Auf genau 152 Nutzerkonten verteilt sich meine digitale Identität. Das geht so weit, dass ich sogar meine Gasrechnung online einsehen kann. Die digitale Prasserei tut nicht weh, hat aber einen großen Nachteil: Jedes dieser Konten braucht ein Passwort. Sicherheitsexperten raten zu einem, das nicht in Wörterbüchern steht, mindestens zwölf Zeichen hat und natürlich aus Zahlen, Klein- und Großbuchstaben sowie Sonderzeichen besteht. Man sollte es nicht für mehrere Dienste verwenden und bitte im Halbjahresturnus wechseln. Ich behaupte, nicht einmal neunjährige Gedächtnisweltmeister hätten Spaß daran, sich diesem Irrsinn auszusetzen. Passwörter überfordern uns.

Bislang schütze ich meine digitale Identität mit den immer gleichen und miserablen Wörtern, womit ich, wie diese Liste und diese Statistik zeigen, mehrheitsfähig bin. Das macht meine Passwörter allerdings zu einer leichten Beute für Angreifer, die mit gigabytegroßen Wörterbuchlisten und starken Rechnern vorgehen. Dagegen will ich meine digitale Identität künftig besser schützen. Die Frage ist nur, wie?

Ginge es nach der Fido Allianz, sollen Nutzer und starke Passwörter wieder zusammen finden. In der Allianz arbeiten seit 2012 Unternehmen wie Google, Microsoft und VISA an neuen Entwürfen. Vor allem die sogenannte Zwei-Faktor-Authentifizierung will die Allianz verbreiten. Die Idee: Man kombiniert ein leichter zu merkendes Passwort mit einem weiteren Faktor und erhält so ein starkes Passwort.

Der Yubikey hat zwei Funktionen

Der weitere Faktor kann ein Fingerabdruck, ein einmaliger Code (Einmalpasswort) oder ein Token sein. Token, die meist in Form einer Chipkarte oder eines USB-Sticks vorkommen, gibt es schon länger, bislang vor allem in Unternehmen. Dort sichern sie meist den Zugang zu besonders sensiblen Daten oder Räumen. Token sind in der Regel weniger fälschungsanfällig als Fingerabdrücke oder andere biometrische Merkmale und der Nutzer hat – im Gegensatz zum versandten Einmalpasswort – alles selbst in der Hand.

Die Fido-Allianz will deshalb Token voranbringen, wie den Yubikey der Firma Yubico. Der sieht aus wie ein schmaler USB-Stick und kann einfach am Schlüsselbund getragen werden. Jeder Rechner erkennt den kleinen Token als normale Tastatur. Mit einem Druck auf seinen Sensor gibt der Yubikey ein Passwort aus. Das kann entweder ein sehr langes Passwort zur ständigen Verwendung oder ein kurzes Einmalpasswort sein. Letzteres lässt sich dann für besagte Zwei-Faktor-Authentifizierung nutzen. Nutzer wählen eine der beiden Funktionen, indem sie den kleinen Sensor des Yubikeys lang oder kurz drücken. Google Mail sowie die Mail-Anbieter mailbox.org und Posteo unterstützen schon heute den Yubikey. Microsoft hat angekündigt, mit Windows 10 die Ideen der Fido Allianz zu unterstützen.

Yubikey für unterwegs

Der Yubikey soll auch meine digitale Identität künftig besser schützen. Ich bestelle den Yubikey Neo für rund 50 Euro. Es gibt auch andere Modelle, aber der Neo hat einen Vorteil: Er lässt sich sowohl per USB an meinen Rechner andocken, als auch per drahtloser Nahfeldkommunikation, kurz NFC, benutzen. Ich könnte damit also auch auf meinem NFC-fähigen Smartphone gute Passwörter nutzen.

Der erste Funktionstest ist simpel: Ich stecke den Yubikey in den USB-Slot meines Rechners und drücke das kleine Sensorenfeld mit der grünen Diode. Der Token spuckt sofort kleine Einmalpasswörter aus. So ist der Yubikey voreingestellt. Man testet das einfach im Editor oder Notepad.

Den Yubikey einrichten

Der nächste Schritt ist schon komplizierter. Um den Yubikey auf meine Bedürfnisse anzupassen, brauche ich das Yubikey Personalization Tool. Das Programm läuft auf Windows, Mac OS und Linux, die Installation geht flott und ist intuitiv. Aber dann geht es los mit den vielen kryptischen Begriffen und Abkürzungen, die den Yubikey zu einem sinnvollen, aber auch komplexen Werkzeug machen.

Ich öffne das Yubikey Personalization Tool und sehe in der oberen Leiste die Möglichkeiten des Tokens angezeigt. Dort befinden sich auch die zwei Grundfunktionen: Im static mode gibt der Yubikey das lange Passwort aus, im oath-hotp-mode hingegen das kurze Einmalpasswort. Zwischen beiden Funktionen kann ich – wie oben erwähnt – wechseln, in dem ich den Sensor lang oder kurz drücke. Das lange Passwort des static modes kann ich im Prinzip für jeden Onlinedienst verwenden. Jeden Onlinedienst mit demselben Passwort zu sichern, ist aber nicht besonders klug. Denn gerät das Passwort einmal in falsche Hände, zum Beispiel durch einen Hack oder aus Unachtsamkeit, stehen Angreifern gleich alle meiner Dienste offen.

