derwowusste
Goto Top

Yubikey 5 NFC - passende NFC-Reader gesucht

Moin Kollegen.

Ich suche preiswerte NFC Reader um damit den Yubikey 5 NFC zu benutzen.

Yubicos Support empfiehlt den Omnikey 5022 CL (80 Euro, 30 Euro teurer als der Yubikey selbst), obwohl andere auch gehen müssten - Wortlaut Support:
ACS NFC ACR122U is known to work well with the YubiKey as well (https://www.acs.com.hk/en/products/3/acr122u-usb-nfc-reader/)
Leider liest dieser günstige Reader ACR122u (25€) nicht alle Slots des Yubikeys aus und ist somit für mich unbrauchbar, während der Omnikey das tut.

Frage: nutzt jemand den Yubikey 5 mittels NFC und weiß aus eigener Erfahrung, dass sein NFC-Reader alle Slots lesen kann? Wenn ja, welches Modell ist das?

Content-Key: 666885

Url: https://administrator.de/contentid/666885

Printed on: June 12, 2024 at 14:06 o'clock

Member: commodity
commodity May 19, 2021 at 20:45:58 (UTC)
Goto Top
Es gibt Administratoren, die Yubikeys benutzen???

Nein, Scherz! Der Yubikey ist großartig. Ist das Tool, das ich definitiv am meisten einsetze (und auch meinen Kunden zur Sicherung der Passwort-DB aufdrücke) face-wink

Die zurückhaltende Beteiligung in diesem Thread lässt mich aber befürchten, dass die Verbreitung unter den Forumskollegen geringer ist, als es das Teil verdient hätte.

Leider kann ich zu Deinem konkreten Anliegen nichts beitragen, die NFC-Funktion setze ich nur am Handy ein. Interessehalber: Was möchtest Du erreichen? Da, wo Du nen USB-NFC-Reader stecken kannst, kannst Du doch auch gleich den Yubikey stecken? Rein zum Komfort?
Member: DerWoWusste
DerWoWusste May 19, 2021 at 20:50:53 (UTC)
Goto Top
Hi.

Ich stelle mir vor, den Yubikey jedes Mal abzuziehen, wenn ich mich von meinem Schreibtisch entferne, das sind schnell Tausende Mal im Jahr und das überlebt kein USB-Port auf die Dauer. Ebenso ist ein ständiges Einstecken nervig, das Auflegen ist da weitaus netter.
Member: Snagless
Snagless May 20, 2021 at 05:49:33 (UTC)
Goto Top
Hallo,

ich denke es geht ihm darum dass sich der USB Port am Endgerät abnutzt wenn man das ständig benutzt. Wir bringen unseren Kunden immer bei einfach ein USB Verlängerungskabel zu benutzen das irgendwo am Monitorfuss festgemacht wird., oder einen USB Hub zu benutzen. Weil man beides ohne Probleme austauschen kann. Dagegen sind USB Ports an Geräten eher schlecht bis gar nicht zu reparieren. Ein NFC Reader ist eben Kontaktlos.
Member: commodity
commodity May 26, 2021 at 20:56:37 (UTC)
Goto Top
Ja, das ist wohl richtig - und danke für den Blickwinkel: Ich stecke täglich ca. 3-5 Mal, seit 1,5 Jahren. Die Buchse lebt noch, aber der Ansatz vom Kollegen @Snagless (Danke!) dürfte sicherer sein. Die Spezifikation für USB-A gibt nur 1500 Steckungen (2.0) bis 5000 (3.0) vor. Das ist dann natürlich schnell erreicht. Und die Buchse ist wahrscheinlich deutlich empfindlicher als der Stecker.

Jedes Mal abziehen ist allerdings meist nicht nötig - wahrscheinlich je nach Anwendungsfall und Diebstahlrisiko. Ich nutze ihn meist für SSH und 2FA: Keepass, Nextcloud u.ä. Da kann er stecken bleiben, da diese Anwendungen entweder einen zweiten Faktor brauchen oder die Abfrage PIN-geschützt ist. Bei Nutzung des reinen Passwort-Logins (eh unsicher) ist das natürlich anders. Da muss man dann schon aufpassen, selbst bei geteiltem Passwort, wie von Yubico empfohlen will man ja nicht, dass die eine Hälfte des Passworts schon bekannt ist.

