#!/coding/blatt
Sammelsurium mit Schwerpunkten Linux & IT-Sicherheit

YubiKey zum Speichern von Passkeys verwenden

14. Juni 2024 Stephan

Zuletzt hatte ich bereits aufgezeigt, wie Passkeys mit KeePassXC gespeichert und verwendet werden können. Eine weitere und im Prinzip sichere Variante, ist das Speichern der Passkeys auf einem Hardware-Security-Token, wie z.B. einem YubiKey.

Folgende Software bzw. Hardware wurde verwendet:
  • Notebook mit Arch Linux
  • YubiKey 5C NFC (Firmware: v5.4.3)
  • Mozilla Firefox v125.0.3
  • YubiKey Manager (ykman) v5.3.0

Passkey erstellen und verwenden

Zum Ausprobieren von Passkeys eignet sich z.B. die Website passkeys.io. Verbindet euren YubiKey mit eurem Rechner. Erstellt anschließend einen Demo-Account im Rahmen dessen euer Browser auf euren YubiKey zugreifen möchte. Hierfür wird die FIDO-PIN eures YubiKeys benötigt, die ihr im folgenden Dialog eingeben müsst:

YubiKey-PIN-Abfrage für Passkeys-Zugriff
Hinweis YubiKey - FIDO-PIN

Standardmäßig ist für den YubiKey keine FIDO-PIN vergeben. Ihr solltet also zuvor eine PIN für euren YubiKey konfigurieren. Hierfür könnt ihr den Befehl ykman fido change-pin nutzen.

Nach Eingabe der FIDO-PIN werdet ihr zudem aufgefordert eure Präsenz zu bestätigen und den YubiKey zu berühren.

YubiKey berühren für Passkeys-Zugriff

Wenn alles geklappt hat, könnt ihr euch danach passwortlos mit eurem YubiKey und eurem Passkey anmelden.

YubiKey-Passkeys-Übersicht

Möchtet ihr wissen, für welche Websites ihr Passkeys auf eurem YubiKey gespeichert habt, könnt ihr folgenden Befehl verwenden:

ykman fido credentials list
Enter your PIN:
Credential ID  RP ID            Username                      Display name
289a36d8...    www.passkeys.io  whatever123456@muellmail.com
f8652163...    webauthn.io      whatever123456
Terminal / Konsole

Fazit

Passkeys lassen sich ohne Weiteres auf einem YubiKey speichern und nutzen. Ein Nachteil ist aber sicherlich die beim YubiKey begrenzte Anzahl speicherbarer Passkeys von 25 (zumindest bezogen auf die 5er-Serie).