Nachdem ich interessiert die c't Artikel zur passwordless authentication verfolgt habe, habe ich mir nun 2 Yubikey 5C angeschafft. Die Erwartung war, dass beim Anstecken des Keys ein PIN angefordert wird und nach Eingabe kann ich mir dann weitere Passwörter sparen.
Leider scheint das beim Yubikey nicht möglich zu sein, d.h. wer auch immer bei mir zuhause den Yubikey nimmt, könnte dann ohne weiteres in meine Konten einloggen. An eine Mitnahme des Sticks außer Haus ist da sowieso nicht zu denken.
Im Prinzip bin ich mit dieser Lösung also wieder bei dem Äquivalent von Passwort auf einem Zettel an den Monitor kleben angelangt.
Nun gibt es einige Sites, die zusätzlich zum Berühren des Sticks eine PIN erfordern. Diese muss ich dann aber jedesmal beim Login eingeben, d.h. ich habe eigentlich keinen Vorteil gegenüber der Passworteingabe, da es mit einem Passwortmanager auch kein wirklicher Aufwand ist das Passwort einzugeben (plus der Passwortmanager bleibt zumindest für kurze Zeit unlocked, wodurch ich mich in schneller Folge bei mehreren Diensten anmelden kann, bevor ich wieder das Passwort eingeben muss. Also kein wirklicher Vorteil bei der Bequemlichkeit mit dem Stick.
Zudem gibt es Sites, wie zB Nextcloud, die keinen PIN anfordern, sogar wenn ich einen für den Stick vergeben habe.
Ich möchte hier nicht ein Diskussion starten über Kontensicherheit, es ist klar, dass passwordless weniger sicher ist, als Passwort + Security Key, aber es kann ja nicht sein, dass bei passwordless authentication entweder jeder der meinen Stick in die Hand bekommt Zugang zu meinem Konto hat, oder ich weiterhin bei jeder Anmeldung ein Passwort eingeben muss (das dann halt PIN heisst, aber trotzdem nicht passwordless ist).
Gibt es wirklich keine Möglichkeit den Yubikey so zu konfigurieren, dass man beim Anstöpseln zuerst mit einem PIN unlocken muss? Gibt es einen anderen Stick, der so etwas kann?