Erfahrung mit YubiKey und Kraken: Top!
Sign-In und „Funding“ kann man mit dem YubiKey absichern, Trading nur über normale 2FA.
Zum YubiKey an sich: Sehr gut verarbeitet, schön leicht und klein. NFC funktioniert einwandfrei. Einloggen macht zum ersten mal in der Geschichte der Menschheit Spaß (meistens zumindest).
Die leben mit ihrem photoTAN und mobileTAN noch im letzten Jahrzehnt. Für die bedeutet „Zwei-Faktor-Verifizierung“ eine andere App auf dem Smartphone zu öffnen und einmal von links nach rechts zu wischen. Mir ist auch keine deutsche Bank bekannt die U2F unterstützt.
Mein Forums-Account ist wahrscheinlich um ein vielfaches besser gesichert als mein Bankkonto. (Ja, sogar Discourse unterstützt Sicherheitsschlüssel…)
TLDR:
Fast niemand implementiert Sicherheitsschlüssel richtig und wenn man 2021 wirklich Wert darauf legen möchte, wird man eigentlich fast überall enttäuscht. Dieser Artikel fasst das wunderbar zusammen:
In einer optimalen Welt kann ich mich mit meinem YubiKey anmelden, ohne ein Passwort oder eine E-Mail Adresse. Der YubiKey ist nur durch eine PIN vor physischem Zugriff geschützt. Ähnlich wie eine Hardware Wallet. Verliere ich den YubiKey habe ich einen zweiten Schlüssel (in meinem Fall BitBox02 Multi). Verliere ich beide Schlüssel kann ich mit meiner BIP39 Mnemonic wiederherstellen.
Das war jetzt die ideale Welt. Kein einziger mir bekannter Anbieter erlaubt die Nutzung von Sicherheitsschlüsseln in dieser Form.
In den meisten Fällen kann ich den YubiKey nur als zweiten Faktor verwenden, brauche also immernoch meine E-Mail und mein Passwort. Das ist zwar etwas übertrieben, im Bitcoin Netzwerk muss ich mich auch nicht zusätzlich mit einem Passwort einloggen, aber ich will mich jetzt nicht über zu viel Sicherheit beschweren.
Das eigentliche Problem liegt bei den alternativen Wiederherstellungsmethoden. Wenn ich mir statt dem YubiKey einen Code per Mail oder Handynummer schicken lassen kann bringt mir der YubiKey eigentlich nichts mehr, da die Schwachstelle jetzt bei meiner E-Mail bzw. meiner Telefonnummer liegt. Bei viel zu vielen Anbietern wird einem eine Wiederherstellungsmethode aufgezwungen, die man gar nicht möchte, zum Beispiel Microsoft:
Damit ich die volle Sicherheit eines Sicherheitsschlüssels ausnutzen kann, darf es keine schwächere Login-Methode geben. Ich muss also mind. zwei Schlüssel einrichten (einer als Backup), weil wenn ich ein schwächeres Backup (Normale TOTP 2FA, Handynummer, E-Mail) nutze, ist der YubiKey unnötig, da ich dann gleich bei der alten Variante bleiben kann.
Stell dir mal vor die BitBox App sagt dir „Und jetzt gib bitte eine E-Mail Adresse an um deine Bitcoin im Notfall wiederherzustellen“… Ergibt keinen Sinn.
Hier im Forum ist das Thema eigentlich nahezu perfekt gelöst:
- Ich kann mehrere Sicherheitsschlüssel hinterlegen
- Ich kann Backup-Wörter bewusst deaktiviert lassen (Durch die BitBox02 brauche ich diese nicht)
- Ich kann die normale TOTP 2FA deaktiviert lassen
Bei vielen Anbietern sind die Backup-Codes trotzdem ein Muss, was auch noch völlig in Ordnung ist. Bei Firmen besteht hier aber bereits wieder Phishing-Gefahr, die der YubiKey ja eigentlich beseitigen soll.
Dann gibt es wiederum Anbieter bei denen ich nur einen Schlüssel einrichten kann (z.B. Kraken), was mich zwingend von den Backup Codes abhängig macht. Am Ende stehe ich mit 30 Textdateien an Backups da.
Und dann gibt es die Anbieter die U2F nicht mal unterstützen… Willkommen in 2021. Hier muss ich weiter TOTP 2FA nutzen, allerdings kann ich das ja wunderbar mit meinem YubiKey tun. Der Vorteil ist, ähnlich wie mit einer Hardware Wallet, dass ich überall einstecken kann und sofort meine Codes habe.
Und dann gibt es die Anbieter die dir in 2021 immer noch eine SMS-TAN aufzwingen (Da wären wir wieder bei den Banken).
Und dann gibt es die Anbieter die dir ihre eigene proprietary 2FA Lösung vor die Nase setzen (Looking at you, Apple.)
Wie du merkst ist das ganze noch ziemlich nervig. Ich würde den Schlüssel an deiner Stelle nicht mit der Erwartung kaufen überall einen einfacheren Login zu haben, sondern einfach um Mail Account, Krypto-Exchanges und den Passwort Manager abzusichern. Daraus zieht man auch die größten Vorteile.
Die Passwort Manager bieten immerhin eine gute Implementierung an, mit Bitwarden habe ich z.B. freie Auswahl:
Genau so muss das.
Sorry für den Roman… 