Skip to content
#
Magazin

Yubico OTP (One-Time Password) – Der YubiKey Guide – Teil 2

Was sind One-Time Passwords?

OTP steht für One-Time Password zu Deutsch Einmalpasswort und genau das ist OTP auch. One-Time Passwords werden gerne für 2 Faktor Authentifizierung verwendet, weil sie ein hohes Maß an Sicherheit gewährleisten und dabei einfach zu verwenden sind.
Man unterscheidet im Allgemeinen zwischen zwei Arten von OTP Passwörtern:

HOTP – HMAC-based One-Time Password
TOTP – Time-based One-Time Password

Eigentlich unterscheiden sich diese beiden Methoden nicht großartig voneinander. Sie haben meist dasselbe Ziel, nämlich einen starken zweiten Faktor für Logins bereitzustellen. Allerdings setzen die beiden OTP Varianten sich aus unterschiedlichen Informationen zusammen, hierzu aber später mehr.

One-Time Passwords werden wie der Name vermuten lässt, genau ein einziges Mal verwendet. Sie werden direkt in dem Moment generiert, in dem der Nutzer sie benötigt und sind meist nur für eine gewisse Zeit lang gültig.

OTP Lösungen können als Soft- und Hardware vorkommen und genutzt werden. Früher waren sogenannte Dongles oder Tokens, die man am Schlüsselbund getragen hat, gerade bei Unternehmen besonders weit verbreitet.
Heutzutage setzen viele Anwender auf eine etwas bequemere Software Lösung wie beispielsweise den Google Authenticator. Diese Software wird auf dem Smartphone installiert und kann beliebig viele „Token“ verwalten.

Beide Konzepte funktionieren nach dem gleichen Prinzip. Der Benutzer bekommt, meist alle 60 Sekunden ein neues OTP angezeigt, dass er beim Login als Second Factor eingeben muss. Dieser meist 6 oder 8-stellige Code ist immer nur genau 60 Sekunden gültig. In diesen 60 Sekunden muss der Benutzer ihn von seinem Hardware Token oder dem Smartphone ablesen und im Login Bildschirm des Online Dienstes oder des Computers eingeben. Nachdem die 60 Sekunden abgelaufen sind, wird automatisch ein neuer Code generiert und nur dieser ist dann noch gültig.

Um sicherzustellen, dass der Benutzer auch den richtigen bzw. den legitimen Code verwendet, vergleicht der Dienst den eingegebene Code mit seinem eigenen Code-Generator. Denn auch auf dem Server oder dem lokalen Computer läuft dieselbe Software zur Generierung dieser One-Time Passwörter. Die beiden Generatoren, also der am Server und der beim Benutzer (Soft- oder Hardware) müssen natürlich synchron laufen, damit dieses Verfahren funktionieren kann.

Wie funktioniert OTP im Detail?

Vereinfacht kann man die Erzeugung eines One-Time Passwords wie folgt erklären:
Im ersten Schritt nimmt der OTP Generator (Hardware Token oder App auf dem Smartphone) einen einmal gespeicherten geheimen Schlüssel und verrechnet diesen mit einem weiteren Faktor, wir nennen diesen jetzt einfach mal Zahl, denn nichts anderes ist er eigentlich. Anschließend spukt der OTP Generator eine 6 oder 8-stellige Zahl aus.

TOTP – Time-based One-Time Password

Beim TOTP Verfahren wird der geheime Schlüssel zusammen mit der aktuellen Systemzeit verarbeitet und daraus ein OTP generiert. Beim Time-based OTP Verfahren wird meist ein kürzerer Timer verwendet, als bei HOTP. Dieser verkürzte Timer umfasst in der Regel nur 30 Sekunden, nicht wie bei HOTP 60 Sekunden.

HOTP – HMAC-based One-Time Password

Beim HOTP Verfahren wird ein geheimer Schlüssel zusammen mit einem Counter verarbeitet und daraus das OTP erzeugt. Dieser Zähler wird alle 60 Sekunden um 1 angehoben und ist dadurch für jedes neue OTP individuell.

Sie haben Fragen zum Thema YubiKey?

