Ich habe seit kurzem einen neuen „YubiKey 5C NFC„. In diesem Beitrag zeige ich, wie der Hardwaretoken eingerichtet und für die unterschiedlichen Anforderungen eingerichtet und konfiguriert wird.
Bisher hatte ich einen „YubiKey 5 Ci„, der nach wie vor noch im Einsatz ist und über den ich bereits einige Beiträge geschrieben habe.
(Klick hier.)
Jeder YubiKey, egal welches Modell, wird mit Standardpasswörtern ausgeliefert, die vor jeder Verwendung zwingend zu ändern sind!
In diesem Beitrag zeige ich wie ihr die Standard-PINs ganz einfach und schnell durch eure eigenen ersetzen könnt.
Inhaltsverzeichnis
Hardware Setup und verwendetes Betriebssystem
YubiKey Manager starten
YubiKey 5C NFC Standard-PINs ändern
Personal Identity Verification (PIV)
PIN
PUK
Management Key
FIDO2
Hardware Setup und verwendetes Betriebssystem
Für diese Konfiguration verwende ich Windows 10 auf einem ganz normalen Laptop.
Der „YubiKey 5C NFC“ ist einer der neueren Hardwaretokens aus dem Hause Yubico und verfügt über eine USB-C- und eine NFC-Schnittstelle. Über diese kann er mit allen modernen Endgeräten, angefangen vom normalen PC und Laptop bis hin zum NFC-fähigen Smartphone kommunizieren.
Meinen bisherigen YubiKey „YubiKey 5 Ci“ verwende ich nach wie vor. Der Unterschied meiner beiden Tokens lässt sich am Besten im Vergleich darstellen.
In den beiden Screenshots sieht man, dass beide über den gleichen Funktionsumfang verfügen. Der „YubiKey 5C NFC“ neben der USB- auch über eine NFC-Schnittstelle verfügt.
| Vergleich YubiKeys | ||
|---|---|---|
| YubiKey 5Ci | YubiKey 5C NFC | |
|
|
|
Der „YubiKey 5C NFC“ verfügt über sehr umfangreiche Features, die über die Managementsoftware aktiviert und deaktiviert werden können, je nachdem was der Benutzer benötigt.
- Support for WebAuthn,
- FIDO2,
- FIDO U2F,
- smart card (PIV),
- Yubico OTP,
- OpenPGP,
- OATH-TOTP,
- OATH-HOTP,
- Challenge-Response
Damit ihr den YubiKey konfigurieren könnt, benötigt ihr das Tool „YubiKey Manager„, welches ihr von der Website von Yubico kostenlos herunterladen könnt.
https://www.yubico.com/products/services-software/download/yubikey-manager/
Solltet ihr bereits auf eurem Client oder in anderen Anleitung das Vorgänger-Tool „YubiKey personalization tools“ finden, dann wechselt unbedingt zum neuen Tool.
Das „YubiKey personalization tools“ wird nicht mehr weiterentwickelt.
Des weiteren ist der „YubiKey Manager“ wesentlich benutzerfreundlicher und viel einfacher in der Bedienung.
Ladet euch also den „YubiKey Manager“ von der Yubico-Website und installiert das Programm auf eurem Client.
Den „YubiKey 5C NFC“ schließt ihr nach der Installation über die USB-C-Schnittstelle an eurem Client an.
Gib mir gerne einen Kaffee ☕ aus!
Wenn dir meine Beiträge gefallen und geholfen haben, dann kannst du mir gerne einen Kaffee ☕ ausgeben.
bc1qfuz93hw2fhdvfuxf6mlxlk8zdadvnktppkzqzj
YubiKey Manager starten
Den „YubiKey Manager“ müsst ihr auf einem Windows-PC zwingend als „Administrator“ starten, um den vollen Funktionsumfang nutzen zu können.
YubiKey 5C NFC Standard-PINs ändern
Startet also den „YubiKey Manager“ als Administrator und euer YubiKey wird automatisch erkannt.
Es wird euch ein Bild eures YubiKey angezeigt mit den Informationen über die Firmware und die Seriennummer.
Klickt euch im ersten Schritt durch zu „Interfaces„. Dort werden die aktiven Features pro Interface (= Schnittstelle) aufgelistet. Habt ihr den YubiKey 5C NFC könnt ihr die Dienste auch unterschiedlich für die USB- und die NFC-Schnittstelle aktivieren bzw. deaktivieren.
Personal Identity Verification (PIV)
Die „PIV„, oder die Personal Identity Verification, wird für den Zugriff auf „Private Schlüssel“ die direkt auf dem Hardwaretoken hinterlegt sind benötigt.
Das ist dann wichtig, wenn ihr auf dem YubiKey euren privaten PGP-Schlüssel hinterlegt und diesen für E-Mail-Verschlüsselung und/oder für die SSH-Anmeldung an euren Servern und Systemen verwenden möchtet. (Dazu mehr in einem anderen Blog-Beitrag.)
Das Ganze könnt ihr in der offiziellen Dokumentation nachlesen ➡ https://developers.yubico.com/yubico-piv-tool/YubiKey_PIV_introduction.html
Es werden euch drei Optionen angezeigt:
- PIN Management
- Certificates
- Reset
Der PIN und der PUK sind standardmäßig von YubiKey auf „123456“ und „12345678“ festgelegt. Diese sind zu ändern und durch eure eigenen zu ersetzen.
