Security_Key - FIDO2 und ..... - Solokeys - Feitian - Yubikey - Nitrokey -

[xsid]

Hallo Forum,

welchen NFC-fähigen FIDO2 Key empfehlt Ihr mir und warum?

Ein Anwendungszweck habe ich bis jetzt nicht, was macht Ihr damit?

Meine Wunsch-Vorstellungen:

- Schlüsselmanager entsperren Linux / Android / Windows
- PGP Key verwalten
- s/mime Zertifikat verwalten
- Login in PC

Ist evtl. eine Smartcard mit FIDO2 die bessere Lösung?


MfG

xsid

Vorauswahl:

Solokeys

- Solokeys - Solo Tap USB-A https://solokeys.com/collections/all/products/solo-tap-usb-a-preorder (nur FIDO und FIDO2?)

Zur Zeit nur FIDO / FIDO2, mit neuer "Solokeys Solo V2" hat mehr Funktionen.

https://www.kickstarter.com/projects/conorpatrick/solo-v2-safety-net-against-phishing/posts


Feitian

- Feitian - ePass FIDO NFC K9 https://www.ftsafe.com/products/FIDO/NFC
- https://fido.ftsafe.com/products/

RCDevs main website

RCDevs Docs

www.rcdevs.com

Yubico

- Yubico - YubiKey 5C NFC https://www.yubico.com/de/product/yubikey-5-nfc/

Nitrokey

- Nitrokey - 3A NFC https://shop.nitrokey.com/de_DE/shop/product/nk3an-nitrokey-3a-nfc-147

Authentifizierungsstandards: WebAuthentication (WebAuthn), CTAP2/FIDO2, CTAP1/FIDO U2F 1.2, HMAC-Based One-Time Password (RFC 4226), Time-Based One-Time Password (RFC 6238)

Zwei-Faktor-Authentisierung und passwortlose Anmeldung für unbegrenzte Anzahl von Accounts (FIDO U2F, FIDO2)

https://www.kuketz-blog.de/zwei-schluessel-fuer-alle-faelle-nitrokey-teil1/

Nach meinem Verständnis für IT-Sicherheit würde ich hochsensible Informationen wie den privaten, geheimen (RSA-)Schlüssel nach Möglichkeit keiner proprietären Hardware anvertrauen – sofern Alternativen verfügbar sind. Und diese sind verfügbar, denn der Nitrokey basiert auf quelloffener Soft- und Hardware.

https://stadt-bremerhaven.de/google-stellt-neuen-titan-security-key-vor/

Kommentare sind dort interessant

Die Webstandards U2F & WebAuthn der FIDO mit dem YubiKey genutzt – YubiKey Guide – Teil 3
https://www.exokrypt.de/was-sind-u2f-fido2-webauthn-der-yubikey-guide-teil-3/

+++++++++++++++++++++++++++++++++++
+++++++++++++++++++++++++++++++++++

Check:

FIDO2 webauthn
https://webauthn.io/


FIDO (U2F)
https://u2f.bin.coffee/

++++++++++++++++++++++++++++++++++++
++++++++++++++++++++++++++++++++++++



Edit: 18. Okt. 2021

Onlykey

OnlyKey €47.95 mit PIN Tasten

https://onlykey.io/

https://onlykey.io/de/pages/features

https://github.com/onlykey

Vermutlich kein USB-A mit NFC

Utrust

https://www.identiv.com

https://www.identiv.com/products/logical-access-control/fido2-security-keys/nfc-plus/

Edit: 19. Okt. 2021

TrustKey

https://www.trustkeysolutions.com

https://www.trustkeysolutions.com/security-keys/t110/

https://webshop.pointblank.de/colle...rity-keys/products/trustkey-security-key-t110

TrustKey Headquarter

2100 Alamo Rd Suite T
Richardson, TX 75080
(214) 865-9354‬ (Office)

US Unternehmen

KEY-ID

https://www.key-id.com/

https://www.key-id.com/fido-security-keys-overview/

https://www.key-id.com/fido2-key-with-windows-hello/

https://www.smartcardfocus.com/shop/ilp/se~176/key-id-fido-and-fido2-tokens/p/index.shtml

