• IT-Karriere:
  • Services:

Zweiter Faktor auf Knopfdruck

Alle vier Fido-Sticks im Test können als universeller zweiter Faktor (U2F) eingesetzt werden. Im Unterschied zu Codes, die per SMS zugestellt und abgetippt werden müssen, kommt bei den Sticks Public-Key-Kryptographie zum Einsatz. Ähnlich wie bei der E-Mail-Verschlüsselung mit PGP werden öffentliche und private Schlüssel generiert. Der öffentliche Schlüssel wird zwischen Nutzer und Webdienst ausgetauscht. Will sich der Nutzer einloggen, schickt der Dienst eine Challenge an ihn. Mit dieser beweist der Nutzer, dass er im Besitz des privaten Schlüssels ist - ohne dass der private Schlüssel das Gerät verlässt. Das Ergebnis schickt er an den Dienst, der es mit dem öffentlichen Schlüssel des Nutzers überprüfen kann.

Stellenmarkt
  1. Stadt Regensburg, Regensburg
  2. ABUS Security Center GmbH & Co. KG, Affing

Von der Kryptographie bekommen wir im Test jedoch nichts mit. Wir hinterlegen den Security Key in einem testweise eingerichteten Google-Konto, klicken uns durch die Menüs, drücken auf die Taste unseres Security Keys und geben ihm einen Namen. Das Prozedere wiederholen wir mit allen vier Security Keys. Anschließend können wir uns mit Benutzernamen, Passwort und einem Druck auf die Taste eines unserer vier Sticks anmelden. Der zweite Faktor wird sicher übertragen und lässt sich im Unterschied zu SMS oder per Smartphone generiertem Token nicht abfangen oder phishen. Im Test klappt das mit allen vier Sticks hervorragend.

Außer Google unterstützen auch Facebook, Twitter, Dropbox, Github und Gitlab U2F, auch in der eigenen Nextcloud kann ein Security Key per Plugin verwendet werden. Sowohl Yubico als auch Nitrokey bieten eine Übersicht der Anbieter, die U2F unterstützen. Bei kleineren Anbietern ist die Unterstützung derzeit gering.

  • Die Solokeys gibt es als USB-A- und USB-C-Sticks. Eine NFC-Variante soll bald folgen. (Bild: Martin Wolf/Golem.de)
  • Die Silikonhüllen der Solokeys lassen sich austauschen - mehrere Keys lassen sich so gut auseinanderhalten. (Bild: Martin Wolf/Golem.de)
  • Der Nitrokey hat als einziger einen vollwertigen USB-A-Stecker und eine Schutzkappe. (Bild: Martin Wolf/Golem.de)
  • Der Security Key von Yubico: dünn, aber dennoch stabil (Bild: Martin Wolf/Golem.de)
  • Der Titan aus dem Hause Google kommt gleich im Doppelpack. (Bild: Martin Wolf/Golem.de)
  • Die aufwendigste Verpackung mit Lade- und Adapterkabel hat der Titan Security Key. (Bild: Martin Wolf/Golem.de)
Die Solokeys gibt es als USB-A- und USB-C-Sticks. Eine NFC-Variante soll bald folgen. (Bild: Martin Wolf/Golem.de)

Neben den Anbietern muss auch der Browser U2F unterstützen. Chrome/Chromium und Microsoft Edge können direkt verwendet werden. Auch Firefox unterstützt U2F, allerdings muss die Unterstützung zuerst aktiviert werden. Hierzu tippt der Nutzer about:config in die URL-Leiste und sucht dort nach der Option security.webauth.u2f und setzt diese auf true. Die Security Keys lassen sich bei Google zwar zur Anmeldung verwenden, hinterlegen kann ein Nutzer sie jedoch über Firefox nicht. Auch in Edge lassen sich die Keys bei manchen Diensten nicht hinterlegen. Apple arbeitet noch an der Unterstützung durch seinen Browser Safari.

