Abo
  • IT-Karriere:

Zweiter Faktor auf Knopfdruck

Alle vier Fido-Sticks im Test können als universeller zweiter Faktor (U2F) eingesetzt werden. Im Unterschied zu Codes, die per SMS zugestellt und abgetippt werden müssen, kommt bei den Sticks Public-Key-Kryptographie zum Einsatz. Ähnlich wie bei der E-Mail-Verschlüsselung mit PGP werden öffentliche und private Schlüssel generiert. Der öffentliche Schlüssel wird zwischen Nutzer und Webdienst ausgetauscht. Will sich der Nutzer einloggen, schickt der Dienst eine Challenge an ihn. Mit dieser beweist der Nutzer, dass er im Besitz des privaten Schlüssels ist - ohne dass der private Schlüssel das Gerät verlässt. Das Ergebnis schickt er an den Dienst, der es mit dem öffentlichen Schlüssel des Nutzers überprüfen kann.

Stellenmarkt
  1. VALEO GmbH, Friedrichsdorf
  2. Universitätsklinikum Tübingen, Tübingen

Von der Kryptographie bekommen wir im Test jedoch nichts mit. Wir hinterlegen den Security Key in einem testweise eingerichteten Google-Konto, klicken uns durch die Menüs, drücken auf die Taste unseres Security Keys und geben ihm einen Namen. Das Prozedere wiederholen wir mit allen vier Security Keys. Anschließend können wir uns mit Benutzernamen, Passwort und einem Druck auf die Taste eines unserer vier Sticks anmelden. Der zweite Faktor wird sicher übertragen und lässt sich im Unterschied zu SMS oder per Smartphone generiertem Token nicht abfangen oder phishen. Im Test klappt das mit allen vier Sticks hervorragend.

Außer Google unterstützen auch Facebook, Twitter, Dropbox, Github und Gitlab U2F, auch in der eigenen Nextcloud kann ein Security Key per Plugin verwendet werden. Sowohl Yubico als auch Nitrokey bieten eine Übersicht der Anbieter, die U2F unterstützen. Bei kleineren Anbietern ist die Unterstützung derzeit gering.

  • Die Solokeys gibt es als USB-A- und USB-C-Sticks. Eine NFC-Variante soll bald folgen. (Bild: Martin Wolf/Golem.de)
  • Die Silikonhüllen der Solokeys lassen sich austauschen - mehrere Keys lassen sich so gut auseinanderhalten. (Bild: Martin Wolf/Golem.de)
  • Der Nitrokey hat als einziger einen vollwertigen USB-A-Stecker und eine Schutzkappe. (Bild: Martin Wolf/Golem.de)
  • Der Security Key von Yubico: dünn, aber dennoch stabil (Bild: Martin Wolf/Golem.de)
  • Der Titan aus dem Hause Google kommt gleich im Doppelpack. (Bild: Martin Wolf/Golem.de)
  • Die aufwendigste Verpackung mit Lade- und Adapterkabel hat der Titan Security Key. (Bild: Martin Wolf/Golem.de)
Die Solokeys gibt es als USB-A- und USB-C-Sticks. Eine NFC-Variante soll bald folgen. (Bild: Martin Wolf/Golem.de)

Neben den Anbietern muss auch der Browser U2F unterstützen. Chrome/Chromium und Microsoft Edge können direkt verwendet werden. Auch Firefox unterstützt U2F, allerdings muss die Unterstützung zuerst aktiviert werden. Hierzu tippt der Nutzer about:config in die URL-Leiste und sucht dort nach der Option security.webauth.u2f und setzt diese auf true. Die Security Keys lassen sich bei Google zwar zur Anmeldung verwenden, hinterlegen kann ein Nutzer sie jedoch über Firefox nicht. Auch in Edge lassen sich die Keys bei manchen Diensten nicht hinterlegen. Apple arbeitet noch an der Unterstützung durch seinen Browser Safari.

