An dieser Stelle möchten wir dir heute einmal über Sicherheit am PC etwas schreiben, da selbst wir unser System gerade komplett umstellen und zahlreiche Sicherheitsprobleme entdeckt haben.
Die Authentifizierung per Passwort zeigt heute ein paar Schwächen. Viele Passwörter sind einfach durch Phishing zu ergattern oder werden aus gekaperten Passwortdatenbanken gestohlen. Viele Kunden nutzen sehr kurze Passworte und die sind häufig auch noch leicht zu erraten und werden häufig wiederverwendet. Den Schutz kann man an dieser Stelle schon erheblich verbessern, wenn man den Empfehlungen des BSI und damit einer Passwortlänge von 12 Zeichen folgt. Nutzt man aber ein solches Passwort, zeigt die Praxis, dass Kunden dieses Passwort häufig wieder verwenden.
Je komplizierter ein Passwort ist, desto häufiger wird es auch wieder vergessen und muss von Admins wieder hergestellt werden, was viel Arbeit schafft und es ist ein ungeliebter Gang zu den Administratoren. Wer sich die Richtlinie des BSI einmal ansehen möchte, findet diese hier: https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cyber-Sicherheitsempfehlungen/Accountschutz/Sichere-Passwoerter-erstellen/sichere-passwoerter-erstellen_node.html
Passwort Manager – Software
Eine Möglichkeit die Sicherheit zu verbessern sind sogenannte Passwortmanager. Diese Software hilft dir, Passworte zu generieren und dann auch abzuspeichern. Um den Safe zu öffnen, benötigst du ein sehr sicheres, langes Passwort. Für jede Webseite generierst du dann in diesem Passwort-Safe ein neues Passwort – mit allen Zeichen und auch möglichst lang. Benötigst du dann dieses Passwort zum Öffnen eines Webdienstes, öffnest du also deine Software, kopierst das Passwort in die Zwischenablage und fügst es im Passwort-Feld des Dienstes ein.
Hier siehst du ein Bild einer kostenlosen Software, die es für Windows und auch Android/Apple gibt. Vorteil dieser Software ist, dass du den Safe von einem Windows-Rechner auch auf dein Handy synchronisieren und auf allen öffnen kannst. Es ist auch eine Open-Source Software – also wird die Sicherheit immer wieder von verschiedenen Menschen überprüft. Keine Regierung, die sich hier unbemerkt einschleicht. (Link: https://pwsafe.org)
Modern und Benutzerfreundlich
Moderne Systeme nutzen Hardware-Key’s, wie z.B. den Yubikey. Dabei handelt es sich um einen USB-Stick mit verschiedenen Anschlüssen, die auch mit einem Handy z.B. per NFC kommunizieren können.
Diese Hardware ist in der Lage, sehr lange Schlüssel zu speichern und zu generieren. Der private Schlüssel wird sicher in einem Kryptoprozessor eines Authenticators, wie dem YubiKey, abgelegt und durch eine PIN oder ein biometrisches Merkmal geschützt. Das ist aber keineswegs ein Weg eines Herstellers, sondern in einem Standard definiert. Standards bieten den Vorteil, dass diese von verschiedenen Herstellern kompatibel genutzt werden können. Sie liegen offen und so können sich viele Anbieter dem anschließen und auch eine solche Authentifizierung zulassen. Nur wenn ein solches System von vielen Dienstanbietern genutzt wird, macht es auch Sinn und FIDO2 ist ein solcher Standard.
Der offene Authentifizierungsstandard FIDO2, besteht aus den Protokollen WebAuthn und CTAP2 und bietet neben dem kryptographischen Unterbau auch einen eingebauten Schutz gegen Device Cloning, Man-in-the-Middle- und Phishing-Angriffe – und das bei einfachster Bedienbarkeit für die Nutzer.
