Vielen Dank für die Mühe, die Du Dir gemacht hast! Ich bin jedenfalls froh zu sehen, dass es noch jemanden ähnlich erging wie mir ;-). Alles für einen Laien sehr verwirrend und zumindest war es eine gute Übersicht und hat mir auch die Augen geöffnet in der ein oder anderen Sichtweise. OTP ist mir nicht so ganz klar, da ich bei allen Anbietern immer nur mit dem TOTP konfrontiert wurde und noch nicht weiß wo ich OTP verwenden kann, bzw. für was. Des Weiteren bin ich mir immer unsicher ob beim Löschen der OTP Slots 1+2 auch die TOTP Accounts gelöscht werden, aber das werde ich noch testen. Wie gesagt jedenfalls Danke für das Video!
Eine Ergänzung/Korrektur zu dem Video: Als "Passkeys" werden im engeren Sinne eigentlich nur die sogenannten "(FIDO2) discoverable credentials" bezeichnet, mit denen ein vollständiger Login möglich ist (die also sozusagen Passwort und 2FA/MFA "ersetzen" können). "(FIDO2) non-discoverable credentials", wie sie hauptsächlich für 2FA/MFA allein benutzt werden, werden streng genommen eigentlich nicht als "Passkey" bezeichnet. Die allgemeine Verwendung ist hier jedoch nicht ganz einheitlich, manchmal wird das nämlich auch noch im weiteren Sinne als (mehr oder weniger) "Passkey" - oder auch "Passkey-ähnlich" bezeichnet (und in den "Passkey-Indizes", die Dienste mit Passkey-Unterstützung auflisten, ist meist auch "MFA" aufgelistet, was strenggenommen eben auch keine Passkeys wären, sondern eben "nur" die genannten "(FIDO2) non-discoverable credentials") - und deswegen habe ich es hier auch so aufgegriffen. Ich wollte damit keine Verwirrung stiften. Wer es aber ganz genau nehmen möchte, sollte lieber nur "(FIDO2) discoverable credentials" als eigentliche "Passkeys" ansehen.
Ich habe ein Static password in YubiKey Manager festgelegt, und dort wird es auch korrekt angezeigt. Allerdings tauscht der YubiKey beim Auslösen die Buchstaben, als ob er zwischen deutscher und englischer Tastatur hin- und herschaltet (zum Beispiel wird aus „z“ ein „y“). Weißt Du, woran das liegen könnte?
Interessant! Und da ich die Funktion selber nie wirklich benutzt habe, ist mir das doch auch neu. - Ich habe das gerade mal getestet und komme zum selben Ergebnis. Meine Vermutung: der YubiKey Manager läuft nur auf Englisch bei mir in Windows - ich sehe nicht, wo man die Sprache der App umstellen kann... deswegen scheint der Input beim Statischen Passwort (und dann vielleicht auch bei anderen Dingen wie Challenge-Response usw.?!?) tatsächlich sozusagen die englische Tastaturbelegung zu "benutzen". In meinem Windows ist jedenfalls Deutsch eingestellt und tatsächlich wird dann sozusagen von der (jetzt deutschen) Windows-Tastatur das Statische Passwort nicht 1:1 ausgespuckt, sondern dabei verändert. Einigermaßen erstaunlich... allerdings auch nicht ganz verwunderlich, da ja nicht der YubiKey selber das Passwort "schreibt" wenn man den YubiKey berührt, sondern es wird über Windows geschickt und dann von Windows ausgegeben... anders kann ich mir das nicht erklären. Also entweder auf gleiche Tastatureinstellung achten bei Input und Ausgabesituationen (Englisch/Englisch) oder den Input auf einer englischen Tastatur so eintippen und dann in den YubiKey einprogrammieren, dass es bei Umwandlung in z.B. Deutsch dann "passt"...
Ja und Nein. Fast alles kann man entsprechend schützen - z.B. durch den FIDO-PIN oder den Zugang zu den TOTP-Codes über den Yubico Authenticator sollte man per Passwort schützen... Das ganze habe ich ab 42:49 im Kapitel "Jeder hat potentiell Zugriff..." etwas genauer besprochen.
Das hängt zunächst mal davon ab, inwiefern du den YubiKey bei Accounts einbindest. Wenn es ein "device-bound" Passkey bzw. Passkey-ähnlich als 2FA ist auf dem YubiKey (PS: also ich meine hier exakter ausgedrückt "FIDO2-discoverable bzw. non-discoverable credentials"), dann empfiehlt sich in jedem Fall, alles genau gleich auf mindestens noch einem weiteren YubiKey ebenfalls einzurichten. Handelt es sich um TOTP-Codes, die du mit dem Yubico Authenticator verwendest, sollte man die Seed Codes / Secret Keys auch noch woanders als Backup abgespeichert haben, um sich das immer wieder für einen Account neu einrichten zu können, falls man den YubiKey mal verliert o.ä. Und dann gibt es ja noch bei vielen Accounts die Möglichkeit, sich Backup Codes / Recovery Codes generieren zu lassen (meistens "nur" als letzte Rettung, wenn man den zweiten Faktor verliert), die sollte man sich auch immer sicher speichern, so dass man das im Notfall benutzen könnte. Wenn du das alles nicht meinen solltest, dann müsste man nochmal genauer wissen, was du meinst.
