YubiKey 01 – YubiKey 5C NFC – Erste Schritte – Installation und Setup

Ich habe seit kurzem einen neuen “YubiKey 5C NFC“. In diesem Beitrag zeige ich, wie der Hardwaretoken eingerichtet und für die unterschiedlichen Anforderungen eingerichtet und konfiguriert wird.

Bisher hatte ich einen “YubiKey 5 Ci“, der nach wie vor noch im Einsatz ist und über den ich bereits einige Beiträge geschrieben habe.
(Klick hier.)

Jeder YubiKey, egal welches Modell, wird mit Standardpasswörtern ausgeliefert, die vor jeder Verwendung zwingend zu ändern sind!
In diesem Beitrag zeige ich wie ihr die Standard-PINs ganz einfach und schnell durch eure eigenen ersetzen könnt.


Inhaltsverzeichnis

Hardware Setup und verwendetes Betriebssystem

YubiKey Manager starten

YubiKey 5C NFC Standard-PINs ändern

Personal Identity Verification (PIV)
PIN
PUK
Management Key
FIDO2

Hardware Setup und verwendetes Betriebssystem

Für diese Konfiguration verwende ich Windows 10 auf einem ganz normalen Laptop.

Der “YubiKey 5C NFC” ist einer der neueren Hardwaretokens aus dem Hause Yubico und verfügt über eine USB-C- und eine NFC-Schnittstelle. Über diese kann er mit allen modernen Endgeräten, angefangen vom normalen PC und Laptop bis hin zum NFC-fähigen Smartphone kommunizieren.

Meinen bisherigen YubiKey “YubiKey 5 Ci” verwende ich nach wie vor. Der Unterschied meiner beiden Tokens lässt sich am Besten im Vergleich darstellen.
In den beiden Screenshots sieht man, dass beide über den gleichen Funktionsumfang verfügen. Der “YubiKey 5C NFC” neben der USB- auch über eine NFC-Schnittstelle verfügt.


Vergleich YubiKeys
YubiKey 5Ci YubiKey 5C NFC
YubiKey 5Ci Schnittstellenübersicht

YubiKey 5Ci Schnittstellenübersicht
YubiKey 5C NFC - Interfaces

YubiKey 5C NFC - Interfaces


Der “YubiKey 5C NFC” verfügt über sehr umfangreiche Features, die über die Managementsoftware aktiviert und deaktiviert werden können, je nachdem was der Benutzer benötigt.

  • Support for WebAuthn,
  • FIDO2,
  • FIDO U2F,
  • smart card (PIV),
  • Yubico OTP,
  • OpenPGP,
  • OATH-TOTP,
  • OATH-HOTP,
  • Challenge-Response

Damit ihr den YubiKey konfigurieren könnt, benötigt ihr das Tool “YubiKey Manager“, welches ihr von der Website von Yubico kostenlos herunterladen könnt.
https://www.yubico.com/products/services-software/download/yubikey-manager/

YubiKey personalization tools ist veraltet
YubiKey personalization tools ist veraltet

Solltet ihr bereits auf eurem Client oder in anderen Anleitung das Vorgänger-Tool “YubiKey personalization tools” finden, dann wechselt unbedingt zum neuen Tool.

Der “YubiKey personalization tools” wird nicht mehr weiterentwickelt.
Des weiteren ist der “YubiKey Manager” wesentlich benutzerfreundlicher und viel einfacher in der Bedienung.

Ladet euch also den “YubiKey Manager” von der Yubico-Website und installiert das Programm auf eurem Client.

Den “YubiKey 5C NFC” schließt ihr nach der Installation über die USB-C-Schnittstelle an eurem Client an.

Yubico - YubiKey 5C NFC - Two Factor Authentication USB...
Angebot Yubico YubiKey 5Ci - Two Factor Authentication...

YubiKey Manager starten

Den “YubiKey Manager” müsst ihr auf einem Windows-PC zwingend als “Administrator” starten, um den vollen Funktionsumfang nutzen zu können.

YubiKey Manager als Administrator ausführen
YubiKey Manager als Administrator ausführen

YubiKey 5C NFC Standard-PINs ändern

Startet also den “YubiKey Manager” als Administrator und euer YubiKey wird automatisch erkannt.

YubiKey Manager starten
YubiKey Manager starten

Es wird euch ein Bild eures YubiKey angezeigt mit den Informationen über die Firmware und die Seriennummer.

YubiKey Manager - YubiKey wird automatisch erkannt
YubiKey Manager – YubiKey wird automatisch erkannt

Klickt euch im ersten Schritt durch zu “Interfaces“. Dort werden die aktiven Features pro Interface (= Schnittstelle) aufgelistet. Habt ihr den YubiKEy 5C NFC könnt ihr die Dienste auch unterschiedlich für die USB- und die NFC-Schnittstelle aktivieren bzw. deaktivieren.

YubiKey Interfaces
YubiKey Interfaces

Personal Identity Verification (PIV)

Die “PIV“, oder die Personal Identity Verification, wird für den Zugriff auf “Private Schlüssel” die direkt auf dem Hardwaretoken hinterlegt sind benötigt.

Das ist dann wichtig, wenn ihr auf dem YubiKey euren privaten PGP-Schlüssel hinterlegt und diesen für E-Mail-Verschlüsselung und/oder für die SSH-Anmeldung an euren Servern und Systemen verwenden möchtet. (Dazu mehr in einem anderen Blog-Beitrag.)

