Ich besitze seit einiger Zeit einen YubiKey 5Ci, den ich zur Absicherung von Anmeldungen an unterschiedlichen Systemen benutze. Nun habe ich endlich Zeit gefunden den YubiKey auch für meinen Passwortmanager KeePassXC als zweiten Faktor für die Anmeldung zu konfigurieren.
Ich benutze seit Ewigkeiten den Passwortmanager KeePass Professional und auch schon dessen Vorgänger KeePass in der portablen Version. ( ➡ https://keepass.info/download.html). Auf der Seite von Yubico gibt es eine scher schöne Anleitung, wie man KeePass Professional mit dem YubiKey koppeln kann.
➡ https://support.yubico.com/support/solutions/articles/15000006427-using-your-yubikey-with-keepass.
Achtung
Jetzt kommt aber ein großes Problem, dass ich nicht lösen konnte!
Ich bin entsprechend der Anleitung vorgegangen, habe den YubiKey mit Hilfe des YubiKey Personalization Tools eingerichtet und für KeePass das erforderliche Plugin installiert. Das hat soweit auch wunderbar funktioniert, bis es dann zur Anmeldungen gekommen ist. Dort habe ich immer den Fehler „failed to create OTP key“ erhalten. Ausgiebige Recherchen im Internet und das Wiederholen der Konfiguration haben leider keine Abhilfe gebracht, ich konnte das Problem nicht beseitigen.
Ich habe deshalb nach einer anderen Lösung gesucht und bin schlussendlich beim Passwortmanager KeePassXC gelandet.
KeePassXC
Der Vorteil von diesem Passwortmanager ist die standardmäßige Integration von YubiKeys. Eine Installation von Plugins ist nicht erforderlich, um einen zweiten Faktor für die Entsperrung des Passwortmanagers zu nutzen. Die Dokumentation findet ihr auf der Projektseite von KeepassXC ➡ https://keepassxc.org/docs/#faq-yubikey-howto.
Es gibt auch eine einfache Möglichkeit die KeePass-Datenbank in KeePassXC zu importieren, um eine saubere und schnelle Übernahme der Login Credentials zu gewährleisten. Bei mir hat es am Besten mit dem Import der KeePass-Datenbank Version 1.x funktioniert. Das Einlesen über eine CSV-Datei hat leider auf Grund irgendwelcher Sonderzeichen nicht ohne Probleme funktioniert.
GANZ WICHTIG
Bevor ihr das mit eurer Live-Datenbank durchspielt, legt euch unbedingt ein Backup an!!!
Verwendet ihr euren YubiKey bereits zu Anmeldung an Windows mit dem Tool Login Configurator, ist diese Konfiguration NICHT durchzuführen. Ihr überschreibt damit die bestehende Konfiguration eures Key und ihr könnt euch damit nicht mehr am Betriebssystem anmelden. Ohne das Backup Passwort kommt ihr somit nicht mehr an eure Daten.
Hier die einzelnen Schritte, was zu machen ist:
YubiKey Personalization Tool
Das Tool kann direkt von der Seite des Herstellers heruntergeladen werden
➡ https://www.yubico.com/products/services-software/download/
Konfiguration des YubiKeys
Startet das YubiKey Personalization Tool und steckt euren YubiKey am PC an.

