Wir freuen uns Ihnen mitzuteilen, dass wir gemeinsam mit Dropbox, Inc. ein neues Kapitel aufschlagen werden. Dropbox erwirbt unsere IP-Technologie, um sie nativ in das Dropbox-Produkt einzubetten und damit Millionen von Geschäftskunden weltweit Ende-zu-Ende-Verschlüsselung mit Zero Knowledge bieten zu können. In unserem Blog erfahren Sie mehr!

Boxcryptor: 2-Faktor-Authentifizierung mit Security Keys
Jobs Icons Marketing

Jonathan Zimmermann | Marketing Manager

@JonZmoep

2-Faktor-Authentifizierung mit Security Keys – neu bei Boxcryptor

Wir bieten bereits 2-Faktor-Authentifizierung (2FA) an, damit Sie Ihr Boxcryptor Konto noch besser schützen können. Bisher benötigten Sie für die Nutzung von 2FA ein zweites Gerät (z.B. Smartphone) mit einer Authenticator-App. Nun haben Sie die Möglichkeit Ihre Identität auch über den USB-Anschluss und ohne zweites Gerät, dafür mit einem Hardware-Faktor nachzuweisen. Boxcryptor ist jetzt bereit für den Einsatz von Security Keys (Sicherheitsschlüssel), wie beispielsweise, die von Yubico produzierten YubiKeys.

In diesem Artikel erklären wir Ihnen wie Boxcryptor 2FA und Security Keys einsetzt um Ihr Konto noch besser zu schützen und wie Sie Ihr Boxcryptor Konto für 2FA mit Security Keys einrichten.

2-Faktor-Authentifizierung – Was ist das und wie funktioniert es?

2-Faktor-Authentifizierung dient der zusätzlichen Sicherheit zur Vermeidung von Identitätsdiebstahl und bedeutet, dass zum Identitätsnachweis (beim Login) zwei unabhängige Faktoren erforderlich sind. Beide Faktoren müssen korrekt sein, damit der Identitätsnachweis erfolgreich ist. Beispielsweise muss in einem zusätzlichen Schritt die Eingabe eines von einer Authenticator App erzeugten Bestätigungscode erfolgen. Fehlt einer dieser Faktoren oder ist nicht korrekt, kann kein Nachweis erfolgen. Das bedeutet in der Regel, dass der gewünschte Service nicht ausgeführt werden kann.

Eine weit verbreitete, verwandte Technik von 2FA, die 2-Schritte-Verifikation (2SV) findet im Online Banking Anwendung: Zur Durchführung einer Überweisung über das Onlineportal eines Bankhauses benötigt man nicht nur den Zugang zum Online Account, sondern muss die Rechtmäßigkeit des Überweisungsauftrages erneut per Eingabe eines Bestätigungscode (TAN) bestätigen. Im Gegensatz zur Verifikation mit zwei Schritten im Onlinebanking, müssen für die Autorisierung mit zwei Faktoren diese beiden Faktoren wirklich unabhängig voneinander sein und von unterschiedlicher Beschaffenheit.

Da sogenannte „Phishing“-Attacken es einem Angreifer erlauben vergleichsweise einfach an die Log-in Daten, also Nutzername und Passwort, einer Person zu gelangen, ist der Schutz des Identitätsnachweises durch einen zweiten, physikalisch unabhängigen Faktor gleichzeitig die Hauptaufgabe und der größte Vorteil von 2FA.

Allerdings geht die erhöhte Sicherheit im Anmeldeverfahren zulasten der Bequemlichkeit, da der Log-in Prozess eines weiteren Schritts bedarf. Des Weiteren, kann ein Verlust oder eine Beschädigung des zweiten Authentifizierungsfaktors zu Nicht-Verfügbarkeit des Service oder auch Folgekosten (Ersatz des zweiten Faktors) führen.

2FA Implementierung bei Boxcryptor

Boxcryptor nutzt den WebAuthN Standard für 2FA mit Security Keys. Wird ein Security Key als „Authenticator“ (zweiter Faktor) für Boxcryptor registriert, erstellt der Security Key intern ein neues, asymmetrisches Schlüsselpaar. Der private Schlüssel wird allein vom Security Key verwaltet, z.B. dadurch, dass er Boxcryptor zugeordnet auf dem Security Key selbst gespeichert wird. Der öffentliche Schlüssel wird an den Boxcryptor-Server weitergegeben.

Authentifiziert sich nun der Nutzer erfolgreich durch Eingabe seines Nutzernamen und Passwort, sendet der Boxcryptor-Server eine sog. „Challenge“, eine zufällige Reihe von Bytes, an den Client. Unser Server merkt sich diese Challenge. Der Client gibt einen Fingerabdruck dieser Challenge an den Security Key weiter. Dieser wartet nun auf eine Bestätigung des Nutzers – erkennbar z.B. daran, dass der Bestätigungsknopf des Security Keys blinkt. Der Nutzer muss dem Security Key diese Bestätigung geben.