TOKEN2

https://www.token2.com/home

TOKEN2 Sarl
La Voie-Creuse 3B
1202 Geneva
SWITZERLAND

++++++++++++++++++++++++++++++++++++++
++++++++++++++++++++++++++++++++++++++


BitLocker Pre-Boot Authentifizierung mit Security Key:

https://www.prosoft.de/blog/bitlocker-single-sign-on/

How to set up Windows 10 BitLocker with a Serurity Key:

https://legallygeeky.net/2017/07/how-to-set-up-windows-10-bitlocker-with-a-yubikey/

Kennwörter sicher verwalten mit Keepass und Yubikey (MFA)

https://www.netz-weise-it.training/...er-verwalten-mit-keepass-und-yubikey-mfa.html

Auszug:

Installieren Sie das Tool, und wählen Sie im Menü "[B]Challenge-Response[/B]" aus.

Für die Authentifizierung stehen zwei Methoden zur Verfügung
- ein OTP (One Time Password), wie es z.B. die Google- oder Micrsoft-Authenticator-Apps generieren
- oder die "HMAC-SHA1" Challenge Handshake Response Methode.

https://www.educv.de/

 

[mcb]

- Solokey
- Nitrokey

:thumbup: beide gut!

Du mußt dir bei Nitrokey einen aussuchen der ales unterstützt was du möchtest.

Open Hardware und gute Linux-Unterstützung, was will man mehr?

Insgesamt ein teurer Spaß - aber was solls ....

 

[xsid]

Hallo mcb,

hast Du evtl. für deine Empfehlungen die Ausgabe von bei Linux "lsusb"?

Mit welchen Anwendungen nutzt Du den Solokey bzw. den Nitrokey?

 

[mcb]

Hallo mcb,

hast Du evtl. für deine Empfehlungen die Ausgabe von bei Linux "lsusb"?

Mit welchen Anwendungen nutzt Du den Solokey bzw. den Nitrokey?

Ich habe den https://solokeys.com/products/somu-tiny-security-key-two-factor-authentication-u2f-and-fido2-usb-a

im Thinkpad

und den für Unterwegs https://shop.nitrokey.com/shop/product/nk-fi2-nitrokey-fido2-55

Ich benutze sie für die wenigen Webseiten die es unterstützen und für meinen Googleaccount.

Man kann wohl auch LUKS Laufwerke damit entsperren in Zukunft.

Die Dongles sind nicht mehr neu und unterstützen auch nicht alles, aber ich bin soweit zufrieden.

'isusb' - bitte eine Anleitung - sie laufen beide perfekt unter Linux.

 

[xsid]

lsusb im Terminal ausgeführt, die Sticks eingesteckt.

Terminal:

lsusb

Ein Entsperren von einem Passwortmanager hast Du bisher nicht angedacht?

KeepassXC kann das, aber leider nur mit einem Yubikey Challenge-Response.

 

[mcb]

lsusb im Terminal ausgeführt, die Sticks eingesteckt.

Terminal:

lsusb

Ein Entsperren von einem Passwortmanager hast Du bisher nicht angedacht?

KeepassXC kann das, aber leider nur mit einem Yubikey Challenge-Response.

So der Sumo:

marc@mb:~$ lsusb
Bus 004 Device 001: ID 1d6b:0003 Linux Foundation 3.0 root hub
Bus 003 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub
Bus 002 Device 001: ID 1d6b:0003 Linux Foundation 3.0 root hub
Bus 001 Device 003: ID 13d3:56ba IMC Networks Integrated Camera
Bus 001 Device 002: ID 0483:a2ca STMicroelectronics Solo 3.1.2
Bus 001 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub

Ne an einen/den Passwortmanager habe ich in keinster Weise gedacht. LUKS entsperren wäre cool beim Boot.

Nitrokey kommt dann auch noch.

 

[xsid]

Das ist dein Solokeys - Somu - Tiny Security Key, Two-Factor Authentication, U2F and FIDO2 - USB-A:

Bus 001 Device 002: ID 0483:a2ca STMicroelectronics Solo 3.1.2

Wie sieht es beim Nitrokey - Nitrokey FIDO2 aus?

