Hallo,

ich legte mir für die 2FA einen YubiKey (5C NFC) zu. Nun bin ich am überlegen, den Key auch für die Anmeldung auf meinem MB Air zu nutzen. Der eigentliche Hintergrund ist der, bei einem Verlust des Macs (z.B. Diebstahl unterwegs) die Anmeldung für Dritte zusätzlich zu erschweren. Jedoch habe ich gelesen, dass die Anmeldung auch mit einem YK weiterhin über das Password möglich ist. Mir erschließt sich von daher noch nicht ganz der Sinn, wo hier der Vorteil bei der Anmeldung mit einem YubiKey liegen soll. Geht es nur um die Bequemlichkeit bei der Anmeldung über eine PIN und in punkto Sicherheit bietet der Key gar keinen Vorteil? Vielleicht habe ich auch einen Denkfehler.

Wer kann Licht ins Dunkle bringen?

VG

Ich selber nutze Yubikeys gerne wo immer es geht (online FIDO und WebAuthn, sowie GPG und SSH via GPG), aber
1. mindestens einen Backup Yubikey registrieren wenn keine andere 2FA/MFA option konfiguriert ist
2. möchte ich nicht auf Dritt-Herstellersoftware bei OS Anmeldung angewiesen sein.
Geht es bei macOS via Passkeys mittlerweile nativ? - hab mich damit lange nicht befasst wie es beim OS ist. Ich hab FileVault aktiviert, das reicht mir persönlich.

(Bzgl. FileVault am besten immer den Laptop herunterfahren oder wenigstens hibernate erzwingen und destroyfvkeyonstandby aktivieren - sofern das immer noch gilt - auch da nur noch Halbwissen - schreibe selber auf einem MBP 2012)

Bzgl. Sicherheit auch auf dem Smartphone keine biometrischen Anmeldearten nutzen, denn unter Stress vergisst man sein Passwort ja doch schnell mal (je nachdem wer der Gegenüber ist und wie er drauf ist)

Das Password kann stärker bzw. länger sein, weil man es nicht so oft eingeben muss.

Genau das vermutete ich auch! Danke!

Der Backup-Yubikey nutzt Dir beim Mac nichts, wenn Du FileVault einsetzt. In dem Fall kann die Platte nur mit dem Key entschlüsselt werden, der als letzter zum Anmelden verwendet wurde.




Das sollte man im Blick behalten, wenn man auf "Smart Card only"-Authentication umstellt.

Ja genau, das habe ich gelesen. Von daher habe ich das Passwort verstärkt und melde mich ansonsten mit dem YubiKey an.

Einfach nur um auch mal - übrigens in Berlin beheimatet - einen Mitbewerber zu Yubikey & Co erwähnt zu haben:
NitroKey https://www.nitrokey.com/de/produkte/nitrokeys

Gutes Timing für dieses Thema, da ich mich auch gerade in diese Thematik einlese.
Da ich Kleinteile schon mal ganz gerne irgendwo ablege, wo ich sie nicht wiederfinde…

… ist dies wirklich eine bzw. DIE Lösung? Also zwei Yubikeys o.ä. vorhalten, beide registrieren und einen besonders gut weglegen, den man für den schusseligen Notfall sicher hervorkramen kann?

Im Falle von macOS und FileVault ist es leider keine Lösung, wie von oben geschrieben. Aber im Bereich von Webdiensten hab ich überall mindestens 2 hinterlegt (Github, Gitlab, Nextcloud, Bitwarden etc).
Mein Arbeitgeber hat fast jedem im IT Bereich der irgendwo mehr Zugriffsrechte hat 2 Yubikeys gestellt. Anfangs nur einen aber anscheinend haben manche dann mal einen verloren und bis dann der 2. Key um die Welt geschickt wurde und ankommt vergeht einige Zeit ohne Zugriff. Daher gab es dann gleich zwei von Anfang an für Neulinge.

Es kommt aber auch auf die Dienste drauf an. Ob jetzt jemand meinen Pinterest oder Instagram Account klaut ist mir egal aber das ist persönlich zu bewerten, welche Dienste man wirklich gut sichern muss und aus welchen Gründen. Teilweise habe ich noch 2FA (TOTP) parallel aktiv, auch weil Graphene OS (mein 2. Google Nexus - nach ca 10 Jahren iPhones) keine Yubikeys ohne Google Services unterstützt.

Bin auch gespannt wie andere das machen.

Nachdem mir hier bereits weitergeholfen wurde, gestattet mir bitte noch eine weitere Frage. Ich habe bereits Google bemüht, konnte jedoch keine Antwort auf meine Frage finden.

Nachdem ich nun meinen Yubikey zur Anmeldung auf dem MacBook Air nutze, würde ich den selben Key gerne auch für die Anmeldung auf meinem Mac mini nutzen. Ich befürchte jedoch, dass der Schlüssel anschließend nicht mehr für die Anmeldung am MBA funktioniert? Oder lässt sich ein YubiKey für die Anmeldung (PIV) an mehreren Macs einrichten?

Danke erneut für eure Unterstützung.