Krypto-Sticks mit U2F, OTP und Zertifikatespeicher

Jump to last post
sia

sia

gesperrt
Registriert
26 März 2015
Beiträge
5.926
Ort
FFM (NSFW)
Hi Leute,

Mittlerweile sind einige Modelle von USB-Sticks mit kryptografischen Funktionen auf dem Markt, die verschiedene Zielsetzungen verfolgen. So ist der
You do not have permission to view link please Anmelden or Registrieren
eher ein Ersatz für die klassische SmartCard und der
You do not have permission to view link please Anmelden or Registrieren
versucht, sogar die mobile Zielgruppe anzusprechen.

Viele verwenden ja sicher Zwei-Faktor-Authentifizierung, die das Prinzip "etwas haben und etwas wissen" mit Smartphone und Passwort abbilden kann. Ist hier ein Krypto-Stick überhaupt notwendig? Habt ihr einen – und wenn ja, wie verwendet ihr ihn? Oder wollt ihr vielleicht einen kaufen?
 
Ich habe noch keinen, plane aber mir einen zu kaufen bzw. selbst zu Bauen.

Sollte ich mir einen kaufen wirds wohl der nitrokey pro weil nahezu komplett open source, sowohl was die Hardware als auch die Software angeht.
Sollte ich einen selber bauen werd ich wohl den nitrokey pro als basis nehmen.

der yubikey kommt für mich nicht in frage, weil ich dieser Tage zu paranoid bin einem Unternehmen dessen Hauptsitz in den USA ist derart zu Vertrauen. Außerdem lassen die sich auch kaum in die Karten gucken, zumindest hab ich nichts gefunden.


Ein Smartphone als zweiten Faktor zu benutzen fand ich schon immer ziemlich riskant aufgrund der doch recht großen Angriffsfläche. Ich verweise da gerne mal auf
You do not have permission to view link please Anmelden or Registrieren
vom letztjährigen C3.
Ich machs derzeit allerdings auch noch.
Außerdem möchte ich auch die anderen Funktionen die so ein stick bietet nutzen, also Absicherung meiner luks Partitionen und eventuelle auch die smartcard für ssh und gpg kram.
 
phre4k schrieb:
So ist der
You do not have permission to view link please Anmelden or Registrieren
eher ein Ersatz für die klassische SmartCard und der
You do not have permission to view link please Anmelden or Registrieren
versucht, sogar die mobile Zielgruppe anzusprechen.
Zum Vergrößern anklicken....

Nutze den Yubikey Neo Geschäftlich.... Darin befinden sich noch einmal verschlüsselt Login und PW Listen.
Für Privat habe ich EncryptStick mit Handelsüblichen USB Sticks im Einsatz.
 
  • Thread Starter Thread Starter
  • #4
You do not have permission to view link please Anmelden or Registrieren
speichert EncryptStick die Daten in der Cloud? Wenn ja, gab es ein unabhängiges Audit?
 
Yubico ist wohl der Meinung beim YK4 nicht mehr auf OpenPGP sondern auch eine nicht quelloffene Lösung zu setzen.

You do not have permission to view link please Anmelden or Registrieren
(und folgende Kommentare)

Edit: Yubico's offizielle Reaktion:
You do not have permission to view link please Anmelden or Registrieren
 
Zuletzt bearbeitet:
You do not have permission to view link please Anmelden or Registrieren
Das es keine so geniale Idee ist beide Faktoren auf einem Gerät zu benutzen wie im Talk ist vernünftig und ok - und geht auch irgendwie gegen den Gedanken der 2-Faktor authentifizierung (Für mich jedenfalls).

2 Faktor heißt für mich 2 unterschiedliche Techniken auf 2 Geräten (oder Medium wie früher die Papierliste für iTan) (Bei Smartcard kann man den Chip auf der Karte als eigenen kleinen Prozessor sehen)

Ich nutze wenn möglich aktuell den google Authentikator - da der eben auf dem Handy läuft welches ich immer dabei habe. Wobei ich das one time passwort + mein eigenes Passwort dann auf einem anderen Gerät nutze um mich irgendwo anzumelden.
Der Quellcode der Software ist offen und es gibt div. Implementierungen dafür.

bekanntestes Beispiel was passieren kann wenn man eine Hardware kauft - von einer größeren bekannten Firma ist der RSA-Hack bei dem alles wichtige zum knacken jedes beliebigen Tokens bzw. der "Zufallszahl" geklaut wurde ...
 
  • Thread Starter Thread Starter
  • #8
You do not have permission to view link please Anmelden or Registrieren
probier mal FreeOTP statt Google Authenticator auf Android. Das ist von Fedora/Red Hat und gibt die Codes nur auf Anforderung raus – noch sicherer. Und mir gefällt das Design besser. Und man kann sein eigenes Secret ohne QR-Code eintippen.

Ich habe kein Problem mit der Nutzung von 2FA-Codes vom Handy auf dem Handy, da das Ding verschlüsselt ist und ich nur vertrauenswürdige Apps und Websites nutze, die keine Möglichkeit zum Drive-by-Download beinhalten. Das Smartphone selbst ist verschlüsselt.

Meine TAN kann auf dem Handy gar nicht benutzt werden, weil ich dann die Website scannen müsste, und die Kamera des Smartphones kann ich nicht auf dessen eigenen Bildschirm ausrichten. Das lässt sich sicher irgendwie umgehen, aber wer sich auf dem Smartphone ohne zusätzliche Sicherheitsmaßnahmen in sein Online-Banking einloggt...
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben