Ich selber Nutze Yubikeys und bin damit vollends glücklich. Diese sind vor allem flach.
Der wesentliche Unterschied zwischen Nitrokey und Yubico ist, dass Nitrokey Open-Source ist. Für was du dich letztendlich entscheidest ist Ansichtssache. Sollte mit beiden funkionieren. Bei Yubico weiß ich, dass es mit all deinen Anforderungen definitiv funktioniert.
Aber egal für welche Variante du dich entscheidest, kaufe immer zwei. Einen für die normale Nutzung, den anderen als Backup. Sonst kann es passieren, dass du dich selber aussperrst bei Verlust oder Defekt.
Du solltest aber wissen, daß der Yubikey beim Öffnen der KeepassXC-Datenbank nicht als „echter“ 2. Faktor funktioniert sondern „nur“ 160 weitere Bit zum bestehenden Masterpasswort hinzufügt.
Auf einem komprommitierten System schützt Dich der Yubikey aber auch nicht mehr.
Ich hatte auch schon mal über einen Yubikey für KeePassXC nachgedacht aber die Idee wieder verworfen, weil alle Szenarien bei denen ein Yubikey mich besser schützen würde als Passphrase/Keyfile extrem unwahrscheinlich sind.
Natürlich gilt, wie immer, „Your System, your rules“
Ich bin gerade am gleichen Thema dran, privat (Ubuntu) mit sehr ähnlichem Nutzungsbedarf und stand vor exakt der selben Frage. Windows kommt bei mir beruflich ins Spiel, da auch dort die Einführung eines zweiten Faktors geplant ist (und ich das umsetzen darf).
Ich habe mir für das private Ausprobieren und „Erfahrungen sammeln“ jetzt einfach mal einen Nitrokey 3A Mini bestellt. Liegt derzeit noch in der Schublade, ich versuche mal, mich diese oder nächste Woche damit auseinanderzusetzen.
Die Absicherung von KeepassXC mit einem zusätzlichen Faktor hat für mich persönlich keine sonderlich große Priorität, da die mit einem langem Passwort verschlüsselte Datenbank ausschließlich auf einer mit einem noch längeren Passwort verschlüsselten Platte liegt.
Persönlich ist mir Nitrokey sympathischer, aber wenn sich damit nicht alle beruflichen Zwecke abdecken lassen, kann es für die Firma auch durchaus auf einen Yubikey (oder etwas ganz anderes) hinauslaufen.
So wie ich es verstanden habe, wird „reale“ 2FA von keepassxc generell nicht unterstützt, egal ob Yubi oder was anderes. Es gibt wohl nur den von @porcupine0815 beschriebenen „workaround“ für yubikey und onlykey, der tatsächlich nicht das ist, was man von 2FA erwartet.
Bisher ( da kein Zeitfenster genannt ) tatsächlich nicht, nein.
Der Nitrokey 3 konnte bis zu den „aktuellen“ (existieren schon eine kurze Weile) Test-Firmwareversionen - meines Wissens nach - bisher nichts außer FIDO2 & FIDO U2F.
Das reicht soweit Ich weiß für Nextcloud (2FA/Login per Fido 2/U2F), und Linux Login als auch Plattenverschlüsselung.
Natürlich reicht es auch für GrapheneOS, wobei auch zu bedenken ist, dass NFC nicht funktionieren würde, sollte man die „zukünftige“ Option nutzen wollen, „fido resident keys“ im Secure-Element zu speichern, siehe/suche Kommentar vom 14. Dezember 2022 - 7:54. Vermutlich ist das aber kein Negativpunkt gegenüber YubiKey, die können auch nicht zaubern.
Zu KeePassXC ist ja schon alles gesagt.
H/TOTP, und PGP¹ sind wohl inzwischen in der Test-Firmware verfügbar, aber solange diese nicht in der stabilen Firmware sind, sind sie nicht zum produktiven Einsatz tauglich.
Solange das Produkt nicht komplettiert ist, sollte man es aus meiner Sicht nicht unbedingt empfehlen. Wenn es das wäre, würde Ich es jedoch persönlich präferieren: Open-Source. Ich schreibe das nur, falls es übersehen wurde.
¹ mit Haken:
OpenPGP Card Alpha Veröffentlichung für Nitrokey 3
WARNUNG: Die aktuelle Implementierung ist eine Alpha-Version und eignet sich nur zum Testen. Updates können zu Datenverlusten führen (nur für OpenPGP-Schlüssel, andere Anwendungen sind davon nicht betroffen), und die Sicherheit der Schlüssel und PINs ist nicht garantiert.
H/TOTP, und PGP¹ sind wohl inzwischen in der Test-Firmware verfügbar, aber solange diese nicht in der stabilen Firmware sind, sind sie nicht zum produktiven Einsatz tauglich.
Habe ich es richtig verstanden, dass die Nitrokey 3-Software inzwischen final ist und demnach für PGP, H/TOTP, FIDO2 & FIDO U2F zu verwenden ist?
