FIDO2 mit Linux

Der Nitrokey FIDO2 unterstützt Zwei-Faktor-Authentifizierung (2FA) und passwortlose Authentifizierung:

  • Bei der passwortlosen Authentifizierung wird die Eingabe eines Passworts durch die Anmeldung mit dem Nitrokey FIDO2 und einer PIN ersetzt.
  • Bei der Zwei-Faktor-Authentifizierung (2FA) wird neben dem Passwort auch der Nitrokey FIDO2 überprüft.

Der Nitrokey FIDO2 kann mit jedem aktuellen Browser verwendet werden.

Wichtig

Die Nitrokey App kann nicht für den Nitrokey FIDO2 verwendet werden.

Tipp

Überprüfen Sie online <https://update.nitrokey.com/>`__, ob auf Ihrem Nitrokey FIDO2 die neueste Firmware installiert ist.

Passwortlose Authentifizierung

  1. Öffnen Sie eine Webseite, die FIDO2 unterstützt (derzeit nur Microsoft).
  2. Melden Sie sich auf der Website an und gehen Sie in den Sicherheitseinstellungen Ihres Kontos auf „Sicherheitsschlüssel einrichten“.
  3. Nun müssen Sie eine PIN für Ihren Nitrokey FIDO2 festlegen.
  4. Berühren Sie die Taste Ihres Nitrokey FIDO2, wenn Sie dazu aufgefordert werden.
  5. Wenn Sie das Gerät erfolgreich konfiguriert haben, müssen Sie Ihren Nitrokey FIDO2 bei jeder Anmeldung auf diese Weise aktivieren, nachdem Sie Ihre PIN eingegeben haben.

Zwei-Faktoren-Authentifizierung (2FA)

  1. Öffnen Sie eine der Webseiten, die FIDO U2F unterstützen.
  2. Melden Sie sich auf der Website an und aktivieren Sie die Zwei-Faktor-Authentifizierung in Ihren Kontoeinstellungen. (In den meisten Fällen finden Sie einen Link zur Dokumentation des unterstützten Webdienstes unter dongleauth.info)
  3. Registrieren Sie Ihren Nitrokey FIDO2 in den Kontoeinstellungen durch Berühren der Schaltfläche zum Aktivieren des Nitrokey FIDO2. Nachdem Sie das Gerät erfolgreich konfiguriert haben, müssen Sie den Nitrokey FIDO2 bei jeder Anmeldung auf diese Weise aktivieren.

Sehen Sie sich die verschiedenen Anwendungsfälle und unterstützten Anwendungen an.

Tasten- und LED-Verhalten

Die erste FIDO-Bedienung wird innerhalb von zwei Sekunden nach dem Anschließen des Nitrokey FIDO2 automatisch angenommen. Ein Berühren der Touch-Taste ist in diesem Fall nicht erforderlich.

Mehrere Bedienvorgänge können durch eine einzige Berührung übernommen werden. Halten Sie dazu die Touch-Taste bis zu 10 Sekunden lang berührt.

Um ein versehentliches und böswilliges Zurücksetzen des Nitrokey zu vermeiden, ist die erforderliche Berührungsbestätigungszeit für den FIDO2-Resetvorgang länger und mit einem deutlichen LED-Verhalten (rote LED leuchtet) als im Normalbetrieb. Um den Nitrokey FIDO2 zurückzusetzen, bestätigen Sie durch Berühren der Touch-Taste für mindestens 5 Sekunden, bis die grüne oder blaue LED aufleuchtet.

LED-Farbe Veranstaltung Zeitspanne Kommentare
Beliebig (blinkend) Warten auf Berührung Bis die Berührung bestätigt wird oder die Zeit abgelaufen ist  
Beliebig (blinkt schneller) Berührung erkannt, Sekundenzählung Bis die Berührung bestätigt wird oder die Zeit abgelaufen ist  
Weiß (blinkt) Berührungsanforderung für FIDO-Registrierungs- oder Authentifizierungsvorgang   Benötigt 1 Sekunde Berührung, um den Vorgang abzuschließen; der Timeout beträgt normalerweise etwa 30 Sekunden
Gelb (blinkt) Touch-Anforderung für Konfigurationsbetrieb   Benötigt 5 Sekunden Berührung zum Abschluss; wird z. B. zum Aktivieren des Firmware-Update-Modus verwendet
Rot (blinkt) Touch-Anforderung für Reset-Betrieb Nur während der allerersten 10 Sekunden nach dem Einschalten des Nitrokey verfügbar Benötigt 5 Sekunden Berührung zum Abschluss; wird z. B. für FIDO2-Reset-Betrieb verwendet
Grün (konstant) Berührung akzeptiert, Nitrokey ist aktiv und nimmt weitere FIDO2-Operationen an Nachdem die Berührung registriert wurde, 10 Sekunden Timeout Für die FIDO-Registrierungs- oder Authentifizierungsvorgänge geht der Nitrokey nach einer Bestätigung in den „Aktivierungs“-Modus über und akzeptiert automatisch alle folgenden genannten Vorgänge, bis die Berührungstaste losgelassen wird, jedoch nicht länger als 10 Sekunden
Blau (konstant) Touch verbraucht - wird von der Bedienung angenommen und verbraucht Bis Berührung freigegeben wird Berührungsverbrauch bedeutet hier, dass ohne Loslassen der Berührungstaste und erneutes Berühren der Nitrokey keine neuen Operationen bestätigt
Weiß (einfaches Blinken) Nitrokey betriebsbereit 0,5 Sekunden nach dem Einschalten  
(kein LED-Signal) Nitrokey ist im Leerlauf    
(kein LED-Signal) Automatische Annahme einer einzelnen FIDO-Registrierung oder -Authentifizierung Innerhalb der ersten 2 Sekunden nach dem Einschalten Nitrokey akzeptiert automatisch jede einzelne FIDO-Registrierungs- oder Authentifizierungsoperation beim Einsteckereignis - letzteres wird als Äquivalent zum Touch-Button-Registrierungssignal (Anwesenheit des Benutzers) behandelt; die Konfig igurations-/Rücksetzoperationen werden nicht akzeptiert
Alle Farben Nitrokey befindet sich im Firmware-Update-Modus Aktiv, bis der Firmware-Update-Vorgang erfolgreich ist oder bis zum erneuten Einstecken Wenn das Firmware-Update fehlschlägt, bleibt der Nitrokey in diesem Modus, bis die Firmware korrekt geschrieben ist

Fehlersuche

Wenn der Nitrokey nicht erkannt wird, gehen Sie wie folgt vor:

  1. Kopieren Sie diese Datei 41-nitrokey.rules nach /etc/udev/rules.d/. In sehr seltenen Fällen wird das System die ältere Version dieser Datei benötigen.
  2. Starten Sie udev über sudo service udev restart neu.

Nitrokey Reset

Der Vorgang „Factory Reset“ regeneriert das auf dem Nitrokey FIDO U2F / Nitrokey FIDO2 gespeicherte geheime Material, was ihn zu einer komplett neuen Schlüssellogik-Seite macht. Der neue Besitzer kann ihn nicht verwenden, um sich in das Konto des Vorgängers einzuloggen. Im Falle der FIDO2 Resident Keys wird das Material gelöscht.

Um ein versehentliches und böswilliges Zurücksetzen des Nitrokey zu vermeiden, ist die erforderliche Berührungsbestätigungszeit für den FIDO2-Resetvorgang länger und mit einem deutlichen LED-Verhalten (rote LED leuchtet) als im Normalbetrieb. Um den Nitrokey FIDO2 zurückzusetzen, bestätigen Sie durch Berühren der Touch-Taste für mindestens 5 Sekunden, bis die grüne oder blaue LED aufleuchtet.

Der Nitrokey FIDO2 konnte zurückgesetzt werden durch:

  • pynitrokey Werkzeug: nitropy fido2 reset (erfordert Administratorrechte zur Ausführung)
  • Google Chrome (nicht verfügbar unter Windows): Sicherheitsschlüssel verwalten - direkter Link (nur Chrome): chrome://settings/securityKeys