Abo
  • Services:

Webauthn - der Standard für passwortloses Anmelden

Die Taste auf dem Security Key drücken und eine kurze vierstellige PIN eingeben und schon können Nutzer auf ihre E-Mails, Dokumente oder den Social-Media-Account zugreifen. Einen Benutzernamen oder ein Passwort braucht es nicht. Ermöglicht wird dies durch die kürzlich verabschiedete Webauthn-Schnittstelle beziehungsweise den dahinterstehenden Standard Fido2. Dessen Vorgänger ermöglicht die universelle Zwei-Faktor-Authentifizierung (U2F). Beide Standards stammen von der Fido-Allianz, einem Zusammenschluss namhafter Firmen, darunter Google, Microsoft, Lenovo und Samsung, die gemeinsam an einfachen und sicheren Authentifizierungsstandards arbeiten. Beide setzen auf Public-Key-Kryptographie für den zweiten Faktor beziehungsweise das passwortlose Anmelden. Trotz Kritik an den teilweise schon älteren Algorithmen, die im Webauthn-Standard verwendet werden, ist das System deutlich sicherer als Passwörter - und kann in der Handhabung für den Nutzer angenehmer sein.

Stellenmarkt
  1. ING-DiBa AG, Frankfurt, Nürnberg
  2. BEUMER Group, Beckum (Raum Münster, Dortmund, Bielefeld)

Wir wollen uns passwortlos mit den Security Keys anmelden, allerdings unterstützen nur die Solokeys sowie der Yubico Security Key den neuen Fido2-Standard respektive dessen Webauthn-Schnittstelle - nur mit ihnen ist passwortloses Anmelden möglich. Googles Titan und der Nitrokey unterstützen passwortloses Anmelden nicht.

Passwortlos geht nur mit Microsoft

Nach langer Suche finden wir einen Dienst, der das passwortlose Anmelden unterstützt. Unter accounts.microsoft.com, der zentralen Login-Seite für Microsofts Online-Dienste wie Outlook, Office 365 oder Onedrive, können wir uns mit einem Fido2-Stick passwortlos anmelden. Allerdings ausschließlich unter Windows 10 ab der Version 1809 sowie mit Microsofts Browser Edge. Firefox und Chrome/Chromium unterstützen dies noch nicht.

Wir aktualisieren das Windows 10 auf unserem Testrechner auf Version 1809. Nachdem sich Windows ausgiebig aktualisiert hat, registrieren wir ein Testkonto bei Microsoft und hinterlegen unter Sicherheit/weitere Einstellungen/Security Key unsere beiden Fido2-Sticks. Beim Hinterlegen wird nach einer PIN gefragt. Diese muss nicht lang sein, da sie auf dem Stick gespeichert wird. Sie soll im Falle eines Verlusts oder Diebstahl davor schützen, dass sich Fremde mit dem Stick in die Konten des Eigentümers einloggen. Ein Brute-Force-Angriff, also das Durchprobieren aller Kombinationen, wäre aufwendig, da der Stick nur wenige Versuche erlaubt und anschließend aus- und wieder eingesteckt werden muss.

Sowohl mit den Solokeys als auch mit dem Security Key von Yubico funktioniert das Hinterlegen und anschließend das passwortlose Anmelden bei unserem Microsoft-Konto einwandfrei. Im Test hinterlegen wir mehrere Sticks, was auch im Alltag durchaus sinnvoll ist: Geht ein Stick kaputt oder verloren, können wir uns weiterhin passwortlos mit dem anderen Stick anmelden. Der verlorene oder kaputte Stick kann gelöscht und ein neuer hinterlegt werden.

Nur mit Passwort: Titan und Nitrokey

Googles Titan und der Nitrokey Fido U2F folgen noch dem älteren Fido-Standard und ermöglichen kein passwortloses Anmelden. Der Fido2-Standard ist jedoch abwärtskompatibel: Die Sticks können auch weiterhin für eine Zwei-Faktor-Authentifizierung verwendet werden. An Fido2 werde derzeit gearbeitet, sagte Jan Suhr, CEO von Nitrokey. Er solle im Laufe des Jahres erscheinen.

Wahrscheinlich werden in nicht allzu ferner Zukunft mehr Dienste Webauthn unterstützen. Erst kürzlich hat Google bekanntgegeben, dass Android eine Fido2-Zertifizierung erhalten hat. Neuere Geräte sollen passwortloses Anmelden ab Werk ermöglichen, auf älteren Geräten ab Android 7.0 wird die Funktion über ein Update der Google Play Services bereitgestellt. Damit unterstützen neben den Fido2-Sticks auch Millionen Smartphones Zwei-Faktor-Authentifizierung und passwortloses Anmelden.

