Meine Top 6 YubiKey-Anwendungsfälle

Beim YubiKey handelt es sich um einen sogenannten Security-Token. Ich setze die verschiedenen Funktionen, die der YubiKey bereitstellt, regelmäßig ein. Welche 6 Haupt-Anwendungsfälle das sind, erfahrt ihr in diesem Beitrag.

Hinweis

Es sollte erwähnt sein, dass der YubiKey leider nicht mit einer quelloffenen Firmware läuft. Quelloffene Alternativen wären z.B. SoloKey und Nitrokey. Normalerweise ziehe ich quelloffene System bzw. Open-Source-Software immer vor, aber bisher konnte mich keiner der Alternativen, was Funktionsumfang und Qualität im Vergleich zum YubiKey anbelangt, vollends überzeugen.

1. E-Mail-Signierung/-Verschlüsselung

YubiKey-Funkton: OpenPGP
Zum Signieren und Verschlüsseln von E-Mails verwende ich die auf meinem YubiKey gespeicherten GPG-Unterschlüssel.

2. Zwei-Faktor-Authentifizierung mit Einmalkennwörtern

YubiKey-Funkton: TOTP
Viele Online-Dienste bieten die Möglichkeit das eigene Kundenkonto mit einer 2-Faktor-Authentifizierung mit zeitbasierten Einmalkennwörtern (TOTP) abzusichern. Anstatt mithilfe von Apps, wie z.B. dem Google Authenticator, die geheimen OTP-Schlüssel (OTP-Secrets) auf meinem Smartphone zu speichern, speichere ich diese auf meinem YubiKey.

3. Git-Code-Commits signieren

YubiKey-Funkton: OpenPGP
Wenn ich Code in eines meiner Git-Repositories hochlade, dann signiere ich mit meinem GPG-Unterschlüssel, der sich auf meinem YubiKey befindet, den entsprechenden Commit.

4. SSH-Anmeldungen mittels Public-Key-Authentifizierung

YubiKey-Funkton: OpenPGP
Für SSH-Anmeldungen, z.B. zum Verbinden mit meinem OpenWrt-Router, nutze ich immer eine Public-Key-Authentifizierung. Als SSH-Key nutze ich hier den GPG-Authentifizierungs-Unterschlüssel auf meinem YubiKey.

5. Secure-Boot (UEFI) - Key-&-Zertifikats-Speicherung

YubiKey-Funkton: PIV-Smartcard
Auf meinem Notebook läuft Xubuntu v20.04 LTS mit aktiviertem Secure-Boot (UEFI). Anstatt die vorinstallierten Secure-Boot-Keys von Microsoft zu verwenden, habe ich diese mit meinen eigenen Keys ersetzt. Die entsprechenden privaten Schlüssel sowie die dazugehörigen X.509-Zertifikate habe ich auf meinem YubiKey gespeichert. Zum Signieren von Bootloader, Kernel etc. wird also mein YubiKey benötigt.

6. Passwort-Manager bzw. Passwortverschlüsselung

YubiKey-Funkton: OpenPGP
Als Passwort-Manager verwende ich pass. Dieser verwendet GPG zum Ver- und Entschlüsseln der Passwörter. Auch hier greife ich wieder auf meinen sich auf meinem Yubikey befindlichen GPG-Verschlüsselungs-Unterschlüssel zurück.

Weitere Anwendungsfälle

Hier im Blog habe ich bereits über weitere Anwendungsfälle berichtet:

Fazit

Ich verwende meinen YubiKey regelmäßig und wie ihr sehen könnt für viele verschiedene Anwendungsszenarien.

Feedback

Für Feedback zum Beitrag, seien es Fragen, Korrigierungen und/oder Anregungen, könnt ihr mir gerne eine Nachricht per E-Mail oder Mastodon schreiben (siehe Kontakt).