Antwort:

Bus 002 Device 002: ID 20a0:42b1 Clay Logic Nitrokey FIDO2 2.4.0

 

[mcb]

Der Nitrokey:

marc@station2:~$ lsusb 
Bus 001 Device 003: ID 058f:9540 Alcor Micro Corp. AU9540 Smartcard Reader
Bus 001 Device 002: ID 8087:8000 Intel Corp. Integrated Rate Matching Hub
Bus 001 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub
Bus 003 Device 001: ID 1d6b:0003 Linux Foundation 3.0 root hub
Bus 002 Device 002: ID 20a0:42b1 Clay Logic Nitrokey FIDO2 2.4.0
Bus 002 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub
marc@station2:~$

Hoffe es hilft.

 

[amazingmumford]

Tag

Weil es gerade so schön reinpasst und vielleicht nachfolgende Suchende es interessant finden:
https://www.youtube.com/watch?v=uYUfOP4UKSM
(englisch)



Grüße von
mumford

 

[xsid]

Ganz interessant:

Nitrokey 3A NFC

https://shop.nitrokey.com/de_DE/shop/product/nk3an-nitrokey-3a-nfc-147

Anwendungsfälle

Für privat und Unternehmen - Schutz gegen Massenüberwachung und Hacker

Passwortlose Anmeldung: Vergessen Sie Ihr Passwort zur Anmeldung an Microsoft-Diensten (z. B. Office 365) und Nextcloud und verwenden Sie stattdessen den Nitrokey zum passwortlosen Login.
Online-Accounts mittels Zwei-Faktor-Authentisierung schützen: Nitrokey ist Ihr Schlüssel zum sicheren Login an Webseiten (z. B. Google, Facebook; Übersicht auf www.dongleauth.com). Mittels FIDO2, FIDO U2F, oder Einmalpasswörtern (OTP) bleiben Ihre Accounts auch dann sicher, falls Ihr Passwort gestohlen werden sollte.
Phishing-Schutz: Bei der Verwendung von FIDO wird die jeweilige Domain automatisch überprüft und die Benutzer effektiv gegen Phishing-Angriffe geschützt.
Mobile Nutzung mit Smartphones: Mittels FIDO und NFC können Sie auch an Android und iPhone Smartphones sicher auf Ihre Accounts zugreifen.
Daten und E-Mails verschlüsseln: Verschlüsseln Sie Ihre E-Mails mit GnuPG, OpenPGP, S/MIME, Thunderbird oder Outlook. Verschlüsseln Sie gesamte Festplatten mittels TrueCrypt/VeraCrypt, LUKS oder einzelne Dateien mittels GnuPG. Ihre privaten Schlüssel werden sicher im Nitrokey gespeichert und können nicht exportiert/gestohlen werden.

Für Firmen - Schutz gegen Hacker und Industriespionage

Passwortlose Anmeldung an Windows 10 Computern: Mitarbeiter melden sich zukünftig an ihre, mittels Azure Active Directory verwalteten, Windows 10 Pro Computer ohne Passwörter an. Dazu ist lediglich ein Nitrokey 3 nötig.
Passwortlose Anmeldung an eigenen Enterprise-Systemen: Ersetzen Sie Ihre Passwort-Policy, unerlaubte Passwort-Zettel und aufwendiges Passwort-Reset durch passwortloses Login mit dem Nitrokey 3. Sicherheit und Akzeptanz durch Einfachheit. Wir beraten Sie gerne bei der Integration.

Für IT-Administratoren und Sicherheitsexperten – kritische Infrastruktur schützen

