Ich besitze seit einiger Zeit einen YubiKey 5Ci, den ich zur Absicherng von Anmeldungen an unterschiedlichen Systemen benutze. Nun habe ich endlich Zeit gefunden dasn YubiKey auch für meinen Passwortmanager als zweiten Faktor für die Anmledung zu konfigurieren.
Ich benutze seit Ewigkeiten den Passwortmanager KeePass Professional und auch schon dessen Vorgänger KeePass in der portablen Version. ( ➡ https://keepass.info/download.html). Auf der Seite von Yubico gibt es eine scher schöne Anleitung, wie man KeePass Professional mit dem YubiKey koppeln kann.
➡ https://support.yubico.com/support/solutions/articles/15000006427-using-your-yubikey-with-keepass.
Achtung
Jetzt kommt aber ein großes Problem, dass ich nicht lösen konnte.
Ich bin entsprechend der Anleitung vorgegangen, habe den YubiKey mit Hilfe des YubiKey Personalization Tools eingerichtet und für KeePass das erforderliche Plugin installiert. Das hat soweit auch wunderbar funktioniert, bis es dann zur Anmeldungen gekommen ist. Dort habe ich immer den Fehler “failed to create OTP key” erhalten. Ausgiebige Recherchen im Internet und das Wiederholen der Konfiguration haben leider keine Abhilfe gebracht, ich konnte das Problem nicht beseitigen.
Ich habe deshalb nach einer anderen Lösung gesucht und bin schlussendlich beim Passwortmanager KeePassXC gelandet.
KeePassXC
Der Vorteil von diesem Passwortmanager ist die standardmäßige Integration von YubiKeys. Eine Installation von Plugins ist nicht erforderlich, um einen zweiten Faktor für die Entsperrung des Passwortmanagers zu nutzen. Die Dokumentation findet ihr auf der Projektseite von KeepassXC ➡ https://keepassxc.org/docs/#faq-yubikey-howto.
Es gibt auch eine einfache Möglichkeit die KeePass-Datenbank in KeePassXC zu importieren, um eine saubere und schnelle Übernahme der Login Credentials zu gewährleisten. Bei mir hat es am Besten mit dem Inport der KeePass-Datenbank Version 1.x funktioniert. Das Einlesen über eine CSV-Datei hat leider auf Grund irgendwelcher Sonderzeichen nicht ohne Probleme funktioniert.
GANZ WICHTIG
Bevor ihr das mit eurer Live-Datenbank durchspielt, legt euch unbedingt ein Backup an!!!
Verwendet ihr euren YubiKey bereits zu Anmeldung an Windows mit dem Tool Login Configurator, ist diese Konfiguration NICHT durchzuführen. Ihr überschreibt damit die bestehende Konfiguration eures Key und ihr könnt euch damit nicht mehr am Betriebssystem anmelden. Ohne das Backup Passwort kommt ihr somit nicht mehr an eure Daten.
Hier die einzelnen Schritte, was zu machen ist:
YubiKey Personalization Tool
Das Tool kann direkt von der Seite des Herstellers heruntergeladen werden
➡ https://www.yubico.com/products/services-software/download/
Konfiguration des YubiKeys
Startet das YubiKey Personalization Tool und steckt euren YubiKey am PC an.
- Wechselt in den Reiter “Challenge-Response“
- Wählt den Slot 2 aus “Configuration Slot 2“
- Setzt den Hacken bei “Require user input (button press)
- Klickt auf den Button “Generate” zum erstellen des geheimen Schlüssels. (Diesen Schlüssel solltet ihr unbedingt sicher aufbewahren)
- Zum Schluss klickt ihr auf den Button “Write Configuration” umd die Änderung auf den YubiKey zu schreiben.
Mit diesen fünf Schritten habt ihr den YubiKey zur Verwendung mit KeePassXC konfiguriert und ihr könnt das YubiKey Personalization Tool schließen.
KeePassXC
Ladet euch KeePassXC von der Projektseite herunter und installiert es anschließend. Es ist dabei unerheblich, ob ihr die normale oder die portable Version verwendet, es funktionieren beide mit dem YubiKey.
➡ https://keepassxc.org/download/
KeePassXC mit YubiKey verbinden
In den nachfolgenden Screenshots ist Schritt für Schritt dargestellt, welche Schritte durchzuführen sind.
Der YubiKey wird automatisch erkannt, wenn Challenge-Response vorher mit Hilfe des YubiKey Personalization Tool für den verwendeten YubiKey verwendet worden ist.
Backup
Da die Datenbank nun nur noch mit dem konfigurierten YubiKey zu öffnen ist, ist zwinend ein Backup des Secret Keys zu erstellen. Im besten Fall habt ihr einen zweiten baugleichen YubiKey auf dem ich das Geheimnis konfiguriert. Anstatt im YubiKey Personalization Tool einen neuen Schlüssel zu erzeugen, ist der bereits erstellte Schlüssel dort einzutragen. Ansonsten sichert euch den Key ganz altmodisch auf Papier, damit ihr im Notfall darauf zugreifen könnt.
Hier im Blog habe ich bereits ein paar Artikel über den YubiKey geschrieben, u.a.:
Alle Artikel in meinem Blog zum YubiKey gibt es hier hier.
