Zur Verwendung des
Nitrokey Pro oder
Nitrokey Storage als OTP-Generator für 2-Faktor-Auth. gab es immer mal wieder Fragen. Deshalb haben wir eine kurze Anleitung geschrieben.
- Um einen Nitrokey als OTP-Generator zu verwenden, benötigt man die Nitrokey App, die für nahezu alle gängigen Betriebssysteme zur Installation bereitsteht.
Die Nitrokey-App ist in aktuellen Linux Distributionen Debian10+, Ubuntu 18.04+ oder Fedora enthalten und kann mit dem Paketmanager installiert werden:
Ubuntu: > sudo apt install nitrokey-app
Fedora: > sudo dnf install nitrokey-app
- Nach der Installation muss man die Nitrokey App starten. Man findet die App in der Programmgruppe "Dienstprogramme". Die App richtet sich im Systray ein und meldet sich, wenn ein Nitrokey angeschlossen wird, mehr passiert erstmal nicht.
Man kann die App mit der Autostart-Funktion des Desktops beim Login automatisch starten.
- Im zweiten Schritt muss man die 2-Faktor-Authentifizierung für den Login bei dem Webdienst aktivieren und die OTP-Parameter zwischen dem Webdienst und Nitrokey abgleichen. Die Webdienste unterstützen OTP in unterschiedlichem Umfang und bei jedem Webdienst ist die Konfiguration etwas anders. Zwei ausführliche Bespiele sollen das Spektrum zeigen:
- Die ProtonMail OTP Konfiguration bietet wie viele Webdienste nur TOTP in einer Form, die mit dem Quasi-Standard "Google Authenticator" kompatibel ist. Ziel ist eine möglichst einfache Konfiguration für Smartphone Nutzer.
- Die mailbox.org OTP Konfiguration bietet sehr viele Feature und unterstützt alle Facetten von OTP. Damit können die Möglichkeiten des Nitrokey optimal ausgereizt werden, es ist aber auch wesentlich komplizierter zu verstehen.
- Bei jedem Login muss man zukünftig neben dem Passwort einen OTP-Wert eingeben. Um den OTP-Wert zu generieren, klickt man auf das Nitrokey App Symbol im Systray und wählt im Menü den passenden One-Time-Passwort Eintrag.
Der OTP-Wert wird von der App in die Zwischenablage kopiert und muss bei TOTP in 30s bzw. 60s mit STRG-V in das passende Eingabefeld im Browser eingefügt und abgeschickt werden.