Ein Passwort alleine ist heute an vielen Stellen nicht mehr ganz Zeitgemäß. Oft wird heute ein zweiter Faktor genutzt. Diesmal daher ein kleiner Überblick über gängige Faktoren und ein Blick darauf, wie mein FIDO2- bzw. U2F-Sticks für Linux-Systeme und OpenSSH nutzen kann.
Inhalt
00:00 Vom Passwort zu 2FA
01:40 Faktoren: Wissen, Haben, Sein
02:00 Sein – Biometrische Faktoren
03:21 Haben – Smartcards & Co
03:54 Push-Techniken: SMS/Mail
04:28 Push-Techniken: Apps
05:05 TOTP
07:45 FIDO/U2F
11:30 OS-Login mit U2F / PAM unter Linux
20:07 SSH-Login mit U2F
23:31 Fazit
Ergänzungen
00:55 – Foto „Cyber“ von erdbeernaut · CC0
09:36 – Wobei das in den meisten Fällen nicht zu empfehlen ist
Selbst gekauft/allgemeine Werbegeschenke einer Konferenz, wo kostenpflichtig selbst bezahlt, zum Zeitpunkt des Videos nichts mit den Herstellern zu tun. As usual.
Wenn es um Security-Tokens geht, hat YubiCo mit seinem YubiKey klar die Nase vorn. Nicht zuletzt, da diese so ziemlich die ersten Geräte waren, welche die gängigsten Sicherheitsmechanismen in einem Gerät vereinen konnten. Vor allem U2F, TOTP (aka Google Authenticator) und PGP sind bei mir fast dauerhaft im Einsatz. Mit dieser Kombination kann ich 2-Faktor-Anmeldung auf Webseiten nutzen, E-Mails signieren und entschlüsseln, mich auf SSH-Servern anmelden und Zugriff auf lokale Dateien und Programme absichern. Auch Zertifikate, aka X.509, sind eine praktische Sache, können sie doch für Logins in Windows-Netzen, S/MIME oder das signieren von Dokumenten unter Windows genutzt werden. Zwar lassen sich all diese Mechanismen auch ohne Dongle nutzen, dieser bringt jedoch zwei wichtige Sicherheitsverbesserungen mit sich: Der Zugriff ist nur möglich, wenn das Gerät eingesteckt ist, sodass eine „versehentliche“ Nutzung erschwert wird. Zudem sind die privaten Schlüssel auf einem – vorzugsweise sicheren – Microcontroller gespeichert und können das Gerät nicht mehr verlassen.
Ich selbst bin Ende 2016 auf den YubiKey NEO * umgestiegen. Dieser kann per USB oder NFC genutzt werden. Letzteres ist z.B. für Logins oder Mailverkehr am Handy interessant. Etwas bedenken hatte ich, da USB-Sticks bei mir selten lange überleben und ein YK nicht gerade günstig ist. Das Werbesersprechen „unkaputtbar“, die robust aussehende Form und Empfehlungen aus dem Bekanntenkreis überzeugten jedoch am Ende. Seit dem ist er Stammgast an meinem Schlüsselbund, somit ständiger Begleiter und wird entsprechend viel genutzt.
YubiKey Neo an Schlüsselband
Schnellvorlauf November letzten Jahres, also 2 Jahre nach dem Kauf. Einiges hatte sich getan, aber der YK verrichtete noch anstandslos seine Dienste. Also fast. Von einem Tag auf den Anderen war NFC nicht mehr nutzbar und ich somit auf die Nutzung am PC beschränkt. Kein Beinbruch, Handy-Logins nutze ich eher selten, allerdings auch kein Pluspunkt für mein Vertrauen in die Haltbarkeit. Ich vermutete einen Softwarefehler, alternativ eine Einwirkung durch statische Aufladung. Beides Dinge, die nicht passieren sollten. Auch sonst zeigten sich Schwächen: Aus Sicherheitsgründen ist es nicht möglich die Firmware der Geräte zu aktualisieren. Hierdurch war ich bei PGP auf Keys mit maximal 2048 Bit limitiert. Noch OK, aber auch nicht toll. Einzige Möglichkeit auch in den Genuss neuerer Verfahren zu kommen wäre ein neueres Modell, diese hatten zum damaligen Zeitpunkt jedoch kein NFC und nutzten für PGP nun statt einer Open-Source-Lösung eine Eigenentwicklung des Herstellers, welcher sich nicht einsehen ließ.
