Pseudo-2FA mit statischen Passwörten und dem Yubikey Neo

Ich habe mir zum Erweitern meines Horizonts und zum Spielen einen Yubikey Neo gekauft, doch bevor ich zum ersten Einsatzzweck den SSH-Login an meinem Server mit einem Yubikey und OTP realisiere, war mir ein kleinerer Schritt wichtiger, um die Praktikabilität überhaupt erst einmal auszutesten.

Der Einsatzzweck:

  • Absichern meiner Passwortdatenbank mit einem zweigeteilten Schlüssel (Pseudo-2FA)
    • Der eine Teil befindet sich in meinem Gedächtnis
    • Der zweite Teil wird vom Yubikey statisch beigesteuert
  • Kompatibilität via NFC mit meinem Android-Gerät, da ich die Passwortdatenbank ab und an auch unterwegs öffnen muss. Ein OTG-Kabel ist an dieser Stelle zu unpraktisch.

Die Umsetzung:

Der erste Teil ist nicht besonders erwähnenswert:

  1. Installieren des PPAs (unter Ubuntu) zur Konfiguration des Yubikeys: https://launchpad.net/~yubico/+archive/ubuntu/stable
  2. Verwenden eines statischen Passworts:
    yubikey_program1
  3. Programmieren des Passworts auf Slot 2 (zur finalen Konfiguration sollte „Configuration Protection“ aktiviert werden):
    yubikey_program2

Somit tippt der Yubikey am PC beim langen Drücken auf den Taster das gesetzte Passwort „foobar“ ohne Probleme. Doch um dieses auch per NFC auf das Androidgerät zu bringen, sind die folgenden Schritte notwendig:

  1. Installieren der Android-App YubiClip
    install_yubiclip
  2. Setzen der entsprechenden Einstellungen innerhalb der App:
    settings_yubiclip
  3. Nun lauscht die App auf alle NFC-URI-Requests, die an die URL https://my.yubico.com/neo/ gehen und zieht sich daraus den nachfolgenden Text.
  4. Konfigurieren der NFC-Funktionalität des Yubikeys:
    yubikey_program3
  5. Verwendung des oben genannten Slots 2 für den statischen Key:
    yubikey_program4

Wenn der Yubikey nun an das NFC-fähige Android-Gerät gehalten wird, wird der statische Key in die Zwischenablage kopiert und kann dann bei der Eingabe des Passwortes ergänzt werden.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.