Ist die zweistufige Authentifizierung durch YubiKey weniger störend?

Werbung

Da die Anzahl der Hacking-Vorfälle von Tag zu Tag zunimmt, sollte jeder davon Gebrauch machen Zwei-Schritt- / Zwei-Faktor-Authentifizierung (2FA) Was ist eine Zwei-Faktor-Authentifizierung und warum sollten Sie sie verwenden?Die Zwei-Faktor-Authentifizierung (2FA) ist eine Sicherheitsmethode, die zwei verschiedene Methoden zum Nachweis Ihrer Identität erfordert. Es wird häufig im Alltag verwendet. Zum Beispiel erfordert das Bezahlen mit einer Kreditkarte nicht nur die Karte, ... Weiterlesen . Es fügt eine kugelsichere Ebene um Ihr Online-Konto hinzu, die es einem Hacker extrem schwierig, wenn nicht unmöglich macht, einzudringen.

Aber viele Leute sind davon abgehalten, 2FA zu verwenden. einfach wegen der Unannehmlichkeiten Kann die Bestätigung in zwei Schritten weniger irritierend sein? Vier geheime Hacks zur Verbesserung der SicherheitMöchten Sie eine kugelsichere Kontosicherheit? Ich empfehle dringend, die sogenannte "Zwei-Faktor" -Authentifizierung zu aktivieren. Weiterlesen jedes Mal, wenn sie sich anmelden möchten, müssen sie einen zweiten Code von ihrem Telefon erhalten. Daher wird die Funktion entweder deaktiviert oder es wird nicht erst eingerichtet. Aber Sie sollten, wie viele Unternehmen

kommen jetzt mit der Idee an Bord.

Wenn Sie sich in der Gruppe "leicht belästigend" befinden, werden Sie erfreut sein zu hören, dass es anstelle von 2FA eine andere Option gibt. Diese Option schützt Ihr Konto genauso, aber Sie müssen nur einen Knopf drücken und schon sind Sie dabei. Es heißt das YubiKeyund nach ein paar Tagen bin ich bereits konvertiert. Baby, du hattest mich bei Hallo.

Was ist ein YubiKey?

Ein YubiKey ist ein USB-ähnlicher Stick, der von der Firma hergestellt wird Yubico. Sie stellen verschiedene Produkte her, die alle ähnliche Arbeiten ausführen. Aber für die Zwecke dieses Artikels werde ich mich auf das konzentrieren Fido U2F, (Universeller 2-Faktor) welches ist das, was ich erhalten habe. Es ist einfach einzurichten und zu verwenden und ist es anscheinend unzerstörbar.

Von der Website:

„Alle YubiKeys sind nahezu unzerstörbar. Der YubiKey in Standardgröße (z. B. YubiKey Standard, YubiKey NEO, YubiKey Edge und FIDO U2F-Sicherheitsschlüssel) ist aus spritzgegossenem Kunststoff, der die Schaltung umhüllt, während die freiliegenden Elemente aus militärgehärtetem Material bestehen Gold. Der wasserdichte und bruchsichere YubiKey in Standardgröße wird neben Ihren Haus- und Autoschlüsseln an Ihrem Schlüsselbund befestigt. “

Es ist eine ziemlich kleine, zart aussehende Sache, und es wird Ihnen verziehen, an der "unzerstörbaren" Behauptung zu zweifeln. Mit einem Gewicht von nur 3 Gramm sind die Maße nur 18 mm x 45 mm x 3 mm. Aber dieser kleine Schlüssel hat zusammen mit dem Speichern aller meiner Passwörter in KeePass plötzlich die Anmeldung bei Konten schmerzfrei und störungsfrei gemacht. Google und Facebook verwenden den YubiKey für Anmeldeinformationen von Mitarbeitern, sodass das Konzept einige sehr starke Köpfe hinter sich hat, die es unterstützen. Google führte es 2014 für ihre Benutzer ein.

Wie funktioniert es?

Der YubiKey ist eine Hardware, die Einmalkennwörter, Verschlüsselung und Authentifizierung mit öffentlichen Schlüsseln sowie das von der FIDO Alliance. Sie können sich damit sicher bei Ihren unterstützten Konten anmelden, indem Sie ein Einmalkennwort oder ein FIDO-basiertes Kennwort verwenden öffentliches / privates Schlüsselpaar Wie funktioniert die Verschlüsselung und ist sie wirklich sicher? Weiterlesen vom Gerät generiert. Nach Eingabe der Taste drücken Sie den goldenen Knopf und die Berührung Ihres Fingers gibt eine kleine elektrische Ladung ab, die das Gerät aktiviert.

Wie richten Sie es ein?

