Praxistext YubiKey Neo
Schlüssel zu Systemen und Diensten
Immer wieder sieht man Schlagzeilen wie: "Das Passwort hat ausgedient!" Doch die Realität sind anders aus: Benutzername und Passwort sind nach wie vor die gängige Art der Authentifizierung. Werkzeuge wie die YubiKey-Sticks von Yubico erheben den Anspruch, den Nutzern eine einfache und praxisgerechte Methode für die deutlich sicherere Zwei-Faktor-Authentifizierung zur Anmeldung an Systemen und Diensten zu bieten.
Eigentlich dürfte es gerade im Geschäftsumfeld längst keine Frage mehr sein, ob eine Zwei-Faktor-Authentifizierung (2FA) Verwendung finden soll oder nicht: Die "normale" Anmeldung ausschließlich mit Benutzername und Passwort kann selbst bei einem sorgfältig gewählten und häufig gewechselten Passwort nur bis zu einem beschränkten Grad Sicherheit bieten. Gesellt sich hingegen die Abfrage eines Codes hinzu, der über einen separaten Kanal zum Nutzer gelangt, macht man es Angreifern schon deutlich schwerer. Hier kommen unter anderem die Mobiltelefone der Nutzer samt SMS-Übertragung oder auch verschlüsselter E-Mails als zusätzliche Kanäle für die Übermittlung des zweiten Faktors zum Einsatz. Mehr Benutzerfreundlichkeit für Anwender und Administratoren sollen spezielle Hardwareschlüssel (Tokens) bieten, die im Idealfall so gut wie keine manuelle Einrichtung oder Betreuung benötigen.
Auch das Sicherheitsniveau erhöht sich nochmals, wenn man statt SMS ein Token verwendet: Steht nämlich kein Mobilfunk zur Verfügung, was in Deutschland noch an vielen Orten traurige Realität ist, oder funktioniert das Mobiltelefon aus vielerlei Gründen nicht, so bleibt nur der Rückgriff auf Nutzernamen und Passwort. Weitere Schwachpunkte beim Einsatz von SMS als zweitem Faktor: Es ist für Kriminelle mitunter recht leicht, mittels Social Engineering die Mitarbeiter in den Callcentern der Mobilfunk-Provider zu täuschen und so die SMS umzuleiten. Zuguterletzt können versierte Angreifer auch den Mobilfunk abhören und so an die SMS-Daten gelangen. Manche große IT-Unternehmen wie Google und Microsoft setzen aus diesen Gründen die Verwendung von Hardware-Tokens und Smartcards bei den eigenen Mitarbeitern zwingend voraus.
Yubico: Breite Auswahl an Security-Keys
Das ursprünglich in Schweden gegründete und nun in den USA beheimatete Unternehmen Yubico hat sich auf Security-Keys spezialisiert, bei denen der Schwerpunkt auf leichte Anwendung gelegt wurde. Zur Auswahl stehen neben der YubiKey-4-Serie, die sowohl für USB-A- als auch für die neuen USB-C-Schnittstellen bereitsteht, das Modell "Security Key by Yubico", zu dessen besonderen Eigenschaften die Unempfindlichkeit gegenüber Wasser und Stößen gehört; der YubiKey Neo, der auch NFC unterstützt; sowie YubiKey FIPS, der den höchsten Sicherheitsstandard bereitstellt. Bis auf das Modell "Security Key by Yubico" bieten alle Geräte Multi-Protokoll-Unterstützung für Smart Cards, OTP (One-Time Password) und U2F (Universal Second Factor). Uns standen für diesen Bericht zwei Neo-Keys zur Verfügung.
Unsere Wahl fiel auf diese Ausprägung des Sicherheitsgeräts, da es sich durch seine NFC-Unterstützung auch für mobile Geräte wie Smartphones eignet. Zudem stellt diese Hardware dem Nutzer OTP, Smartcard-Features und U2F gemäß FIDO-Standard bereit.
Selten haben wir ein so unspektakuläres Gerät erhalten: In einer Plastikfolie fand sich ausschließlich der Key samt einer kleinen Karte aus Pappe, auf deren Rückseite eine Web-Adresse zu finden war, mit deren Hilfe sich der Stick testen lässt. Die Tatsache, dass der Hersteller keinerlei Handbuch und oder Instruktionen mitgibt, kann man als Indikator dafür sehen, dass das Gerät sehr einfach und ohne Probleme einzusetzen ist - und dann gibt ja auch noch die Website des Anbieters. Dort findet der Anwender zwar eine Spracheinstellung, doch stellt er schnell fest, dass nur eine erste Seite mit Marketingaussagen in deutscher Sprache zur Verfügung steht: Alle weiteren Seiten und auch im Support-Bereich verfügbare Dokumente stehen ausschließlich in englischer Sprache bereit. Wir hätten hier bei einem Anbieter mit europäischen Wurzeln doch etwas mehr erwartet.
