Yubikey oder Nitrokey kaufen?

Dieser Frage schließe ich mich an.
Das zu erfahren wäre auch für mich Interessant.

Nein.

Unkompliziert ist so ein Key nur als FIDO2-Schlüsselhardware. Das setzt aber vorraus, dass die Dienste Deiner Eltern FIDO2 unterstützen.
Alles andere ist schön und gut und empfehlenswert, aber nur Nerdtauglich.

Immer daran denken, dass man vernünftigerweise 2 solche Teile braucht, die man entweder manuell mit denselben Daten füttert und unbedingt getrennt lagert oder für FIDO2 unbedingt beide bei allen Diensten zulässt.

Nitrokey 3 ist m.E. von der Hardware her am interessantesten, aber Usability ist noch auf dem Niveau von Linux in den 2000ern - kurz gruselig.

1 „Gefällt mir“

Danke, genau so hab ich es befürchtet.

Eventuell wäre Passkeys was für deine Eltern. Da muss man natürlich schauen, ob die Dienste, die sie nutzen, auch Passkey unterstützen.

Als FIDO2-USB-Stick ist das grundsätzlich vorstellbar. Die Bedienung ist im Kern nicht komplizierter als die normale Passwortwirtschaft, eher im Gegenteil. Der entscheidende Punkt ist die grundsätzliche Bereitschaft, die eigenen Prozesse etwas umzustellen - daran scheitert es in der Praxis oft.

  • Username und Passwort eingeben
  • Auf Aufforderung FIDO-Stick einstecken und einmal drauf drücken („Physische Geste“)
  • Je nach Dient und Config: ggf. PIN eingeben.
  • Je nach Dient und Config: auf Punkt 1 verzichten und nur mit Stick und PIN arbeiten

Grundsätzlich ist das etwas, was ich mir auch bei uns im Büro vorstellen könnte - und das heißt schon was. Für mich wäre hier allerdings die Anforderung, dass sich damit alle oder zumindest der größte Teil aller (kritischen) Dienste abdecken lässt. „Mal so, mal so“ - das nervt die User eher.

1 „Gefällt mir“

Auf die Dienste habe ich ja keinen Einfluss. Ich hatte mir das etwa so erhofft:

Da die Rechner unbeweglich sind, bleibt der Stick stecken.
Der Stick wird verwaltet über eine Keepass ähnliche Oberfläche, die sowohl neue Passwörter selbst generiert und speichert und auch die alten übernehmen kann.
Dies sollte weitgehend automatisch passieren. Wenn ich das richtig verstanden habe, kann der Stick das, die Software ist aber nicht so weit.

Mit keepass selbst hatte ich keinen Erfolg, auch wenn mit der Tastenkombi Strg+Alt +A die Eintrage übernommen werden. Doch hier ist das Verhalten von keepass auch manchmal komisch, zumindest nicht einheitlich.

Also ich bin wirklich kein Experte was solche Themen angeht.
Aber als Laie betrachtet:
Der Nitrokey ist OpenSource und wird in Deutschland produziert.
Das sind dicke Plusspunkte.

Yubico hat seinen Unternehmenssitz in den USA und Schweden.
USA und Datenschutz…
Amis lassen meistens in Asien fertigen, vielleicht sogar China.
China und Datenschutz…

Darüber hinaus gibt es da noch Aspekte wie Umwelt und Arbeitsbedingungen.

Das wären Anregungen eines Laien zum Thema Yubikey vs. Nitrokey.

@Daniel : Das eine ist der Datenschutz, das andere die IT Sicherheit. Der Datenschutz könnte z.B. beim Nutzen einer App eine Rolle spielen, die IT Sicherheit beim HW Key selbst oder App.

Auch wenn ich Nitrokeys bevorzuge, so gibt es auch Argumente für Yubikeys. So arbeiten letztere besser mit OS X / iOS zusammen.

Macht es Sinn, einen Yubikey und einen Nitrokey zu kaufen (einer davon fungiert als Backup)? Falls dann mal ein Key nicht unterstützt wird, kauft man einen dritten (für Backups) der den Dienst unterstützt.

Meiner Meinung nach nicht, da du dann schon mit mindestens zwei Programmen / Apps arbeiten musst. Ganz zu schweigen von „das geht bei A aber bei B nicht“. Ich würde auch nicht einen Nitrokey Pro und einen Nitrokey 3 nehmen und einen als Backup, sondern immer gleiche.

Ich sehe es im Wesentlichen wie @media-floppy. Der Backupstick sollte zumindest von den Features und der Unterstützung her dem Primär-Stick entsprechen, alles andere macht die Sache nur umständlicher und fehleranfälliger.

Danke dir und @media-floppy für das Feedback. Ich stelle fest, dass ich es etwas präziser hätte formulieren müssen - mein Fehler. Der Plan wäre jeweils ein Yubikey 5C NFC und ein Nitrokey 3 NFC USB C. Ein ggf. dritter Backup-Stick (falls ein Stick inkompatibel) wäre dann natürlich einer der beiden zuvorgenannten. Es wäre für mich kein Beinbruch, zwei Programme parallel zu nutzen.
Rein hypothetisch: Kaufe ich zwei Nitros welche später bei einem Dienst dann nicht unterstützt werden, müsste ich mir zusätzlich zwei Yubikeys zulegen.

