Zweiter Faktor auf Knopfdruck

Alle vier Fido-Sticks im Test können als universeller zweiter Faktor (U2F) eingesetzt werden. Im Unterschied zu Codes, die per SMS zugestellt und abgetippt werden müssen, kommt bei den Sticks Public-Key-Kryptographie zum Einsatz. Ähnlich wie bei der E-Mail-Verschlüsselung mit PGP werden öffentliche und private Schlüssel generiert. Der öffentliche Schlüssel wird zwischen Nutzer und Webdienst ausgetauscht. Will sich der Nutzer einloggen, schickt der Dienst eine Challenge an ihn. Mit dieser beweist der Nutzer, dass er im Besitz des privaten Schlüssels ist - ohne dass der private Schlüssel das Gerät verlässt. Das Ergebnis schickt er an den Dienst, der es mit dem öffentlichen Schlüssel des Nutzers überprüfen kann.

Stellenmarkt
  1. Manager Engineering (w/m/d) - CAD Applications
    J.M. Voith SE & Co. KG, Heidenheim
  2. Software Entwickler Microsoft Dynamics 365 CRM (m/w/d)
    ORBIT Gesellschaft für Applikations- und Informationssysteme mbH, verschiedene Standorte (Home-Office)
Detailsuche

Von der Kryptographie bekommen wir im Test jedoch nichts mit. Wir hinterlegen den Security Key in einem testweise eingerichteten Google-Konto, klicken uns durch die Menüs, drücken auf die Taste unseres Security Keys und geben ihm einen Namen. Das Prozedere wiederholen wir mit allen vier Security Keys. Anschließend können wir uns mit Benutzernamen, Passwort und einem Druck auf die Taste eines unserer vier Sticks anmelden. Der zweite Faktor wird sicher übertragen und lässt sich im Unterschied zu SMS oder per Smartphone generiertem Token nicht abfangen oder phishen. Im Test klappt das mit allen vier Sticks hervorragend.

Außer Google unterstützen auch Facebook, Twitter, Dropbox, Github und Gitlab U2F, auch in der eigenen Nextcloud kann ein Security Key per Plugin verwendet werden. Sowohl Yubico als auch Nitrokey bieten eine Übersicht der Anbieter, die U2F unterstützen. Bei kleineren Anbietern ist die Unterstützung derzeit gering.

  • Die Solokeys gibt es als USB-A- und USB-C-Sticks. Eine NFC-Variante soll bald folgen. (Bild: Martin Wolf/Golem.de)
  • Die Silikonhüllen der Solokeys lassen sich austauschen - mehrere Keys lassen sich so gut auseinanderhalten. (Bild: Martin Wolf/Golem.de)
  • Der Nitrokey hat als einziger einen vollwertigen USB-A-Stecker und eine Schutzkappe. (Bild: Martin Wolf/Golem.de)
  • Der Security Key von Yubico: dünn, aber dennoch stabil (Bild: Martin Wolf/Golem.de)
  • Der Titan aus dem Hause Google kommt gleich im Doppelpack. (Bild: Martin Wolf/Golem.de)
  • Die aufwendigste Verpackung mit Lade- und Adapterkabel hat der Titan Security Key. (Bild: Martin Wolf/Golem.de)
Die Solokeys gibt es als USB-A- und USB-C-Sticks. Eine NFC-Variante soll bald folgen. (Bild: Martin Wolf/Golem.de)

Neben den Anbietern muss auch der Browser U2F unterstützen. Chrome/Chromium und Microsoft Edge können direkt verwendet werden. Auch Firefox unterstützt U2F, allerdings muss die Unterstützung zuerst aktiviert werden. Hierzu tippt der Nutzer about:config in die URL-Leiste und sucht dort nach der Option security.webauth.u2f und setzt diese auf true. Die Security Keys lassen sich bei Google zwar zur Anmeldung verwenden, hinterlegen kann ein Nutzer sie jedoch über Firefox nicht. Auch in Edge lassen sich die Keys bei manchen Diensten nicht hinterlegen. Apple arbeitet noch an der Unterstützung durch seinen Browser Safari.