Dank der mitgegebenen Web-Adresse findet der Nutzer den Weg zu einer Demo-Website, auf der er mehr oder minder interaktiv erste Schritte mit dem Stick unternehmen kann. Dabei ist es möglich, die Anmeldung mittels Single-Faktor wie auch Token oder 2FA samt Nutzername und Passwort zu testen. Dabei wird der YubiKey gegen die Validierungs-Server in der sogenannten YubiCloud authentifiziert. Das klappte in unseren Tests am besten beim Einsatz des Google-Browsers Chrome.
Einsatz unter Windows
Zunächst wollten wir den Key mit einem aktuellen Windows-10-System testen. Wir verwendeten dazu eine Professional- und eine Enterprise-Version in der zum Test aktuellen Version 1803 (April 2018 Update) und dem Betriebssystem-Build 17134.228. Das System erkannte den Key sofort und band ihn als USB-Keyboard "YubiKey Neo OTP+U2F+CCID" ein. Der Key funktionierte an den USB-2.0- und USB-3.0-Anschlüssen der Geräte wie auch an einem USB-3.0-Hub mit Stromversorgung, ohne dass Probleme auftraten.
Dann luden wir, wie auf der Hersteller-Website geraten, aus dem Microsoft Store die kostenfreie App "YubiKey for Windows Hello" herunter. Mit dieser App muss der Nutzer zunächst eine Registrierung des Keys durchführen. Hierzu ist es erforderlich, zunächst eine PIN auf dem Windows-10-Rechner einzurichten. Danach kann der Anwender den gesperrten PC durch Anstecken des Keys und - wenn man es entsprechend konfiguriert hat - auch per Fingerkontakt auf der entsprechende Fläche des Keys entsperren.
Dabei ist es wichtig zu wissen, dass dieser kleine Punkt auf dem Key, der auch entsprechend blinkt, nicht etwa einen Fingerabdrucksensor beinhaltet, sondern einfach aufgrund des Hautwiderstandes einen Impuls sendet. Administratoren, die ihre Nutzer damit ausstatten, sollten ihre Anwender explizit auf diese Tatsache hinweisen: Wenn diese nämlich den Key im Rechner belassen, kann jeder, der Zugang zum Gerät hat, einfach durch ein Berühren des Feldes den PC entsperren.
Yubico hat sich große Mühe gegeben, die App im Aussehen an die Windows-Hello-Features des Betriebssystems anzugleichen. So taucht es beispielsweise auf dem Sperrschirm auch als "Nebengerät" samt Symbol auf. Trotzdem stellt dies keine Integration in Windows Hello dar: Es ist im Bereich "Windows Hello" der Anmeldeoptionen von Windows 10 nicht als entsprechendes Gerät zu finden. Aktuell gibt es laut Hersteller keine Möglichkeit, eine Erstanmeldung (Logon) mit dieser Vorgehensweise durchzuführen - hier müssen Nutzer wieder auf Passwort oder PIN zurückgreifen. Das Entsperren unserer Windows-10-Rechner unter Einsatz des Keys klappte dann aber sowohl mit einem lokalen als auch mit dem Microsoft-Konto.
Wer im Download-Bereich des Herstellers nach dem Windows-Logon-Tool sucht, bekommt den Hinweis, dass diese Software "deprecated" (alt und überholt) sei, aber ein neues Programm "bald" zur Verfügung stehen werde. Ein Download des Tools ist aber weiterhin möglich, ein PDF mit der sehr umfangreichen Anleitung zur recht aufwendigen Einrichtung steht ebenfalls bereit. Dabei kommt ein YubiKey als Smartcard zum Einsatz. Ob es allerdings sinnvoll wäre, ein solches offiziell veraltetes Produkt im Unternehmen einzusetzen, wagen wir zu bezweifeln.
U2F und Einsatz unter Android
Die Website des Anbieters führt eine ganze Reihe von Diensten auf, an denen sich Nutzer mit Hilfe des Keys und 2FA anmelden können. Wir testeten diese Möglichkeit am Beispiel von Google-Anwendungen und Dropbox. Bei beiden Lösungen war es sehr einfach möglich, die Zwei-Faktor-Anmeldung einzuschalten und dabei ein entsprechendes Gerät anzugeben. Das funktionierte aber beispielsweise bei den Google-Anwendungen (wir verwendeten die G-Suite) nur dann, wenn auch der Chrome-Browser zum Einsatz kam.