Meh. Roughly 2 years after I bought my @yubico #Yubikey Neo it already failed. USB luckily still OK, but NFC completely dead. Really hoped these things would be more durable :<
Da die neueren Modelle für mich keine Option waren wandte ich mich via Twitter an den Hersteller. Unter „unkaputtbar“ verstehe ich etwas Anderes, als 2 Jahre und somit knapp über den regulären Gewährleistungen. Meine Intention: Ich wollte wissen was da schief gelaufen ist, ob es eventuell durch einen Reset o.Ä. behoben werden kann, wie man das verhindern kann und ob bei zukünftigen Modellen dieses Problem umgangen werden kann. Man verwies mich auf das Ticketsystem, antwortete dort jedoch nur mit Textblöcken. Nach meiner Info, dass ich die Diskusion in dem Fall für Sinnlos hielt bot man mir den Austausch gegen einen neuen Neo an. Da auf Grund der alternden PGP-Unterstützung und der unbekannten Fehlerursache das Modell eher auf meiner Abschussliste war lehnte ich dankend ab und nutzte mein Modell per USB weiter.
10 Monate später sprach mich ein Mitglied des lokalen Hackerspace auf den YubiKey an. Ein Arbeitskollege hätte da einen unschönen Ausfall mit seinem Key gehabt. Das ABS-Gehäuse wäre durch den Schlüsselring durchgescheuert und das Gerät hätte den Dienst versagt. Könnte das mit meinem Problem zu tun haben? Sure enough: Auch bei mir ist das Plastik im Bereich des Schlüsselrings schon sehr abgenutzt. Dass das ein technisches Problem verursachen könnte hatte ich gar nicht auf dem Schirm.
Abgenutzter Bereich am Schlüsselring-Loch eines YubiKey NEO
Zudem: ABS? Durchscheuern? Ich hatte vermutet, dass unter der Plastik-Packung noch ein Metallring eingearbeitet wäre, welche das ganze etwas verstärkt. Aber jetzt, wo ich das höre – hm, ja, da reflektiert ja etwas. Ein Blick unter dem Mikroskop verrät recht schnell, was mein NFC getötet hat: die Antenne ist um das Schlüsselring-Loch gelegt und inzwischen durchgescheuert. WTF.
Beschädigte NFC-Antenne an einem YubiKey NEO
Erinnert Ihr euch dran, dass ich ABS sagte? ABS kennt man ja auch von 3D-Druckern, hier ist es üblich mit Aceton das Plastik nach dem Druck anzulösen und zu glätten. Mit entsprechenden Konzentrationen kann man das Plastik aber auch einfach wegschmelzen. Exakt dies hat HexView mit einem YubiKey Neo gemacht, sodass sich das Innenleben in voller Pracht bewundern lässt. Glücklicherweise sieht es so aus, als ob hier wirklich nur die Antennen vorbeilaufen und ein Ausfall eher nicht wahrscheinlich ist. Trotzdem würde ich jedem mit YubiKey NEO raten, an dieser Stelle mit Aceton das Plastik anzulösen und mit mehr ABS oder gar einem Metallring zu verstärken um Ausfälle durch Abnutzung zu vermeiden.
