Seit einiger Zeit bietet das ADMIN-Magazin als Aboprämie einen Yubikey an, der Two-Factor-Authentication mit Einmalpasswörtern (One Time Passwords / OTP) kombiniert. Zur Authentifizierung genügt es also nicht, sein Standard-Passwort einzugeben, der Anwender braucht noch ein zweites. In diesem Fall erzeugt der Yubikey die Einmalpasswörter. Besonders praktisch ist der Key, weil er intern eine USB-Tastatur simuliert, für die er sich somit beim PC ausgeben kann. Somit ist für jeden Rechner, der USB-Tastaturen unterstützt ein spezieller Treiber hinfällig. Sind die USB-Ports im Internet-Café nicht deaktiviert klappt das Login mit Yubikey/OTP sogar dort und verschafft zusätzlichen Schutz, denn selbst das mitgeschnittene oder geloggte Einmalpasswort ist keinem Hacker nützlich, weil es eben nach einmaliger Nutzung verfällt. Umgekehrt kann niemand allein aus einem verlorenen Yubikey Nutzen ziehen, da immer noch das normale Passwort zur Authentifizierung nötig ist.

Ein Beispiel für die Anwendung ist die Absicherung eines Wordpress-Blogs mit den beschriebenen Mitteln und einem separaten Plugin für den Yubikey [1]. Wordpress ist in PHP geschrieben, deshalb greift das das Plugin auf die PHP-Bibliothek des Yubikey zurück, die ebenso wie Bibliotheken in vielen anderen Sprachen frei zur Verfügung steht [2]. Wenn die Rechte des Blogs so angepasst sind, dass der Webserver in die entsprechenden Verzeichnisse schreiben darf, können Sie das Plugin direkt über das Administrations-Interface von Wordpress installieren. Andernfalls erledigen Sie die Installation, indem Sie das Paket per SSH entpacken oder über FTP hochladen. Abschließend aktivieren Sie das Plugin im Admin-Interface.

Auf Knopfdruck

Zur Konfiguration des Plugins brauchen Sie eine Yubico-ID und einen API-Key, den Sie auf der Webseite [3] anfordern. Sie geben im oberen Feld Ihre E-Mail-Adresse an, setzen den Cursor in das unter Feld und aktivieren den eingesteckten Yubikey per Knopfdruck (Abbildung 1). Er gibt dann im Feld einen Schlüssel aus. Wenn Sie auf der Webseite den Button »Get API Key« drücken, bekommen Sie eine Client ID und den geheimen Schlüssel angezeigt. Die Client ID und den API-Key geben Sie in den Einstellungen des Wordpress-Plugins unter »Settings | Yubikey« ein. Auf der Seite »Users | Your Profile« müssen Sie dann noch die Key ID eintragen, das sind die ersten 12 Zeichen, die der Yubikey automatisch ausgibt und »Yubikey authentication« auf »Use Yubico Server« schalten.

Ist alles richtig konfiguriert, verlangt Wordpress beim Login zusätzlich zum normalen Passwort noch ein One Time Password, das man einfach durch Betätigen des Yubikey-Schalters eingibt (Abbildung 2).

Abbildung 1: Schon bei der Registrierung des API-Keys hilft der Yubikey. Er füllt das zweite Feld der Eingabemaske aus.

Abbildung 2: Nach fertiger Konfiguration verlangt Wordpress beim Login zusätzlich zum normalen noch ein Einmalpasswort.

Weiter fertige Einbindungen des Yubikey gibt es beispielsweise für Drupal und Mediawiki, selbst ein Apache-Modul fehlt nicht. Ein Interface zu Linux-PAM stellt der ADMIN-Artikel [4] vor.