In der heutigen digitalen Welt, in der Passwörter so zerbrechlich sind wie Herbstblätter, hat sich der YubiKey als Bollwerk der Sicherheit etabliert. Dieser kleine, unscheinbare USB-Stick ist für viele zum unverzichtbaren Begleiter geworden, wenn es um den Schutz ihrer Online-Identitäten geht. Doch eine Frage taucht immer wieder auf, die selbst erfahrene Technik-Enthusiasten zum Grübeln bringt: „Wie viele Accounts passen eigentlich auf meinen YubiKey, bevor er voll ist?”
Es ist eine berechtigte Frage, die jedoch oft auf einem grundlegenden Missverständnis beruht. Ein YubiKey ist kein herkömmlicher Speicherstick für Dateien oder Passwörter im eigentlichen Sinne. Er hat keine Gigabytes, die gefüllt werden können. Stattdessen beherbergt er einen hochsicheren Chip, der kryptografische Schlüssel und Geheimnisse für verschiedene Authentifizierungsmethoden verwaltet. Die Antwort auf die Frage nach der „Füllmenge” ist daher nuancierter, als man zunächst annehmen mag, und hängt stark davon ab, wie Sie Ihren YubiKey nutzen.
YubiKey: Kein USB-Stick für Passwörter – Eine grundlegende Klarstellung
Bevor wir uns in die Details stürzen, räumen wir mit dem größten Missverständnis auf: Ihr YubiKey speichert Ihre Passwörter oder gar Ihre gesamten Account-Daten nicht. Er ist vielmehr ein spezialisiertes Hardware-Sicherheitsmodul, das als Beweis Ihrer Identität dient. Wenn Sie sich beispielsweise bei Google mit Ihrem YubiKey anmelden, wird nicht Ihr Passwort auf dem Stick gespeichert. Stattdessen führt der YubiKey intern kryptografische Operationen durch, um gegenüber Google zu beweisen, dass Sie der rechtmäßige Besitzer sind. Die eigentliche Information – dass dieser YubiKey zu Ihrem Google-Konto gehört – wird beim Dienstleister (in diesem Fall Google) hinterlegt, nicht auf dem Stick selbst.
Die „Kapazität” eines YubiKeys bezieht sich also nicht auf Speicherplatz im herkömmlichen Sinne, sondern auf die Anzahl der unterschiedlichen kryptografischen Identitäten oder Geheimnisse, die er für spezifische Protokolle und Anwendungen verwalten kann. Diese Unterscheidung ist entscheidend, um die Frage nach dem „voll sein” wirklich zu verstehen.
Die vielfältigen Anwendungen und ihre Kapazitäten
YubiKeys sind Multitalente. Sie unterstützen eine Reihe von Authentifizierungsprotokollen, die jeweils unterschiedliche Anforderungen an die Speicherung von Daten auf dem Gerät stellen. Die YubiKey 5 Serie, als das vielseitigste Modell, dient hier als unser Hauptbeispiel.
1. FIDO2 / WebAuthn & U2F: Die „unbegrenzte” Freiheit für die meisten Nutzer
Die Protokolle FIDO2 (oft in Kombination mit WebAuthn) und dessen Vorgänger U2F (Universal 2nd Factor) sind die Technologien, die YubiKeys für die passwortlose Anmeldung und die Zwei-Faktor-Authentifizierung (2FA) bei Diensten wie Google, Facebook, GitHub, Microsoft und vielen anderen nutzen. Und hier kommt die gute Nachricht:
- Wie es funktioniert: Wenn Sie einen Dienst mit FIDO2/U2F einrichten, generiert der YubiKey intern ein eindeutiges Schlüsselpaar (einen privaten und einen öffentlichen Schlüssel). Der private Schlüssel verbleibt sicher auf dem YubiKey und verlässt ihn nie. Der öffentliche Schlüssel wird an den Dienst gesendet und dort gespeichert. Bei jeder Anmeldung beweist der YubiKey mithilfe seines privaten Schlüssels, dass er der „richtige” Schlüssel ist, ohne den privaten Schlüssel jemals preiszugeben.
- Warum „unbegrenzt”: Da der YubiKey selbst nur eine unendlich erscheinende Anzahl von Schlüsselpaaren generieren kann und die eigentliche Verknüpfungsinformation (der öffentliche Schlüssel) beim jeweiligen Dienst gespeichert wird, kann ein YubiKey eine praktisch unbegrenzte Anzahl von FIDO2/U2F-Accounts unterstützen. Sie können Hunderte oder sogar Tausende von Diensten mit demselben YubiKey absichern, ohne dass er jemals „voll” wird. Für die allermeisten Nutzer, die ihren YubiKey primär für die 2FA oder passwortlose Anmeldung nutzen, ist dies die entscheidende Information.
Für diese Anwendungsfälle ist die Vorstellung, dass ein YubiKey voll sein könnte, ein Mythos.
