Willkommen im User-Forum von mailbox.org
 

YubiKey versus FreeOTP

Stefan Streit hat dies geteilt, 3 Jahren her
beantwortet

Hallo zusammen


Bisher nutze ich einen YubiKey. Nun wird neuerdings ja auch FreeOPT (oder Google-Authenticator, etc.) unterstützt. Mich würde nun interessieren: spricht für euch irgendetwas für einen Wechsel vom YubiKey auf FreeOTP? Die Sicherheit dürfte ja bei beidem gleich gross sein.


Beste Grüsse


Stefan

Kommentare (3)

Foto
1

Hinsichtlich Sicherheit würde ich ein HArdware-Token immer einem Stücken Software auf einem Smartphone vorziehen.


Außerdem ist das Yubico-OTP besser als das von FreeOTP verwendete TOTP (zietbasiert) bzw. HOTP (ereignisbasiert) mit 6 Ziffern.


Wenn man TOTP (zietbasiert) verwendet, dann ist das Token 60s gültig. Nach Eingabe und Anmeldung hat ein Angreifer, der mit einem Keylogger das Passwort abfängt, immer einige Sekunden zeit, das OTP PAsswort zu verwenden und gleichzeitig eine Session zu öffnen. Bei Yubico-OTP ist das ausgeschlossen.


Wenn Du einen Yubikey hast, dann würde ich dabei bleiben, ist die bessere Variante.

Foto
1

Das ist nicht ganz korrekt, es ist durchaus möglich, das TOTP-Token mit 8 Stellen und einer Gültigkeit von 30 Sekunden zu konfigurieren, soweit der verwendete Generator dies unterstützt.


Ansonsten stimmt aber: Das Hardware-Token ist sicherer, aber man braucht für den YubiKey eben auch immer einen USB-Anschluss. TOTP kann man auf mehreren Generatoren gleichzeitig einrichten und deshalb Kopien vorhalten (z. B. auf mehreren Mobiltelefonen). Bei HOTP funktioniert das leider nicht, weil die dort generierten Token immer in der richtigen Reihenfolge verbraucht werden müssen und ein neues Token erst generiert wird, wenn man das vorhergehende genutzt hat. Dafür kann man sich dort im Voraus eine Token-Liste erstellen, denn die HTOP-Tokens laufen nicht mit der Zeit ab, sondern werden erst durch Benutzung ungültig (wichtig bleibt nur, dass man sie in der korrekten Reihenfolge einsetzen muss).


Meine Empfehlung insofern: YubiKey! Und natürlich eine zweite Methode als Backup, wobei du bei mailbox.org darauf deshalb verzichten könntest, weil ein Passwort-Reset auch die OTP-Einstellungen zurücksetzt und du dich deshalb nicht aussperrst, sollte dein YubiKey einmal verloren gehen oder unbrauchbar werden.

Foto
1

Hallo 4743814 und 9490334, danke für eure Antworten, ihr habt mir sehr geholfen und ich behalte den YubiKey bei :-)

Foto