Die Einrichtung ging leicht von der Hand. Danach war es viel bequemer, nach Eingabe des Nutzernamens und Passworts einfach den Key anzustecken, als beispielsweise erst eine SMS per Mobiltelefon zu erhalten und dann den Code einzugeben. Wer zum Beispiel die G-Suite unternehmensweit einsetzt, findet hier eine sehr gute Methode der Absicherung, zumal der Administrator bei der G-Suite den 2FA-Einsatz pro Nutzer oder Nutzergruppe erzwingen kann. Dies funktionierte mit Dropbox ebenfalls sehr gut.
Da der YubiKey Neo auch die Verbindung via NFC ermöglicht, probierten wir diesen Zugang nach 2FA-Einrichtung bei Dropbox auch mit einem Android-Smartphone (Nokia 7 Plus mit Android 8.1) aus. Dazu muss der Nutzer zunächst den YubiKey Authenticator aus dem Google Play Store (bei iOS-Geräten aus dem Apple Store) laden. Die Anleitung auf der Hersteller-Website rät für das Setup des YubiKey Neo mit dem Authenticator dazu, diese Einstellungen mittels des Authenticators für den Windows-Desktop durchzuführen. Diesen kann man dazu von der Website heruntergeladen. Nach zwei vergeblichen Versuchen, die Software auf dem Android-Gerät einzurichten, griffen wir auf diesen Tipp zurück und würden immer raten, es genauso durchzuführen.
Anschließend genügt es, den Key an die richtige Stelle des Smartphones - auf dem natürlich NFC aktiviert sein muss - zu halten, damit der Authenticator einen Code für die Anmeldung ausgibt. Es erfordert allerdings etwas Übung, danach auf dem Smartphone schnell wieder zur gewünschten App zu wechseln und den Code dort einzugeben, bevor er nicht mehr gültig ist. Sonst müsste man mit der Authenticator-App einen neuen Code generieren. Hier zeigt sich jedenfalls die Flexibilität dieses Keys, den man auf den unterschiedlichsten Geräten einsetzen kann.
Fazit: Gute Lösung mit kleinen Einschränkungen
Der von uns getestete YubiKey Neo konnte vor allen Dingen bei der Handhabung überzeugen: Das kleine, schmale Plastikteil ist leicht zu verstauen, braucht keine zusätzliche Stromversorgung und arbeitete während der Testphase problemlos mit diversen PCs und Notebooks wie auch via NFC mit einem Smartphone unter Android 8.1 zusammen. Dass die schmale Bauweise eines USB-Sticks allerdings auch Nachteile haben kann, ist weniger ein Problem von Yubico als eines der PC-Hersteller: Immer wieder machen wir mit USB-Geräten und -Tokens dieser Bauweisen die Erfahrung, dass USB-Schnittstellen an älteren PCs häufig so viel Spiel besitzen, dass die Geräte nur unzureichend oder auch keinen Kontakt haben.
Das war auch hier der Fall. Allerdings half es, dass der YubiKey Neo ebenfalls problemlos mit USB-3.0-Anschlüssen zurechtkommt, die in Regel mechanisch stabiler ausgelegt sind. Administratoren, die YubiKeys an ihre Nutzer ausgeben, sollten dies im Hinterkopf haben, wenn Meldungen verärgerter Nutzer à la "Das Ding arbeitet nicht an meinem PC" ankommen.
Der Einsatz unter Windows klappte mit der speziellen Windows-10-App, allerdings ist mir ihr nur das Entsperren eines bereits laufenden Windows-10-Rechners möglich. Es bleibt die Hoffnung, dass der Hersteller bald eine neue Logon-Software für Windows-Systeme bereitstellt. Der Einsatz als Zwei-Faktor-Absicherung beispielsweise für Googles Online-Anwendungen wie der G-Suite oder auch Dropbox konnte uns überzeugen: Gerade die Möglichkeit, den Key sowohl am PC/Notebook als auch mittels NFC am Mobilgerät einzusetzen, hat in der Praxis viele Vorteile.
Den Preis für den von uns getesteten YubiKey Neo gibt der Hersteller mit 50 Dollar an. Auf der Seite der Firma Sysob, die Yubico als Distributor nennt, wird ein Preis von 47,50 Euro veranschlagt. Vom Hersteller wünschen würden wir uns neben einem kompakten mehrsprachigen Handbuch im PDF-Format vor allen Dingen eine gewisse Konsolidierung der vielen verschiedenen Anwendungen für die Keys: Eine zentrale Konsole mit allen Möglichkeiten von YubiKey Manager, Authenticator und Personalization Tool unter einer Browser-Oberfläche wäre sicher eine gute Idee.
Web: www.yubico.com/de
Distributor in Deutschland: sysob IT-Distribution
Tel: 09467/7406-124
Web: www.sysob.com
Lesen Sie mehr zum Thema
