Passwortmanager mit YubiKey absichern

Ich besitze seit einiger Zeit einen YubiKey 5Ci, den ich zur Absicherung von Anmeldungen an unterschiedlichen Systemen benutze. Nun habe ich endlich Zeit gefunden den YubiKey auch für meinen Passwortmanager KeePassXC als zweiten Faktor für die Anmeldung zu konfigurieren.

Ich benutze seit Ewigkeiten den Passwortmanager KeePass Professional und auch schon dessen Vorgänger KeePass in der portablen Version. ( ➡ https://keepass.info/download.html). Auf der Seite von Yubico gibt es eine scher schöne Anleitung, wie man KeePass Professional mit dem YubiKey koppeln kann.
https://support.yubico.com/support/solutions/articles/15000006427-using-your-yubikey-with-keepass.

Achtung
Jetzt kommt aber ein großes Problem, dass ich nicht lösen konnte!
Ich bin entsprechend der Anleitung vorgegangen, habe den YubiKey mit Hilfe des YubiKey Personalization Tools eingerichtet und für KeePass das erforderliche Plugin installiert. Das hat soweit auch wunderbar funktioniert, bis es dann zur Anmeldungen gekommen ist. Dort habe ich immer den Fehler „failed to create OTP key“ erhalten. Ausgiebige Recherchen im Internet und das Wiederholen der Konfiguration haben leider keine Abhilfe gebracht, ich konnte das Problem nicht beseitigen.
Ich habe deshalb nach einer anderen Lösung gesucht und bin schlussendlich beim Passwortmanager KeePassXC gelandet.

KeePassXC

Der Vorteil von diesem Passwortmanager ist die standardmäßige Integration von YubiKeys. Eine Installation von Plugins ist nicht erforderlich, um einen zweiten Faktor für die Entsperrung des Passwortmanagers zu nutzen. Die Dokumentation findet ihr auf der Projektseite von KeepassXC ➡ https://keepassxc.org/docs/#faq-yubikey-howto.

Es gibt auch eine einfache Möglichkeit die KeePass-Datenbank in KeePassXC zu importieren, um eine saubere und schnelle Übernahme der Login Credentials zu gewährleisten. Bei mir hat es am Besten mit dem Import der KeePass-Datenbank Version 1.x funktioniert. Das Einlesen über eine CSV-Datei hat leider auf Grund irgendwelcher Sonderzeichen nicht ohne Probleme funktioniert.

GANZ WICHTIG

Bevor ihr das mit eurer Live-Datenbank durchspielt, legt euch unbedingt ein Backup an!!!

Verwendet ihr euren YubiKey bereits zu Anmeldung an Windows mit dem Tool Login Configurator, ist diese Konfiguration NICHT durchzuführen. Ihr überschreibt damit die bestehende Konfiguration eures Key und ihr könnt euch damit nicht mehr am Betriebssystem anmelden. Ohne das Backup Passwort kommt ihr somit nicht mehr an eure Daten.

Hier die einzelnen Schritte, was zu machen ist:

YubiKey Personalization Tool

Das Tool kann direkt von der Seite des Herstellers heruntergeladen werden
https://www.yubico.com/products/services-software/download/

Konfiguration des YubiKeys

Startet das YubiKey Personalization Tool und steckt euren YubiKey am PC an.

YubiKey Personalization Tool
YubiKey Personalization Tool
  1. Wechselt in den Reiter „Challenge-Response
  2. Wählt den Slot 2 aus „Configuration Slot 2
  3. Setzt den Hacken bei „Require user input (button press)
  4. Klickt auf den Button „Generate“ zum Erstellen des geheimen Schlüssels. (Diesen Schlüssel solltet ihr unbedingt sicher aufbewahren)
  5. Zum Schluss klickt ihr auf den Button „Write Configuration“ umd die Änderung auf den YubiKey zu schreiben.
    1. Mit diesen fünf Schritten habt ihr den YubiKey zur Verwendung mit KeePassXC konfiguriert und ihr könnt das YubiKey Personalization Tool schließen.



      Gib mir gerne einen Kaffee ☕ aus!

      Wenn dir meine Beiträge gefallen und geholfen haben, dann kannst du mir gerne einen Kaffee ☕ ausgeben.

      PayPal Logo


      liberapay.com/strobelstefan.org


      Kaffee via Bitcoin

      bc1qfuz93hw2fhdvfuxf6mlxlk8zdadvnktppkzqzj


      Update Dezember 2020 – YubiKey Manager – Tool-Änderung

      Yubico hat die Entwicklung des Tools eingestellt und stellt ein neues, einfaches Tool zur Verfügung.

