüsselt wird?
Online . Mit iPhone und Zweitrechner wäre mir das offline zu viel Aufwand, da hab ich ehrlich gesagt keine Lust zu…
Wenn du offline managen willst, was nochmal ne’ Ecke besser ist, bist du mit KeePassXC am besten aufgehoben.
Aber ob der Vorteil da wirklich so groß ist steht auf einem anderen Blatt…
Den YubiKey benutzt du nur zum Login (auf neuen Geräten), also der hat damit eigentlich nichts zu tun. Ob du einen verwendest macht nur was bei der Account-Sicherheit aus, nicht bei der eigentlichen Sicherheit der Passwörter. So oder so liegen deine Passwörter verschlüsselt auf deren Server.
Du kannst Bitwarden auch mit deinem NAS nutzen, Tutorials müsstest du finden, aber das ist jetzt kein riesiger Sicherheitsvorteil würde ich sagen.
Schau dir mal das Video an, da wird die Funktionsweise echt gut erklärt:
Die Bitbox02 Multi Edition ist ein vollwertiger Yubikey?! Warum sagt das denn keiner…dann habe ich ja einen use-case für die BitBox. ((Warum braucht es denn dann überhaupt noch einen Yubikey?))
…das heisst ich kann mich mit 2FA (dieses One-time-passwort was alle Minute wechselt o.ä.) bei Kraken einloggen und dazu meine Bitbox02 auf der Cryptos sind gleichzeitig als 2FA für Kraken nutzen?
2FA Passwörter die alle 30 Sekunden wechseln (TOTP) haben da auch nichts mit zu tun, das funktioniert nur mit einem YubiKey – und selbst bei denen nicht alle.
Das einzige was du mit der BitBox02 Multi machen kannst ist das:
Ahh OK, also doch nix mit BitBox02 zum einloggen. Ich bin noch neu in dem ganzen 2FA FIDO OTP U2F Dingsbumms sind immer noch „kryptisch“ für mich.
Habe bei Kraken auch nix gesehen und wenn ich alternativ zum nicht vorhandenen Ubikey die Bitbox02 einstecke erkennt sie Kraken nicht als Yubikey…
Ist es eigentlich „best practice“ eine BitBox02 zu verwenden auf der Cryptos drauf sind, oder kompromittiert man sich irgendwie die Sicherheit, indem ich die gleiche BitBox02 mit dem gleichen Seed zum hodln und für diese Einloggeschichten verwende? Oder soll man eine für Einlogzwecke dedizierte BitBox02 verwenden?
weist Du oder jemand anderes wie der Berührungssensor bei dem Yubikey funktioniert? Ist das ein rein kapazitiver Sensor, der von jedem Menschen oder „menschenähnlichen“ Finger „mit Erfolg“ berührt werden kann oder wird hier der Fingerabdruck gescannt und verglichen?
Nochmal: Kraken ist ein Sonderfall. BB02 Multi als Backup funktioniert nicht überall.
Ich habe mittlerweile einen blauen YubiKey als Backup. Der funktioniert aber auch nicht mit Kraken, da Kraken Yubico OTP zur Authentifizierung nutzt, eine Funktion die nur bei den schwarzen YubiKeys (5 Series) verfügbar ist.
(Yubico OTP hat nichts mit den 30 Sekunden Codes zu tun, das ist ein 44 Zeichen langes Passwort das immer beim Berühren generiert und geschrieben wird – z.B.: cccjgjgkhcbbirdrfdnlnghhfgrtnnlgedjlftrbdeut – Hier erklärt)
Die blauen eignen sich generell eher als Backup Schlüssel, da du auf Yubico OTP und die zeitbasierten
Codes (TOTP) verzichten müsstest. Und vor allem die machen einen YubiKey erst richtig nützlich.
Nein, der reagiert einfach auf Berührung. Der Schlüssel hat, wenn er als einziger Faktor ohne z.B. Passwort verwendet wird, einen PIN der abgefragt wird. Damit bringt einem physischer Zugriff auf den Schlüssel erstmal nicht viel, da man entweder den PIN oder generell deine Passwörter braucht.
Es gibt aber auch das Bio Modell mit Fingerabdrucksensor:
Der hat aber auch die wichtigen Funktionen nicht, also meine Empfehlung sind 5 NFC und 5C NFC, davon abhängig ob du schon viele USB-C Ports hast oder nicht. Deine BB02 Multi kannst du dann wunderbar als Backup Schlüssel verwenden, da sie quasi genau das gleiche kann wie der blaue YubiKey.
Jaaa. Das ist die Anleitung die ich (und ggf. andere) brauchte.
Ich hatte mir die Vergleichsseite angeschaut, aber da ich nur den Begriff U2F kannte (den von BitBox02), den aber auch jeder Yubikey kann, nicht wirklich schlauer geworden.
Aha OK…auch die großen („non-Bio“) Yubikeys scannen demnach nicht den Fingerabdruck und sind in dieser Hinsicht wohl gleich gut wie der „süße“ Nano Mini-Stick.
Der Unterschied zwischen den normalen Yubikeys und der Nano-Variante wird dann wohl die NFC-Antenne sein, die vermutlich durch Induktion den Yubikey mit Strom versorgen kann, was bei den Nanos mangels Platz im Gehäuse für Antennen-Spule nicht der Fall sein dürfte…(sprich: Nano hat wohl kein NFC für Smartphones)
Edit:
…schön, dass es die ganze Palette bei berrybase gibt…
Genau, die einzigen YubiKeys mit NFC (in der 5 Series) sind die beiden die ich verlinkt habe. NFC ist extrem praktisch, glaub mir.
Der Nano ist sogar nochmal teurer… Also das lohnt sich nicht finde ich.
Ich finde die YubiKeys generell sehr teuer im Verhältnis zur Sicherheit die man dazu gewinnt. Habe mir den damals nur gekauft weil er im Angebot war und ich einen Gutschein hatte.
Und schau unbedingt in diesen Artikel rein bevor du dir einen kaufst und frag dich ob du da wirklich Lust drauf hast (siehe auch meinen Rant oben):
Security keys […] are useful for anyone who would ever get this far into a blog post like this.
Alles klar
OK, so I looked up WebAuthn and it’s full of acronyms!
You bet…vielleicht Teil des Problems
FIDO U2F. It allows older U2F authenticators like security keys to continue to be used for second-factor authentication
OK, ich verstehe endlich, dass FIDO U2F der Vorgänger von FIDO2 / WebAuthn ist, der noch nicht passwordless ist
Frankly, you might get passwordless first at work.
…manchmal komme ich mir auf blocktrainer.de so wie Jupp das Urviech vor, da ich hin und wieder recht rustikale Technologien einsetze, und neue Sachen noch nie gehört habe, obwohl diese seit Jahren „da“ sind.
Aber nach dem Artikel kommt mir mein „KeePass mit Trezor als Key Provider“ schon fast wieder wie die Avantguarde vor.
…ja, aber den kann man halt stecken lassen, zumindest zuhause.
Außerdem habe ich mal meine Smartphones und das Tablet geprüft und festgestellt, dass ich kein einziges NFC-Gerät besitze…
. Mit iPhone und Zweitrechner wäre mir das offline zu viel Aufwand, da hab ich ehrlich gesagt keine Lust zu…