Ich selbst bin etwa an selber Stelle wie vorher: Ich werde den NEO wohl weiter nutzen. Zwar hat man inzwischen den YubiKey 5 NFC * herausgebracht, welcher wieder NFC kann, auch längere Keys für PGP unterstützt und das bei mir ursächliche Schlüsselring-Loch verstärkt hat, allerdings sind mir sowohl die fehlenden Quellen als auch die unschöne Reaktion des Supports doch eher sauer aufgestoßen. Hätte man mir bei meiner Nachfrage geantwortet, dass es vermutlich ein bekanntes Problem wäre und man das in der nächsten Produktversion angehen würde – ich hätte sie vermutlich direkt nach dem Release hier liegen gehabt. Leider mangelt es aber auch an Konkurrenz. Viele Keys wie z.B. Thetis oder Googles TitanKey nutzen ausschließlich U2F. Toll für’s Web, aber meine Hauptanwendung ist eher PGP. TOTP sucht man bei allen vergeblich, ließe sich mit etwas Gebastel aber halbwegs brauchbar in Software nachbilden – freie Standards haben so ihre Vorteile. Etwas besser sieht es bei NitroKey aus, hier ist GPG, TOTP und X.509 verfügbar. Leider ist U2F nur als separates Gerät erhältlich und TOTP mit 15 Einträgen etwas knapp (YubiKey Neo 28, YubiKey 5: 32). Da es sich um einen freien Algorithmus handelt könnte man aber, zumindest bei der TOTP-Limitierung, mit etwas Software nachhelfen. Ein Auge habe ich zudem noch auf Somu. Dieses Crowdfunding-Projekt dreht sich primär um einen U2F und FIDO2-Stick, als Stretch-Goal hat man jedoch GPG und SSH auf dem Plan. Alles soll am Ende Open Source sein, was sich auch eher positiv anhört. Ob sie am Ende liefern können, was sie versprechen, werde ich dann ja sehen.
In eine vorherigen Variante des Artikels wurde angegeben, dass NitroKey kein TOTP könne. Dies ist nicht korrekt, sowohl Nitrokey Pro 2 und Nitrokey Storage 2 können jeweils 15 TOTP-Einträge speichern.
Anmelden im Netz ist für viele die selbe Methode: Nutzername, Passwort, fertig. Man nutzt also das eigene Wissen um die Anmeldung durchzuführen. Der Nachteil: Passwörter lassen sich kopieren – man kann nicht feststellen, wenn jemand Anders dies in Erfahrung bringt. In einigen Bereichen kommt daher ein so genannter „2nd Faktor“ zum Einsatz: Man nutzt neben dem Wissen um das Passwort auch einen Besitznachweis. Vielen Bekannt ist die Methode von Banken: Neben der PIN wird für Überweisungen vielfach der Besitz der Bankkarte kontrolliert. Leider sind deren Protokolle nicht frei verfügbar, entsprechend kann die Sicherheit nicht (vernünftig) überprüft werden. Auch einige Onlinedienste wie z.B. Google unterstützen ähnliches: Mit deren Handy-App Google Authenticator kann der Besitz des Handys abgefragt werden. Nicht hilfreich wenn man auf dem Handy selbst arbeitet, aber immerhin etwas.
Um dieses Gerätechaos zu beseitigen hat sich vor einigen Jahren die FIDO-Alliance gegründet, welche sich zum Ziel gesetzt hat einen einheitlichen, sicheren Zweitfaktor zu definieren. Ergebnis ist U2F, der Universal 2nd Factor. Hierbei besitzt man ein „Token“, welches per USB und/oder NFC an das jeweilige Endgerät angeschlossen wird. Im Token selbst befindet sich ein privater Schlüssel, mit dem nach Nutzerinteraktion eine Anfrage der Webseite signiert wird. Durch diese Methode kann ein hohes Maß an Sicherheit erreicht werden. Bekanntester Vertreter sind die YubiKeys, welche jedoch nicht unbedingt zu den günstigsten Geräten gehören. Auf der letzten Froscon wurde nun nach einem Vortrag gesponsorte U2F-Token verschenkt. Unter der Haube befindet sich das Gerät „PlugUp„, welches zwischenzeitlich in „HappLink“ umbenannt wurde. Zwar ist die Liste der U2F-kompatiblen Seiten leider überschaubar, aber einen Blick drauf werden kann man allemal.
Update 2016-06-17: Im Original stand MODE auf 0644 – in dem Fall hätte die Gruppe uucp allerdings keinen Schreibzugriff (und damit keine Authentifikation) auf das Dongle. Korrekt ist 0664.
