Zum Inhalt

YubiKey 5C NFC - Erste Schritte - Installation und Setup

Ich habe seit kurzem einen neuen YubiKey 5C NFC. In diesem Beitrag zeige ich, wie der Hardwaretoken eingerichtet und für die unterschiedlichen Anforderungen eingerichtet und konfiguriert wird.

Bisher hatte ich einen YubiKey 5 Ci, der nach wie vor noch im Einsatz ist und über den ich bereits einige Beiträge geschrieben habe.

Jeder YubiKey, egal welches Modell, wird mit Standardpasswörtern ausgeliefert, die vor jeder Verwendung zwingend zu ändern sind! In diesem Beitrag zeige ich wie ihr die Standard-PINs ganz einfach und schnell durch eure eigenen ersetzen könnt.

Hardware Setup und verwendetes Betriebssystem

Für diese Konfiguration verwende ich Windows 10 auf einem ganz normalen Laptop.

Der YubiKey 5C NFC ist einer der neueren Hardwaretokens aus dem Hause Yubico und verfügt über eine USB-C- und eine NFC-Schnittstelle. Über diese kann er mit allen modernen Endgeräten, angefangen vom normalen PC und Laptop bis hin zum NFC-fähigen Smartphone kommunizieren.

Meinen bisherigen YubiKey YubiKey 5 Ci verwende ich nach wie vor. Der Unterschied meiner beiden Tokens lässt sich am besten im Vergleich darstellen. In den beiden Screenshots sieht man, dass beide über den gleichen Funktionsumfang verfügen. Der YubiKey 5C NFC neben der USB- auch über eine NFC-Schnittstelle verfügt.

YubiKey 5Ci YubiKey 5C NFC
YubiKey 5Ci Schnittstellenübersicht YubiKey 5C NFC - Interfaces
YubiKey 5Ci Schnittstellenübersicht YubiKey 5C NFC - Interfaces

Der YubiKey 5C NFC verfügt über sehr umfangreiche Features, die über die Managementsoftware aktiviert und deaktiviert werden können, je nachdem was der Benutzer benötigt.

  • Support for WebAuthn,
  • FIDO2,
  • FIDO U2F,
  • smart card (PIV),
  • Yubico OTP,
  • OpenPGP,
  • OATH-TOTP,
  • OATH-HOTP,
  • Challenge-Response

Damit ihr den YubiKey konfigurieren könnt, benötigt ihr das Tool YubiKey Manager, welches ihr von der Website von Yubico kostenlos herunterladen könnt. https://www.yubico.com/products/services-software/download/yubikey-manager/

YubiKey personalization tools ist veraltet

Solltet ihr bereits auf eurem Client oder in anderen Anleitung das Vorgänger-Tool YubiKey personalization tools finden, dann wechselt unbedingt zum neuen Tool.

Das YubiKey personalization tools wird nicht mehr weiterentwickelt.

Des weiteren ist der YubiKey Manager wesentlich benutzerfreundlicher und viel einfacher in der Bedienung.

Ladet euch also den YubiKey Manager von der Yubico-Website und installiert das Programm auf eurem Client.

Den YubiKey 5C NFC schließt ihr nach der Installation über die USB-C-Schnittstelle an eurem Client an.

YubiKey Manager starten

Den YubiKey Manager müsst ihr auf einem Windows-PC zwingend als Administrator starten, um den vollen Funktionsumfang nutzen zu können.

YubiKey Manager als Administrator ausführen

YubiKey 5C NFC Standard-PINs ändern

Startet also den YubiKey Manager als Administrator und euer YubiKey wird automatisch erkannt.

YubiKey Manager starten

Es wird euch ein Bild eures YubiKey angezeigt mit den Informationen über die Firmware und die Seriennummer.

YubiKey Manager - YubiKey wird automatisch erkannt

Klickt euch im ersten Schritt durch zu Interfaces. Dort werden die aktiven Features pro Interface (= Schnittstelle) aufgelistet. Habt ihr den YubiKey 5C NFC könnt ihr die Dienste auch unterschiedlich für die USB- und die NFC-Schnittstelle aktivieren bzw. deaktivieren.

YubiKey Interfaces

Personal Identity Verification (PIV)

Die "PIV", oder die Personal Identity Verification, wird für den Zugriff auf Private Schlüssel die direkt auf dem Hardwaretoken hinterlegt sind benötigt.

Das ist dann wichtig, wenn ihr auf dem YubiKey euren privaten PGP-Schlüssel hinterlegt und diesen für E-Mail-Verschlüsselung und/oder für die SSH-Anmeldung an euren Servern und Systemen verwenden möchtet. (Dazu mehr in einem anderen Blog-Beitrag.)

