Mit einem Yubikey können einige Accounts und Zugänge, wie Google oder auch Nextcloud, per Zwei-Faktor-Authentifizierung abgesichert werden. Interessant ist auch, dass man seinen Debian-Desktop mit U2F schützen kann, wenn dort als Displaymanager GDM installiert ist.
Vorgehensweise
Um zu testen, ob der Yubikey vom System erkannt wird, setzt man folgenden Befehl ab:
|
1 |
lsusb | grep U2F |
Die Ausgabe sieht dann in etwa so aus:
|
1 |
Bus 002 Device 005: ID 1050:0120 Yubico.com Yubikey Touch U2F Security Key |
Wird ein Token identifiziert, installiert man die erforderlichen Bibliotheken und erstellt das Verzeichnis ~/.config/Yubico.
|
1 |
# apt install pamu2fcfg libpam-u2f |
|
1 |
mkdir -p ~/.config/Yubico |
Nun wird die Konfiguration in das zuvor erstellte Verzeichnis geschrieben. Dazu muss der Button des Keys, wenn dieser blinkt, berührt werden, um den Vorgang abzuschließen.
|
1 |
pamu2fcfg >> ~/.config/Yubico/u2f_keys |
Jetzt muss in die /etc/pam.d/gdm-password mit
|
1 |
# nano /etc/pam.d/gdm-password |
folgender Eintrag an den Anfang der Datei gesetzt werden.
|
1 |
auth required pam_u2f.so |
Beim nächsten Neustart wird nun zuerst der USB-Token betätigt und danach das Passwort zur Anmeldung eingegeben, um sich auf dem Rechner einzuloggen.
Nachtrag
Es ist natürlich auch möglich auf die Passworteingabe zu verzichten und den Computer mit dem Token oder Passwort zu entsperren. Hierzu trägt man in die /etc/pam.d/gdm-password folgendes ein:
|
1 |
auth sufficient pam_u2f.so |
Dazu muss im Schlüsselbund jedoch noch das Passwort für die Anmeldung deaktiviert werden. Hierbei muss man sich aber im Klaren sein, dass bei Verlust der neue Besitzer des Keys Zugang zu dem Computer erlangt.
Für nichts davon braucht man Debian oder GDM. Nicht mal einen Desktop.
Übrigens: Yubikey und Passwort? Da ist das Passwort doch eine totale Verschwendung.
😲
> Übrigens: Yubikey und Passwort? Da ist das Passwort doch eine totale Verschwendung.
Naja, das kommt darauf an was für Sicherheitsansprüche man hat. Ein U2F Token (nicht FIDO2) als einzelner Faktor würde halt bedeuten, dass sich jeder mit physikalischem Zugriff auf das Token einloggen kann, da der Knopf-Druck bereits ausreicht.
@intux: Cooler Blog, interessante Mischung und auch über längere Zeit mit Inhalten gefüllt. Finde ich sehr gut, weiter so!
Danke. Ich bemühe mich. 😉