Unter Linux müssen für die Security Keys zum Teil Udev-Regeln hinterlegt werden, damit die Sticks auch erkannt und damit verwendet werden können. Im Test funktioniert der Stick von Yubico sowie der Titan problemlos unter Ubuntu 18.04. Für den Nitrokey und die Solokeys müssen Udev-Regeln gesetzt werden. Nitrokey weist auf der Installationsseite auf die Udev-Regeln hin, Solokeys bieten eine Anleitung, auf die in den FAQ verwiesen wird.

Neben U2F unterstützen mehrere getestete Security Keys auch den neuen Webauthn-Standard, der erst kürzlich vom World Wide Web Consortium (W3C) verabschiedet wurde. Mit ihm sollen Passwörter ganz der Vergangenheit angehören.

 Fido-Sticks im Test: Endlich schlechte PasswörterWebauthn - der Standard für passwortloses Anmelden 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6.  


Anzeige
Hardware-Angebote
  1. 72,99€ (Release am 19. September)
  2. 144,90€ + Versand
  3. (reduzierte Überstände, Restposten & Co.)

Truster 18. Mär 2019

du musst ja nicht den Google Authenticator nehmen. Es gibt genug freie Varianten. Ich...

nille02 17. Mär 2019

Aber diese Firmen wollen das nun mal auch nicht. Dann wollen die idr. auch nicht das man...

OlafLostViking 15. Mär 2019

Sofern dies auf Serverseite (beispielsweise durch einen nachgeschalteten SASL-Server...

Truster 15. Mär 2019

aus diesem Grund habe ich alle PNGs in einer Keepass Datenbank gesichert.


Folgen Sie uns
       


Sony Xperia 1 - Test

Das Xperia 1 eignet sich dank seines breiten OLED-Displays hervorragend zum Filmeschauen. Im Test zeigt Sonys neues Smartphone aber noch weitere Stärken.

Sony Xperia 1 - Test Video aufrufen
FPM-Sicherheitslücke: Daten exfiltrieren mit Facebooks HHVM
FPM-Sicherheitslücke
Daten exfiltrieren mit Facebooks HHVM

Server für den sogenannten FastCGI Process Manager (FPM) können, wenn sie übers Internet erreichbar sind, unbefugten Zugriff auf Dateien eines Systems geben. Das betrifft vor allem HHVM von Facebook, bei PHP sind die Risiken geringer.
Eine Exklusivmeldung von Hanno Böck

  1. HHVM Facebooks PHP-Alternative erscheint ohne PHP

Forschung: Mehr Elektronen sollen Photovoltaik effizienter machen
Forschung
Mehr Elektronen sollen Photovoltaik effizienter machen

Zwei dünne Schichten auf einer Silizium-Solarzelle könnten ihre Effizienz erhöhen. Grünes und blaues Licht kann darin gleich zwei Elektronen statt nur eines freisetzen.
Von Frank Wunderlich-Pfeiffer

  1. ISS Tierbeobachtungssystem Icarus startet
  2. Sun To Liquid Solaranlage erzeugt Kerosin aus Sonnenlicht, Wasser und CO2
  3. Shell Ocean Discovery X Prize X-Prize für unbemannte Systeme zur Meereskartierung vergeben

Dr. Mario World im Test: Spielspaß für Privatpatienten
Dr. Mario World im Test
Spielspaß für Privatpatienten

Schlimm süchtig machendes Gameplay, zuckersüße Grafik im typischen Nintendo-Stil und wunderbare Dudelmusik: Der Kampf von Dr. Mario World gegen böse Viren ist ein Mobile Game vom Feinsten - allerdings nur für Spieler mit gesunden Nerven oder tiefen Taschen.
Von Peter Steinlechner

  1. Mobile-Games-Auslese Ein Wunderjunge und dreimal kostenloser Mobilspaß
  2. Mobile-Games-Auslese Magischer Dieb trifft mogelnden Doktor
  3. Hyper Casual Games 30 Sekunden spielen, 30 Sekunden Werbung

    •  /