@@IchbraucheeinenPasswortmanager Hallo. Alles klar ich kenne mich aus. Ich dachte mir schon dass es sinnvoll wäre mind. 2 Geräte einzusetzen oder im Falle von SEEDs für ein entsprechendes Backup Konzept zu sorgen. Bis jetzt verwende ich nur MFA in Verbindung mit Software. So einen Hardware Stick habe ich noch nicht probiert. Am Abend werde ich mir das Video von dir noch fertig schauen. Danke für deine Mühe und Infos
@@stone22121978 deswegen braucht man einfach 2 Yubikeys, da ist man auf sicheren Seite, man kann auch als Passkey in pw manager speichern und so mehrere Möglichkeiten zu haben.
Noch umständlicher kann man die Sache kaum erklären. Vieleicht, wahrscheinlich, kann sein, ich weiss nicht usw. Ich habe keine Ahnung! PS: Die Codes unter den QR Codes nennt man "Seedcodes". Sehr verwirrend, oder etwa nicht, aber wahrscheinlich oder?
Nur so viel: ich bin halt kein Freund davon, absolute Sicherheit/Wissen vorzutäuschen. Wenn ich etwas nicht genau weiß, dann sage ich das auch. Alles andere wäre unehrlich. Darüber hinaus habe ich versucht, es als Privatperson bestmöglich aufzubereiten - und hoffe, dass es dem einen oder anderen nützt. Nichts, was irgendwer hier macht, wird 100% der Leute zu 100% gefallen. - "Secret Key" hatte ich es übrigens genannt a) weil Yubico den Begriff hier selbst benutzt und b) weil er, soweit ich es mitbekommen habe, oft relativ synonym zu "Seed Code" verwendet wird. Du hast aber Recht, falls ich Seed Code wirklich nicht gesagt habe, ist das mein Fehler.
Vielen Dank für die Mühe, die Du Dir gemacht hast! Ich bin jedenfalls froh zu sehen, dass es noch jemanden ähnlich erging wie mir ;-). Alles für einen Laien sehr verwirrend und zumindest war es eine gute Übersicht und hat mir auch die Augen geöffnet in der ein oder anderen Sichtweise. OTP ist mir nicht so ganz klar, da ich bei allen Anbietern immer nur mit dem TOTP konfrontiert wurde und noch nicht weiß wo ich OTP verwenden kann, bzw. für was. Des Weiteren bin ich mir immer unsicher ob beim Löschen der OTP Slots 1+2 auch die TOTP Accounts gelöscht werden, aber das werde ich noch testen. Wie gesagt jedenfalls Danke für das Video!
Vielen Dank für die sehr guten Erklärungen zum YubiKey. Das hat mir sehr geholfen!
Danke. Freut mich, dass dir das Video helfen konnte!
Eine Ergänzung/Korrektur zu dem Video: Als "Passkeys" werden im engeren Sinne eigentlich nur die sogenannten "(FIDO2) discoverable credentials" bezeichnet, mit denen ein vollständiger Login möglich ist (die also sozusagen Passwort und 2FA/MFA "ersetzen" können). "(FIDO2) non-discoverable credentials", wie sie hauptsächlich für 2FA/MFA allein benutzt werden, werden streng genommen eigentlich nicht als "Passkey" bezeichnet. Die allgemeine Verwendung ist hier jedoch nicht ganz einheitlich, manchmal wird das nämlich auch noch im weiteren Sinne als (mehr oder weniger) "Passkey" - oder auch "Passkey-ähnlich" bezeichnet (und in den "Passkey-Indizes", die Dienste mit Passkey-Unterstützung auflisten, ist meist auch "MFA" aufgelistet, was strenggenommen eben auch keine Passkeys wären, sondern eben "nur" die genannten "(FIDO2) non-discoverable credentials") - und deswegen habe ich es hier auch so aufgegriffen. Ich wollte damit keine Verwirrung stiften. Wer es aber ganz genau nehmen möchte, sollte lieber nur "(FIDO2) discoverable credentials" als eigentliche "Passkeys" ansehen.
Ich habe ein Static password in YubiKey Manager festgelegt, und dort wird es auch korrekt angezeigt. Allerdings tauscht der YubiKey beim Auslösen die Buchstaben, als ob er zwischen deutscher und englischer Tastatur hin- und herschaltet (zum Beispiel wird aus „z“ ein „y“). Weißt Du, woran das liegen könnte?