Wie erwähnt, muss auch die Gegenseite eine FIDO2-Authentifizierung unterstützen, damit man einen Yubikey nutzen kann. FiDO2 ist allerdings schon sehr weit verbreitet. Der Hersteller Yubikey geht mit den neuen Modellen einen Schritt weiter und kann als Multiprotokoll-Key fast alle industrierelevanten Authentifizierungsprotokolle bieten. Eine passwortlose Authentifizierung als Smartcard wird so auch bereitgestellt – ohne Karte und Kartenleser – alles in dem einen Stick!
Wie man oben schon am Bild des Passwort Managers sieht, haben wir einen Yubikey eingesteckt – ein Stück „Passwort Hardware“. Also auch die Anmeldung am PasswortSafe kann so per Yubikey geschehen und macht damit den Safe mit den wichtigen Passworten noch sicherer!
Windows Anmeldung mit Yubikey
Die komplette aktuelle YubiKey-5-Serie unterstützt eine einfache Anmeldung in Windows. In der Praxis sehen wir – trotz Warnungen immer wieder Passworte wie 1234, geheim, Schalke04. Alles Passworte, die gerne gehackt werden und keinen wirklichen Schutz bieten. Nutzt du einen YubiKey zusätzlich, so funktioniert ein schwaches Passwort nur in Kombination mit dem zweiten Faktor – dem Yubikey. Wird dein Passwort also gehackt, nutzt das alleine nichts.
Wichtig ist, dass diese Anmeldung nur für lokale Accounts gilt. Der Prozess in einer Windows Domäne mit Active Directory oder Remote Desktop Lösungen ist etwas komplexer und sollte von unseren Technikern geschult und eingerichtet werden.
Zunächst einmal musst du dafür YubiKey Windows Login von der Herstellerseite herunterladen und installieren. Hier gilt auch eine Empfehlung: Kaufe gleich 2 YubiKey’s und konfiguriere den zweiten Yubikey gleich, damit dieser als Backup dient, falls der erste Yubikey verloren geht. Nach der Aktivierung kannst du dich an diesem Account nämlich nur noch mit dem YubiKey anmelden! Allerdings ist es möglich eine Datei zu erstellen mit einem Wiederherstellungsstring. Den solltest du aber nicht auf dem PC abspeichern, da du ihn ja dann für ein Login benötigst.
Yubikey hat ein schönes Video dazu, wie ein Login dann funktioniert: https://www.youtube.com/watch?v=Dx8ve7IFWow
YubiKey Bio
Wer es noch sicherer haben will, bekommt einen YubiKey auch mit Biometrischem Faktor. Es reicht also nicht, einfach den Key zu berühren, sondern es wird noch zusätzlich der Fingerabdruck überprüft.
YubiKey in der Windows Domäne (Active Directory)
Möchte man die Yubike’s in der Windows Domäne nutzen wird es etwas komplizierter. An dieser Stelle muss man zunächst die Active Directory Zertifikatsdienste auf dem Server installieren (eine eingebaute Rolle) und dann auch initialisieren. Als Nächstes werden ECC-Erweiterungen in der Gruppenrichtlinie aktiviert. Dann müssen die Keys generiert und zugeordnet werden. Yubico hat dazu eine sehr gute Anleitung: https://support.yubico.com/hc/en-us/articles/360015654500-Setting-up-Windows-Server-for-YubiKey-PIV-Authentication
Insgesamt muss man aber sagen, dass wir diesen Weg für zu kompliziert halten, es selbst zu machen und daher nur auf die Hersteller-Seite verweisen. Alleine die Installation der Zertifikatsdienste kann zu Problemen führen.
Nutzt man ein Azure Active Directory, ist alles wieder einfacher. Und auch die Nutzung von Webdiensten mit dem YubiKey ist sehr einfach – egal ob der Rechner Standalone oder in einer Domäne ist. Alleine um hier die Sicherheit zu erhöhen, empfehlen wir den YubiKey all unseren Kunden zur Erhöhung der Sicherheit.
YubiKey Einsetzen
Wenn auch du den YubiKey einsetzen möchtest, aber nicht weißt, wie du anfangen sollst, so sprich gerne mit uns. Wir analysieren gerne den Bedarf, schauen, welche Potentiale und Möglichkeiten sich für dich ergeben und wie wir am besten deine Sicherheit erhöhen.