- Wechselt in den Reiter „Challenge-Response„
- Wählt den Slot 2 aus „Configuration Slot 2„
- Setzt den Hacken bei „Require user input (button press)
- Klickt auf den Button „Generate“ zum Erstellen des geheimen Schlüssels. (Diesen Schlüssel solltet ihr unbedingt sicher aufbewahren)
- Zum Schluss klickt ihr auf den Button „Write Configuration“ umd die Änderung auf den YubiKey zu schreiben.
- YubiKey 01 – YubiKey 5C NFC – Erste Schritte – Installation und Setup
- YubiKey 02 – Einmalpasswörter (OTPs) speichern
- Passwortmanager mit YubiKey absichern
- YubiKey 04 – Passwortlose Anmeldung an Microsoft 365
- YubiKey 05 – VirtualBox für die Erstellung des OpenPGP-Schlüsselpaars und zum Anschluss des YubiKeys vorbereiten
- YubiKey 06 – OpenPGP Schlüsselpaare erstellen – Master Key und Sub Keys
- YubiKey 07 – Revoke-Datei erstellen und Schlüssel exportieren
- YubiKey 08 – Hilfreiche GPG-Befehle zur Verwaltung von Schlüsselpaaren
- YubiKey 09 – OpenPGP-Schlüssel auf den YubiKey exportieren
- YubiKey 10 – Öffentlichen GPG-Schlüssel auf Linux-Server übertragen und für passwortlose Anmeldung nutzen
- YubiKey 11 – Windows anpassen zur SSH-Anmeldung an einem Linux-System
- YubiKey 12 – Benutzer-Anmeldung an Windows nur mit einem YubiKey erlauben
- YubiKey 13 – Benutzer-Anmeldung an Linux/Ubuntu nur mit einem YubiKey erlauben
- YubiKey 14 – SSH-Anmeldung mit einem Linux-Client mit YubiKey an einem Server
Mit diesen fünf Schritten habt ihr den YubiKey zur Verwendung mit KeePassXC konfiguriert und ihr könnt das YubiKey Personalization Tool schließen.
Gib mir gerne einen Kaffee ☕ aus!
Wenn dir meine Beiträge gefallen und geholfen haben, dann kannst du mir gerne einen Kaffee ☕ ausgeben.
bc1qfuz93hw2fhdvfuxf6mlxlk8zdadvnktppkzqzj
Update Dezember 2020 – YubiKey Manager – Tool-Änderung
Yubico hat die Entwicklung des Tools eingestellt und stellt ein neues, einfaches Tool zur Verfügung.
Der „YubiKey Manager“ könnt ihr von der Yubico Website herunterladen und installieren.
➡ https://www.yubico.com/products/services-software/download/yubikey-manager/
Die dazugehörige Dokumentation ist hier einsehbar:
➡ https://docs.yubico.com/software/yubikey/tools/ykman/

Durch das neue Tool wird die Konfiguration des YubiKey einfacher für die Benutzer.

Ihr müsst nun euren richtigen „Slot“ auswählen und auf den Button „Configure“ klicken

Für das „Challenge-response„-Verfahren geht ihr wie folgt vor.
Zum Abschluss klickt ihr auf den Button „Finish„.
KeePassXC
Ladet euch KeePassXC von der Projektseite herunter und installiert es anschließend. Es ist dabei unerheblich, ob ihr die normale oder die portable Version verwendet, es funktionieren beide mit dem YubiKey.
➡ https://keepassxc.org/download/
KeePassXC mit YubiKey verbinden
In den nachfolgenden Screenshots ist Schritt für Schritt dargestellt, welche Schritte durchzuführen sind.



Der YubiKey wird automatisch erkannt, wenn Challenge-Response vorher mit Hilfe des YubiKey Personalization Tool für den verwendeten YubiKey verwendet worden ist.

Backup
Da die Datenbank nun nur noch mit dem konfigurierten YubiKey zu öffnen ist, ist zwingend ein Backup des Secret Keys zu erstellen. Im besten Fall habt ihr einen zweiten baugleichen YubiKey auf dem ich das Geheimnis konfiguriert. Anstatt im YubiKey Personalization Tool einen neuen Schlüssel zu erzeugen, ist der bereits erstellte Schlüssel dort einzutragen. Ansonsten sichert euch den Key ganz altmodisch auf Papier, damit ihr im Notfall darauf zugreifen könnt.
YubiKey Artikel Serie
Die Liste enthält alle Artikel der YubiKey-Serie, die dir genau aufzeigen wie du deinen Hardwaretoken für die unterschiedlichsten Anwendungsgebiete konfigurieren kannst.
Hier geht es zur ➡ YubiKey Themenseite, dort findest du noch mehr Beiträge rund um den YubiKey.

ist absolut technik-begeistert und großer Fan von Linux und Open Source. Raspberry Pi Bastler der ersten Stunde und nach wie vor begeistert von dem kleinen Stück Hardware, auf dem er tolle Projekte umsetzt. Teilt hier seine Erfahrungen mit Nextcloud, Pi-hole, YubiKey und anderen spannenden IT-Themen. Nutzt Markdown und LaTeX zum Dokumentieren seiner Projekte und Gitea zum Versionieren. Sitzt vor einem riesen 49“ Monitor, nutzt Windows und MacOS zum Arbeiten, Linux auf seinen Servern und virtuellen Maschinen und hört dabei Spotify und MP3s und Radio-Streams über seinen RadioPi.
Trinkt gerne fairen Kaffee und freut sich deshalb sehr über jede Spende.
Vielen Dank für super Yubikey Anleitung(n), hat/haben mir den Einstieg sehr erleichtert!