Passwortmanager mit YubiKey absichern

Ich besitze seit einiger Zeit einen YubiKey 5Ci, den ich zur Absicherung von Anmeldungen an unterschiedlichen Systemen benutze. Nun habe ich endlich Zeit gefunden den YubiKey auch für meinen Passwortmanager als zweiten Faktor für die Anmeldung zu konfigurieren.

Ich benutze seit Ewigkeiten den Passwortmanager KeePass Professional und auch schon dessen Vorgänger KeePass in der portablen Version. ( ➡ https://keepass.info/download.html). Auf der Seite von Yubico gibt es eine scher schöne Anleitung, wie man KeePass Professional mit dem YubiKey koppeln kann.
https://support.yubico.com/support/solutions/articles/15000006427-using-your-yubikey-with-keepass.

Achtung
Jetzt kommt aber ein großes Problem, dass ich nicht lösen konnte.
Ich bin entsprechend der Anleitung vorgegangen, habe den YubiKey mit Hilfe des YubiKey Personalization Tools eingerichtet und für KeePass das erforderliche Plugin installiert. Das hat soweit auch wunderbar funktioniert, bis es dann zur Anmeldungen gekommen ist. Dort habe ich immer den Fehler “failed to create OTP key” erhalten. Ausgiebige Recherchen im Internet und das Wiederholen der Konfiguration haben leider keine Abhilfe gebracht, ich konnte das Problem nicht beseitigen.
Ich habe deshalb nach einer anderen Lösung gesucht und bin schlussendlich beim Passwortmanager KeePassXC gelandet.

KeePassXC

Der Vorteil von diesem Passwortmanager ist die standardmäßige Integration von YubiKeys. Eine Installation von Plugins ist nicht erforderlich, um einen zweiten Faktor für die Entsperrung des Passwortmanagers zu nutzen. Die Dokumentation findet ihr auf der Projektseite von KeepassXC ➡ https://keepassxc.org/docs/#faq-yubikey-howto.

Es gibt auch eine einfache Möglichkeit die KeePass-Datenbank in KeePassXC zu importieren, um eine saubere und schnelle Übernahme der Login Credentials zu gewährleisten. Bei mir hat es am Besten mit dem Import der KeePass-Datenbank Version 1.x funktioniert. Das Einlesen über eine CSV-Datei hat leider auf Grund irgendwelcher Sonderzeichen nicht ohne Probleme funktioniert.

GANZ WICHTIG

Bevor ihr das mit eurer Live-Datenbank durchspielt, legt euch unbedingt ein Backup an!!!

Verwendet ihr euren YubiKey bereits zu Anmeldung an Windows mit dem Tool Login Configurator, ist diese Konfiguration NICHT durchzuführen. Ihr überschreibt damit die bestehende Konfiguration eures Key und ihr könnt euch damit nicht mehr am Betriebssystem anmelden. Ohne das Backup Passwort kommt ihr somit nicht mehr an eure Daten.

Hier die einzelnen Schritte, was zu machen ist:

YubiKey Personalization Tool

Das Tool kann direkt von der Seite des Herstellers heruntergeladen werden
https://www.yubico.com/products/services-software/download/

Konfiguration des YubiKeys

Startet das YubiKey Personalization Tool und steckt euren YubiKey am PC an.

YubiKey Personalization Tool
YubiKey Personalization Tool
  1. Wechselt in den Reiter “Challenge-Response
  2. Wählt den Slot 2 aus “Configuration Slot 2
  3. Setzt den Hacken bei “Require user input (button press)
  4. Klickt auf den Button “Generate” zum erstellen des geheimen Schlüssels. (Diesen Schlüssel solltet ihr unbedingt sicher aufbewahren)
  5. Zum Schluss klickt ihr auf den Button “Write Configuration” umd die Änderung auf den YubiKey zu schreiben.
    1. Mit diesen fünf Schritten habt ihr den YubiKey zur Verwendung mit KeePassXC konfiguriert und ihr könnt das YubiKey Personalization Tool schließen.


      Update Dezember 2020 – YubiKey Manager – Tool-Änderung

      Yubico hat die Entwicklung des Tools “” eingestellt und stellt ein neues, einfaches Tool zur Verfügung.
      Der “YubiKey Manager” könnt ihr von der Yubico Website herunterladen und installieren.
      <:arrow: https://www.yubico.com/products/services-software/download/yubikey-manager/

      YubiKey personalization tools ist veraltet
      YubiKey personalization tools ist veraltet

      Die Konfiguration des YubiKey wird dadurch einfacher für die Benutzer.

      YubiKey Manager - Applications - OTP
      YubiKey Manager – Applications – OTP

      Ihr müsst nun euren richtigen “Slot” auswählen und auf den Button “Configure” klicken

      YubiKey Manager - Applications - OTP
      YubiKey Manager – Applications – OTP

      Select Credential Type
      Select Credential Type

      Für das “Challenge-response”-Verfahren geht ihr wie folgt vor.

      Challenge-response
      Challenge-response

      Zum Abschluss klickt ihr auf den Button “Finish“.


      KeePassXC

      Ladet euch KeePassXC von der Projektseite herunter und installiert es anschließend. Es ist dabei unerheblich, ob ihr die normale oder die portable Version verwendet, es funktionieren beide mit dem YubiKey.
      https://keepassxc.org/download/

      KeePassXC mit YubiKey verbinden

      In den nachfolgenden Screenshots ist Schritt für Schritt dargestellt, welche Schritte durchzuführen sind.

      YubiKey mit KeePassXC verbinden
      YubiKey mit KeePassXC verbinden
      YubiKey mit KeePassXC verbinden
      YubiKey mit KeePassXC verbinden
      YubiKey mit KeePassXC verbinden
      YubiKey mit KeePassXC verbinden

      Der YubiKey wird automatisch erkannt, wenn Challenge-Response vorher mit Hilfe des YubiKey Personalization Tool für den verwendeten YubiKey verwendet worden ist.

      YubiKey mit KeePassXC verbinden
      YubiKey mit KeePassXC verbinden

      YubiKey mit KeePassXC verbinden
      YubiKey mit KeePassXC verbinden

      Backup

      Da die Datenbank nun nur noch mit dem konfigurierten YubiKey zu öffnen ist, ist zwinend ein Backup des Secret Keys zu erstellen. Im besten Fall habt ihr einen zweiten baugleichen YubiKey auf dem ich das Geheimnis konfiguriert. Anstatt im YubiKey Personalization Tool einen neuen Schlüssel zu erzeugen, ist der bereits erstellte Schlüssel dort einzutragen. Ansonsten sichert euch den Key ganz altmodisch auf Papier, damit ihr im Notfall darauf zugreifen könnt.

      Hier im Blog habe ich bereits ein paar Artikel über den YubiKey geschrieben, u.a.:

      Alle Artikel in meinem Blog zum YubiKey gibt es hier hier.

      Hardware Token

      Yubico - YubiKey 5C NFC - Two Factor Authentication USB...
      Angebot Yubico YubiKey 5Ci - Two Factor Authentication...

      (**) Produktpreise und -verfügbarkeit sind zum angegebenen Datum / Uhrzeit korrekt und können sich ändern. Alle Preis- und Verfügbarkeitsinformationen auf https://www.amazon.de/ zum Zeitpunkt des Kaufs gelten für den Kauf dieses Produkts.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.