Interessant! Und da ich die Funktion selber nie wirklich benutzt habe, ist mir das doch auch neu. - Ich habe das gerade mal getestet und komme zum selben Ergebnis. Meine Vermutung: der YubiKey Manager läuft nur auf Englisch bei mir in Windows - ich sehe nicht, wo man die Sprache der App umstellen kann... deswegen scheint der Input beim Statischen Passwort (und dann vielleicht auch bei anderen Dingen wie Challenge-Response usw.?!?) tatsächlich sozusagen die englische Tastaturbelegung zu "benutzen". In meinem Windows ist jedenfalls Deutsch eingestellt und tatsächlich wird dann sozusagen von der (jetzt deutschen) Windows-Tastatur das Statische Passwort nicht 1:1 ausgespuckt, sondern dabei verändert. Einigermaßen erstaunlich... allerdings auch nicht ganz verwunderlich, da ja nicht der YubiKey selber das Passwort "schreibt" wenn man den YubiKey berührt, sondern es wird über Windows geschickt und dann von Windows ausgegeben... anders kann ich mir das nicht erklären. Also entweder auf gleiche Tastatureinstellung achten bei Input und Ausgabesituationen (Englisch/Englisch) oder den Input auf einer englischen Tastatur so eintippen und dann in den YubiKey einprogrammieren, dass es bei Umwandlung in z.B. Deutsch dann "passt"...
35:13 also muss man um seinen key kämpfen wenn den jemand klauen will? weil er kann ja dann direkt die app benutzen und den key für sich benutzen
Ja und Nein. Fast alles kann man entsprechend schützen - z.B. durch den FIDO-PIN oder den Zugang zu den TOTP-Codes über den Yubico Authenticator sollte man per Passwort schützen... Das ganze habe ich ab 42:49 im Kapitel "Jeder hat potentiell Zugriff..." etwas genauer besprochen.
Was passiert wenn ich den verliere ? Komme ich dann bei meinen Accounts nicht mehr rein ?
Das hängt zunächst mal davon ab, inwiefern du den YubiKey bei Accounts einbindest.
Wenn es ein "device-bound" Passkey bzw. Passkey-ähnlich als 2FA ist auf dem YubiKey (PS: also ich meine hier exakter ausgedrückt "FIDO2-discoverable bzw. non-discoverable credentials"), dann empfiehlt sich in jedem Fall, alles genau gleich auf mindestens noch einem weiteren YubiKey ebenfalls einzurichten.
Handelt es sich um TOTP-Codes, die du mit dem Yubico Authenticator verwendest, sollte man die Seed Codes / Secret Keys auch noch woanders als Backup abgespeichert haben, um sich das immer wieder für einen Account neu einrichten zu können, falls man den YubiKey mal verliert o.ä.
Und dann gibt es ja noch bei vielen Accounts die Möglichkeit, sich Backup Codes / Recovery Codes generieren zu lassen (meistens "nur" als letzte Rettung, wenn man den zweiten Faktor verliert), die sollte man sich auch immer sicher speichern, so dass man das im Notfall benutzen könnte.
Wenn du das alles nicht meinen solltest, dann müsste man nochmal genauer wissen, was du meinst.
@@IchbraucheeinenPasswortmanager
Hallo. Alles klar ich kenne mich aus. Ich dachte mir schon dass es sinnvoll wäre mind. 2 Geräte einzusetzen oder im Falle von SEEDs für ein entsprechendes Backup Konzept zu sorgen.
Bis jetzt verwende ich nur MFA in Verbindung mit Software. So einen Hardware Stick habe ich noch nicht probiert.
Am Abend werde ich mir das Video von dir noch fertig schauen.
Danke für deine Mühe und Infos
@@stone22121978 deswegen braucht man einfach 2 Yubikeys, da ist man auf sicheren Seite, man kann auch als Passkey in pw manager speichern und so mehrere Möglichkeiten zu haben.
Noch umständlicher kann man die Sache kaum erklären. Vieleicht, wahrscheinlich, kann sein, ich weiss nicht usw. Ich habe keine Ahnung!
PS: Die Codes unter den QR Codes nennt man "Seedcodes". Sehr verwirrend, oder etwa nicht, aber wahrscheinlich oder?
Nur so viel: ich bin halt kein Freund davon, absolute Sicherheit/Wissen vorzutäuschen. Wenn ich etwas nicht genau weiß, dann sage ich das auch. Alles andere wäre unehrlich. Darüber hinaus habe ich versucht, es als Privatperson bestmöglich aufzubereiten - und hoffe, dass es dem einen oder anderen nützt. Nichts, was irgendwer hier macht, wird 100% der Leute zu 100% gefallen. - "Secret Key" hatte ich es übrigens genannt a) weil Yubico den Begriff hier selbst benutzt und b) weil er, soweit ich es mitbekommen habe, oft relativ synonym zu "Seed Code" verwendet wird. Du hast aber Recht, falls ich Seed Code wirklich nicht gesagt habe, ist das mein Fehler.