Das Ganze könnt ihr in der offiziellen Dokumentation nachlesen ➡ https://developers.yubico.com/yubico-piv-tool/YubiKey_PIV_introduction.html

YubiKey - Personal Identity Verification (PIV)
YubiKey – Personal Identity Verification (PIV)

Es werden euch drei Optionen angezeigt:

  1. PIN Management
  2. Certificates
  3. Reset

Der PIN und der PUK sind standardmäßig von YubiKey auf “123456” und “12345678” festgelegt. Diese sind zu ändern und durch eure eigenen zu ersetzen.

PIN

Den PIN müsst ihr jedes Mal eingeben, wenn ein Zugriff auf den hinterlegten privaten Schlüssel erfolgt. Nach drei erfolglosen PIN-Eingaben wird der Schlüssel gesperrt und das Entsperren ist nur noch mit der PUK möglich.
(Das Verfahren solltet euch bereits von eurer Handy-Plastik-SIM bekannt sein, da gibt es auch eine PIN und eine PUK.)

Personal Identity Verification (PIV)  - PIN Management
Personal Identity Verification (PIV) – PIN Management

Empfehlung für eure neue PIN
Die PIN müsst ihr relativ häufig eingeben, deshalb ist meine Empfehlung nur Zahlen zu verwenden oder eine einfache Buchstaben/Zahlen-Kombination.

PIV - neue PIN vergeben
PIV – neue PIN vergeben

Die PIN muss zwischen 6 und 8 Charakters lang sein, was euch an gezeigt wird. Nach der Eingabe klickt ihr auf den Button “Change PIN

PIV - neue PIN vergeben
PIV – neue PIN vergeben

PUK

Die PIN habt ihr nun erfolgreich geändert. Die “PUK” ist immer nicht der von Yubico vergebenen Standard “12345678” der noch zu ändern ist, um den Zugang abzusichern.
Ihr könnt dafür auch den “Management Key” verwenden, wie in der Doku beschrieben. Ich habe mich jedoch für den PUK entschieden.

PIV - PUK ändern
PIV – PUK ändern

Die PUK muss, wie der PIN, zwischen 6 und 8 Charakters lang sein, was euch an gezeigt wird. Nach der Eingabe klickt ihr auf den Button “Change PUK

PIV - PUK ändern
PIV – PUK ändern

Es erscheint eine kurze Meldung, dass der PUK erfolgreich geändert wurde.

PIV - PUK erfolgreich geändert
PIV – PUK erfolgreich geändert

Management Key

Nachdem nun die PIN und die PUK geändert sind, ist die Funktion “Management Key” zu deaktieren. Es wird PUK verwendet.

PIV - Management Key
PIV – Management Key

Wählt ihr nun nur “Protect with PIN” aus könnt ihr die Änderung nicht speichern.

PIV - Management Key - Protect with PIN
PIV – Management Key – Protect with PIN

Ihr müsst zum Speichern einen “Management Key” erzeugen …

PIV - Management Key - Protect with PIN
PIV – Management Key – Protect with PIN

… und zum Speichern euren neuen PIN eingeben.

PIV - Management Key - Änderung speichern
PIV – Management Key – Änderung speichern

PIV - Changed the Management Key
PIV – Changed the Management Key
Anzeige/Werbung

FIDO2

FIDO2 ist DER neue Standard, um den Zugriff auf Benutzerkonten sicherer zu gestalten.
Das Ziel ist die Anmeldung mit Passwörtern durch die passwortlose Anmeldung mit den sehr sicheren Hardwaretoken, wie den YubiKey, zu ersetzen.
Eine ausführliche Beschreibung findet ihr auf der Seite der FIDO Allicance
https://fidoalliance.org/fido2/

Ein gutes Beispiel hierfür ist die Anmeldung an Microsoft 365, die ich hier beschreibe.
YubiKey 04 – Passwortlose Anmeldung an Microsoft 365

Mittlerweile gibt es auch immer mehr Dienste, die dieses Verfahren der Anmeldung unterstützen.

Ich habe hier im Blog bereits einen Beitrag dazu geschrieben, da Nextcloud das Anmeldeverfahren bereits seit einiger Zeit ebenfalls unterstützt.
Nextcloud – FIDO2 und WebAuthn zur Anmeldung nutzen

Applications - FIDO2
Applications – FIDO2

Den PIN bzw. das Passwort ändert ihr mit einem Klick auf “FIDO2 PIN“. Das Wort PIN ist vielleicht ein wenig irreführend, ihr könnt auch ein langes Passwort mit einer komplexen Zusammensetzung verwenden. Es sollte jedoch leicht zu merken sein, da ihr es ggf. auch recht häufig eingeben müsst.

FIDO2 PIN vergeben
FIDO2 PIN vergeben
FIDO2 PIN vergeben
FIDO2 PIN vergeben
FIDO2 PIN vergeben
FIDO2 PIN vergeben
FIDO2 PIN vergeben
FIDO2 PIN vergeben

Damit sind nun alle Standardpasswörter auf dem YubiKey geändert und der Hardwaretoken kann für eure Anforderungen verwendet werden.

Im nächsten Beitrag geht es um die Speicherung von Einmalpasswörtern (=One-Time-Passwords) auf dem YubiKey, um Anmeldungen an Diensten durch einen zweiten Faktor abzusichern.
YubiKey 02 – Einmalpasswörter (OTPs) speichern

(**) Produktpreise und -verfügbarkeit sind zum angegebenen Datum / Uhrzeit korrekt und können sich ändern. Alle Preis- und Verfügbarkeitsinformationen auf https://www.amazon.de/ zum Zeitpunkt des Kaufs gelten für den Kauf dieses Produkts.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.