Vorsatz für 2016: Kennwörter auf Hardware auslagern
Schon seit längerem hadere ich mit der Absicherung meiner Kennwörter über eine Smartcard oder einen USB Stick. Das ist zwar unbequem und ich rechne mit einer langen steilen Gewöhnungskurve aber dieses Jahre werde ich mich diesem Bären stellen.
Wenn man verschiedene Rechner verwendet ist es nicht ganz einfach Kennwörter, Browser-, VPN und SSH Zertifikate zu verwalten. Die für mich bisher sicherste Variante ist ein Passwort Manager wie Keepass. Aber auch diese Variante setzt eine Datei auf dem Rechner voraus die mit einem Kennwort geschützt ist.
Auf dem 32C3 habe ich den Nitrokey Pro kennen gelernt. Dieser bietet Funktionen zu:
- OpenPGP/ GnuPG E-Mailverschlüsselung
- Einmalpasswörtern
- Passwort-Manager
Die Informationen werden kryptografisch in der Hardware gesichert und sollen nicht gestohlen werden können. Der Hauptgrund warum ich hiermit meine ersten Gehversuche im Bereich Hardware Kennwort Tokens machen werde liegt darin, dass Open Source Verfahren verwendet werden und die Entwicklung offen gelegt wurde. Das kann ich zwar nicht selbst nachprüfen aber für mich besser als closed source die niemand prüfen kann.
Das ganze wird sich über einen längeren Zeitraum hinziehen und momentan plane ich das in den Schritten
- Aufbau einer neuen privaten Certificate Authority mit dedizierter Hardware
- Nutzung der One Time Password Funktionen in den Diensten die es anbieten
- Ablage von SSH Schlüsseln auf dem Nitrokey
- Ablage von Zertifikaten zur Anmeldung auf meinen eigenen Servern.
- Aufbau einer FreeRadius Anmeldung im WLAN für Openwrt
Mal sehen wie das wird und wie oft ich diese Idee verfluchen werde