Server sicher mit SSH administrieren: Haben Sie Ihren SSH-Schlüssel immer sicher im Nitrokey dabei. Ihr Schlüssel ist PIN-geschützt und kann nicht aus dem Nitrokey exportiert/gestohlen werden. Somit entfällt das unsichere und lästige Synchronisieren von Schlüsseldateien auf Clientsystemen.
Internet of Things (IoT) und eigene Produkte schützen: Schützen Sie Ihre eigenen Hardware-Produkte durch Integration des Nitrokeys. Ideal zur Fernwartung und zur Gewährleistung der Produktechtheit.
Kryptographische Schlüssel sicher speichern: Speichern Sie kryptographische Schlüssel und Zertifikate sicher im Nitrokey und verhindern so deren Diebstahl.
BIOS-Integrität von Computern schützen: Mittels des Nitrokey und Measured Boot wird die Integrität des Computer-BIOS/Firmware überprüft und somit gegen Evil Maid Angriffe geschützt. Die farbliche LED des Nitrokey signalisiert, ob das BIOS integer ist (grün) oder eine Manipulation erkannt wurde (rot). Kompatibel z.B. mit NitroPads.

oder

Nitrokey 3 mit NFC, USB-C, Rust, Common Criteria EAL 6+

https://www.nitrokey.com/de/news/2021/der-neue-nitrokey-3-mit-nfc-usb-c-rust-common-criteria-eal-6

Anwendungsfälle

Für privat und Unternehmen - Schutz gegen Massenüberwachung und Hacker

Passwortlose Anmeldung: Vergessen Sie Ihr Passwort zur Anmeldung an Microsoft-Diensten (z. B. Office 365) und Nextcloud und verwenden Sie stattdessen den Nitrokey zum passwortlosen Login.
Online-Accounts mittels Zwei-Faktor-Authentisierung schützen: Nitrokey ist Ihr Schlüssel zum sicheren Login an Webseiten (z. B. Google, Facebook; Übersicht auf www.dongleauth.com). Mittels FIDO2, FIDO U2F, oder Einmalpasswörtern (OTP) bleiben Ihre Accounts auch dann sicher, falls Ihr Passwort gestohlen werden sollte.
Phishing-Schutz: Bei der Verwendung von FIDO wird die jeweilige Domain automatisch überprüft und die Benutzer effektiv gegen Phishing-Angriffe geschützt.
Mobile Nutzung mit Smartphones: Mittels FIDO und NFC können Sie auch an Android und iPhone Smartphones sicher auf Ihre Accounts zugreifen.
Daten und E-Mails verschlüsseln: Verschlüsseln Sie Ihre E-Mails mit GnuPG, OpenPGP, S/MIME, Thunderbird oder Outlook. Verschlüsseln Sie gesamte Festplatten mittels TrueCrypt/VeraCrypt, LUKS oder einzelne Dateien mittels GnuPG. Ihre privaten Schlüssel werden sicher im Nitrokey gespeichert und können nicht exportiert/gestohlen werden.

Für Firmen - Schutz gegen Hacker und Industriespionage

Passwortlose Anmeldung an Windows 10 Computern: Mitarbeiter melden sich zukünftig an ihre, mittels Azure Active Directory verwalteten, Windows 10 Pro Computer ohne Passwörter an. Dazu ist lediglich ein Nitrokey 3 nötig.
Passwortlose Anmeldung an eigenen Enterprise-Systemen: Ersetzen Sie Ihre Passwort-Policy, unerlaubte Passwort-Zettel und aufwendiges Passwort-Reset durch passwortloses Login mit dem Nitrokey 3. Sicherheit und Akzeptanz durch Einfachheit. Wir beraten Sie gerne bei der Integration.

Für IT-Administratoren und Sicherheitsexperten – kritische Infrastruktur schützen

Server sicher mit SSH administrieren: Haben Sie Ihren SSH-Schlüssel immer sicher im Nitrokey dabei. Ihr Schlüssel ist PIN-geschützt und kann nicht aus dem Nitrokey exportiert/gestohlen werden. Somit entfällt das unsichere und lästige Synchronisieren von Schlüsseldateien auf Clientsystemen.
Internet of Things (IoT) und eigene Produkte schützen: Schützen Sie Ihre eigenen Hardware-Produkte durch Integration des Nitrokeys. Ideal zur Fernwartung und zur Gewährleistung der Produktechtheit.
Kryptographische Schlüssel sicher speichern: Speichern Sie kryptographische Schlüssel und Zertifikate sicher im Nitrokey und verhindern so deren Diebstahl.
BIOS-Integrität von Computern schützen: Mittels des Nitrokey und Measured Boot wird die Integrität des Computer-BIOS/Firmware überprüft und somit gegen Evil Maid Angriffe geschützt. Die farbliche LED des Nitrokey signalisiert, ob das BIOS integer ist (grün) oder eine Manipulation erkannt wurde (rot). Kompatibel z.B. mit NitroPads.