Zwei-Faktor-Authentifizierung mit dem Yubikey

Der oath-hotp-mode ist da sicherer. (OATH steht für den Standard Open Authentification, HOTP steht für HMAC-based One-time Password Algorithm.) Ihn kann ich für die Zwei-Faktor-Authentifizierung nutzen. Auf der Yubico-Seite gibt es eine kleine Auswahl jener Dienste, die den oath-hotp-mode unterstützen, darunter Dropbox und Evernote. Man geht dann zum Beispiel auf die Dropbox-Seite, gibt seinen Nutzernamen und sein normales Passwort ein. Anschließend wird man aufgefordert, ein zusätzliches Einmalpasswort einzugeben. Das würde dann der Yubikey beisteuern.

Aber von meinen 152 Diensten sind die wenigsten aufgeführt. Ich beschließe daher, den Yubikey im oath-hotp-mode anders zu nutzen: Ich lege mir einen Passwortmanager zu, parke in dessen verschlüsselter Datenbank meine 152 Zugangsdaten und nutze den Yubikey nur für die zweifache Sicherung dieser Datenbank.

Der Passwortmanager meiner Wahl wird KeePass. Anders als die Konkurrenz ist sein Code quelloffen und damit theoretisch von jedermann auf Fehler oder Hintertüren überprüfbar. Außerdem gibt es KeePass für alle gängigen Betriebssysteme und Smartphones. Die Installation ist selbsterklärend und ich lege meine 152 Dienste dort an. Was natürlich einige Zeit dauert. Praktischerweise kann KeePass auch gleich sichere Passwörter für jeden meiner Onlinedienste generieren. Da ich sie mir eh nicht mehr merken muss, dürfen sie auch höllenschwer sein. Die KeePass-Datenbank selbst ist mit dem als sicher geltenden Advanced Encryption Standard (AES-256) verschlüsselt.

Um diese Datenbank voller Passwörter gut zu schützen, habe ich mir zunächst ein besonders schweres Passwort ausgedacht. Es hat 40 Zeichen und wenn ich es falsch eingebe, brauche ich fast eine Minute, bis ich mit dem zweiten Versuch fertig bin, auf dem Smartphone gerne auch zwei. Der Yubikey kann diese Aufgabe für mich übernehmen. Ich stelle den Yubikey also im ersten seiner beiden sogenannten Slots auf static mode. Dabei hilft mir das Video auf der Yubico-Seite. Letztlich läuft es darauf hinaus, dass ich mein langes Passwort eingebe und Write Configuration drücke. Das war einfacher als gedacht. In der Bilderstrecke ist der Prozess noch einmal ausführlicher erklärt:

Als kleines Schmankerl habe ich auf dem Yubikey nur 36 Zeichen meines Passworts verstaut. Die letzten vier Zeichen gebe ich per Hand ein. Sollte mein Yubikey verloren gehen, ist mein Generalpasswort damit noch nicht komplett in fremden Händen.

Ich könnte an dieser Stelle aufhören: Um auf meine digitale Identität zuzugreifen, öffne ich also mit KeePass meine Passwort-Datenbank, stecke den Yubikey ein, drücke ihn kurz und gebe meine vier letzten Zeichen dazu. Aber noch einmal: Das ist keine Zwei-Faktor-Authentifizierung, sondern erleichtert nur die Eingabe eines sehr langen, komplexen Passworts.

Yubikey mit KeePass verbinden

Im Alltag erweist sich die Kombination von KeePass und Yubikey anfangs dennoch als gewöhnungsbedürftig. Gerade wenn es schnell gehen muss – und das muss es ja eigentlich immer – nervt der Aufwand. Schnell merke ich aber auch, dass ich viel Zeit spare, weil ich nie Passwörter raten muss und dank KeePass immer weiß, bei welchem Dienst ich mich mit welchem Fantasienamen oder welcher Mail angemeldet habe. Wirkliche wichtige Passwörter sind zudem endlich richtig stark, ohne dass ich sie mir merken müsste.

Noch besser wäre es natürlich, KeePass mit Zwei-Faktor-Authentifizierung zu nutzen. Sowohl KeePass als auch der Yubikey unterstützen das. Zuerst bereite ich den Yubikey vor.

Dafür muss ich nun den zweiten Slot einrichten. Ich stecke den Yubikey in meinen Rechner und öffne das Yubikey Personalization Tool. Dort wähle ich anschließend den zweiten Slot aus und in den oberen Reitern den oath-hotp-mode. Wie genau die Einstellung vonstattengeht, ist oben in der Fotostrecke beschrieben.