Ja, nicht wirklich final (es sollen ja z.B. noch Dinge hinzugefügt werden, wie die Nutzung des Secure Elements), aber die genannten Funktionen sind jetzt in der stabilen Firmware. (Edit: Wobei Ich mir bei HOTP nicht sicher bin, TOTP aber schon)
Meiner Meinung nach sind die Kernfunktionen endlich in einen ausreichenden Ausmaß implementiert, auch wenn sie noch verbessert werden. Damit lässt sich der Großteil der Nutzungszwecke abdecken. Aufgrund der stabilen Version sollte es auch keine ernsthaften Probleme geben.
Der Blogartikel von Nitrokey (vor 2 Wochen), in dem das angekündigt wurde, ist lesenwert. Die Vergleichsmatrix auf der Seite von Nitrokey wurde auch überarbeitet.
Laut der Ankündigung von Nitrokey wird an einer Unterstützung von KeepassXC für den Nitrokey 3 gearbeitet.
Unser Team arbeitet bereits an neuen Funktionen, wie dem Hinzufügen eines Passwortspeichers in Nitrokey 3, der Unterstützung des beliebten Passwortmanagers KeePassXC, PIV, um passwortlose Anmeldungen für Windows-Anwender in Unternehmen zu ermöglichen, der Integration von NitroPad bzw. HEADS für Measured Boot, der Integration von SE050 Secure Element und an der Verschlüsselung und Signierung von Daten in Webbrowsern mit Nitrokey 3 und ohne zusätzliche Client-Software.
Wann genau die kommt und wie die Umsetzung aussieht, bleibt aber abzuwarten.
Ein gutes Feature von den Yubikeys ist, dass sie TOPT seeds speichern können. Man braucht also die Seeds nur da drauf zu machen und kann sie dann auf PC, Smartphone etc mit den entsprechenden App nutzen.
Das ist m.E. nochmal besser, als die seeds in seinem Smartphone in einer App fest zu hinterlegen.
Das ist auf 32 seeds limitiert, aber das dürfte für viele ausreichen.
Auch, wenn die Frage hier schon ein paar Tage älter ist:
Ich spiele auch gerade mit dem Gedanken, mit einen *key zuzulegen. Ich schwanke zwischen Nitro und Yubi. Mir geht es im Wesentlichen darum, dass ich meine Keepass-Datenbank schützen möchte. Derzeit nutze ich KeepassXC (Win und Linux) sowie Keepass2Android. Mein Tresor liegt in einer selbst gehosteten Nextcloud und ist so auf allen Geräten verfügbar. Der Tresor ist mit einem Passwort und einer Schlüsseldatei geschützt. Diese liegt natürlich nicht in der Nextcloud.
Wer mein Telefon ungeplant in die Finger bekommt, hat nun natürlich den darauf gespeicherten Tresor und auch die Schlüsseldatei. Je besser das Passwort, desto schwieriger ist es auf einer Smartphone-Tastatur zu tippen. Biometrische Entsperrung ist bequem, aber auch nicht optimal.
Jetzt kommt der Yubi- bzw. Nitrokey zum Zuge: Wer mir mein Telefon entwendet, hat mit großer Wahrscheinlichkeit nicht den Key und kann den Tresor somit nicht entsperren. Auch wenn es sich hierbei nicht um echtes MFA handelt, würde das für mich ein Gewinn an Sicherheit bedeuten.
Jetzt kommt das Aber: KeepassXC soll ja mit Nitro- und Yubikey funktionieren. Unter Android scheint es keine Keepass-Anwendung zu geben, die den Yubi- oder Nitrokey unterstützt. Sehe ich das richtig?
Schade. Ich sehe auch gerade, dass die Synchronisation der Datenbankdatei mit KeepassDX im Vergleich zu Keepass2Android schwieriger ist. Der Zugriff per WebDAV bei Keepass2Android ist wirklich geschmeidig. Hier verlangt KeepassDX einige Klimmzüge mehr. Mal schauen.
Den erworbenen Nitrokey habe ich inzwischen durch physische Gewalteinwirkung versehentlich zerstört. Für die beruflichen Zwecke (inbs. MS 365, aber auch Google, PayPal und ähnliches) setze ich inzwischen auf Yubikey. Die Unterstützung bei den Diensten scheint tendenziell etwas breiter zu sein, es funktioniert halt out-of-the-box - was beim Nitrokey nicht immer gegeben war. (Nichtsdestotrotz würde ich privat wieder Nitrokey präferieren - schon um dem Opensource-Grundsatz treu zu bleiben.)
Privat hat sich für mich allerdings bislang kein wirkliches Nutzungsszenario abgezeichnet. Die Dienste, die ich hier überwiegend nutze, unterstützen und / oder brauchen i.d.R. kein MFA - und die Passwortlängen sind mehr aus ausreichend. Wenn ich irgendwann mal sehr viel Zeit habe, werde ich das Projekt -zumindest gedanklich- auch nochmal angehen, vermutlich aber primär mit Fokus auf der Absicherung der Endgeräte und Datenträger selbst.
bin heute mal wieder über die Nitrokey Seite gestolpert und hab gesehen, dass mittlerweile doch die meisten Funktionen umgesetzt wurden.
Ich würde gern so einen Key bei meinen Eltern einrichten um Ihre Standard Passwörter aufzunehmen, quasi den Klartext Zettel ersetzen.
Ich habe es mit keepass probiert, dass ist zu kompliziert.
Wäre das möglich?
) tatsächlich nicht, nein.