Gib mal gern weiter, wenn Du noch einen Reader gefunden hast. Vielleicht braucht es noch jemand.
Member: C.R.S.
C.R.S. May 27, 2021 updated at 00:27:51 (UTC)
Goto Top
In drei Jahren mit ca. 30 YubiKey-Nutzern hatte ich kein Problem mit den USB-Ports (ohne Kabel, die meisten nutzen wegen der Arbeitsplatzaufteilung auch an der Docking-Station den Geräteport). Auch bei Projekten mit anderen Token mit vollwertigen USB-Steckern war das nie ein Problem. An ca. 10 Jahre alten privaten Geräten kann ich die eine oder andere wackelige Buchse darauf zurückführen. Die einfache Leiterplatte bzw. der Kunststoff des YK ist nochmal schonender.
Zu Schäden kam es, wenn der eingesteckte Token anstieß. Wobei ein YubiKey dabei abbrach, ohne das Gerät wirklich zu beschädigen.

Per NFC funktionieren leider weder Touch-Policy noch OTP.

Grüße
Richard
Member: DerWoWusste
DerWoWusste May 27, 2021 at 07:05:47 (UTC)
Goto Top
Moin Richard.
In drei Jahren mit ca. 30 YubiKey-Nutzern hatte ich kein Problem
Ok, immerhin ein Erfahrungswert, aber das mag mit anderen Nutzern (*zwäng, würg*) und anderem Verhalten (10x täglich rein-raus) anders aussehen.
Per NFC funktionieren leider weder Touch-Policy noch OTP
Welche Reader hattest Du denn getestet? Meine Frage war ja hinsichtlich der Slot-Sichtbarkeit (mehr als 2 oder nicht)? - wie sah es da aus?
Member: commodity
commodity May 27, 2021 updated at 09:45:10 (UTC)
Goto Top
Zitat von @c.r.s.:
Per NFC funktionieren leider weder Touch-Policy noch OTP.
Ei Wei, das hatte ich fast befürchtet. Die von @Snagless beschriebene Kabel-Lösung (alternativ gibts ja auch so kleine schreibtischtaugliche single-USB-Docks) ist dann wohl (vorsorglich) die sinnigste Lösung. Zumal die Keys ja oft an Schlüsselbünden hängen - und das macht sich an PC-Buchsen nicht wirklich toll.
Member: DerWoWusste
DerWoWusste May 27, 2021 updated at 09:54:28 (UTC)
Goto Top
Richard, noch was:
Per NFC funktionieren leider weder Touch-Policy
Das lese ich anders auf https://support.yubico.com/hc/en-us/articles/360016614900-YubiKey-5-Seri ...
NFC
...
For operations that require a touch, all touch requests within the first 20 seconds of the operation will succeed. After a period of inactivity, a YubiKey placed on a desktop NFC reader may power down to help prevent unintended access to the device. To regain connectivity with an NFC reader, remove the YubiKey from the reader and reposition it on the reader. Some NFC readers may power cycle and in doing so, prevent the device from powering down.
(zumindest bei Yubikey 5)
Member: C.R.S.
C.R.S. May 27, 2021 updated at 12:25:05 (UTC)
Goto Top
Ich hatte bislang kein NFC im Einsatz, weil es bis vor ~5 Jahren im regulierten Umfeld nicht für Pin-Eingabe zulässig war, und immer noch kritisch gesehen wird. Eine Support-Anfrage, ob bzw. unter welchen Umständen der YK 5 NFC Secure Messaging/VCI erzwingt oder das von der Middleware abhängt, ist noch unbeantwortet.
Anlässlich deiner Frage dachte ich, dass das bei mir privat eine nette Idee wäre und habe den Omnikey 5022 CL gekauft (die 30 Nutzer jetzt haben keine hohen Sicherheitsanforderungen, aber da wäre es auch kostenmäßig nicht zu rechtfertigen). Ich hatte überlegt, noch einen zweiten zu nehmen, das wäre dann der ACR1252U gewesen. Also unter 50-60 Euro wird das meines Erachtens nichts. Zwei Slots ist schon eine ungewöhnliche Einschränkung, ich hätte zumindest die ersten 4 erwartet. Benutzt Du trotzdem den Yubico Minidriver dafür?