2. OATH (TOTP/HOTP) – Der Authenticator auf dem YubiKey: Hier gibt es Grenzen!
Dies ist der Bereich, in dem die „Kapazität” des YubiKeys eine greifbare Rolle spielt. Der YubiKey Authenticator App (erhältlich für Desktop und Mobile) ermöglicht es Ihnen, TOTP (Time-based One-Time Password) und HOTP (HMAC-based One-Time Password) Geheimnisse direkt auf dem YubiKey zu speichern. Dies ist vergleichbar mit Authenticator-Apps wie Google Authenticator oder Authy, mit dem entscheidenden Unterschied, dass die Geheimnisse nicht auf Ihrem Smartphone, sondern auf dem manipulationssicheren Chip des YubiKeys liegen.
- Speicherung der Shared Secrets: Für jeden TOTP/HOTP-Code, den Sie generieren, muss ein „Shared Secret” (ein kryptografisches Geheimnis) auf dem YubiKey gespeichert werden.
- Die 32-Slot-Grenze: Ein YubiKey 5 (und auch einige ältere Modelle) kann in der Regel bis zu 32 OATH-Tokens (also 32 TOTP/HOTP-Geheimnisse) speichern. Dies ist eine feste physikalische Grenze der Hardware.
- Bedeutung für die Nutzer: Wenn Sie viele Dienste haben, die TOTP als zweite Authentifizierungsmethode anbieten und Sie diese alle über die YubiKey Authenticator App verwalten möchten, dann werden Sie bei 32 Slots an eine Grenze stoßen. Dies ist der häufigste Grund, warum Nutzer das Gefühl haben könnten, ihr YubiKey sei „voll”.
Hier muss man bewusst priorisieren oder alternative Lösungen in Betracht ziehen (dazu später mehr).
3. OTP (One-Time Password) – Die festen Zwei
YubiKeys verfügen über zwei dedizierte, programmierbare Slots für die Erzeugung von Einmalpasswörtern (OTP). Diese können für verschiedene Zwecke konfiguriert werden:
- Yubico OTP: Ein langes, sicheres Einmalpasswort, das von Yubico-Servern validiert wird.
- Static Password: Ein festes, komplexes Passwort, das bei Berührung des YubiKeys eingegeben wird (z.B. für die Anmeldung an einem Computer).
- Challenge-Response: Eine kryptografische „Herausforderung und Antwort” für spezielle Anwendungsfälle.
Die Kapazität für diese Funktion ist fix: zwei Slots. Sobald diese konfiguriert sind, sind sie belegt.
4. PIV (Personal Identity Verification) – Für Zertifikate
PIV ist ein Smartcard-Standard, der es dem YubiKey ermöglicht, als digitale Identitätskarte zu fungieren. Dies wird häufig in Unternehmen und Behörden eingesetzt, um sich am Computer anzumelden, E-Mails digital zu signieren oder VPN-Verbindungen zu sichern. Ein YubiKey 5 bietet spezifische Slots für X.509-Zertifikate und deren zugehörige private Schlüssel:
- Vier Hauptslots: Es gibt vier primäre Slots (9a, 9c, 9d, 9e) für Authentifizierungs-, Signatur- und Verschlüsselungszertifikate.
- Zusätzliche Slots: Einige Modelle können auch zusätzliche temporäre oder nicht-flüchtige Slots für weitere Zertifikate bereitstellen, die jedoch weniger häufig vom Endnutzer direkt verwaltet werden.
Auch hier ist die Kapazität begrenzt auf die vordefinierten Slots für Zertifikate. Dies ist ein Nischen-Feature für fortgeschrittene Nutzer oder Unternehmenseinsätze.
5. OpenPGP – Für E-Mail und mehr
Der YubiKey kann auch als sichere Hardware für OpenPGP-Schlüsselpaare verwendet werden, was besonders für E-Mail-Verschlüsselung, digitale Signaturen und die sichere Authentifizierung in Entwicklungsumgebungen relevant ist. Ein YubiKey bietet traditionell Platz für:
- Drei Subkeys: Einen für die Verschlüsselung (Encryption), einen für die Signatur (Signing) und einen für die Authentifizierung (Authentication).
Auch hier ist die Kapazität auf diese drei speziellen Schlüsselzwecke beschränkt. Ein YubiKey kann also ein komplettes OpenPGP-Schlüsselpaar (bestehend aus einem Master-Schlüssel und den drei Subkeys) verwalten.
Wann ist ein YubiKey wirklich „voll”? – Ein Missverständnis klären
Zusammenfassend lässt sich sagen, dass ein YubiKey für die allermeisten Anwendungsfälle – insbesondere die Absicherung von Online-Diensten über FIDO2 und U2F – praktisch niemals „voll” wird. Sie können theoretisch Tausende von Accounts mit derselben Hardware sichern, da die relevanten Daten auf den Servern der Dienste liegen.
Die Grenze der Kapazität tritt nur in spezifischen Szenarien auf:
- Wenn Sie die YubiKey Authenticator App nutzen, um TOTP-Codes für mehr als 32 Dienste zu speichern.
