Two-Factor: Yubikeys bald im internen Shop von bitcoin.de

Für Bitcoin.de hat die Sicherheit der Bitcoin-Kundenbestände oberste Priorität. Daher empfiehlt der deutsche Bitcoin-Marktplatz seinen Kunden, Yubikeys zu verwenden, die ein Einmal-Passwort für das Einloggen erzeugen. Die speziellen USB-Sticks wird es  in den kommenden Tagen im internen Shop von Bitcoin.de zu günstigen Konditionen zu kaufen geben. Natürlich ausschließlich gegen Bitcoin.

Wer die Bitcoin-Szene der vergangenen Wochen und Monate beobachtet hat, kam kaum um ein Thema herum, das so unangenehm wie brennend ist: Die Sicherheit. Besser gesagt: die oft fehlende Sicherheit. Infolge von Hackerattacken wurden hunderte oder auch tausende von Bitcoin-Beständen der Kunden gestohlen, und da die Betreiber der Börsen oder Online-Wallets weder die Rücklagen noch entsprechende Versicherungen hatten, konnten die fehlenden Bestände nicht erstattet werden. Um die Kunden vor solchen Verlusten zu schützen, arbeitet Bitcoin.de fortlaufend an der Verbesserung der Sicherheit des Marktplatzes.

Im Januar wurde bereits die bisher optionale “Two-Factor-Authentifizierung” (2FA) verpflichtend eingeführt. Die 2FA verhindert, dass jemand auf Ihr Konto zugreift, selbst dann, wenn er Ihr System gehackt oder Ihr Passwort gefischt hat. Dazu sichert die 2FA den Zugang zu Ihrem Konto zusätzlich zum Passwort mit einem Einmal-Passwort ab, das idealerweise auf einem zweiten System erzeugt wird. Bereits im zweiten Weltkrieg wurden sogenannte “Einmalblöcke” verwendet, um Nachrichten durch täglich erstellte Schlüssel zu kodieren; diese Art der Kryptographie galt als nicht zu knacken.

Yubikey_1

dies ist keine Werbung – klicken bringt nichts. Der Banner soll nur zeigen, wie ein Yubikey aussehen kann

Bitcoin.de bietet nun drei Möglichkeiten, das Einmal-Passwort zu generieren: Durch eine Email, die bitcoin.de versendet, durch ein Smartphone und durch einen Yubikey, einen speziellen USB-Stick. Jede dieser Möglichkeiten ist sicherer als keine 2FA, aber im Fall einer Email ist sie wirkungslos, wenn das Email-Konto gehackt wird, und auch ein Smartphone ist nicht zu 100 Prozent sicher. Als ideal erachten wir daher den Yubikey.

In Kürze können Kunden von bitcoin.de den Yubikey von ihrem Account heraus erwerben – ausschließlich gegen Bitcoins. Der Yubikey funktioniert auf allen Systemen und kann auch für andere Anwendungen, etwa Ihr Online-Banking, verwendet werden.

Zunächst wird  der Shop allerdings nicht für alle Kunden freigeschalten. Dies wird aber demächst nachgeholt.

About Christoph Bergmann (1048 Articles)
Das Bitcoinblog wird von bitcoin.de gesponsort, ist inhaltlich aber unabhängig und gibt die Meinung des Redakteurs Christoph Bergmann wieder. Wenn Ihnen das Blog gefällt, freuen wir uns über Spenden an 1BvayiASVCmGmg4WUJmyRHoNevWWo5snqC. Jeder Satoshi wird dazu verwendet, um das Blog besser zu machen. Weitere Infos, wie Sie uns unterstützen können, finden Sie HIER. Gastbeiträge sind ebenfalls willkommen. Meinen öffentlichen PGP-Schlüssel sowie den Bitmessage-Schlüssel finden Sie HIER

11 Comments on Two-Factor: Yubikeys bald im internen Shop von bitcoin.de

  1. Hab jetzt schon 6 Stück gekauft, was besseres und schnelleres gibts nicht. Bis ich mit Google Auth. mich eingeloggt hab, hab ich mit dem Yubikey schon 3 Order platziert.