Vor der Bestellung hatte ich schon irgendwo gelesen, dass Touch nicht funktionieren soll, weil "die LED keinen Strom erhalte", also mehr ein Usability-Thema. Es stellte sich heraus, dass die PIV-Touch-Policy per NFC ignoriert wird - dachte ich.
Wegen deines Links habe ich es nochmal getestet: Es ist so zu verstehen, dass der Touch innerhalb von 20 Sekunden übersprungen wird. Wartet man länger bis zur PIN-Eingabe, schlägt die Verwendung der Smartcard fehl, d.h. Touch-Policy greift, aber Touch funktioniert nicht.

OTP über NFC funktioniert ja generell per NDEF, d.h. man legt einen der beiden Slots dafür fest, der das OTP dann per NDEF einem Tag-Reader bereitstellt (ohne Touch). Separat, z.B. auf dem Smartphone, funktioniert das. Aber ein PC/SC-Reader liest wiederum keine NDEF-Messages. Wenn es einen Reader gäbe, der beides vereint, bezweifle ich, dass das gleichzeitig geht, also z.B. die Removal-Policy erfüllt bleibt. Ich habe keinen Tag-Reader für den PC zur Hand, aber ich glaube, dass auch keine Desktop-Software von Yubico NDEF-Messages abfängt. Da müsste man Drittanbietertools nehmen: https://tools.nfc21.de/
Member: DerWoWusste
DerWoWusste May 27, 2021 updated at 12:40:43 (UTC)
Goto Top
Schade, ich hatte gehofft, dass wenigstens irgendjemand NFC wirklich nutzt. Solltest Du den anderen ACR anschaffen, gib bitte Feedback.
Der Yubico-Support ist zu dusselig, meine Fragen zu beantworten und braucht zu lange (seit 12. März gingen schon 20 Mails hin und her!) und liefert Aussagen, die dann noch den eigenen beigefügten Screenshots widersprechen.

Zwei Slots ist schon eine ungewöhnliche Einschränkung,
Ohne Yubico Minidriver ist das normal, auch ohne NFC. Laut Support gehen ja mehr als 2 Slots auch mit dem Cheapo ACR122u, aber Ihr eigener Screenshot beweist dann das Gegenteil.

ich hätte zumindest die ersten 4 erwartet. Benutzt Du trotzdem den Yubico Minidriver dafür?
Ja, siehe Bild
capture
Member: C.R.S.
C.R.S. May 27, 2021 updated at 13:00:19 (UTC)
Goto Top
Zitat von @DerWoWusste:

Ohne Yubico Minidriver ist das normal, auch ohne NFC.

Ich habe ihn jetzt überall installiert, aber hätte gewettet, ohne wären es vier (9a - 9e). Die Einschränkung ist mir beim allerersten Testing erst mit CLI-Tools aufgefallen, und schon per GUI kann man ja vier Slots beschreiben.
Hast Du den Treiber nach Anschluss über den NFC-Reader nochmal installiert? Habe ich mit dem Omnikey auch gemacht, weil der Key, der nur die Slots 82 ff. belegt hat, nicht funktionierte. Wahrscheinlich war ich etwas ungeduldig und es hätte auch ein Neustart getan, aber ganz reibungslos war es trotz des vorinstallierten Treibers nicht.
Member: DerWoWusste
DerWoWusste May 27, 2021 at 13:08:19 (UTC)
Goto Top
Hast Du den Treiber nach Anschluss über den NFC-Reader nochmal installiert?
Ja, mit Sicherheit, aber es brachte keine Veränderung.
Member: C.R.S.
C.R.S. May 27, 2021 at 13:11:27 (UTC)
Goto Top
Zitat von @DerWoWusste:

Schade, ich hatte gehofft, dass wenigstens irgendjemand NFC wirklich nutzt. Solltest Du den anderen ACR anschaffen, gib bitte Feedback.

