⭐️
@kuketzblog 🤔 Weiß nicht, ob ich mir so einen zulegen soll, welcher dann meinen Yubikey ablösen würde?
@kuketzblog Klingt nicht schlecht! USB-A oder USB-C, bei der Entscheidung tu ich mir allerdings nicht leicht… Heutzutage sollte man wohl eher USB-C nehmen und ggf. einen Adepter auf USB-A nehmen, also umgekehrt, oder? Oder gibts da womöglich Unterschiede bei der (mechanischen) Haltbarkeit?
Ich frag mich nur, wie man ssh-Zertifikate (nein nicht die Pubkeys!!!) am besten handelt, und ob die auch auf den Stick sollen, und vor allem können???
Derzeit hab ich die Zertifikate als Software-certs am Rechner liegen, was mich nicht so freut...
@kuketzblog
Von einer USB Speicher-Funktion kann ich nicht auf der Webseite lesen.
Wieso ist das nicht dabei @nitrokey
Daher noch etwas Luft, um die komplette Wollmilchsau zu bauen.
Es fehlt auch der Flaschenöffner :-)
@jakob @beedaddy @kuketzblog Den Nitrokey 3 gibt es sowohl mit USB A als auch mit USB C. Aber man muss sich halt entscheiden.
@jakob @kuketzblog Was meinst du denn mit Zertifikate, wenn nicht die Pubkeys?
@levin @jakob @kuketzblog Genau. In meinem (bzgl. Rechtschreibung mangelhaften) Beitrag wollte ich nur sagen, dass mir die Entscheidung nicht leicht fällt. Ich tendiere zur (zukunftssicher(er)en?) USB-C Version plus Adapter auf USB-A. Wobei mich interessieren würde, ob es Unterschiede bzgl. der mechanischen Haltbarkeit von USB-C und USB-A gibt. Interessehalber. In der Praxis dürfte sich das vermutlich nicht bemerkbar machen. Oder weiß @nitrokey genaueres?
@beedaddy @levin @jakob @kuketzblog Da sind uns keine praxisrelevanten Unterschiede bekannt. USB-A Stecker ist natürlich bereits jahrelang praxiserprobt.
https://chandanduttachowdhury.wordpress.com/2014/12/31/certificate-based-ssh-user-authentication/
https://ef.gy/hardening-ssh
Ziemlich geniale Geschichte.
@beedaddy
Jo, ich hatte ja eigentlich nur auf @jakob geantwortet :)
Glaube schon, dass die Keys dann von einer ähnlichen Qualität sind (frage mich grade ob es bei beim Nitrokey 2 Pro auch Schutzkappen gibt, auf den Bildern keine).
Ich hab mich jetzt für die C Version entschieden, habe aber auch die Möglichkeit am Laptop C zu nutzen. Notfalls dann halt abwärtskompatibel mit Adapter...
@jakob @kuketzblog Ah, nett. Kannte ich tatsächlich noch nicht.
Also du betreibst quasi eine kleine CA dann?
Vllt eher was für den Nitrokey HSM?
https://www.nitrokey.com/#comparison
Auf die Rechner der User kommt das CA-Zertifikat der Hostkey-CA, auf die Server kommt das CA-Zertifikat der User-CA (und zusätlich das Zertifikat des Hostkeys)
Jeder User bekommt mit dem Token auch sein persönliches Zertifikat ausgegeben, welches er dann zwingend zur Authentifizierung benötigt.
- replies
- 0
- announces
- 0
- likes
- 1
Zumindest ist der Nitrokey im Gegensatz zum Yubikey quelloffen 😉
@datenschutzratgeber @kuketzblog jup, aber beim Yubikey weiß ich, dass er für mich soweit funktioniert. 😉
@kuketzblog Seh ich das richtig, dass der dann auch mit KeepassXC funktioniert? War kurz davor, mir Yubikeys zu bestellen.
@kuketzblog Ich hatte das bei heise gelesen, aber der Artikel [1] endet so:
"Der Funktionsumfang soll zum Auslieferungszeitpunkt allerdings noch eingeschränkt sein, der Anbieter will ihn erst nachträglich durch Updates vervollständigen."
Das klingt eher nicht nach Milchwolleiern :/
@kuketzblog Dumme Frage, aber wie oft geht so ein USB-Key eigentlich kaputt? Müsste man sich nicht eigentlich immer mindestens einen Backup-Stick (also insgesamt 2) zulegen, damit man nicht den Zugriff auf all seine Accounts/Passwörter/Zertifikate/… verliert? Wäre nur ein Nitrokey nicht ein 'Single Point of Failure'?