Das Ganze könnt ihr in der offiziellen Dokumentation nachlesen 👉 https://developers.yubico.com/yubico-piv-tool/YubiKey_PIV_introduction.html

YubiKey - Personal Identity Verification (PIV)

Es werden euch drei Optionen angezeigt:

  1. PIN Management
  2. Certificates
  3. Reset

Der PIN und der PUK sind standardmäßig von YubiKey auf "123456" und "12345678" festgelegt. Diese sind zu ändern und durch eure eigenen zu ersetzen.

PIN

Den PIN müsst ihr jedes Mal eingeben, wenn ein Zugriff auf den hinterlegten privaten Schlüssel erfolgt. Nach drei erfolglosen PIN-Eingaben wird der Schlüssel gesperrt und das Entsperren ist nur noch mit der PUK möglich. (Das Verfahren solltet euch bereits von eurer Handy-Plastik-SIM bekannt sein, da gibt es auch eine PIN und eine PUK.)

Personal Identity Verification (PIV) - PIN Management

Empfehlung für eure neue PIN Die PIN müsst ihr relativ häufig eingeben, deshalb ist meine Empfehlung nur Zahlen zu verwenden oder einen einfachen Buchstaben/Zahlen-Kombination.

PIV - neue PIN vergeben

Die PIN muss zwischen 6 und 8 Charakters lang sein, was euch angezeigt wird. Nach der Eingabe klickt ihr auf den Button Change PIN

PIV - neue PIN vergeben]

PUK

Die PIN habt ihr nun erfolgreich geändert. Die PUK ist immer nicht der von Yubico vergebenen Standard "12345678" der noch zu ändern ist, um den Zugang abzusichern. Ihr könnt dafür auch den "Management Key" verwenden, wie in der Doku beschrieben. Ich habe mich jedoch für den PUK entschieden.

PIV - PUK ändern

Die PUK muss, wie der PIN, zwischen 6 und 8 Charakters lang sein, was euch angezeigt wird. Nach der Eingabe klickt ihr auf den Button Change PUK

PIV - PUK ändern

Es erscheint eine kurze Meldung, dass der PUK erfolgreich geändert wurde.

PIV - PUK erfolgreich geändert

Management Key

Nachdem nun die PIN und die PUK geändert sind, ist die Funktion Management Key zu deaktivieren. Es wird PUK verwendet.

PIV - Management Key

Wählt ihr nun nur Protect with PIN aus könnt ihr die Änderung nicht speichern.

PIV - Management Key - Protect with PIN

Ihr müsst zum Speichern einen "Management Key" erzeugen ...

PIV - Management Key - Protect with PIN

... und zum Speichern euren neuen PIN eingeben.

PIV - Management Key - Änderung speichern

PIV - Changed the Management Key

FIDO2

FIDO2 ist DER neue Standard, um den Zugriff auf Benutzerkonten sicherer zu gestalten. Das Ziel ist die Anmeldung mit Passwörtern durch die passwortlose Anmeldung mit den sehr sicheren Hardwaretoken, wie den YubiKey, zu ersetzen. Eine ausführliche Beschreibung findet ihr auf der Seite der FIDO Alliance.

Ein gutes Beispiel hierfür ist die Anmeldung an Microsoft 365, die ich hier beschreibe. 👉 Passwortlose Anmeldung an Microsoft 365

Mittlerweile gibt es auch immer mehr Dienste, die dieses Verfahren der Anmeldung unterstützen.

Ich habe hier im Blog bereits einen Beitrag dazu geschrieben, da Nextcloud das Anmeldeverfahren bereits seit einiger Zeit ebenfalls unterstützt. 👉 Nextcloud – FIDO2 und WebAuthn zur Anmeldung nutzen

Applications - FIDO2

Der PIN bzw. das Passwort ändert ihr mit einem Klick auf FIDO2 PIN. Das Wort PIN ist vielleicht ein wenig irreführend, ihr könnt auch ein langes Passwort mit einer komplexen Zusammensetzung verwenden. Es sollte jedoch leicht zu merken sein, da ihr es ggf. auch recht häufig eingeben müsst.

FIDO2 PIN vergeben

FIDO2 PIN vergeben

FIDO2 PIN vergeben

FIDO2 PIN vergeben

Damit sind nun alle Standardpasswörter auf dem YubiKey geändert und der Hardwaretoken kann für eure Anforderungen verwendet werden.

Gib mir gerne einen Kaffee ☕ aus ❗️

Wenn dir meine Beiträge gefallen und geholfen haben, dann kannst du mir gerne einen Kaffee ☕️ ausgeben.

Donation via PayPalDonation via LiberaPay

Donation via Bitcoin
Bitcoin Address: bc1qfuz93hw2fhdvfuxf6mlxlk8zdadvnktppkzqzj