Ja, habe ich jetzt bestellt, weil mir das mit dem NDEF-Tag keine Ruhe lässt. Der Onmikey sollte das auch können, aber tut es aus irgendeinem Grund nicht.
Member: commodity
commodity May 27, 2021 at 13:37:05 (UTC)
Goto Top
Zitat von @c.r.s.:
Anlässlich deiner Frage dachte ich, dass das bei mir privat eine nette Idee wäre und habe den Omnikey 5022 CL gekauft
Das nenne ich mal Forumsengagement! face-smile
Member: C.R.S.
C.R.S. Jun 01, 2021 at 11:24:48 (UTC)
Goto Top
Also der ACR1251 liest alle Slots, ist aber ggü. dem HID nicht empfehlenswert. Mit klassischen Karten liegt die Karte vielleicht etwas hübscher in der Schale, ansonsten ist die Anmutung durch den weißen Aufdruck billiger. Außerdem piepst er beim Auflegen und Abnehmen, was man wohl mit keinem kostenlosen Tool abstellen kann (selbst was schreiben oder SDK kaufen).
Das OTP habe ich ihm auch damit nicht am PC entlocken können.
Member: DerWoWusste
DerWoWusste Jun 01, 2021 at 12:35:19 (UTC)
Goto Top
Liest alle Slots? An der Windows-Anmeldemaske hast Du auch mehr als 2 sehen können?
Member: C.R.S.
C.R.S. Jun 01, 2021 at 13:08:46 (UTC)
Goto Top
Ja. An sich reicht mir certutil -scinfo als Bestätigung, aber ich habe es nochmal auf dem Login-Screen getestet. Mit mehr als zwei Zertifikaten habe ich zur Zeit nur einen Key 1, der die Slots 9a-9d belegt hat, und einen Key 2 mit sechs Zertifikaten in 9a, 9c und 82 ff.
Die drei Zertifkate von Key 1 werden korrekt auf der Anmeldemaske angezeigt. Bei Key 2 kann ich das nicht ausprobieren, weil sie nicht alle für Login und außerdem abgelaufen sind. Aber certutil -scinfo gibt alle sechs aus.
Member: DerWoWusste
DerWoWusste Jun 01, 2021 updated at 13:13:04 (UTC)
Goto Top
Na bestens, danke für's Feedback.
Member: DerWoWusste
DerWoWusste Jun 02, 2021 updated at 07:31:47 (UTC)
Goto Top
Noch eine Frage, da du oben vom 1252 und nun vom 1251 schreibst: getestet hast du nur den 1251 oder?
der 1252er wäre viel günstiger zu beschaffen und der einzige Unterschied, den ich sehen kann ist dieser:

SAM Card Interface
1251U: ISO 7816 Class A, B, C (5 V, 3 V, 1.8 V)
1252U: ISO 7816 Class A (5V)

Ich frage mich nun, ob mich das interessieret für meinen Anwendungsfall Yubikey PIV.
Hast Du Ahnung?
Member: C.R.S.
Solution C.R.S. Jun 02, 2021 at 11:15:11 (UTC)
Goto Top
Ich habe mich oben nur vertippt. Gekauft und getestet habe ich den ACR1252U-M1. Geht also auch mit dessen Klassifizierung. Der Onmikey scheint aber mehr zu unterstützen, und mit dem HID Workbench-Tool kann man versuchsweise einiges aus- und einschalten.
Member: DerWoWusste
DerWoWusste Jun 02, 2021 at 11:42:21 (UTC)
Goto Top
Bestens, danke!
Member: DerWoWusste
DerWoWusste Jun 04, 2021 at 07:10:45 (UTC)
Goto Top
So, dank Blitzlieferung habe ich hier nun 2 Stück 1252er und bin glücklich. Der Kollege ist nicht zu 100% glücklich "wo stelle ich das Piepen ab??" face-smile
Member: C.R.S.
C.R.S. Jun 04, 2021 updated at 10:03:20 (UTC)
Goto Top
Das habe ich inzwischen gefunden (nicht beim Produkt gelistet): https://www.acs.com.hk/en/utility-tools/
Mit dem ACS Smart Card and Reader Tool kann man den Buzzer abschalten.
Member: DerWoWusste
DerWoWusste Jun 04, 2021 updated at 10:52:53 (UTC)
Goto Top
Ok, das sieht passend aus.

Ich habe wie du den 1252U-M1, was muss ich denn da als Modell aussuchen?
capture
Habe schon mehrere 1252er, die angeboten werden, durch, aber das Tool stürzt beim Verbinden ab.
Member: C.R.S.
C.R.S. Jun 04, 2021 at 10:54:28 (UTC)
Goto Top
Der markierte ist schon richtig. Treiber installiert?
Member: DerWoWusste
DerWoWusste Jun 04, 2021 at 11:06:08 (UTC)
Goto Top
LOL!

Nein, war er nicht, läuft jetzt.
Nachdem ich mit dem 122U unter anderem auch Probleme mit dem Treiber hatte, war ich froh, hier gar keinen installieren zu müssen und dennoch funktionierte alles.

DANKE nochmals!