Vorteile des YubiKey One-Time Passwords gegenüber anderen OTP Generatoren

Der wohl gravierendste Unterschied zwischen dem YubiKey OTP Modus und herkömmlichen Lösungen wie beispielsweise dem Google Authenticator ist die Tatsache, dass der Nutzer das One-Time Passwort mit einem YubiKey nicht mehr selbst von Hand eintragen muss. Wird der YubiKey beim Login Prozess angesteckt und der Button auf der Oberseite gedrückt, fügt er selbstständig das generierte One-Time Passwort in das entsprechende Feld ein.
Das hat neben dem Usability Aspekt zudem den Vorteil, dass deutlich längere OTPs generiert werden können, als das bei einer Eingabe von Hand praktikabel wäre. Die OTPs des YubiKeys sind 32 Zeichen lang und nicht wie bei den bereits vorgestellten Lösungen 6 bzw. 8 Zeichen. Das erhöht die Sicherheit des Verfahrens nochmals erheblich.

Ein weiterer entscheidender Vorteil des YubiKeys ist der verwendete geheime Schlüssel. Bei den meisten gebräuchlichen Lösungen am Markt ist dieser Schlüssel vom Hersteller auf dem Hardware Token bereits von Werk aus „eingebrannt“. Das bedeutet er kann nicht verändert oder verifiziert werden. Gerne wird ein und derselbe geheime Schlüssel auf verschiedenen Geräten verwendet, was sich negativ auf die Sicherheit auswirken kann. Bei YubiKeys ist dieser Prozess anders. Als Unternehmen oder auch als versierter Privatanwender ist es möglich, den geheimen Schlüssel selbst zu erzeugen und auf dem YubiKey zu hinterlegen. Dadurch behält der Anwender zu jeder Zeit die volle Kontrolle über diesen und kann ihn nach Bedarf ändern.

In 10 Schritten One-Time Passwords auf deinem YubiKey einrichten – einfach und unkompliziert

Damit Sie Ihren YubiKey sicher für die 2 Faktor Authentifizierung bei Online Diensten nutzen können, müssen Sie eigentlich gar nichts machen. Der YubiKey kommt fertig konfiguriert zu Ihnen nach Hause.

Für alle diejenige die aber selbst einen sicheren geheimen Schlüssel auf Ihrem YubiKey hinterlegen wollen, ist der nachfolgende Teil gedacht.

Schritt 1

Um Ihren YubiKey online verwenden zu können, müssen Sie als erstes Ihr YubiKey Personalization Tool auf dem Computer starten. Der YubiKey sollte jetzt bereits an einem freien USB Port Ihres Computers angesteckt sein.

Schritt 2

Jetzt wählen Sie oben im Menü den Menüpunkt „Yubico OTP“ aus.

Schritt 3

Anschließend klicken Sie auf „Quick“. Der Menüpunkt „Advanced“ ist hauptsächlich für Unternehmensanwendung gedacht und ermöglicht der EDV Abteilung eines Unternehmens die Programmierung mehrerer YubiKeys hintereinander.

Schritt 4

Als nächstes wählen Sie oben unter „Configuration Slot“ den Slot aus, auf dem Sie das Yubico One-Time Passwort nutzen möchten. Welcher Ihrer Slots bereits belegt ist, können Sie rechts im Seitenmenü unter „Programming status“ sehen. In unserem Fall ist der Slot 1 bereits konfiguriert / belegt, daher wählen wir den Slot 2 für das OTP aus.

Schritt 5

Wenn Sie absolut auf Nummer sichere gehen möchten, können Sie jetzt noch einige Male auf den „Regenerate“ Button unten im Menüabschnitt „Actions“ klicken. Sobald Sie den Haken bei „Hide values“ entfernt haben, sehen Sie auch wie sich Ihre „Public Identity“, „Private Identity“ und der „Secret Key“ verändern.

Die hier aufgeführten Werte sind für Sie als Anwender nur Nebensache. Sie können nicht damit interagieren oder sie anderweitig verändern. Sie werden automatisch mit Hilfe Ihres YubiKeys und Ihres Computers zufällig erzeugt.