Dabei wird unter anderem ein sogenannter Secret Key erstellt, eine lange, wirre Zeichenfolge. Dieser Secret Key enthält das Geheimnis, aus dem der Yubikey immer wieder Einmalpasswörter generiert. Wichtig ist, dass man sich den Secret Key unabhängig von KeePass merken beziehungsweise ihn irgendwo speichern sollte. Denn geht später einmal etwas schief, komme ich mit dem Secret Key doch noch an meine Datenbank bei KeePass.

Ist der Yubikey eingerichtet, muss ich außerdem noch KeePass für den Yubikey im oath-hotp-mode einrichten. Dafür lade ich die Erweiterung OtpKeyProv herunter und entpacke die enthaltenen Dateien in den Ordner von KeePass. Das ist auch schon die Installation. Nach wenigen Schritten und unter Verwendung des Secret Key, siehe Fotostrecke, ist meine digitale Identität mit zwei Faktoren gesichert.

Was passiert, wenn der Yubikey verloren geht?

Diese Methode hat nun alle Vorteile gebündelt: Einen Passwort-Manager mit starken Passwörtern, gesichert durch einen Token mit einem sehr langen Passwort und einem Einmalpasswort. Wenn ich KeePass starte, gebe ich nun erst mein sehr langes Passwort via Yubikey ein, indem ich drei bis vier Sekunden den Sensor gedrückt halte. Im zweiten Schritt kommt nun noch mein Einmalpasswort dazu. Ich drücke dazu den Sensor des Yubikeys nur kurz. Fertig.

Gleichzeitig zeigt sich in diesem Modus aber auch eine Schwäche: Man ist komplett vom Yubikey abhängig. Wird der Yubikey beschädigt, zerstört, verlegt oder gestohlen, verliert man alle Passwörter in der Passwort-Datenbank.

Auf seiner Seite empfiehlt der Hersteller deshalb, einen zweiten Yubikey genau gleich zu konfigurieren. Das ist aber zum einen kostspielig und zum anderen im Falle des oath-hotp-mode auch unmöglich, denn jeder Secret Key ist einmalig. Wer den Yubikey also derart nutzt und dann verliert, ist vollends auf die Hilfe der unterstützenden Dienste angewiesen. KeePass zum Beispiel hat für genau diesen Fall einen Wiederherstellungsmodus (recovery mode). Dafür wird der Secret Key des Yubikey benötigt.

Yubikey auf dem Smartphone nutzen

Will ich den Yubikey via NFC auf meinem Smartphone benutzen, muss ich mich für eine seiner beiden Funktionen entscheiden, also entweder das starke, aber immer gleiche Passwort oder die kurzen Einmalpasswörter. Beides geht nicht. Denn anders als im normalen Modus gibt der Yubikey die Passwörter automatisch bei der Verbindung mit dem Smartphone ab. Den Sensor brauche ich nicht drücken, kann aber so auch nicht beeinflussen, welche Funktion der Yubikey übernimmt.

Die Einrichtung ist wieder so wenig selbsterklärend, dass es auf manche abschreckend wirken dürfte. Ich muss dafür im Yubikey Personalization Tool die NFC-Funktion meines Yubikeys einstellen. Das geht so: Den Yubikey per USB in den Rechner stöpseln, das Yubikey Personalization Tool öffnen und unter dem Reiter Tools auf NDEF Programming gehen. (NDEF steht für NFC Data Exchange Format.) Dort werden – wie bekannt – die zwei Funktionen des Yubikey angezeigt. Der static mode für das lange Passwort und der oath-hotp-mode für die kurzen Einmalpasswörter. Ich wähle den oath-hotp-mode und drücke dann Program. Das wars.

Fürs Smartphone ist noch eine Erweiterung nötig

Der Yubikey greift nun automatisch auf die Einstellung zurück, die ich bereits vorher für den oath-hotp-mode gewählt habe, siehe oben. Halte ich den Yubikey also an mein Smartphone, sendet er ein achtstelliges Einmalpasswort via NFC an das Gerät. Theoretisch.

Aber wenn ich nach der Konfiguration den Yubikey an mein Smartphone halte, öffnet sich im Firefox-Browser die Yubico-Seite, in der Adresszeile ist mein Einmalpasswort angehängt. Das hilft mir erst einmal nicht weiter. Um das Passwort auch in den Zwischenspeicher zu legen und so meine KeePass-Datenbank auf dem Smartphone öffnen zu können, muss ich zusätzlich die App YubiClip installieren. Gesagt, getan. Halte ich nun den Yubikey an mein Smartphone, wird das Einmalpasswort automatisch in die Zwischenablage kopiert. Ich kann es dann in die KeePass-Apps Keepass2Android oder KeePassDroid einfügen und so auf meine Passwortdatenbank zugreifen.

Aber 152 Zugänge auf einem Smartphone zu speichern, das mir ebenso schnell abhanden kommen könnte wie den Yubikey, fühlt sich trotzdem falsch an. Für den mobilen Gebrauch habe ich daher eine eigene Datenbank mit nur wenigen Passwörtern darin eingerichtet. Einen Teil seiner digitalen Identität lieber zu Hause zu lassen, ist vielleicht grundsätzlich eine gute Idee.