Desktop mit USB-Token schützen

4
6217
470906 / Pixabay

Mit einem Yubikey können einige Accounts und Zugänge, wie Google oder auch Nextcloud, per Zwei-Faktor-Authentifizierung abgesichert werden. Interessant ist auch, dass man seinen Debian-Desktop mit U2F schützen kann, wenn dort als Displaymanager GDM installiert ist. 

Vorgehensweise

Um zu testen, ob der Yubikey vom System erkannt wird, setzt man folgenden Befehl ab:

Yubikey
Yubikey

Die Ausgabe sieht dann in etwa so aus:

Wird ein Token identifiziert, installiert man die erforderlichen Bibliotheken und erstellt das Verzeichnis ~/.config/Yubico.

Nun wird die Konfiguration in das zuvor erstellte Verzeichnis geschrieben. Dazu muss der Button des Keys, wenn dieser blinkt, berührt werden, um den Vorgang abzuschließen.

Jetzt muss in die /etc/pam.d/gdm-password mit 

folgender Eintrag an den Anfang der Datei gesetzt werden.

Beim nächsten Neustart wird nun zuerst der USB-Token betätigt und danach das Passwort zur Anmeldung eingegeben, um sich auf dem Rechner einzuloggen.

Nachtrag

Es ist natürlich auch möglich auf die Passworteingabe zu verzichten und den Computer mit dem Token oder Passwort zu entsperren. Hierzu trägt man in die /etc/pam.d/gdm-password folgendes ein:

Dazu muss im Schlüsselbund jedoch noch das Passwort für die Anmeldung deaktiviert werden. Hierbei muss man sich aber im Klaren sein, dass bei Verlust der neue Besitzer des Keys Zugang zu dem Computer erlangt.

4 Kommentare

  1. Für nichts davon braucht man Debian oder GDM. Nicht mal einen Desktop.

    Übrigens: Yubikey und Passwort? Da ist das Passwort doch eine totale Verschwendung.

    • > Übrigens: Yubikey und Passwort? Da ist das Passwort doch eine totale Verschwendung.

      Naja, das kommt darauf an was für Sicherheitsansprüche man hat. Ein U2F Token (nicht FIDO2) als einzelner Faktor würde halt bedeuten, dass sich jeder mit physikalischem Zugriff auf das Token einloggen kann, da der Knopf-Druck bereits ausreicht.

      @intux: Cooler Blog, interessante Mischung und auch über längere Zeit mit Inhalten gefüllt. Finde ich sehr gut, weiter so!

Kommentieren Sie den Artikel

Bitte bestätige diesen Kommentar!
Bitte den Namen hier eingeben

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.