Unter Linux müssen für die Security Keys zum Teil Udev-Regeln hinterlegt werden, damit die Sticks auch erkannt und damit verwendet werden können. Im Test funktioniert der Stick von Yubico sowie der Titan problemlos unter Ubuntu 18.04. Für den Nitrokey und die Solokeys müssen Udev-Regeln gesetzt werden. Nitrokey weist auf der Installationsseite auf die Udev-Regeln hin, Solokeys bieten eine Anleitung, auf die in den FAQ verwiesen wird.

Neben U2F unterstützen mehrere getestete Security Keys auch den neuen Webauthn-Standard, der erst kürzlich vom World Wide Web Consortium (W3C) verabschiedet wurde. Mit ihm sollen Passwörter ganz der Vergangenheit angehören.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Fido-Sticks im Test: Endlich schlechte PasswörterWebauthn - der Standard für passwortloses Anmelden 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6.  
Reklame: Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon
Zu den Kommentaren springen
Meistgelesen
  1. Windows XP Leak
    XP hatte eine geheime MacOS-ähnliche Oberfläche
  2. Möglicher Ersatz für Kohlefaser
    Porsche entwickelt Karosserieteile auf Holzbasis
  3. Flugzeug
    Airbus stellt letzten A380 fertig
  4. iPad 8 und iPad OS 14 im Test
    Kritzeln auf dem iPad
  5. Monsterlabo
    The Beast kühlt 400 Watt passiv
Anzeige
Top-Angebote
  1. ab 589€ Bestpreis auf Geizhals
  2. 349,99€
  4. ab 809€ auf Geizhals
Kommentarübersicht
Re: OS-/Browser-Zwang wird kaum erwähnt
Truster 18. Mär 2019

du musst ja nicht den Google Authenticator nehmen. Es gibt genug freie Varianten. Ich...

Re: Firmen PCs ohne USB Port...
nille02 17. Mär 2019

Aber diese Firmen wollen das nun mal auch nicht. Dann wollen die idr. auch nicht das man...

Re: Test fängt stark an, lässt aber stärker nach
Joker86 15. Mär 2019

Danke

Re: Semi-OT: OTP/2-FA für nicht-Web-Dienste
OlafLostViking 15. Mär 2019

Sofern dies auf Serverseite (beispielsweise durch einen nachgeschalteten SASL-Server...

Re: Stick vergessen?
Truster 15. Mär 2019

aus diesem Grund habe ich alle PNGs in einer Keepass Datenbank gesichert.

Folgen Sie uns
       
Citrix
Todesfall: Citrix-Sicherheitslücke ermöglichte Angriff auf Krankenhaus
Todesfall
Citrix-Sicherheitslücke ermöglichte Angriff auf Krankenhaus

Ein Ransomware-Angriff auf die Uniklinik Düsseldorf, der zu einem Todesfall führte, erfolgte über die "Shitrix" genannte Lücke in Citrix-Geräten

  1. Datenleck Citrix informiert Betroffene über einen Hack vor einem Jahr
  2. Shitrix Das Citrix-Desaster
  3. Perl-Injection Citrix-Geräte mit schwerer Sicherheitslücke und ohne Update
Java
Java 15: Sealed Classes - Code-Smell oder moderne Erweiterung?
Java 15
Sealed Classes - Code-Smell oder moderne Erweiterung?

Was bringt das Preview Feature aus Java 15, wie wird es benutzt und bricht das nicht das Prinzip der Kapselung?
Eine Analyse von Boris Mayer

  1. Java JDK 15 geht mit neuen Features in die General Availability
  2. Java Nicht die Bohne veraltet
  3. JDK Oracle will "Schmerzen" von Java beheben
Crysis
Crysis Remastered im Technik-Test: But can it run Crysis? Yes!
Crysis Remastered im Technik-Test
But can it run Crysis? Yes!

Die PC-Version von Crysis Remastered wird durch die CPU limitiert, dafür ist die Sichtweite extrem und das Hardware-Raytracing aktiv.
Ein Bericht von Marc Sauter

  1. Systemanforderungen Crysis Remastered reicht GTX 1660 Ti
  2. Crytek Crysis Remastered erscheint mit Raytracing
  3. Crytek Crysis Remastered nach Kritik an Trailer verschoben
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /