Jump to content

Yubikey "PIN" Problem. Wer kennt sich aus?


Recommended Posts

oh man, hab da leider etwas vorschnell was übersehen.. als ich meine Yubikeys bei bitcoin.de aktiviert hab, sollte ich ein "Einmal-Kennwort" eingeben. Support angeschrieben, wo ich das herbekomme. Antwort: durch längeres Tippen auf den Yubikey, generiert dieser ein (langes und kryptisches) Passwort. Soweit so gut.

Danach ist mir eingefallen, dass ich bei Binance diese komische PIN aussuchen musste (siehe auch 2fa-Kraken thread). Da fiel es mir wie Schuppen von den Augen, dass ich dort auch nur auf den Yubikey tippen hätte müssen, um eins zu generieren. Stattdessen hab ich aber nur eine 4-stellige PIN vergeben. Ich hab dann die beiden Yubikeys bei Binance wieder deaktiviert, und versucht, sie mit dem "Yubikey-internen Passwort" wieder als 2fa einzurichten. Hat erstmal geklappt, aber dann beim Einlogg-Versuch: Sie werden nicht erkannt! Nur nach Eingabe der 4stelligen PIN, die ich selbst ausgesucht hab.💩 Ich hoffe, ich hab mich verständlich ausgedrückt.

Sind nun meine Yubikeys bei Binance weniger sicher oder kann man das so lassen?!? Kann man da überhaupt noch was machen? 

Link to comment
Share on other sites

Das klingt falsch. Wenn ich mich einlogge bekomme ich die übliche Aufforderung meinen Yubikey anzuschließen und da ist weit und breit keine PIN Eingabe. Was für ein Yubikey hast du? Eventuell ist das ein neueres Modell was per PIN erst unlocked werden muss?

  • Like 1
Link to comment
Share on other sites

vor 55 Minuten schrieb skunk:

Das klingt falsch. Wenn ich mich einlogge bekomme ich die übliche Aufforderung meinen Yubikey anzuschließen und da ist weit und breit keine PIN Eingabe. Was für ein Yubikey hast du? Eventuell ist das ein neueres Modell was per PIN erst unlocked werden muss?

2x Yubikey 5 NFC, direkt vom Hersteller aus Schweden gekauft.

Kann ja leider keine Bilder hier hochladen, aber es ist so ein grauer Kasten. Obendrüber steht "Windows Sicherheit". Dann "Sicherstellen, dass Sie es sind." "Melden Sie sich bei binance.com an", darunter "Diese Anfrage stammt von Chrome, veröffentlich von Google LLC".  Und dann "Geben Sie Ihre Sicherheitsschlüssel PIN ein"

Bei Kraken hab ich gar nix in der Richtung gebraucht, bei bitcoin.de war es wie gesagt beim Einrichten als "Einmal-Passwort" deklariert, und wenn man auf den Yubikey getippt hat, wurde das Feld mit einer langen Ziffernfolge gefüllt.

In diesem Artikel steht unter dem Punkt "Zusätzliche Sicherheit":

https://www.heise.de/select/ct/2019/22/1571743995528045

"So sind die eingebauten virtuellen Schlüssel in Windows und Android immer durch einen zweiten Faktor, also etwa einen Fingerabdruck oder eine PIN geschützt, die eine Nutzung durch Fremde verhindern."

Kennt das sonst Keiner?

Edited by nattyflo
Link to comment
Share on other sites

hmm, habe auch nen yubi key, ebenfalls beim hersteller gekauft, und kenne das nicht. Ich muss mich mit benutzername und passwort einloggen, und dann kommt die aufforderung den yubi key einzustecken. das wars. sowohl bei kraken, bei bitcoin.de oder bei coinbase...

 

ps: modell ca 3 monate alt

Edited by mahatma
Link to comment
Share on other sites

vor 6 Stunden schrieb nattyflo:

oh man, hab da leider etwas vorschnell was übersehen.. als ich meine Yubikeys bei bitcoin.de aktiviert hab, sollte ich ein "Einmal-Kennwort" eingeben. Support angeschrieben, wo ich das herbekomme. Antwort: durch längeres Tippen auf den Yubikey, generiert dieser ein (langes und kryptisches) Passwort. Soweit so gut.

Danach ist mir eingefallen, dass ich bei Binance diese komische PIN aussuchen musste (siehe auch 2fa-Kraken thread). Da fiel es mir wie Schuppen von den Augen, dass ich dort auch nur auf den Yubikey tippen hätte müssen, um eins zu generieren. Stattdessen hab ich aber nur eine 4-stellige PIN vergeben. Ich hab dann die beiden Yubikeys bei Binance wieder deaktiviert, und versucht, sie mit dem "Yubikey-internen Passwort" wieder als 2fa einzurichten. Hat erstmal geklappt, aber dann beim Einlogg-Versuch: Sie werden nicht erkannt! Nur nach Eingabe der 4stelligen PIN, die ich selbst ausgesucht hab.💩 Ich hoffe, ich hab mich verständlich ausgedrückt.

Sind nun meine Yubikeys bei Binance weniger sicher oder kann man das so lassen?!? Kann man da überhaupt noch was machen? 

moment, jetzt versteh ich dich, meinst du, du hast dieses problem nur bei binance? bei allen  anderen funktioniert es normal, nur mit antippen?

übrigends, das "Einmal-Kennwort" von bitcoin.de IST deine Eingabe des Yubi-Key, der bildet jedes mal beim antippen ein Einmalkennwort. Wenn du den YubiKey als 2FA einrichtest, musst du ihn eben einmal verwenden, sozusagen um ihn  freizuschalten. Nutzung des Yubi-Key ist gleichbedeutend mit "Einmal-Kennwort eingeben"

Edited by mahatma
Link to comment
Share on other sites

vor 2 Stunden schrieb mahatma:

moment, jetzt versteh ich dich, meinst du, du hast dieses problem nur bei binance? bei allen  anderen funktioniert es normal, nur mit antippen?

übrigends, das "Einmal-Kennwort" von bitcoin.de IST deine Eingabe des Yubi-Key, der bildet jedes mal beim antippen ein Einmalkennwort. Wenn du den YubiKey als 2FA einrichtest, musst du ihn eben einmal verwenden, sozusagen um ihn  freizuschalten. Nutzung des Yubi-Key ist gleichbedeutend mit "Einmal-Kennwort eingeben"

Ja, das hab ich jetzt auch geschnallt. Nur wusste ich das bei der Einrichtung bei binance noch nicht, und hab dann halt einfach ne PIN eingegeben, die ich mir gut merken kann. Und werd sie jetzt nicht mehr los, denn auch nach einer erneuten Einrichtung wird nur ebendiese kurze PIN akzeptiert.. theoretisch dürfte das aber an der Sicherheit aber nix machen, da ich ja genau diesen Yubikey mit dieser PIN anstöpseln muss. Hoffe ich zumindest... ?!🤷‍♂️

Vielleicht schreib ich mal den binance Support und/oder Yubico an und frag nach..

Den so ist das Ganze ja eigtl nicht gedacht nach meinem Verständnis.

Link to comment
Share on other sites

vor 2 Stunden schrieb nattyflo:

Ja, das hab ich jetzt auch geschnallt. Nur wusste ich das bei der Einrichtung bei binance noch nicht, und hab dann halt einfach ne PIN eingegeben, die ich mir gut merken kann. Und werd sie jetzt nicht mehr los, denn auch nach einer erneuten Einrichtung wird nur ebendiese kurze PIN akzeptiert.. theoretisch dürfte das aber an der Sicherheit aber nix machen, da ich ja genau diesen Yubikey mit dieser PIN anstöpseln muss. Hoffe ich zumindest... ?!🤷‍♂️

Vielleicht schreib ich mal den binance Support und/oder Yubico an und frag nach..

Den so ist das Ganze ja eigtl nicht gedacht nach meinem Verständnis.

naja, brauchst du jetzt zwingend den yubi-key oder nicht? kannst du dich auch einloggen, nur mit deiner PIN?

Link to comment
Share on other sites

vor 25 Minuten schrieb MKE:

Bei Kraken muss ich nur auf den Yubikey drücken, bei Binance ist zusätzlich noch die Angabe einer Pin nötig. Sozusagen 3FA...

Ahh, ok, dann ist das ne Binance Geschichte. 

vor 10 Stunden schrieb nattyflo:

theoretisch dürfte das aber an der Sicherheit aber nix machen, da ich ja genau diesen Yubikey mit dieser PIN anstöpseln muss.

ganz genau, würd mir da kein kopp machen.

Link to comment
Share on other sites

vor 9 Stunden schrieb MKE:

Bei Kraken muss ich nur auf den Yubikey drücken, bei Binance ist zusätzlich noch die Angabe einer Pin nötig. Sozusagen 3FA...

Ich bin also nicht allein! 😊 wieviele Stellen hat deine Pin, etwas mehr als nur 4 Ziffern?

 

vor 8 Stunden schrieb mahatma:

Ahh, ok, dann ist das ne Binance Geschichte. 

ganz genau, würd mir da kein kopp machen.

Versuch es jetzt wie MKE eher als Art extra Faktor zu sehen.

Geh jetzt mal davon aus, dass die Pin ausschließlich mit meinem Yubikey verwendbar ist. Hab aber natürlich keinen Anderen rumliegen, um das gegenzutesten. (Weil du das gefragt hattest: ja, man muss erst den Yubikey einstecken, nur die Pin reicht nicht)

Ein theoretisches Szenario, in dem mir meine Funds geklaut werden aufgrund dieser kurzen Pin, erscheint doch eher abstrakt..

 

Edited by nattyflo
Link to comment
Share on other sites

  • 2 weeks later...

@mahatma@MKE@Serpens66@skunkich habs rausgefunden, was es mit der PIN auf sich hat! :) hier die Antwort vom Yubico-Support:

Thank you for contacting Yubico Support.

The PIN you're talking about is unique for each YubiKey and it's something you yourself decide what the PIN should be. 
The YubiKey is not less secure and for Binance this is how they have chosen to authenticate towards their website, this protocol is called FIDO2 PIN. 

If you would insert another YubiKey it would not work to authenticate towards your account since you've registered your own specific YubiKey to Binance and your own PIN to this YubiKey. 

Here below you can see how you can setup your PIN and also if you would like to change it that's possible.

The first step to set your FIDO2 PIN is to download our yubikey-manager When the program is up and running, please press the tab Applications and then FIDO2. There you will have the opportunity to Set your PIN. 

Edited by nattyflo
  • Love it 1
  • Thanks 2
Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
×
×
  • Create New...

Important Information

We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.