      Der „YubiKey Manager“ könnt ihr von der Yubico Website herunterladen und installieren.
      https://www.yubico.com/products/services-software/download/yubikey-manager/

      Die dazugehörige Dokumentation ist hier einsehbar:
      https://docs.yubico.com/software/yubikey/tools/ykman/

      YubiKey personalization tools ist veraltet
      YubiKey personalization tools ist veraltet

      Durch das neue Tool wird die Konfiguration des YubiKey einfacher für die Benutzer.

      YubiKey Manager - Applications - OTP
      YubiKey Manager – Applications – OTP

      Ihr müsst nun euren richtigen „Slot“ auswählen und auf den Button „Configure“ klicken

      YubiKey Manager - Applications - OTP
      YubiKey Manager – Applications – OTP

      Select Credential Type
      Select Credential Type

      Für das „Challenge-response„-Verfahren geht ihr wie folgt vor.

      Challenge-response
      Challenge-response

      Zum Abschluss klickt ihr auf den Button „Finish„.

      KeePassXC

      Ladet euch KeePassXC von der Projektseite herunter und installiert es anschließend. Es ist dabei unerheblich, ob ihr die normale oder die portable Version verwendet, es funktionieren beide mit dem YubiKey.
      https://keepassxc.org/download/

      KeePassXC mit YubiKey verbinden

      In den nachfolgenden Screenshots ist Schritt für Schritt dargestellt, welche Schritte durchzuführen sind.

      YubiKey mit KeePassXC verbinden
      YubiKey mit KeePassXC verbinden
      YubiKey mit KeePassXC verbinden
      YubiKey mit KeePassXC verbinden
      YubiKey mit KeePassXC verbinden
      YubiKey mit KeePassXC verbinden

      Der YubiKey wird automatisch erkannt, wenn Challenge-Response vorher mit Hilfe des YubiKey Personalization Tool für den verwendeten YubiKey verwendet worden ist.

      YubiKey mit KeePassXC verbinden
      YubiKey mit KeePassXC verbinden

      YubiKey mit KeePassXC verbinden
      YubiKey mit KeePassXC verbinden

      Backup

      Da die Datenbank nun nur noch mit dem konfigurierten YubiKey zu öffnen ist, ist zwingend ein Backup des Secret Keys zu erstellen. Im besten Fall habt ihr einen zweiten baugleichen YubiKey auf dem ich das Geheimnis konfiguriert. Anstatt im YubiKey Personalization Tool einen neuen Schlüssel zu erzeugen, ist der bereits erstellte Schlüssel dort einzutragen. Ansonsten sichert euch den Key ganz altmodisch auf Papier, damit ihr im Notfall darauf zugreifen könnt.

      YubiKey Artikel Serie

      Die Liste enthält alle Artikel der YubiKey-Serie, die dir genau aufzeigen wie du deinen Hardwaretoken für die unterschiedlichsten Anwendungsgebiete konfigurieren kannst.

      1. YubiKey 01 – YubiKey 5C NFC – Erste Schritte – Installation und Setup
      2. YubiKey 02 – Einmalpasswörter (OTPs) speichern
      3. Passwortmanager mit YubiKey absichern
      4. YubiKey 04 – Passwortlose Anmeldung an Microsoft 365
      5. YubiKey 05 – VirtualBox für die Erstellung des OpenPGP-Schlüsselpaars und zum Anschluss des YubiKeys vorbereiten
      6. YubiKey 06 – OpenPGP Schlüsselpaare erstellen – Master Key und Sub Keys
      7. YubiKey 07 – Revoke-Datei erstellen und Schlüssel exportieren
      8. YubiKey 08 – Hilfreiche GPG-Befehle zur Verwaltung von Schlüsselpaaren
      9. YubiKey 09 – OpenPGP-Schlüssel auf den YubiKey exportieren
      10. YubiKey 10 – Öffentlichen GPG-Schlüssel auf Linux-Server übertragen und für passwortlose Anmeldung nutzen
      11. YubiKey 11 – Windows anpassen zur SSH-Anmeldung an einem Linux-System
      12. YubiKey 12 – Benutzer-Anmeldung an Windows nur mit einem YubiKey erlauben
      13. YubiKey 13 – Benutzer-Anmeldung an Linux/Ubuntu nur mit einem YubiKey erlauben
      14. YubiKey 14 – SSH-Anmeldung mit einem Linux-Client mit YubiKey an einem Server

      Hier geht es zur ➡ YubiKey Themenseite, dort findest du noch mehr Beiträge rund um den YubiKey.

Eine Antwort auf „Passwortmanager mit YubiKey absichern“

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.