Golem Karrierewelt
  1. Jira für Systemadministratoren: virtueller Zwei-Tage-Workshop
    14./15.02.2023, virtuell
  2. Kubernetes Dive-in-Workshop: virtueller Drei-Tage-Workshop
    17.-19.01.2023, Virtuell
Weitere IT-Trainings

Unter Linux müssen für die Security Keys zum Teil Udev-Regeln hinterlegt werden, damit die Sticks auch erkannt und damit verwendet werden können. Im Test funktioniert der Stick von Yubico sowie der Titan problemlos unter Ubuntu 18.04. Für den Nitrokey und die Solokeys müssen Udev-Regeln gesetzt werden. Nitrokey weist auf der Installationsseite auf die Udev-Regeln hin, Solokeys bieten eine Anleitung, auf die in den FAQ verwiesen wird.

Neben U2F unterstützen mehrere getestete Security Keys auch den neuen Webauthn-Standard, der erst kürzlich vom World Wide Web Consortium (W3C) verabschiedet wurde. Mit ihm sollen Passwörter ganz der Vergangenheit angehören.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Fido-Sticks im Test: Endlich schlechte PasswörterWebauthn - der Standard für passwortloses Anmelden 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6.  


Truster 18. Mär 2019

du musst ja nicht den Google Authenticator nehmen. Es gibt genug freie Varianten. Ich...

nille02 17. Mär 2019

Aber diese Firmen wollen das nun mal auch nicht. Dann wollen die idr. auch nicht das man...

OlafLostViking 15. Mär 2019

Sofern dies auf Serverseite (beispielsweise durch einen nachgeschalteten SASL-Server...



Aktuell auf der Startseite von Golem.de
Amazon Shopper Panel
Amazon zahlt für Überwachung des Smartphone-Datenverkehrs

Wer seinen gesamten Smartphone-Datenverkehr über Amazons Server leitet, wird mit einem monatlichen Gutschein dafür bezahlt.

Amazon Shopper Panel: Amazon zahlt für Überwachung des Smartphone-Datenverkehrs
Artikel
  1. Vodafone und Telekom: LTE-Ausbau in Berliner Bahntunneln dauert weitere Jahre
    Vodafone und Telekom
    LTE-Ausbau in Berliner Bahntunneln dauert weitere Jahre

    Laut Senatsverwaltung kam der Ausbau der Base-Transceiver-Station-Hotels nicht wie geplant voran. Nicht nur die Kunden von Vodafone und Telekom haben das Nachsehen.

  2. Northrop Grumman: B21 Raider als erster digitaler Bomber vorgestellt
    Northrop Grumman
    B21 Raider als erster digitaler Bomber vorgestellt

    Northrop Grumman hat mit dem B-21 Raider eine neuen Tarnkappenbomber vorgestellt. Dabei kamen agile Softwareentwicklung und digitales Engineering zum Einsatz.

  3. Soziale Netzwerke: Liken bei Hasspostings kann strafbar sein
    Soziale Netzwerke
    Liken bei Hasspostings kann strafbar sein

    Facebook-Nutzer, die nicht davor zurückschrecken, diskriminierende oder beleidigende oder Postings zu liken, sollten sich das gut überlegen. Denn das Drücken des Gefällt-mir-Buttons kann hier erhebliche rechtliche Folgen haben.
    Von Harald Büring

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5-Bundle vorbestellbar • SanDisk Extreme PRO 1TB 141,86€ • Amazon-Geräte bis -53% • Mindstar: Alphacool Eiswolf 2 AiO 360 199€, AMD-Ryzen-CPUs zu Bestpreisen • Alternate: WD_BLACK P10 2TB 76,89€ • Advent-Tagesdeals bei MediaMarkt/Saturn • Thrustmaster Ferrari GTE Wheel 87,60€ [Werbung]
    •  /