Damit wird verhindert, dass ein Authentifizierungsversuch ohne explizite Einwilligung des Nutzers vollendet wird. Der Security Key signiert nun den Fingerabdruck der Challenge mit dem für Boxcryptor hinterlegten privaten Schlüssel, und der so signierte Fingerabdruck wird zurück an den Server geschickt. Dieser kann mit dem öffentlichen Schlüssel nun testen, ob der Fingerabdruck vom registrierten Security Key stammt, und ob der Fingerabdruck zur gespeicherten Challenge passt. Ist das der Fall, dann hat der Client bewiesen, dass sein Nutzer den registrierten Security Key besitzt und der Nutzer ist erfolgreich angemeldet.
Authenticate with Security Key

Nach Eingabe Ihres Passworts fordert Boxcryptor die Bestätigung durch den Security Key.

Neben dieser grundlegenden Funktionsweise sichert sich Boxcryptor mit weiteren Techniken gegen Angriffe ab, z.B. sind die Challenges nur begrenzt gültig und es wird ein „Verwendungszähler“ mit dem Security Key abgeglichen. Dadurch könnte selbst ein kopierter Security Key (so schwierig er auch physikalisch zu kopieren sein sollte) mit hoher Wahrscheinlichkeit erkannt werden.

2FA mit Security Key

Grundsätzlich unterstützt Boxcryptor alle Security Keys, als zweiten Authentifizierungsfaktor, solange dieser Key den WebAuthN Standard unterstützt. WebAuthN ist ein Projekt des World Wide Web Consortium, einem Gremium zur Definition von Standards bezüglich der Technik im World Wide Web. Mit WebAuthN soll die Authentifizierung im Internet vereinheitlicht und standardisiert werden. Diese Anstrengungen werden auch von der FIDO-Allianz – einem Konsortium einer Vielzahl der wichtigsten Unternehmen in der digitalen Industrie (z.B. Google, Alibaba Group, Amazon, Microsoft, Nok Nok Labs und einige Weitere) – unterstützt. Anders als sein Vorgänger U2F, ist WebAuthN kein proprietärer Standard (U2F ist ein proprietärer Standard von Yubico und Google) und wird deshalb von einer deutlich größeren Anzahl von Browsern unterstützt. Da WebAuthN rückwärtskompatibel mit U2F ist, können auch alle U2F-konformen Security Keys mit Boxcryptor verwendet werden.

Boxcryptor unterstützt nun den WebAuthN Standard und kann somit mit allen WebAuthN-fähigen Keys auf (fast) allen Browsern mit 2FA genutzt werden. Anfangs werden dabei Chrome, Firefox, Opera und Edge unterstützt. Apple hat WebAuthN in Safari noch nicht vollständig implementiert, arbeitet aber bereits daran. Auch die neusten Versionen der Boxcryptor Desktop-Apps für Windows und macOS unterstützen 2FA über WebAuthN und damit auch alle Security Keys mit FIDO 2.0 Unterstützung als zweiten Authentifizierungsfaktor. Während die Nutzung von Security Keys in Boxcryptor for Android ab Anfang 2019 geplant ist, müssen sich iOS Nutzer gedulden bis Apple den neuen Standard in iOS implementiert hat.

Einer der bekanntesten Hersteller von Security Keys ist Yubico. Yubico’s Security Key nennt sich YubiKey und wird hier exemplarisch für die Nutzung eines Security Keys vorgestellt.

YubiKey – Was ist das und wie funktioniert er?

Ein YubiKey ist ein hardwarebasierter, physikalischer zweiter Authentifizierungsfaktor. Der YubiKey sieht aus wie ein handelsüblicher USB-Stick, dient aber nicht der Speicherung von Daten, sondern als Faktor im Identitätsnachweis.

Die Firma Yubico bietet den YubiKey seit einiger Zeit an und macht mit ihm die Zwei-Faktor-Authentifizierung bedeutend sicherer und auch etwas einfacher. Praktisch am YubiKey ist, dass man den zweiten Faktor für die Authentifizierung einfach am Schlüsselbund jederzeit dabeihaben kann.

Das Prinzip ist einfach: Der YubiKey dient als zweiter notwendiger Faktor zur Authentifizierung und wird wie ein USB-Stick zu diesem Zweck über den USB-Port an den Computer angeschlossen. Erst wenn der YubiKey an den Computer angeschlossen ist und die Authentifizierung vom Nutzer über eine Schaltfläche am YubiKey autorisiert worden ist, kann die Authentifizierung durch Aktivierung des YubiKey erfolgreich abgeschlossen werden – Es bedarf also keiner weiteren Eingabe eines Bestätigungscodes, wie bei anderen Verfahren der zwei Faktor Authentifizierung. Bei bestimmten YubiKeys kann die Authentifizierung auch über eine NFC Verbindung erfolgen, was besonders bei mobilen Geräten nützlich sein kann. Ebenso lässt sich die neue YubiKey 5 Generation mit USB-C zusammen mit aktuellen mobilen Geräten mit USB-C Anschluss nutzen – der YubiKey wird hierbei per USB mit dem mobilen Gerät verbunden – genau wie an einem (Desktop) Computer. Für mehr Informationen darüber, welches YubiKey Model für Ihren Einsatz besonders geeignet ist, verschaffen Sie sich einen Überblick über die verfügbaren Modelle auf der Website des Herstellers Yubico.

Sorgen bezüglich der Übertragung von Malware über den YubiKey sind unbegründet da, außer den durch WebAuthN vorgegebenen Daten, kein Datenaustausch mit dem Computer stattfindet. Die YubiKey Unterstützung ist bei allen gängigen Betriebssystemen gegeben und die Hardware des YubiKeys ist gegen Stöße und Wasser geschützt.

Zugriff auch bei Verlust des „zweiten Faktors“

Ein nicht zu vernachlässigender Nachteil dieser Lösung für 2FA ist jedoch, dass eine Authentifizierung nicht möglich ist, sollte man seinen Security Key einmal nicht zur Hand haben. Diesen Aspekt empfehlen wir bei der Wahl des zweiten Faktors (für 2FA) zu bedenken. Diesbezüglich ist es auch „best practice“, grundsätzlich 2 Security Keys für einen Boxcryptor Account einzurichten, um sich im Falle eines Verlustes eines Keys nicht gänzlich aus dem Account „auszuschließen“.

Zusätzlich haben Sie die Möglichkeit, Backup-Codes (Einmalcodes) einzurichten, auf die Sie zurückgreifen können, wenn Sie Ihren Security Key verlieren oder das Mobiltelefon mit der Authentifizierungs-App nicht mehr verfügbar ist. Wir empfehlen, die Sicherungscodes herunterzuladen und sicher aufzubewahren. Denn um von den Sicherungscodes profitieren zu können, müssen die Codes verfügbar sein, wenn Sie abgemeldet sind.

Die Backup-Codes erhalten Sie wie folgt:

  1. Melden Sie sich auf boxcryptor.com an.
  2. Navigieren Sie zu Sicherheit.
  3. Aktivieren Sie Zwei-Faktor-Authentifizierung -> Backup-Codes. (Diese Option ist nur sichtbar, wenn dem Konto ein mindestens ein zweiter Faktor hinzugefügt wurde.)
  4. Jetzt werden die neu generierten Sicherungscodes auf dem Bildschirm angezeigt.
  5. Laden Sie die Codes herunter und legen Sie sie an einem sicheren Ort ab.

2FA mit YubiKey bei Boxcryptor einrichten

Die Einrichtung eines Security Keys (z.B. YubiKey) für Boxcryptor ist einfach: Melden Sie sich auf der Boxcryptor Web App an und navigieren Sie zum Menüpunkt „Sicherheit“ -> „Security Keys“. Hier können Sie Ihre Security Keys verwalten. Zum Hinzufügen eines neuen YubiKeys wählen Sie „Security Key Hinzufügen“ und folgen Sie den Anweisungen auf dem Bildschirm.

Security Settings

Um einen Security Key als Authentifizierungsfaktor zu Ihrem Boxcryptor Konto hinzuzufügen wählen Sie den Menüpunkt „Sicherheit“ in der Boxcryptor Web App. Wählen Sie dort „Security Keys“.

Register Security Key

Folgen Sie den Anweisungen in der Web App um einen Security Key zu Ihrem Konto hinzuzufügen.

Security Key Registered

Sie erhalten eine Bestätigung, wenn der Security Key erfolgreich eingerichtet wurde.

Video: 2FA mit Security Key


Teilen Sie diesen Artikel

Weitere Artikel zum Thema

graphics

Unser neues Kapitel mit Dropbox: Das bedeutet es für Boxcryptor Nutzer

Bereits letzte Woche haben wir verkündet, dass wir wichtige Technologie-Assets an Dropbox verkauft haben. Was unsere Kund*innen nun wissen müssen, erklären wir hier im Detail.

graphics

Ein Brief von unseren Gründern: Wir schließen uns Dropbox an

Wir freuen uns, Ihnen mitteilen zu können, dass wir zusammen mit Dropbox, Inc. ein neues Kapitel aufschlagen werden.

Dummies Buchcover und Rücken

BEENDET Gewinnspiel: Wir feiern unsere Buch-Veröffentlichung

Wir haben unser erstes Buch geschrieben, um noch mehr Menschen für die Cloud und Datensicherheit zu begeistern. Zum offiziellen Start können Sie im Gewinnspiel Taschenbücher und Boxcryptor-Lizenzen gewinnen. Alle Infos gibt es im Beitrag.