Hauptinhalt
Yubico Authenticator
Anstatt die TOTP-Codes auf Ihrem Smartphone zu generieren, wie es bei vielen anderen Authenticator-Apps der Fall ist, speichert der Yubico Authenticator die geheimen Schlüssel sicher auf einem YubiKey-Hardware-Token. Wenn Sie einen Code benötigen, liest die App den Schlüssel vom YubiKey aus, der in Ihr Gerät eingesteckt oder per NFC verbunden ist. Der Vorteil dabei: Die geheimen Schlüssel verlassen niemals den YubiKey. Selbst wenn Ihr Smartphone gehackt wird, können die Schlüssel nicht gestohlen werden.
Wichtige Vorteile
- Erhöhte Sicherheit: Die geheimen Schlüssel sind auf dem Hardware-Token geschützt und können nicht über das Internet abgegriffen werden.
- Wiederherstellbarkeit: Wenn Sie Ihr Smartphone verlieren, können Sie die Authenticator-App einfach auf einem neuen Gerät installieren und den YubiKey verwenden, um Ihre Konten wiederherzustellen. Die Schlüssel sind ja auf dem YubiKey gespeichert und nicht auf dem Smartphone.
- Phishing-Schutz: Da Sie den physischen YubiKey für die Authentifizierung benötigen, können Phishing-Seiten Ihre Zugangsdaten nicht einfach stehlen.
Zusammenfassend lässt sich sagen, dass der Yubico Authenticator eine Sicherheitslösung ist, die die Bequemlichkeit einer App mit der Hardware-Sicherheit eines YubiKeys kombiniert.
Installation
Der Authenticator ist bei Opsi verwalteten PCs im Self-Service Kiosk verfügbar. Wenn Sie Ihren Rechner selbst administrieren kann hier heruntergeladen werden. Für Linux ist es am Einfachsten, das AppImage-File herunterzuladen. Das AppImage muss dann nur noch ausführbar gemacht werden.
chmod +x yubioath-desktop-<VERSION>-linux.AppImageTOTP verwalten und verwenden
Der YubiKey 5 bietet, neben den bereits durch das HRZ bespielten Slots, Platz für 32 TOTP-Credentials. Da TOTP zeitbasierte Tokens sind, ist hierfür das Programm notwendig. Die Funktionen des Yubico Authenticators sind das Mitteilen der aktuellen Zeit an den YubiKey für die TOTP-Funktion und das Anstoßen des YubiKey zur Neuberechnung der Einmalpasswörter.
Info: Der YubiKey Standard und der YubiKey 4, die wir auch noch im Umlauf haben, bietet diese Funktion nicht.
Das Anlegen eines Service ist im Authenticator-Tool sehr einfach. Deswegen empfehlen wir auch diese Variante, zumal die Daten auf dem YubiKey gespeichert werden und damit auch immer verfügbar sind. Hierzu klickt man im Menü (1) auf Authenticator (2). Hier sollte sich ein “Add Account”-Fenster öffnen:
Wenn Sie bereits einen Service angelegt haben, können Sie weitere durch den Menüpunkt oben rechts hinzufügen:
Die einfache Methode ist “Scan”. Hier wird vom Bildschirm ein QR-Code eingescannt, der von der Anwendung, in der man OATH einrichten möchte, angezeigt wird. Von diesem kann die Authenticator App alle relevanten Informationen extrahieren. Hier ist ein Bespiel die App “UMR-HRZ-Passwortmanager”:
Manuell eingeben funktioniert auch in diesem Fall. Dazu benöigt man den angegebenen Security Key und den Account Namen. Im Hauptfenster des Authenticators sollte man nun eine Spalte mit “UMR-HRZ-Passwortmanager” sehen. Den Code erhält man indem man einen Doppelklick auf die Spalte “UMR-HRZ-Passwortmanager” durchführt. Anschließend wird man aufgefordert einen Druck auf den YubiKey durchzuführen und man hat seinen Code. Dieser ist, wenn es sich bei der Einrichtung um TOTP handelt, üblicherweise 30 Sekunden gültig:
Nachdem man einmal diesen TOTP Code generiert hat und eingibt, ist der Service fertig konfiguriert. Das Hinzufügen ist immer so einfach und sollte problemlos verlaufen.