  2. Mr. Spock // 15. April 2014 at 0:26 // Reply

    Kann ich den Key am Rechner einsetzen und mich unterwegs am iPad trotzdem mit Google Authenticator einloggen? Das iPad hat ja keinen USB-Anschluss.

    • @Mr. Spock:
      Ich benutze einen Yubikey mit meinem iPad (mini retina). Ein einfacher Lightning-USB Adapter (ebay, ca. 3€) eingestöpselt und die Sache läuft.

  3. warum braucht man 6 Stück?

  4. Hab gleich noch einpaar für meine Kumpls gekauft.

  5. two-factor // 15. April 2014 at 17:46 // Reply

    Habe da eine Frage zu den Yubikeys.

    Brauche ich eine extra App, wenn ich den Yubikey Neo mit meinem Handy benutzen möchte?
    Außerdem steht in der Beschreibung, dass 2 “Identitäten” möglich sind, heißt das ich kann den Yubikey mit 2 verschiedenen bitcoin.de Accounts benutzen?

    Kann man die Yubikeys nur für bitcoin.de benutzen?

    Wäre es vielleicht möglich die Beschreibung der Yubikeys in eine Art Tabelle zu fassen? Sodass man auf einen Blick sehen kann, welche Vorteile der eine zu dem anderen hat.

    z.b. Yubikey Yubikey Neo Yubikey Nano

    Win, Mac, Linux Win, Mac, Linux, Android… Win, Mac, Linux, iPad, Firefox

  6. two-factor // 15. April 2014 at 17:47 // Reply

    hmm die Formatierung ist verloren gegangen, stellt euch einfach eine Tabelle vor…

  7. Ich benutze Google Authenticator auf einem iPhone. Das backup speichere ich verschlüsselt in iTunes, nicht in der cloud. Wo genau bestehen die Risiken gegenüber einem Yubikey?

    Würde mich freuen, wenn das jemand erläutern könnte.

  8. Der OEM Key von MtGox war nur für MtGox verwendbar. Mich würde interressieren, ob dieser hier dem vollen Funktionsumfang besitzt. Wenn man bedenkt das ich den NFC Key bei Yubi direkt für 50 US$ erhalten habe finde ich den Key hier nicht so besonders günstig, aber angemessen, wenn Er sich nicht großartig im Funktionsumfang von dem der nicht-OEM Version unterscheidet.
    Ansonsten ist Er zu teuer gegenüber der vollen Version.

    • yubi-key // 16. April 2014 at 0:18 // Reply

      “Der Yubikey funktioniert auf allen Systemen und kann auch für andere Anwendungen, etwa Ihr Online-Banking, verwendet werden.”

      Habe ich wohl auch überlesen, oder vielleicht hat Herr Bergmann das jetzt erst hinzugefügt. Ist also kein Branding drauf!
      Naja ich finde den Preis recht fair, wenn du überlegst was das für ein Aufwand ist für bitcoin.de & man kann ja wirklich froh drum sein, dass man sich hier um die Verbesserung der Sicherheit kümmert. Es gibt nicht viele Marktplätze die einen Yubikey anbieten… also lass bitcoin.de doch ihre 5€ daran verdienen, wenn überhaupt!

  9. Dein phone könnte gehackt sein. Wenn Du dann noch auf dem phone handelst dann nützt Dir der GA auch nichts mehr.
    Was mir am Yubi nicht schmeckt ist, das der Private auf dem Key vermutlich bei Yubi bekannt ist. Ich habe mich noch nicht mit den Details auseinandergesetzt, aber in meinen Augen ist ein externes Device nur dann sicher, wenn ich jederzeit einen neuen Private Key in dem Device aus “echten” Zufallszahlen generieren kann. Bisher habe ich nicht gelesen, das das mit dem Yubikey geht.
    Meine GnuPG Card, die kann das aber. Diverse ältere Secure Bankkarten für HBCI können das auch. Man müsste nur ein Kickstarter hinlegen und hätte ganz elegant auch noch EMailverschlüsselung mit erledigt 😉

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s