PIN
Den PIN müsst ihr jedes Mal eingeben, wenn ein Zugriff auf den hinterlegten privaten Schlüssel erfolgt. Nach drei erfolglosen PIN-Eingaben wird der Schlüssel gesperrt und das Entsperren ist nur noch mit der PUK möglich.
(Das Verfahren solltet euch bereits von eurer Handy-Plastik-SIM bekannt sein, da gibt es auch eine PIN und eine PUK.)
Empfehlung für eure neue PIN
Die PIN müsst ihr relativ häufig eingeben, deshalb ist meine Empfehlung nur Zahlen zu verwenden oder eine einfache Buchstaben/Zahlen-Kombination.
Die PIN muss zwischen 6 und 8 Charakters lang sein, was euch an gezeigt wird. Nach der Eingabe klickt ihr auf den Button „Change PIN“
PUK
Die PIN habt ihr nun erfolgreich geändert. Die „PUK“ ist immer nicht der von Yubico vergebenen Standard „12345678“ der noch zu ändern ist, um den Zugang abzusichern.
Ihr könnt dafür auch den „Management Key“ verwenden, wie in der Doku beschrieben. Ich habe mich jedoch für den PUK entschieden.
Die PUK muss, wie der PIN, zwischen 6 und 8 Charakters lang sein, was euch an gezeigt wird. Nach der Eingabe klickt ihr auf den Button „Change PUK“
Es erscheint eine kurze Meldung, dass der PUK erfolgreich geändert wurde.
Management Key
Nachdem nun die PIN und die PUK geändert sind, ist die Funktion „Management Key“ zu deaktivieren. Es wird PUK verwendet.
Wählt ihr nun nur „Protect with PIN“ aus könnt ihr die Änderung nicht speichern.
Ihr müsst zum Speichern einen „Management Key“ erzeugen …
… und zum Speichern euren neuen PIN eingeben.
FIDO2
FIDO2 ist DER neue Standard, um den Zugriff auf Benutzerkonten sicherer zu gestalten.
Das Ziel ist die Anmeldung mit Passwörtern durch die passwortlose Anmeldung mit den sehr sicheren Hardwaretoken, wie den YubiKey, zu ersetzen.
Eine ausführliche Beschreibung findet ihr auf der Seite der FIDO Alliance
➡ https://fidoalliance.org/fido2/
Ein gutes Beispiel hierfür ist die Anmeldung an Microsoft 365, die ich hier beschreibe.
➡ YubiKey 04 – Passwortlose Anmeldung an Microsoft 365
Mittlerweile gibt es auch immer mehr Dienste, die dieses Verfahren der Anmeldung unterstützen.
Ich habe hier im Blog bereits einen Beitrag dazu geschrieben, da Nextcloud das Anmeldeverfahren bereits seit einiger Zeit ebenfalls unterstützt.
➡ Nextcloud – FIDO2 und WebAuthn zur Anmeldung nutzen
Den PIN bzw. das Passwort ändert ihr mit einem Klick auf „FIDO2 PIN„. Das Wort PIN ist vielleicht ein wenig irreführend, ihr könnt auch ein langes Passwort mit einer komplexen Zusammensetzung verwenden. Es sollte jedoch leicht zu merken sein, da ihr es ggf. auch recht häufig eingeben müsst.
Damit sind nun alle Standardpasswörter auf dem YubiKey geändert und der Hardwaretoken kann für eure Anforderungen verwendet werden.
Im nächsten Beitrag geht es um die Speicherung von Einmalpasswörtern (=One-Time-Passwords) auf dem YubiKey, um Anmeldungen an Diensten durch einen zweiten Faktor abzusichern.
➡ YubiKey 02 – Einmalpasswörter (OTPs) speichern
Gib mir gerne einen Kaffee ☕ aus!
Wenn dir meine Beiträge gefallen und geholfen haben, dann kannst du mir gerne einen Kaffee ☕ ausgeben.
bc1qfuz93hw2fhdvfuxf6mlxlk8zdadvnktppkzqzj
Hier geht es zur ➡ YubiKey Themenseite, dort findest du noch mehr Beiträge rund um den YubiKey.
ist absolut technik-begeistert und großer Fan von Linux und Open Source. Raspberry Pi Bastler der ersten Stunde und nach wie vor begeistert von dem kleinen Stück Hardware, auf dem er tolle Projekte umsetzt. Teilt hier seine Erfahrungen mit Nextcloud, Pi-hole, YubiKey, Synology und openmediavault und anderen spannenden IT-Themen. Nutzt Markdown und LaTeX zum Dokumentieren seiner Projekte und Gitea zum Versionieren. Sitzt vor einem 49“ Monitor, nutzt Windows und MacOS zum Arbeiten, Linux auf seinen Servern und virtuellen Maschinen und hört dabei Spotify und MP3s und Radio-Streams über seinen RadioPi.
Trinkt gerne fairen Kaffee und freut sich deshalb sehr über jede Spende.
• 
