YubiKey oder OnlyKey ?

[hobbyadmin]

Moin!
Da habe ich wieder viele interessante Aspekte kennen gelernt.
Das mit dem Smartphone werde ich zumindest mal probieren. Bisher passten die Begriffe "Google" und "Sicherheit/Privatsphäre" für mich nicht so richtig zusammen. Aber ich werde das mal testen.

Was mir nicht ganz klar ist:
Ist der YubiKey das ausgereifte Produkt und der OnlyKey ist noch in so einer Art Entwicklungszustand, die beim Kunden reift? Oder sind das beides ausgereifte Produkte?

[mcb]

Moin!
Da habe ich wieder viele interessante Aspekte kennen gelernt.
Das mit dem Smartphone werde ich zumindest mal probieren. Bisher passten die Begriffe "Google" und "Sicherheit/Privatsphäre" für mich nicht so richtig zusammen. Aber ich werde das mal testen.

Was mir nicht ganz klar ist:
Ist der YubiKey das ausgereifte Produkt und der OnlyKey ist noch in so einer Art Entwicklungszustand, die beim Kunden reift? Oder sind das beides ausgereifte Produkte?

Yubi hat schon mehrmals Keys austauschen müssen ... Wäre nicht meine erste Wahl.

Für Android gibt es alternativ andOTP.

[MSfree]

Yubi hat schon mehrmals Keys austauschen müssen

Yubi hat bisher nur einmal eine Serie tauschen müssen, und zwar die, die für US-Regierungsstellen besonders zertifiziert waren. Also bitte nicht übertreiben.

[debianuser4782]

Moin!
Da habe ich wieder viele interessante Aspekte kennen gelernt.
Das mit dem Smartphone werde ich zumindest mal probieren. Bisher passten die Begriffe "Google" und "Sicherheit/Privatsphäre" für mich nicht so richtig zusammen. Aber ich werde das mal testen.

Der Google-Authenticator ist eine Sicherheitsschicht mehr. Hier will ich nochmal meine obige Quelle an andere Stelle zitieren:
Trotz gewisser Schwächen in den Implementierungsdetails bewirkt die Nutzung der Zwei-Faktor-Authentifizierung sogar mit dieser App einen großen Zugewinn an Sicherheit, da der Aufwand für einen Angreifer bei Einsatz dieses Verfahrens erheblich höher ist als bei einer Ein-Faktor-Authentifizierung nur über ein Passwort. https://de.wikipedia.org/wiki/Google_Authenticator

Dass Sicherheitstechniken wie TOTP auf Smartphones über Apps in Vielzahl auftauchen, hat nicht zuletzt damit zu tun, dass über Smartphones mehr Kunden zu erreichen sind. Smartphones sind stark technik- und medienkonvergent, die Mutter der Netzwerkeffekte und "Always-On". Zudem ist Smartphonesoftware weitgehend closed-source. Hardware-Token sind dagegen "Always-Off" und hard- sowie softwareseits spezifisch auf die vergleichsweise wenigen Sicherheitsfunktionen zugeschnitten. Sie sind damit stark auf harte Systemtrennung fokussiert. Deswegen verwässern mM nach Smarphones Sicherheitstechniken wie zB TOTP.

Was mir nicht ganz klar ist:
Ist der YubiKey das ausgereifte Produkt und der OnlyKey ist noch in so einer Art Entwicklungszustand, die beim Kunden reift? Oder sind das beides ausgereifte Produkte?

Das kann man wohl so sagen. Der Chip auf dem Onlykey ist zudem viel komplexer. Das hat Vor- und Nachteile. Vorteil ist wohl, dass die Firmware nach Veröffentlichung der jeweiligen Onlykey-Serie großzügiger gewartet und um Funktionen erweitert werden kann. Nachteil ist, dass Komplexitätsanhäufung in Systemen immer auch die Anhäufung von - zu ungeplanten Funktionen ausnutzbaren - Lücken bedeuten kann. Open-Hardware sind der Only- und Yubikey wohl nicht. Hier punkten dagegen die Nitrokeys. Eine Checksumme für Hardware gibt es, anders als bei Software, aber trotzdem nicht. Die Anbieter des Onlykey argumentieren glaube ich, dass sie eine breite und technikaffine Kundschaft aus der Open-Source-Community haben, die ihre Software unter die Lupe nehmen können, ebenso wie den OnlyKey selbst im Betrieb, zB auf einer quelloffenen Linux-Distribution. Mehr dazu kann man über meine erste Verlinkung lesen.

[mcb]

Yubi hat schon mehrmals Keys austauschen müssen

Yubi hat bisher nur einmal eine Serie tauschen müssen, und zwar die, die für US-Regierungsstellen besonders zertifiziert waren. Also bitte nicht übertreiben.

Nö - das waren auch Privatkunden - aber es ist lang her - wer es ließt bitte selber googlen. Ich habe mich aus diesem Grund für OpenSource-Dongles entschieden.

Ev. war ich mistaken: https://www.heise.de/security/meldung/Y ... 48794.html

Nr. 2 https://www.heise.de/security/meldung/S ... 21122.html

[uname]

@hobbyadmin
Vielleicht kannst du noch mal kurz schreiben, welche Anwendung du damit absichern willst.

[hobbyadmin]

Also zunächst wollte ich damit meinen Nextcloud-Zugang absichern.
Wenn das gut funktioniert, wollte ich dann Schritt für Schritt weiter gehen.
Also z.B. den Passwort-Manager absichern, Online-Konten absichern, usw.
Ganz am Ende dann vielleicht sogar die Anmeldung am Computer absichern.

Ich habe so ein Ding noch nie benutzt. Deshalb wollte ich so vorsichtig vor gehen.