Zweiter Faktor auf Knopfdruck
Alle vier Fido-Sticks im Test können als universeller zweiter Faktor (U2F) eingesetzt werden. Im Unterschied zu Codes, die per SMS zugestellt und abgetippt werden müssen, kommt bei den Sticks Public-Key-Kryptographie zum Einsatz. Ähnlich wie bei der E-Mail-Verschlüsselung mit PGP werden öffentliche und private Schlüssel generiert. Der öffentliche Schlüssel wird zwischen Nutzer und Webdienst ausgetauscht. Will sich der Nutzer einloggen, schickt der Dienst eine Challenge an ihn. Mit dieser beweist der Nutzer, dass er im Besitz des privaten Schlüssels ist - ohne dass der private Schlüssel das Gerät verlässt. Das Ergebnis schickt er an den Dienst, der es mit dem öffentlichen Schlüssel des Nutzers überprüfen kann.
Von der Kryptographie bekommen wir im Test jedoch nichts mit. Wir hinterlegen den Security Key in einem testweise eingerichteten Google-Konto, klicken uns durch die Menüs, drücken auf die Taste unseres Security Keys und geben ihm einen Namen. Das Prozedere wiederholen wir mit allen vier Security Keys. Anschließend können wir uns mit Benutzernamen, Passwort und einem Druck auf die Taste eines unserer vier Sticks anmelden. Der zweite Faktor wird sicher übertragen und lässt sich im Unterschied zu SMS oder per Smartphone generiertem Token nicht abfangen oder phishen. Im Test klappt das mit allen vier Sticks hervorragend.
Außer Google unterstützen auch Facebook, Twitter, Dropbox, Github und Gitlab U2F, auch in der eigenen Nextcloud kann ein Security Key per Plugin verwendet werden. Sowohl Yubico als auch Nitrokey bieten eine Übersicht der Anbieter, die U2F unterstützen. Bei kleineren Anbietern ist die Unterstützung derzeit gering.
Neben den Anbietern muss auch der Browser U2F unterstützen. Chrome/Chromium und Microsoft Edge können direkt verwendet werden. Auch Firefox unterstützt U2F, allerdings muss die Unterstützung zuerst aktiviert werden. Hierzu tippt der Nutzer about:config in die URL-Leiste und sucht dort nach der Option security.webauth.u2f und setzt diese auf true. Die Security Keys lassen sich bei Google zwar zur Anmeldung verwenden, hinterlegen kann ein Nutzer sie jedoch über Firefox nicht. Auch in Edge lassen sich die Keys bei manchen Diensten nicht hinterlegen. Apple arbeitet noch an der Unterstützung durch seinen Browser Safari.
Unter Linux müssen für die Security Keys zum Teil Udev-Regeln hinterlegt werden, damit die Sticks auch erkannt und damit verwendet werden können. Im Test funktioniert der Stick von Yubico sowie der Titan problemlos unter Ubuntu 18.04. Für den Nitrokey und die Solokeys müssen Udev-Regeln gesetzt werden. Nitrokey weist auf der Installationsseite auf die Udev-Regeln hin, Solokeys bieten eine Anleitung, auf die in den FAQ verwiesen wird.
Neben U2F unterstützen mehrere getestete Security Keys auch den neuen Webauthn-Standard, der erst kürzlich vom World Wide Web Consortium (W3C) verabschiedet wurde. Mit ihm sollen Passwörter ganz der Vergangenheit angehören.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
- ohne Werbung
- mit ausgeschaltetem Javascript
- mit RSS-Volltext-Feed
Fido-Sticks im Test: Endlich schlechte Passwörter | Webauthn - der Standard für passwortloses Anmelden |
du musst ja nicht den Google Authenticator nehmen. Es gibt genug freie Varianten. Ich...
Aber diese Firmen wollen das nun mal auch nicht. Dann wollen die idr. auch nicht das man...
Danke
Sofern dies auf Serverseite (beispielsweise durch einen nachgeschalteten SASL-Server...
aus diesem Grund habe ich alle PNGs in einer Keepass Datenbank gesichert.