Eure Vermutung tendiert wohl in folgende Richtung: Yubikey erleidet einen Defekt und Nitrokey wird nicht mehr vom Dienst supportet. Dann steht man natürlich da. Soweit ich weiß bieten die Dienste Wiederherstellungscodes als Backup an, damit ein Zugriff weiterhin möglich ist.

Beste Grüße
MG

Das musst du immer im Einzelfall schauen, nicht alle Dienste tun das. Vorteilhaft sind da natürlich Dienste, bei denen man sich über eine Realidentität legitimieren kann. Letztlich sind solche Möglichkeiten, die normale Verifizierung (Passwort und ggf. MFA) zum umhergehen, auf der anderen Seite immer auch ein Sicherheitsrisiko.

Und zum Thema mehrere Faktoren hinterlegen:

Ich habe z, B. bei PayPal (berufliche Nutzung) frustriert festgestellt, dass man nur einen einzigen FiDo-Stick hinterlegen kann. und ansonsten auch nur noch eine (!) App. Mein Backup-Stick kann aber dummerweise kein OTP (Nutzung via Yubikey-App). Also habe ich dort aktuell ein Problem, wenn der Stick das Zeitliche segnet. (In diesem speziellen Fall für mich aber nicht so ganz kritisch, da weiterer Admin bei PP, i.d.R. keine wirklich kritische Notwendigkeit der Nutzung, und letztlich eben die Möglichkeit, sich auf anderem Wege zu legitimieren (ggü. PP-Support).
Bei einem Dienst, bei dem ich im Falle eines Faktor-Verlustes tatsächlich ausgesperrt wäre, wäre das deutlich kritischer.

Das ist auch bei ebay so (wahrscheinlich die Firmenphilosophie beibehalten, als sie mit PP noch enger verbandelt waren). In solchen Fällen macht eine App wie Aegis möglicherweise mehr Sinn, da sie Backups erstellen kann.

Wobei das natürlich wieder dem Prinzip eines sichern externen, nicht auslesbaren Fido-Stick widerspricht.

Wie gesagt: Bei PP sehe ich das aktuell halbwegs entspannt, weil nicht endlos kritisch. Aber ich werde mir wohl trotzdem nochmal einen weiteren Yubikey zulegen - zahlt ja ohnehin die Firma :wink:

Ein Hinweis der mir hier noch fehlt: für YubiKeys gibt es keine Firmware-Upgrades. Das mag nach Sicherheitsaspekten sinnvoll sein, aus ökonomischer und ökologischer Sicht eher nicht. Sollte also eine neue Funktion implementiert werden, muss ein (oder zwei) neuer YubiKey gekauft werden.

Auf BerryBase werden Keys aus Schweden angeboten. Hat jemand Erfahrungswerte was die Aktualität der Firmware betrifft? Sind die aktuell oder „gut abgehangene“ Ladenhüter? Soweit ich herausfinden konnte, lässt sich die Version erst ermitteln, wenn der YubiKey ausgepackt wurde. Momentan ist man, soweit ich das ermitteln konnte, bei Version 5.5 angelangt (Bitte ggf. um Korrektur).

Prinzipiell hast du recht. Allerdings sind die beiden Geräte nicht gleichwertig. Es gibt durchaus Anwendungen, die den Yubikey unterstützen, den Nitrokey jedoch nicht. Woran das im einzelnen liegt, weiß ich nicht. Am Ende hat man aber nicht immer die Wahl.

Was mir aktuell sowohl bei Yubikey als auch Nitrokey sauer aufstößt ist deren Anzahl an unterstützten credentials im Key. Yubikey kann laut eigener Doku nur 25 speichern und Nitrokey laut ihrem Supportforum nur 10. Gerade da Passkeys sich ja jetzt verbreiten sollen find ich das viel zu wenig. Der neueste Titan Key von Google kann schonmal 250.
Ich frage mich eigentlich auch wieso diese Limitierung da ist. Speicher ist doch nicht so teuer und so groß können die Credentials doch nicht sein.

Edit:
Quelle von Yubikey - https://support.yubico.com/hc/en-us/articles/360013790319-How-many-accounts-can-I-register-my-YubiKey-with
Quelle von Nitrokey - https://support.nitrokey.com/t/how-many-passkeys-can-be-stored-on-a-nitrokey/5652/2
Quelle von Google - https://blog.google/technology/safety-security/titan-security-key-google-store/

Das wundert mich auch. Wobei hier nirgends erklärt wird, was für „Passkeys“ eigentlich gemeint sind. Für U2F dürfte es gar keine Beschränkung geben, denn das ist ja nur ein zweiter Faktor, der sich aus immer demselben Secret ergibt.

Für die sog. Residential Keys, also CTAP2, sieht das anders aus, diese werden auf dem Gerät gespeichert.

Die sind noch sehr selten. Ich habe damit 2 Google-Konten, ein Microsoft- und ein Github Konto gesichert. Weitere Dienste, die das unterstützen, habe ich bisher nicht gefunden.

Mein Nitrokey 3 meldet:

There is an estimated amount of 6 credential slots left