Funktionen

FIDO U2F, FIDO2 zum passwortlosem Login: Bei der einfachen Benutzbarkeit setzt FIDO neue Maßstäbe und erzielt somit hohe Akzeptanz. FIDO schützt Ihre Accounts zuverlässig gegen Passwortdiebstahl und gegen Phishing.
Einmalpasswörter zum Schutz von Accounts gegen Identitätsdiebstahl: Schützen Sie Ihre Accounts gegen Identitätsdiebstahl. Einmalpasswörter werden im Nitrokey generiert und dienen als zweiter Authentifizierungsfaktor für Logins (zusätzlich zu Ihrem normalen Passwort). Somit bleiben Ihre Accounts auch bei gestohlenem Passwort sicher.
Sichere Speicherung kryptografischer Schlüssel: Speichern Sie Ihre privaten Schlüssel für die Verschlüsselung von E-Mails, Festplatten oder einzelnen Dateien sicher im Nitrokey. So sind diese gegen Verlust, Diebstahl und Computerviren geschützt und immer dabei. Schlüsselbackups schützen gegen Verlust.
Passwortmanager: Speichern Sie Ihre Passwörter sicher verschlüsselt im integrierten Passwortmanager. So haben Sie Ihre Passwörter immer dabei und sie bleiben auch bei Verlust des Nitrokeys geschützt.
Integritätsüberprüfung / Manipulationserkennung: Überprüfen Sie die Integrität vom Computer-BIOS mittels Verified Boot. Die farbliche LED des Nitrokey signalisiert, ob das BIOS integer ist (grün) oder eine Manipulation erkannt wurde (rot). Unterstützte Computer erfordern ein BIOS auf Basis von Coreboot und Heads wie z.B. das NitroPad.

Sourcecode:

https://github.com/trussed-dev/trussed

https://trussed.dev/

Aber braucht man das wirklich?

################################
################################

Solokeys

OpenSource

https://solokeys.com/collections/all/products/solo-tap-usb-a-preorder

https://github.com/solokeys/solo/

Edit:

https://www.ionos.de/digitalguide/server/sicherheit/was-ist-fido2/

 

[Euphemist]

Danke für diese Aufstellung.

Gibt es abgesehen vom Nitro- und Yubikey noch Tokens, die einen Passwortmanager entsperren können?

Der Nitrokey klingt, wie ja auch die Nitropads von der gleichen Firma, am interessantesten.

 

[xsid]

Hallo Euphemist,

mir ist nur KeePassXC bekannt, das funktioniert zur Zeit aber nur mit einem Yubico Stick.
Yubico wird in den USA und Schweden hergestellt, hm, ob es eine Backdoor gibt?
Yubico ist closed Source.

Solokeys und Nitrokey sind meine Favoriten.
Mechanisch sind die vermutlich aber nicht so stabil.

Wassserdicht ist z. B. der Feitian ePass K9, leider ist Feitian ein Chinese.
Das gibt mir kein gutes Gefühl, bzw. ich kann nicht abschätzen was für ein Sicherheitsrisiko so vorhanden ist.

Zu einer OpenSource Firmware habe ich mehr vertrauen.

MfG

xsid

 

[kenonu]

Ich hab damals mal bei einem Angebot einen Google Titan Key bestellt und nutz den neben dem Google Account mit Bitwarden. Sonst kann der aber nicht soviel..

 

[xsid]

Hallo @kenonu ,

was sagt dein Google Titan Stick bei "lsusb" mit Linux?

So weit wie ich es weiß ist es ein abgespeckter Feitian Security Key.
Das kann man auch als Sicherheitsvorteil sehen.
Der Stick tut was er soll, FIDO / FIDO2.

MfG
xsid

 

[kenonu]

sorry hab gerade nur Win11 zur Verfügung - kann evtl heute abend mal auf dem Raspi schauen.