Ich habe selbst einen Yubikey am Schlüsselbund.
Habe ihn auch eine Zeitlang zur SSH-Anmeldung an den von mir
betreuten Linuxserver benutzt. Das war dann über den von Yubico
bereitgestellten Authentification Server.
Der zweite Schritt war dann auf OATH-HOTP zu wechseln. Ich hatte
bedenken nicht in meine Server zu kommen wenn die Yubico-Services
nicht erreichbar sein sollten. Das Gegenstück auf dem Server ist das
oath-toolkit:
>Â http://www.nongnu.org/oath-toolkit/
Aber die Yubicos können von sich aus nur oath-hotp - denn sie haben
keine eigene Batterie und keine interne Uhr.
Für TOTP wird eine weitere Software auf dem PC benötigt. Der Yubikey
liefert dann nur einen Schlüssel an diese Software, welche dann den
TOTP-Key berechnet. Für unterwegs/an einem fremden Rechner ist dies
aber wahnsinnig unpraktisch.Â
Daher bin ich dazu übergegangen TOTP mit dem oath-toolkit und der
AndroidAPP FreeOTP die 2FA zu realisieren. Dort habe ich nurn eine
8Stellige Zahlenfolge die für 30sec gültig ist.
Wem das zu unsicher ist - es gibt auch Hardware Tokens die nach OATH
Standard funktionieren. (Das war mir aber bisher zu teuer)
>Â http://www.rcdevs.com/tokens/?type=hardware
//Es gibt auch den Yubikey NEO mit NFC. Mit einer dazugehörigen APP
lässt sich dann ebenfalls TOTP Key auf dem Handy berechnen - Sehe
hier aber keinen echten Sicherheitsgewinn im Vergleich zu FreeOTP.
Außer dass der AES-Key nicht dauerhaft auf dem Handy hinterlegt
ist...
Das google-authenticator PAM-Modul habe ich mir nur kurz angesehen -
und dann entschiden dass ich Google die Anmeldung am Server nicht
anvertrauen möchte. Deshalb das Opensource oath-toolkit :-)
Habe ihn auch eine Zeitlang zur SSH-Anmeldung an den von mir
betreuten Linuxserver benutzt. Das war dann über den von Yubico
bereitgestellten Authentification Server.
Der zweite Schritt war dann auf OATH-HOTP zu wechseln. Ich hatte
bedenken nicht in meine Server zu kommen wenn die Yubico-Services
nicht erreichbar sein sollten. Das Gegenstück auf dem Server ist das
oath-toolkit:
>Â http://www.nongnu.org/oath-toolkit/
Aber die Yubicos können von sich aus nur oath-hotp - denn sie haben
keine eigene Batterie und keine interne Uhr.
Für TOTP wird eine weitere Software auf dem PC benötigt. Der Yubikey
liefert dann nur einen Schlüssel an diese Software, welche dann den
TOTP-Key berechnet. Für unterwegs/an einem fremden Rechner ist dies
aber wahnsinnig unpraktisch.Â
Daher bin ich dazu übergegangen TOTP mit dem oath-toolkit und der
AndroidAPP FreeOTP die 2FA zu realisieren. Dort habe ich nurn eine
8Stellige Zahlenfolge die für 30sec gültig ist.
Wem das zu unsicher ist - es gibt auch Hardware Tokens die nach OATH
Standard funktionieren. (Das war mir aber bisher zu teuer)
>Â http://www.rcdevs.com/tokens/?type=hardware
//Es gibt auch den Yubikey NEO mit NFC. Mit einer dazugehörigen APP
lässt sich dann ebenfalls TOTP Key auf dem Handy berechnen - Sehe
hier aber keinen echten Sicherheitsgewinn im Vergleich zu FreeOTP.
Außer dass der AES-Key nicht dauerhaft auf dem Handy hinterlegt
ist...
Das google-authenticator PAM-Modul habe ich mir nur kurz angesehen -
und dann entschiden dass ich Google die Anmeldung am Server nicht
anvertrauen möchte. Deshalb das Opensource oath-toolkit :-)