Open oder Closed Source

Sowohl die Solokeys als auch die Nitrokeys werben mit offener Hard- und Software. Die entsprechenden Pläne liegen auf Github. Auf den Solokeys lässt sich zudem die Firmware aktualisieren. Der Fido2-Nitrokey ist zwar noch nicht erschienen, soll allerdings ebenfalls eine Aktualisierung der Firmware ermöglichen.

Die Firmware des Titan Security Keys hat Google selbst entwickelt und fest in den Stick integriert, aktualisieren lässt sie sich nicht. Der Stick stammt von der Firma Feitian, die vergleichbare Produkte vertreibt. Auch die Firmware von Yubicos Security Key lässt sich nicht aktualisieren. Der Quellcode sowie die Hardware sind bei beiden Sticks nicht öffentlich verfügbar.

Neben den Fido-Standards und der Offenheit unterscheiden sich die Security Keys auch in der Verfügbarkeit sowie im Preis.

 Zweiter Faktor auf KnopfdruckVerfügbarkeit und Fazit 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6.  


Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de
  2. 18,99€
  3. (reduzierte Überstände, Restposten & Co.)

Truster 18. Mär 2019 / Themenstart

du musst ja nicht den Google Authenticator nehmen. Es gibt genug freie Varianten. Ich...

nille02 17. Mär 2019 / Themenstart

Aber diese Firmen wollen das nun mal auch nicht. Dann wollen die idr. auch nicht das man...

OlafLostViking 15. Mär 2019 / Themenstart

Sofern dies auf Serverseite (beispielsweise durch einen nachgeschalteten SASL-Server...

Truster 15. Mär 2019 / Themenstart

aus diesem Grund habe ich alle PNGs in einer Keepass Datenbank gesichert.

Kommentieren


Folgen Sie uns
       


Bewerbungsgespräch mit der KI vom DFKI - Bericht

Wir haben uns beim DFKI in Saarbrücken angesehen, wie das Training von Bewerbungsgesprächen mit einer Künstlichen Intelligenz funktioniert.

Bewerbungsgespräch mit der KI vom DFKI - Bericht Video aufrufen
Verschlüsselung: Die meisten Nutzer brauchen kein VPN
Verschlüsselung
Die meisten Nutzer brauchen kein VPN

VPN-Anbieter werben aggressiv und preisen ihre Produkte als Allheilmittel in Sachen Sicherheit an. Doch im modernen Internet nützen sie wenig und bringen oft sogar Gefahren mit sich.
Eine Analyse von Hanno Böck

  1. Security Wireguard-VPN für MacOS erschienen
  2. Security Wireguard-VPN für iOS verfügbar
  3. Outline Digitalocean und Alphabet-Tochter bieten individuelles VPN

Mobile Bezahldienste: Wie sicher sind Apple Pay und Google Pay?
Mobile Bezahldienste
Wie sicher sind Apple Pay und Google Pay?

Die Zahlungsdienste Apple Pay und Google Pay sind nach Ansicht von Experten sicherer als klassische Kreditkarten. In der täglichen Praxis schneidet ein Dienst etwas besser ab. Einige Haftungsfragen sind aber noch juristisch ungeklärt.
Von Andreas Maisch

  1. Anzeige Was Drittanbieter beim Open Banking beachten müssen
  2. Finanzdienstleister Wirecard sieht kein Fehlverhalten
  3. Fintech Wirecard wird zur Smartphone-Bank

Galaxy S10e im Test: Samsungs kleines feines Top-Smartphone
Galaxy S10e im Test
Samsungs kleines feines Top-Smartphone

Mit dem Galaxy S10e bietet Samsung auch ein kompaktes Modell seiner neuen Oberklasse-Smartphone-Serie an. Beim Gerät gibt es zwar ein paar Abstriche bei der Hardware, es liegt aber fantastisch in der Hand und macht super Fotos - für uns der klare Geheimtipp der neuen Reihe.
Ein Test von Tobias Költzsch

  1. Samsung Galaxy M20 kommt an drei Tagen nach Deutschland
  2. Smartphone Samsungs LPDDR4X-Speicher fasst 12 GByte
  3. Non-Volatile Memory Samsung liefert eMRAM aus

    •  /