Ich besitze seit einiger Zeit einen YubiKey 5Ci, den ich zur Absicherung von Anmeldungen an unterschiedlichen Systemen benutze. Nun habe ich endlich Zeit gefunden den YubiKey auch für meinen Passwortmanager als zweiten Faktor für die Anmeldung zu konfigurieren.
Achtung
Jetzt kommt aber ein großes Problem, dass ich nicht lösen konnte.
Ich bin entsprechend der Anleitung vorgegangen, habe den YubiKey mit Hilfe des YubiKey Personalization Tools eingerichtet und für KeePass das erforderliche Plugin installiert. Das hat soweit auch wunderbar funktioniert, bis es dann zur Anmeldungen gekommen ist. Dort habe ich immer den Fehler “failed to create OTP key” erhalten. Ausgiebige Recherchen im Internet und das Wiederholen der Konfiguration haben leider keine Abhilfe gebracht, ich konnte das Problem nicht beseitigen.
Ich habe deshalb nach einer anderen Lösung gesucht und bin schlussendlich beim Passwortmanager KeePassXC gelandet.
KeePassXC
Der Vorteil von diesem Passwortmanager ist die standardmäßige Integration von YubiKeys. Eine Installation von Plugins ist nicht erforderlich, um einen zweiten Faktor für die Entsperrung des Passwortmanagers zu nutzen. Die Dokumentation findet ihr auf der Projektseite von KeepassXC ➡ https://keepassxc.org/docs/#faq-yubikey-howto.
Es gibt auch eine einfache Möglichkeit die KeePass-Datenbank in KeePassXC zu importieren, um eine saubere und schnelle Übernahme der Login Credentials zu gewährleisten. Bei mir hat es am Besten mit dem Import der KeePass-Datenbank Version 1.x funktioniert. Das Einlesen über eine CSV-Datei hat leider auf Grund irgendwelcher Sonderzeichen nicht ohne Probleme funktioniert.
GANZ WICHTIG
Bevor ihr das mit eurer Live-Datenbank durchspielt, legt euch unbedingt ein Backup an!!!
Verwendet ihr euren YubiKey bereits zu Anmeldung an Windows mit dem Tool Login Configurator, ist diese Konfiguration NICHT durchzuführen. Ihr überschreibt damit die bestehende Konfiguration eures Key und ihr könnt euch damit nicht mehr am Betriebssystem anmelden. Ohne das Backup Passwort kommt ihr somit nicht mehr an eure Daten.
Die Konfiguration des YubiKey wird dadurch einfacher für die Benutzer.
YubiKey Manager – Applications – OTP
Ihr müsst nun euren richtigen “Slot” auswählen und auf den Button “Configure” klicken YubiKey Manager – Applications – OTP
Select Credential Type
Für das “Challenge-response”-Verfahren geht ihr wie folgt vor. Challenge-response
Zum Abschluss klickt ihr auf den Button “Finish“.
KeePassXC
Ladet euch KeePassXC von der Projektseite herunter und installiert es anschließend. Es ist dabei unerheblich, ob ihr die normale oder die portable Version verwendet, es funktionieren beide mit dem YubiKey.
➡ https://keepassxc.org/download/
KeePassXC mit YubiKey verbinden
In den nachfolgenden Screenshots ist Schritt für Schritt dargestellt, welche Schritte durchzuführen sind.
YubiKey mit KeePassXC verbindenYubiKey mit KeePassXC verbindenYubiKey mit KeePassXC verbinden
Der YubiKey wird automatisch erkannt, wenn Challenge-Response vorher mit Hilfe des YubiKey Personalization Tool für den verwendeten YubiKey verwendet worden ist. YubiKey mit KeePassXC verbinden
YubiKey mit KeePassXC verbinden
Backup
Da die Datenbank nun nur noch mit dem konfigurierten YubiKey zu öffnen ist, ist zwinend ein Backup des Secret Keys zu erstellen. Im besten Fall habt ihr einen zweiten baugleichen YubiKey auf dem ich das Geheimnis konfiguriert. Anstatt im YubiKey Personalization Tool einen neuen Schlüssel zu erzeugen, ist der bereits erstellte Schlüssel dort einzutragen. Ansonsten sichert euch den Key ganz altmodisch auf Papier, damit ihr im Notfall darauf zugreifen könnt.
Hier im Blog habe ich bereits ein paar Artikel über den YubiKey geschrieben, u.a.:
Seit Anfang des Jahrtausends absolut Linux-begeistert und Fan von Open Source. Raspberry Pi Bastler der ersten Stunde und nach wie vor begeistert von dem kleinen Stück Hardware, auf dem
er tolle Projekte umsetzt. Teilt hier seine Erfahrungen mit Nextcloud, Pi-hole, YubiKey und zu anderen spannenden IT-Themen. Nutzt
beruflich viel Excel. Sitzt vor einem riesen 49″ Monitor, nutzt Windows zum Arbeiten, Linux auf seinen Servern und virtuellen Maschinen und hört dabei Spotify und Musik über seinen RadioPi.
Trinkt gerne fairen Kaffee und freut sich deshalb sehr über eine Kaffeespende. 😎
(**) Produktpreise und -verfügbarkeit sind zum angegebenen Datum / Uhrzeit korrekt und können sich ändern. Alle Preis- und Verfügbarkeitsinformationen auf https://www.amazon.de/ zum Zeitpunkt des Kaufs gelten für den Kauf dieses Produkts.