- Wenn Sie mehrere PIV-Zertifikate oder OpenPGP-Schlüsselpaare auf einem einzigen YubiKey speichern möchten, was über die vordefinierten Slots hinausgeht.
Für den durchschnittlichen Nutzer, der den YubiKey hauptsächlich zur Erhöhung der Sicherheit bei seinen alltäglichen Online-Logins verwendet, ist die Sorge vor einem „vollen” YubiKey unbegründet.
Praktische Tipps und Management der Kapazitäten
Sollten Sie doch zu den Power-Usern gehören, die mit den 32 OATH-Slots oder den begrenzten PIV/OpenPGP-Slots an ihre Grenzen stoßen, gibt es Strategien, um diese Herausforderungen zu meistern:
1. Prioritäten setzen für OATH (TOTP)
Überlegen Sie, welche Ihrer Dienste TOTP wirklich von der YubiKey Authenticator App profitieren. Sind es die absolut kritischsten Accounts? Für weniger wichtige Dienste könnten Sie erwägen, einen Software-Authenticator auf Ihrem Smartphone zu nutzen (obwohl dies die Sicherheit etwas reduziert) oder auf einen anderen YubiKey auszuweichen.
2. Selten genutzte OATH-Codes entfernen
Die YubiKey Authenticator App ermöglicht es Ihnen, bestehende TOTP-Geheimnisse zu löschen. Wenn Sie einen Dienst nicht mehr nutzen oder die 2FA-Methode gewechselt haben, können Sie den entsprechenden Slot freigeben.
3. Zweiter YubiKey: Für Redundanz und erweiterte Kapazität
Die Anschaffung eines zweiten YubiKeys ist aus zwei Gründen eine hervorragende Investition:
- Backup: Im Falle eines Verlusts oder Defekts Ihres primären YubiKeys haben Sie sofort einen Ersatz. Das Einrichten von zwei YubiKeys für jeden Dienst ist die empfohlene Best Practice.
- Erweiterte OATH-Kapazität: Wenn 32 TOTP-Slots nicht ausreichen, können Sie einen zweiten YubiKey nutzen, um weitere 32 Geheimnisse zu speichern. Dies bietet Ihnen insgesamt 64 Slots, was für die meisten Anwendungsfälle mehr als ausreichend ist.
4. Bewusste Nutzung von PIV und OpenPGP
Für PIV und OpenPGP ist die Nutzung meist spezifisch und gut durchdacht. Wenn Sie mehrere separate Identitäten oder Zertifikate benötigen, die die Slots eines einzelnen YubiKeys übersteigen, ist ein zweiter YubiKey die logische Konsequenz. Hier sind die Anforderungen in der Regel so spezifisch, dass die Entscheidung für weitere Hardware ohnehin Teil einer umfassenden Sicherheitsstrategie ist.
5. Backup-Strategien für Geheimnisse
Bei TOTP-Codes, die auf dem YubiKey gespeichert sind, ist es besonders wichtig, die anfänglichen QR-Codes oder Shared Secrets sicher zu speichern (z.B. in einem Passwort-Manager). So können Sie Ihre TOTP-Geheimnisse bei Bedarf auf einen neuen YubiKey oder einen Backup-YubiKey übertragen.
Fazit: Die YubiKey-Kapazität – mehr als genug für die meisten
Die Frage, „wie viele Accounts auf einen YubiKey passen”, ist faszinierend, aber letztlich ein Missverständnis der Funktionsweise dieses Sicherheitsgeräts. Für die überwiegende Mehrheit der Nutzer, die ihren YubiKey zur Absicherung ihrer Online-Dienste per FIDO2 oder U2F nutzen, wird der YubiKey niemals „voll” sein. Die Anzahl der unterstützten Accounts ist hier praktisch unbegrenzt.
Die wirklichen Kapazitätsgrenzen finden sich in spezifischen Anwendungsbereichen: 32 Slots für OATH-TOTP/HOTP-Geheimnisse und eine Handvoll Slots für PIV-Zertifikate oder OpenPGP-Subkeys. Selbst in diesen Fällen bietet der YubiKey eine beeindruckende Leistung und Sicherheit.
Anstatt sich Sorgen um die „Füllmenge” zu machen, sollten Nutzer die enormen Vorteile des YubiKeys für ihre digitale Sicherheit in den Vordergrund stellen. Er ist ein unverzichtbares Werkzeug im Kampf gegen Phishing, Account-Übernahmen und andere Cyberbedrohungen. Ob Sie nun fünf oder fünfhundert Online-Accounts schützen möchten, der YubiKey ist in den meisten Fällen die richtige Wahl, um Ihre digitale Identität zu verteidigen. Und falls Sie doch an die Grenzen stoßen, gibt es einfache Lösungen, die oft in der Anschaffung eines zweiten YubiKeys liegen – eine Investition, die sich in puncto Sicherheit immer lohnt.