Hardware Security Keys: Unterschied zwischen den Versionen
| Zeile 63: | Zeile 63: | ||
Der OnlyKey kann sich in einem von 3 Modi befinden: Unconfigured, Locked oder Unlocked. | Der OnlyKey kann sich in einem von 3 Modi befinden: Unconfigured, Locked oder Unlocked. | ||
| − | Merke: Halte eine Taste laenger als '''5 Sekunden''' und es wird eine Sonderfunktion ausgeloest. | + | Merke: Halte eine Taste laenger als '''5 Sekunden''' und es wird eine Sonderfunktion ausgeloest. Es erfolgt keine QUittung (LED, etc.) nach 5 Sekunden. Einfach Taste festhalten zaehlen 21,22,... und dann loslassen. |
Merke: Zum Entsperren (Locked->Unlocked) kann man durch Eingabe einer PIN (2 zur Wahl) entscheiden welches Profil genutzt wird. | Merke: Zum Entsperren (Locked->Unlocked) kann man durch Eingabe einer PIN (2 zur Wahl) entscheiden welches Profil genutzt wird. | ||
| Zeile 70: | Zeile 70: | ||
{| class="wikitable" | {| class="wikitable" | ||
| − | !colspan="4"|Tastenbelegung | + | !colspan="4"|Tastenbelegung (Unlocked and Configured) |
|- | |- | ||
!Tastenberührung !! <1 Sekunde !! >1 Sekunde !! >5 Sekunden | !Tastenberührung !! <1 Sekunde !! >1 Sekunde !! >5 Sekunden | ||
|- | |- | ||
| − | |Taste 1 || Ausgabe Slot 1a || Ausgabe Slot 1b || Backup | + | |Taste 1 || Ausgabe Slot 1a || Ausgabe Slot 1b || Backup |
|- | |- | ||
| − | |Taste 2 || Ausgabe Slot 2a || Ausgabe Slot 2b || Ausgabe Labels | + | |Taste 2 || Ausgabe Slot 2a || Ausgabe Slot 2b || Ausgabe Labels |
|- | |- | ||
| − | |Taste 3 || Ausgabe Slot 3a || Ausgabe Slot 3b || Lock | + | |Taste 3 || Ausgabe Slot 3a || Ausgabe Slot 3b || Lock |
|- | |- | ||
|Taste 4 || Ausgabe Slot 4a || Ausgabe Slot 4b || | |Taste 4 || Ausgabe Slot 4a || Ausgabe Slot 4b || | ||
Version vom 23. Mai 2021, 10:24 Uhr
Inhaltsverzeichnis
Allgemeines
Die letzten Jahre begegnen mir immer mal wieder Artikel zu (Hardware) Security Keys. Richtig durchgesetzt hat sich da aber irgendwie noch nix. Ich war eher verunsichert über das Leistungsvermögen mancher (Billig-)Keys. Key A kann das nicht, Key B unterstützt nur den Standard, Key C bietet kein NFC, usw. Irgendwie hat mich kein Key so überzeugt, dass ich schon vor Jahren mal einen gekauft hätte. Abgesehen davon, dass bestimmte Keys schwer oder gar nicht zu bekommen sind. Also den Markt mal ein bisschen beobachtet und sondiert. Jetzt (05/2021) war es soweit, dass ich mal einfach 2 verschiedene Keys zum Probieren gekauft habe.
ONLYKEY
(05/2021: 63,00 USD (incl.Steuer und Versand)
Inbetriebnahme
QUICKSTART: auspacken, einstecken (USB-A), Texteditor gestartet, Button 3 für 5 Sekunden gedrückt.
(Hinweis: Es wird eine QWERTY-Tastatur emuliert, d.h im nachfolgenden Text habe ich alle ZY getauscht und die Sonderzeichen korrigiert. Also spaeter noch auf das deutsche Tastaturlayout umstellen.)
*** WELCOME TO ONLZKEZ QUICK SETUP *** RUN THIS SETUP FROM A TRUSTED COMPUTER AND CAREFULLY WRITE DOWN PINs AND PASSPHRASE. STORE IN A SECURE LOCATION SUCH AS A SAFE WHEN FINISHED DELETE THIS TEXT Three different PIN codes will be set up on zour OnlyKey The first PIN unlocks your primary profile (i.e Personal Accounts) The second PIN unlocks an additional profile (i.e. Work Accounts) The third PIN is your self-destruct PIN use this to wipe/factory default device To choose the PINs yourself press 1 on OnlyKey, for random PINs press 2 you have 20 seconds starting now... Your OnlyKey will now be configured automatically with random PINs/Passphrase YOUR ONLYKEY PIN IS 1234567 YOUR ONLYKEY SECOND PROFILE PIN IS: 7654321 YOUR ONLYKEY SELF-DESTRUCT PIN IS: 1237654 YOUR ONLYKEY BACKUP PASSPHRASE IS: kjsdfllkjdfdv235trfjh2423hlk To start using OnlyKey enter your primary or secondary PIN on the OnlyKey 6 button keypad. OnlyKey is ready for use as a securitz key (FIDO2-U2F) and for challenge-response. For additional features such as password management install the OnlyKey desktop app - https://onlykey.io-app *** SETUP COMPLETE, DELETE THIS TEXT ***
Fehlt nur noch der Text: "Diese Nachricht zerstoert sich in 10 Sekunden selbst."
