YubiKey FIDO2 Credential löschen

Wie aus einigen vorherigen Beiträgen erkennbar benutze ich unter anderem YubiKey FIDO2 Schlüssel für Anmeldungen ohne Passwörter. Sowohl privat, als auch geschäftlich für meinen Arbeitgeber und Kunden. Dabei kommt es natürlich vor, dass z.B. ein Kundenvertrag oder ein Kundenprojekt beendet ist und ich die FIDO2 Credentials für diesen Kunden von meinem YubiKey löschen möchte.

Alles was man dazu benötigt, ist eine Installation des YubiKey Managers, der auch die YKMan CLI Commands enthält. Zudem muss der YubiKey über Firmware 5.2.x oder höher verfügen. Bei niedrigerer Firmware müsste der YubiKey komplett zurückgesetzt werden, was natürlich dann alle FIDO2 Credentials löscht.

Aber glücklicherweise sind meine YubiKeys alle mit neuerer Firmware bestückt, sodass ich nach der Installation des YubiKey Managers die CMD öffne und dann ins Verzeichnis C:\Program Files\Yubico\YubiKey Manager wechsle.

Mit dem Befehl ykman.exe fido credentials list und der Eingabe der FIDO2 PIN bei Aufforderung werden alle Credentials aufgelistet, die auf dem YubiKey gespeichert sind.

Falls die Credential ID abgeschnitten ist, kann mit dem Befehlt ykman.exe fido credentials list --csv die Ausgabe erweitert werden.

Hat man das betroffene Credential ausgemacht, lässt es sich mit folgendem Befehl entfernen:

ykman.exe fido credentials delete <Credential ID>

Beispiel

In meinem Beispiel sieht die Liste der FIDO2 Credentials so aus:

C:\Program Files\Yubico\YubiKey Manager>ykman.exe fido credentials list
Enter your PIN:
signin.ebay.de 3109da25b3ef3320bd29576849d8809d89113a6a6025d12bd62edab2ff72afbd7a6c8482e224ec50743a97e185380bba9d5c48 bertie.katzbach@manta.de
login.live.com 4c84226a0ab2fad84c886d38c3210e50fa6898e291c0a100a843762ab3d48c6b998d67d9f78e301b60ff21c0b5fe63eeae50b0 uschi.becker@salonhartmann.de
wordpress.com 87e04f5f4bb855fa607b7278e4c159b88bdd0768cc3e1c8456590965ec12b03e16c76d208c20dd41c4be4e0c0b3ebdca2dc27f gerd.honawitz@hatabiturgemacht.de
login.microsoft.com b52c86e95de370201ed3b43d276aa6a814a97fe40270fcbf09dfa66211b477050bb2554c6e760355267b32c1bee567cde4d148 klausi@feuchtemantaletten.de

Den 2. Eintrag aus meiner obigen Liste möchte ich löschen (uschi.becker@salonhartmann.de):

C:\Program Files\Yubico\YubiKey Manager>ykman.exe fido credentials delete uschi.becker@salonhartmann.de

Danach sieht die Liste wie folgt aus:

C:\Program Files\Yubico\YubiKey Manager>ykman.exe fido credentials list
Enter your PIN:
signin.ebay.de 3109da25b3ef3320bd29576849d8809d89113a6a6025d12bd62edab2ff72afbd7a6c8482e224ec50743a97e185380bba9d5c48 bertie.katzbach@manta.de
wordpress.com 87e04f5f4bb855fa607b7278e4c159b88bdd0768cc3e1c8456590965ec12b03e16c76d208c20dd41c4be4e0c0b3ebdca2dc27f gerd.honawitz@hatabiturgemacht.de
login.microsoft.com b52c86e95de370201ed3b43d276aa6a814a97fe40270fcbf09dfa66211b477050bb2554c6e760355267b32c1bee567cde4d148 klausi@feuchtemantaletten.de

PIN per Command angeben

Wer alleine am PC sitzt und unbeobachtet ist, kann die FIDO-PIN auch gleich in den jeweiligen ykman.exe Commands mitgeben, indem der Parameter --pin angehängt wird, also z.B. beim Auflisten der Credentials mit 47110815 als vergebener PIN:

C:\Program Files\Yubico\YubiKey Manager>ykman.exe fido credentials list --pin 47110815

Unterschied: FIDO2 Credentials und FIDO-U2F

Obiges Vorgehen funktioniert nur für FIDO2 (WebAuthn) Credentials, also Credentials, die bei einer passwortlosen Webanmeldung in Windows im Auswahl-Popup angeboten werden.
Wird der YubiKey nur als MFA Faktor per FIDO-U2F angelegt, sind auf dem YubiKey keine Credentials hinterlegt, sondern der Public Key des YubiKeys wird mit dem IdP bei der Registrierung ausgetauscht. Hier reicht es aus, die Registrierung auf Seiten des IdP zu entfernen.

–