Ein YubiKey ist sehr einfach einzurichten, wie Sie unten sehen werden. Ein U2F-Schlüssel funktioniert für Google-Konten, Dropbox, Github Was ist Git und warum sollten Sie die Versionskontrolle verwenden, wenn Sie Entwickler sind?Als Webentwickler arbeiten wir häufig an lokalen Entwicklungswebsites und laden dann einfach alles hoch, wenn wir fertig sind. Dies ist in Ordnung, wenn es nur Sie sind und die Änderungen gering sind, ... Weiterlesen , und Dashlane Dashlane - Ein schicker neuer Passwort-Manager, Formularausfüller und Online-Shopping-AssistentWenn Sie schon einige Passwort-Manager ausprobiert haben, haben Sie wahrscheinlich gelernt, an den Rändern eine gewisse Rauheit zu erwarten. Sie sind solide, nützliche Anwendungen, aber ihre Schnittstellen können zu komplex und unpraktisch sein. Dashlane reduziert nicht nur ... Weiterlesen . Für die Zwecke dieses Artikels verwende ich Google-Konten, aber die anderen folgen mehr oder weniger dem gleichen Verfahren. Nur verschiedene Screenshots.

Gehen Sie zu Ihrer Google 2-Step-Authentifizierungsseite und klicken Sie auf Sicherheitsschlüssel Tab.

Dies führt Sie dann zur Setup-Seite. Befolgen Sie die Anweisungen auf der Seite. Es ist alles sehr einfach und unkompliziert.

Wenn der Schlüssel erfolgreich registriert wurde, wird die Taste "Registrieren" unten grün und zeigt "Registriert" an. Wenn dies nicht der Fall ist, beginnen Sie erneut von vorne, bis dies der Fall ist.

Sie können überprüfen, ob der Schlüssel erfolgreich registriert wurde, indem Sie zu zurückkehren Sicherheitsschlüssel Tab.

Und das, meine Damen und Herren, ist es.

Was ist, wenn Sie sich mit einem Smartphone oder Tablet anmelden?

Dies war eines der ersten Dinge, die mir in den Sinn kamen. Ich melde mich in allen meinen Google-Konten an viel auf meinen iOS-Geräten. Meine iDevices sind wundervoll und alle, aber die einzige Schwäche, die sie haben, ist, dass sie keinen USB-Anschluss haben. Wohin geht der YubiKey, wenn er mich fragt?

Nach Rücksprache mit dem Unternehmen scheint es, dass, wenn Sie sich über ein Telefon oder Tablet in Ihr Konto einloggen, die YubiKey erkennt dies und der Anmeldebildschirm verwendet automatisch standardmäßig Ihre 2-Faktor-Authentifizierungsmethode (SMS, Authy, oder Google Authenticator Google empfiehlt einen zweistufigen Prozess zum Schutz Ihres Kontos [News]Die meisten versierten Internetnutzer haben wahrscheinlich mindestens ein Google-Konto - hauptsächlich, weil Google, ob gut oder schlecht, Wege mit so vielen anderen Websites kreuzt, dass es schwer zu vermeiden ist, das ... Weiterlesen ). Der YubiKey selbst wird nur angefordert, wenn er feststellt, dass Sie einen Desktop-Computer oder Laptop verwenden, der über einen USB-Anschluss verfügt.

Beachten Sie auch, dass Sie Ihre E-Mails über einen lokalen Client wie Apple Mail oder Outlook weiterleiten Weder YubiKey noch 2FA werden unterstützt. In diesem Fall müssten Sie ein spezielles App-Passwort aus der betreffenden App verwenden.

Seine Vorteile

Lassen Sie uns nun einige der Vorteile der Verwendung eines solchen Schlüssels durchgehen.

Es ist extrem einfach zu bedienen

Es gibt wirklich keine Möglichkeit, so etwas durcheinander zu bringen. Sobald es richtig konfiguriert wurde, stecken Sie einfach den Schlüssel in den USB-Anschluss und drücken Sie einmal die leuchtende Taste. Das ist es. Wie könnte jemand das falsch verstehen?

Ihr Konto bietet zusätzliche Sicherheit ohne den Ärger

Wie ich bereits erwähnt habe, ist 2FA gut - aber es kann ärgerlich sein. Wenn ich mit jemandem spreche, der kein 2FA hat, ist die normale Entschuldigung immer "Es ist zu mühsam“. Aber mein Gegenargument lautet immer „und wie viel Aufwand ist mit dem Versuch verbunden, ein gehacktes Konto abzurufen?“. Aber ich verstehe es trotzdem. Bei 2FA müssen Sie sich bei Ihrem Telefon anmelden, den Code abrufen und eingeben. Es einmal zu tun ist keine große Sache, aber wenn Sie es regelmäßig tun, wird es langsam langweilig. Sogar ich war schon mehrmals versucht, das Ganze auszuschalten und es ist mir egal, dass jemand in meine Konten eindringen kann, und ich bin damit nicht allein.