Für Linux wird ein Debian-Package angeboten, das sich leider nicht auf OpenSuse installieren laesst. Auch ein eine Konvertierung nach rpm mittels 'alien -r' war nicht (ohne weiteres; mehrere File-Konflikte mit bestehenden Paketen) moeglich.
Evtl. Loesung mit Hilfe einer Snap-Installation:
Ein Umwandlung des deb-Package zu einem Tarball (tgz) mit anschlieszender 'Installation' in das /opt Verzeichnis funktionierte reibungslos. (Hinweis: Da sich der Pfad ./opt im tgz befindet sollte man das Entpacken im root / starten.) Das Programm liesz sich im Anschluss mit './nw' starten.
Benutzung
Der OnlyKey kann sich in einem von 3 Modi befinden: Unconfigured, Locked oder Unlocked.
Merke: Halte eine Taste laenger als 5 Sekunden und es wird eine Sonderfunktion ausgeloest. Es erfolgt keine QUittung (LED, etc.) nach 5 Sekunden. Einfach Taste festhalten zaehlen 21,22,... und dann loslassen.
Merke: Zum Entsperren (Locked->Unlocked) kann man durch Eingabe einer PIN (2 zur Wahl) entscheiden welches Profil genutzt wird.
Achtung: Bevor man den "Selbstzerstörung-PIN" eingibt, sollte man ein Backup angelegt haben!;-)
| Tastenbelegung (Unlocked and Configured) | |||
|---|---|---|---|
| Tastenberührung | <1 Sekunde | >1 Sekunde | >5 Sekunden |
| Taste 1 | Ausgabe Slot 1a | Ausgabe Slot 1b | Backup |
| Taste 2 | Ausgabe Slot 2a | Ausgabe Slot 2b | Ausgabe Labels |
| Taste 3 | Ausgabe Slot 3a | Ausgabe Slot 3b | Lock |
| Taste 4 | Ausgabe Slot 4a | Ausgabe Slot 4b | |
| Taste 5 | Ausgabe Slot 5a | Ausgabe Slot 5b | |
| Taste 6 | Ausgabe Slot 6a | Ausgabe Slot 6b | Konfiguration |
Doppelt ACHTUNG: Der OK-Stick ist in diesem Einsatzzweck ein Tastaturemulator, ohne Rückkopplung des Zustandes des entprechenden Endgeraetes an dem er angesteckt ist. Da er wie ein Makro-Recorder seine Sloteinstellungen stupide an die aktuelle Cursorposition ausgibt ist einem Missbrauch oder einer Fehlleitung der Passwoerter damit Tuer und Tor geoeffnet. Ein falsche Berührung im Unlocked-Mode führt u.U. zur Kompromittierung eines Passwortes.
Ein Nutzung fuer einen sensiblen Account (Bank, Paypal, etc.) schliesze ich damit fuer mich aus! Accounts der zweiten Stufe (ebay, amazon, ...) nutze ich nur mit 2FA. Da ich viele sensible Passwoerter (>8Aa#) eh auswendig kenne, lohnt sich der Einsatz von OnlyKey fuer mich nur bei sicherungswuerdigen Accounts, die man haeufig eingeben muss, aber keinen sonderlich sensiblen Character haben.
Hier noch ein nuetzlicher Link zur Kompromittierung eines Accounts.
(Einsatz-)Möglichkeiten
Passwortsafe
Es besteht die Möglichkeit 2 mal 12 Datensaetze auf dem Key-Stick zu speichern. Ein Datensatz kann eine Vielzahl von Informationen in sich tragen.
ssh Key
WebCrypt
FIDO
SYSADMIN-Mode
Der SYSAdmin-Mode macht den Key durchaus interessanter. Da in diesem Mode nicht nur wie im reinen 'Passwortsafe-Mode' auszer TAB und RETRUN viele weitere Tasten zur Verfuegung stehen. Damit waere auch moeglich erst ein Macro oder einen Programmaufruf zu initiieren und dann erst eine Folge von Authentifizierungsdaten zu senden.
Ctrl (\c) Shift (\s) Alt (\a) Windows (PC) or Clover (Mac) (\g) Tab (\t) Return (\r) Printscreen (\p) Home (\h) Page Up (\u) Page Down (\o) End (\e) Delete (\d) Backspace (\b) Arrow-Up (\U) Arrow-Down (\D) Arrow-Left (\L) Arrow-Right (\R) Escape (\E) Delay (#) # is number of seconds to wait
ACHTUNG: Wenn man den SYSADMIN-Mode aktiviert hat muss man ab dann zum Schreiben von Slot-Werten erst in den Config-Mode wechseln.
(Anpassungs-)Möglichkeiten
Autolock
Tastaturlayout
LED-Farben
Steady green light = Unlocked No light = Locked Single yellow flash = Button pressed for PIN entry 3 red flashes = Wrong PIN Continuous red flashes = Exceeded PIN tries Continuous green flashes = Backup and restore is complete. Blue blink then green blink = FIDO U2F request Blue blink on/off = FIDO2 request Purple fade in and fade out - Private key signing request (SSH or PGP) Turquoise fade in and fade out - Private key decryption request Red fade in and fade out - Device is in config mode Steady white light - Device is in bootloader mode, use the OnlyKey app to load firmware.
Sonderfunktionen
Open a text editor and then hold down the 2 button on OnlyKey for 5+ seconds. OnlyKey will type out your slot labels.
Yubico YubiKey 5 NFC
(05/2021: 45,90 Euro)
Die automatische Aktualisierung der Kommentare aktivieren.