YubiKey als zweiten Faktor für den Passwortmanager KeePassXC

Ein YubiKey kann als zweiter Faktor neben einem Passwort zur Anmeldung für den Passwortmanager KeePassXC verwendet werden. Damit wird für die Freischaltung der Datenbank ein Passwort benötigt und der YubiKey muss am USB-Port des Clients angeschlossen und dessen Kontakte gedrückt werden.

Der Zugriff auf die im Passwortmanager KeePassXC gespeicherten Passwörter ist mit zwei Faktoren abgesichert:

etwas das man auswendig kennt = Passwort
etwas das man physikalisch besitzt = YubiKey

Fehlt einer der beiden Faktoren, wird der Zugriff auf den Passwortmanager verweigert.

Passwortmanager KeePassXC

KeePassXC ist ein kostenloser Open Source Passwortmanager der die Verwaltung von Passwörtern erheblich vereinfacht.

Die Dokumentation findet ihr auf der Projektseite von KeePassXC

👉 https://keepassxc.org/docs/#faq-yubikey-howto.

Achtung

Bevor ihr das mit eurer Live-Datenbank von KeePassXC durchspielt, legt euch zuvor unbedingt ein Backup an❗️❗️❗️

YubiKey Manager

Mit dem "YubiKey Manager" lassen sich die unterschiedlichen Funktionen eines YubiKey einstellen und konfigurieren.

Das Tool kann von der Yubico-Seite heruntergeladen werden:

👉 https://www.yubico.com/products/services-software/download/yubikey-manager/

Zum Manual: - 👉 https://docs.yubico.com/software/yubikey/tools/ykman/

Nach der Installation des "YubiKey Manager" auf dem Client kann es mit der Konfiguration des YubiKey losgehen.

YubiKey Manager - Applications - OTP

Ihr müsst einen freien "Slot" auswählen und auf den Button "Configure" klicken.

Achtet dabei darauf, dass der Slot nicht für andere Zwecke verwendet wird! Eine bestehende Konfiguration wird überschrieben.

YubiKey Manager - Applications - OTP

Select Credential Type

Das "Challenge-response"-Verfahren ist dann einzurichten.

Challenge-response

Zum Abschluss klickt ihr auf den Button "Finish".

KeePassXC

Ladet euch die aktuellste Version von KeePassXC von der Projektseite herunter. Es ist dabei unerheblich, ob ihr die normale oder die portable Version verwendet. Es funktionieren beide Varianten mit dem YubiKey.

👉 https://keepassxc.org/download/

Für MacOS gibt es auch eine Homebrew-Formulae:

brew install --cask keepassxc

Für Linux gibt es KeePassXC aus den Repositories:

sudo apt-get install keepassxc

KeePassXC mit YubiKey verbinden

In den nachfolgenden Screenshots ist die Konfiguration Schritt für Schritt dargestellt.

YubiKey mit KeePassXC verbinden

Der YubiKey wird automatisch erkannt, wenn Challenge-Response vorher eingerichtet wurde.

YubiKey mit KeePassXC verbinden

YubiKey aus KeePassXC entfernen

Geht man den gleichen Weg rückwärts, lässt sich der YubiKey als zweiter Faktor für die Anmeldung wieder aus KeePassXC entfernen.

Backup

Da die KeePassXC-Datenbank nun nur noch mit dem konfigurierten YubiKey zu öffnen ist, ist zwingend ein Backup des Secret Keys zu erstellen.

Im besten Fall habt ihr einen zweiten baugleichen YubiKey mit exakt der gleichen Konfiguration. Dort ist der oben erstellte Secret Key zu hinterlegen.

Es geht aber auch ganz einfach, schreibt den Key für den Notfall auf ein Blatt Papier. :-)

Gib mir gerne einen Kaffee ☕ aus ❗️

Wenn dir meine Beiträge gefallen und geholfen haben, dann kannst du mir gerne einen Kaffee ☕️ ausgeben.

•

Bitcoin Address: bc1qfuz93hw2fhdvfuxf6mlxlk8zdadvnktppkzqzj

Follow Me❗️

Mastodon • Mastodon RSS • codeberg.org/sst • RSS

Source

Photo by regularguy.eth on Unsplash