Ein YubiKey beseitigt diesen Ärger und macht Sie eher geneigt, den zusätzlichen Schutz zu verwenden. Sie müssen jedoch noch 2FA einrichten, wenn Sie über ein Smartphone oder Tablet auf Ihre Online-Konten zugreifen. Sie können 2FA also nicht vollständig entkommen.

Es ist billig

Die verschiedenen angebotenen YubiKeys haben unterschiedliche Preise (40 bis 50 US-Dollar), da jeder einen bestimmten Job erledigt (weitere Informationen finden Sie im Abschnitt „Nachteile“). Das U2F ist jedoch wirklich billig ($ 18 bei Amazon), da es weniger als die anderen Tasten tut. Um Ihre Füße mit dem Gerät nass zu machen, ist es ideal, mit dem U2F zu beginnen. Stellen Sie sich das als Lernräder auf einem Kinderfahrrad vor.

Es ist unmöglich, sich mit Viren zu infizieren

Eines der Dinge, die mir beim Lesen über YubiKeys am meisten online aufgefallen sind, sind Menschen, die schreien. “und es in einem öffentlichen Internet-Terminal infizieren? NEIN DANKE!“. Zunächst sollten Sie nicht verwenden öffentliche Internetverbindungen 5 Möglichkeiten, um sicherzustellen, dass die von Ihnen verwendeten öffentlichen Computer sicher sindÖffentliches WLAN ist gefährlich, egal auf welchem ​​Computer Sie sich befinden, aber ausländische Computer erfordern noch größere Vorsicht. Wenn Sie einen öffentlichen Computer verwenden, befolgen Sie diese Richtlinien, um Ihre Privatsphäre und Sicherheit zu gewährleisten. Weiterlesen Aus Sicherheitsgründen und zweitens können die YubiKeys keine Viren bekommen, da es unmöglich ist, Dateien darauf zu verschieben. Es ist kein solches USB-Gerät. Hinzu kommt, dass die auf dem Schlüssel enthaltenen Informationen alle schreibgeschützt sind und der Computer erkennt die Taste als Tastatur. Sie müssen sich also in dieser Hinsicht keine Sorgen machen.

Seine Nachteile

Obwohl der YubiKey meiner Meinung nach ein großartiges Gerät ist, gibt es immer noch einige bemerkenswerte Nachteile, die Sie beachten sollten.

Es funktioniert nur in Chrome

Zum jetzigen Zeitpunkt funktioniert YubiKey nur in Google Chrome, Version 38 oder höher. Also Pech für Benutzer von Firefox, Safari, Opera und Kante 10 Gründe, warum Sie Microsoft Edge jetzt verwenden solltenMicrosoft Edge markiert einen vollständigen Bruch mit dem Markennamen Internet Explorer und tötet dabei einen 20 Jahre alten Stammbaum. Hier ist, warum Sie es verwenden sollten. Weiterlesen . Es ist sehr wahrscheinlich, dass sie in Zukunft an Bord kommen, aber im Moment unterstützen sie den YubiKey nicht. Für mein Leben kann ich nicht verstehen, warum nur Chrome unterstützt wird. Es entfremdet eine große Anzahl von Browser-Benutzern.

Unterschiedliche Konten erfordern unterschiedliche Schlüssel

Yubico stellt 7 verschiedene Produkte her und alle machen verschiedene Dinge. Zum Beispiel eröffnet mein Schlüssel, der Fido U2F, nur Konten bei Google-, Dropbox-, Github- und Dashlane-Passwortmanagern (nur Premium-Konten).

Aber - und hier ist das wirklich große - wenn Sie Ihr Betriebssystem, Paypal, Evernote oder WordPress-Konten sichern möchten, benötigen Sie verschiedene YubiKeys. Wenn Sie jedoch nur etwas benötigen, um Ihr Google Mail-Konto zu entsperren, ist U2F ausreichend. Alles andere ist wie das Verwenden eines Panzers, um eine Fliege zu schlagen.

Der YubiKey 4 macht so ziemlich alles, aber bei 50 US-Dollar könnte er sich als etwas zu teuer für jemanden herausstellen, der nur in seine E-Mail einsteigen möchte.