Schritt 6

Um Ihren erzeugten geheimen Schlüssel jetzt auf Ihrem YubiKey zu speichern, klicken Sie einfach im Menüabschnitt „Actions“ auf den Button „Write Configuration“. Während des Vorgangs leuchtet das Licht Ihres YubiKeys eine Weile durchgehend auf.

Schritt 7

Anschließend sollten Sie am oberen Rand des Menüs die Mitteilung sehen, dass Ihr YubiKey erfolgreich konfiguriert wurde. Im rechten Seitenmenü wird jetzt auch angezeigt, dass der Slot 2 ebenfalls konfiguriert ist.

Schritt 8

Der letzte Schritt ist jetzt Ihren erzeugten Schlüssel bei Yubico zu hinterlegen. Hierzu klicken Sie nach erfolgreicher Konfiguration auf den Button „Upload to Yubico“ im Menüabschnitt „Actions“.

Sie werden anschließend auf die Webseite https://upload.yubico.com/ in Ihrem Browser weitergeleitet.

Bitte überprüfen Sie unbedingt die URL die sich in Ihrem Browser öffnet. Es muss genau die hier genannte Adresse erscheinen. Anderenfalls ist es sehr wahrscheinlich, dass etwas nicht stimmt. Sie sollten dann den Vorgang abbrechen und die Einrichtung auf einem anderen Computer durchführen. Zudem sollten Sie Ihren Computer mit einem Anti-Viren Scanner untersuchen, um eventuelle Malware zu beseitigen.
Adresse prüfen!
unbedingt bachten

Wenn bei Ihnen alles so angezeigt wird, wie beschrieben können Sie guten Gewissens Ihre E-Mail-Adresse eintragen.
Anschließend müssen Sie in das Feld „OTP from YubiKey“ klicken und auf den Knopf auf Ihrem YubiKey drücken. Sie werden sehen, dass wie von Zauberhand eine Zeichenfolge in das Feld eingefügt wird.

Das ist Ihr One-Time Passwort, welches Ihr YubiKey in diesem Moment generiert hat. Zu guter Letzt müssen Sie noch bestätigen, dass Sie kein Roboter sind und zum Abschluss des Vorgangs auf „Upload AES key“ klicken.

Schritt 9

Wenn alles erfolgreich war, bekommen Sie die Nachricht angezeigt „Success! Key upload successful“
Sollte bei Ihnen ein Fehler aufgetreten sein, prüfen Sie ob Sie den richtigen Slot Ihres YubiKeys bei der Eingabe ins Feld „OTP from YubiKey“ verwendet haben. Wenn Sie wie hier in diesem Beispiel den Slot 2 verwendet haben, müssen Sie lange auf den Knopf an Ihrem YubiKey drücken, um den richtigen Slot zu aktivieren.

Schritt 10

Als finalen Schritt können Sie nun noch Ihren hinterlegten Schlüssel testen lassen.
Dazu navigierst Sie entweder über den Link unterhalb der Tabelle, oder direkt mit diesem Link auf die entsprechende Seite:

https://demo.yubico.com/otp/verify

Klicken Sie jetzt mit Ihrer Maus in das entsprechende Feld und drücken den Knopf auf Ihrem YubiKey. Anschließend klicken Sie auf „VALIDATE“ um Ihr One-Time Passwort abzugleichen. Wenn alles in Ordnung ist, bekommen Sie im Feld „Previously validated OTPs“ einen grünen Haken vor dem generierten OTP.
Sollten Sie keinen grünen Haken angezeigt bekommen, müssen Sie den Prozess von Schritt 1 an nochmal wiederholen.

Sollten Sie beim Einrichten Ihres YubiKeys noch mehr Sicherheit haben wollen, empfehlen wir die Einrichtung in einer Virtuellen Maschine durchzuführen. Zusätzlich könne Sie noch einen VPN oder das TOR Netzwerk für die Verbindung zu den Yubico Servern nutzen. Das stellt sicher, dass keinerlei Malware auf Ihrem Rechner die Schlüssel bei der Erzeugung oder beim Übertragen an die Yubico Server auslesen kann.
Tipp für erfahrene Anwender: