⭐️
@kuketzblog 🤔 Weiß nicht, ob ich mir so einen zulegen soll, welcher dann meinen Yubikey ablösen würde?
@kuketzblog Klingt nicht schlecht! USB-A oder USB-C, bei der Entscheidung tu ich mir allerdings nicht leicht… Heutzutage sollte man wohl eher USB-C nehmen und ggf. einen Adepter auf USB-A nehmen, also umgekehrt, oder? Oder gibts da womöglich Unterschiede bei der (mechanischen) Haltbarkeit?
- replies
- 1
- announces
- 0
- likes
- 0
Ich frag mich nur, wie man ssh-Zertifikate (nein nicht die Pubkeys!!!) am besten handelt, und ob die auch auf den Stick sollen, und vor allem können???
Derzeit hab ich die Zertifikate als Software-certs am Rechner liegen, was mich nicht so freut...
@kuketzblog
Von einer USB Speicher-Funktion kann ich nicht auf der Webseite lesen.
Wieso ist das nicht dabei @nitrokey
Daher noch etwas Luft, um die komplette Wollmilchsau zu bauen.
Es fehlt auch der Flaschenöffner :-)
@jakob @beedaddy @kuketzblog Den Nitrokey 3 gibt es sowohl mit USB A als auch mit USB C. Aber man muss sich halt entscheiden.
@jakob @kuketzblog Was meinst du denn mit Zertifikate, wenn nicht die Pubkeys?
@levin @jakob @kuketzblog Genau. In meinem (bzgl. Rechtschreibung mangelhaften) Beitrag wollte ich nur sagen, dass mir die Entscheidung nicht leicht fällt. Ich tendiere zur (zukunftssicher(er)en?) USB-C Version plus Adapter auf USB-A. Wobei mich interessieren würde, ob es Unterschiede bzgl. der mechanischen Haltbarkeit von USB-C und USB-A gibt. Interessehalber. In der Praxis dürfte sich das vermutlich nicht bemerkbar machen. Oder weiß @nitrokey genaueres?
@beedaddy @levin @jakob @kuketzblog Da sind uns keine praxisrelevanten Unterschiede bekannt. USB-A Stecker ist natürlich bereits jahrelang praxiserprobt.
https://chandanduttachowdhury.wordpress.com/2014/12/31/certificate-based-ssh-user-authentication/
https://ef.gy/hardening-ssh
Ziemlich geniale Geschichte.
@beedaddy
Jo, ich hatte ja eigentlich nur auf @jakob geantwortet :)
Glaube schon, dass die Keys dann von einer ähnlichen Qualität sind (frage mich grade ob es bei beim Nitrokey 2 Pro auch Schutzkappen gibt, auf den Bildern keine).
Ich hab mich jetzt für die C Version entschieden, habe aber auch die Möglichkeit am Laptop C zu nutzen. Notfalls dann halt abwärtskompatibel mit Adapter...
@jakob @kuketzblog Ah, nett. Kannte ich tatsächlich noch nicht.
Also du betreibst quasi eine kleine CA dann?
Vllt eher was für den Nitrokey HSM?
https://www.nitrokey.com/#comparison
Auf die Rechner der User kommt das CA-Zertifikat der Hostkey-CA, auf die Server kommt das CA-Zertifikat der User-CA (und zusätlich das Zertifikat des Hostkeys)
Jeder User bekommt mit dem Token auch sein persönliches Zertifikat ausgegeben, welches er dann zwingend zur Authentifizierung benötigt.
Zumindest ist der Nitrokey im Gegensatz zum Yubikey quelloffen 😉
@datenschutzratgeber @kuketzblog jup, aber beim Yubikey weiß ich, dass er für mich soweit funktioniert. 😉
@kuketzblog Seh ich das richtig, dass der dann auch mit KeepassXC funktioniert? War kurz davor, mir Yubikeys zu bestellen.
@kuketzblog Ich hatte das bei heise gelesen, aber der Artikel [1] endet so:
"Der Funktionsumfang soll zum Auslieferungszeitpunkt allerdings noch eingeschränkt sein, der Anbieter will ihn erst nachträglich durch Updates vervollständigen."
Das klingt eher nicht nach Milchwolleiern :/
@kuketzblog Dumme Frage, aber wie oft geht so ein USB-Key eigentlich kaputt? Müsste man sich nicht eigentlich immer mindestens einen Backup-Stick (also insgesamt 2) zulegen, damit man nicht den Zugriff auf all seine Accounts/Passwörter/Zertifikate/… verliert? Wäre nur ein Nitrokey nicht ein 'Single Point of Failure'?