Wenn jemand Ihren Schlüssel und Ihr Kontokennwort erhält, ist Ihr Konto gefährdet

Die Sache mit 2FA ist, dass jeder Eindringling physischen Zugriff auf Ihr Telefon benötigt, um den SMS- oder Google Authenticator-Code zu erhalten. Wenn Sie einen Passcode auf Ihrem Telefon haben (den Sie insbesondere im Hinblick auf den Showdown sollten zwischen Apple und dem FBI FBI-Hintertüren helfen niemandem - nicht einmal dem FBIDas FBI will Technologieunternehmen dazu zwingen, Sicherheitsdiensten die Möglichkeit zu geben, Instant Messaging zu nutzen. Aber solche Sicherheits-Hintertüren gibt es eigentlich nicht, und wenn ja, würden Sie Ihrer Regierung sie anvertrauen? Weiterlesen ), dann wäre der Zugriff auf Ihre 2FA-Codes für einen nicht autorisierten Dritten unmöglich. Es sei denn, Ihr Code ist etwas sehr Offensichtliches (wie Ihr Geburtstag) und der Eindringling kennt Sie gut genug, um das zu erraten.

Aber wenn jemand Ihren YubiKey in die Hand nimmt und auch Ihr Kontokennwort kennt, ist er schneller auf dem Konto als ein heißes Messer durch Butter. Sie hätten keinen Smartphone-Passcode zum Umgehen. Dies setzt voraus, dass Sie zunächst einen Passcode auf Ihrem Telefon haben. Wenn nicht, gibt es keinen Unterschied zwischen der Verwendung von 2FA und der Verwendung eines YubiKey.

Der beste Weg, um dieses Problem zu beheben, ist die Verwendung eines sehr langen, schwer zu erratendes Kontokennwort Handbuch zur KennwortverwaltungFühlen Sie sich nicht von Passwörtern überfordert oder verwenden Sie einfach auf jeder Website dasselbe, damit Sie sich daran erinnern: Entwerfen Sie Ihre eigene Passwortverwaltungsstrategie. Weiterlesen (und behalte es in einem verschlüsselter Passwort-Manager Passwort-Manager Battle Royale: Wer wird an der Spitze landen? Weiterlesen ). Auf diese Weise wäre es äußerst schwierig, wenn nicht unmöglich, das Passwort des Kontos herauszufinden, selbst wenn der Schlüssel in die falschen Hände geraten wäre. Ohne das Passwort wäre der Schlüssel ein nutzloses Stück Plastik.

Gibt es Alternativen zu YubiKey?

Nach dem Umschauen scheint die einzige Alternative zu YubiKey zu sein Nitrokey. NitroKey ist ungefähr so ​​teuer wie der YubiKey und wird in Deutschland hergestellt. Er ist stolz darauf, Open Source zu sein. Es scheint auch viel mehr zu tun als ein YubiKey, was mich dazu bringt, einen zu kaufen und ihn zu vergleichen, um ihn zu vergleichen. Das Produkt hieß zuvor Crypto-Key und wurde von Danny im Jahr 2012 überprüft Der Crypto Stick der Deutschen Datenschutzstiftung - Wie und warum es sicherer istEs werden ständig neue Technologien entwickelt, um die Sicherheit zu erhöhen, und viele dieser Technologien verschwinden schließlich aufgrund von Lücken und anderen Problemen, die schließlich entdeckt werden. Keine Form der Sicherheit ist ausgenommen ... Weiterlesen .

Es ist jedoch schön zu sehen, dass mindestens ein anderes Unternehmen ein Konkurrenzprodukt herstellt und dabei das gesamte Konzept eines Sicherheitsschlüssels weiterentwickelt. Rivalität fördert die Forschung, und Forschung führt (normalerweise) zu besseren Produkten.

Seelenfrieden oder Bequemlichkeit?

Die ganze Erforschung des YubiKey-Konzepts hat für mich ohnehin die ganze Frage aufgeworfen, worauf wir uns im Namen der Sicherheit einstellen sollten. Die 2-Faktor-Authentifizierung ist eine hervorragende Möglichkeit, um sicherzustellen, dass Ihr Konto gesperrt ist. Wie bereits erwähnt, kann dies jedoch ein echtes Problem sein. Dies führt dazu, dass viele Leute sagen: "Verdammt, ich schalte das aus!"

Auf der anderen Seite macht so etwas wie ein YubiKey oder ein NitroKey den gesamten Prozess bequem. Drücken Sie eine Taste und Sie sind dabei. Aber wenn Sie den Schlüssel verlieren und jemand Ihr Passwort leicht erraten kann, werden Sie einen sehr schlechten Tag haben. Also beruhigt (und ein paar zusätzliche Schritte) oder drücken Sie die Taste auf einer Taste und sparen Sie 60 Sekunden? In welches Lager fällst du? Sag es uns in den Kommentaren.