Abo
  • Services:

Fido-Sticks im Test: Endlich schlechte Passwörter

Sicher mit nur einer PIN oder einem schlechten Passwort: Fido-Sticks sollen auf Tastendruck Zwei-Faktor-Authentifizierung oder passwortloses Anmelden ermöglichen. Golem.de hat getestet, ob sie halten, was sie versprechen.

Ein Test von veröffentlicht am
Vier Security-Keys im Golem.de-Test
Vier Security-Keys im Golem.de-Test (Bild: Martin Wolf/Golem.de)

Phishing und Datenlecks über gehackte oder schlecht administrierte Webserver sind ein Alltagsphänomen geworden. Immer wieder wird geraten, neben Benutzernamen mit Passwort einen zweiten Faktor einzusetzen, beispielsweise einen Code, der aus einer SMS abgetippt werden muss. Mit dem neuen Fido2-Standard soll der Login-Vorgang nicht nur viel sicherer, sondern auch einfacher werden. Passwörter könnten mit ihm sogar obsolet werden.

Als besonders sicher gelten sogenannte Security Keys oder Fido-Sticks, die wie gewöhnliche USB-Sticks mit einer Taste aussehen. Mit einem Tastendruck soll ein zweiter Faktor ausgehandelt werden können oder ein passwortloser Login möglich sein. Wir haben vier Security-Keys von Yubico, Google, Nitrokey und Solokeys getestet. Passwortloses Anmelden funktioniert nicht mit allen, auch bei den Anschlüssen und dem Open-Source-Gedanken gibt es deutliche Unterschiede.

Von Newcomern und alten Hasen

Alle vier getesteten Fido-Sticks sind 2018 auf den Markt gekommen. Auf den ersten Blick unterscheiden sie sich nur geringfügig und ähneln klassischen USB-Sticks. Die Firmen Yubico und Nitrokey sind schon lange im Geschäft der Security Keys. Beide bieten sie mit unterschiedlichen Funktionen an. Mit dem Yubico Security Key und Nitrokey Fido U2F testen wir die beiden Sticks, die für Zwei-Faktor-Authentifizierung beziehungsweise passwortlose Anmeldung (Yubico) gedacht sind. Ganz neu sind die Solokeys, die über eine Kickstarter-Kampagne von knapp 3.000 Unterstützern ermöglicht wurden. Das Ziel von 5.000 US-Dollar wurde mit 123.614 US-Dollar deutlich überschritten. Die ersten Solos wurden im Dezember ausgeliefert - auch wir haben zwei Testexemplare.

Seit Anfang 2017 verlangt Google von seinen über 85.000 Mitarbeitern, einen Security Key zu verwenden. Seitdem ist laut Google kein Konto eines Mitarbeiters übernommen worden. Mittlerweile vertreibt Google seinen eignen Security Key namens Titan, der allerdings bisher nur in den USA verfügbar ist. Wir konnten Googles Security Key erstehen und haben ihn getestet.

Fido-Sticks in allen Variationen

Stellenmarkt
  1. Hirschvogel Holding GmbH, Denklingen
  2. Hannover Rück SE, Hannover

Alle Sticks im Test wirken hochwertig. Nur der Nitrokey verwendet einen echten USB-Anschluss, der zudem mit einer Verschlusskappe geschützt wird. Die anderen Sticks verwenden eine flachere Variante: Google und Yubico setzen auf eine sehr flache Bauweise, die dennoch stabil wirkt. Über die Platine der Solokeys wird eine Silikonhülle gestülpt, die die Sticks schützt. Die Platine ist relativ dick und macht einen stabilen Eindruck; ohne den Schutz durch die Silikonhülle würden wir sie jedoch nicht verwenden.

Umfangreiches Zubehör enthält das Paket des Titan-Sticks aus dem Hause Google. Neben dem USB-Stick enthält es einen weiteren Bluetooth-Stick, der beispielsweise mit Android-Smartphones verwendet werden kann. Zudem liegt ein Micro-USB-Ladekabel bei, mit dem der Bluetooth-Stick aufgeladen werden kann. Über ein kleines rotes Lämpchen signalisiert er, wenn die Zeit dafür gekommen ist. Als weiteres Gimick liegt ein Adapterkabel bei, mit dem der USB-Stick auch an USB-C-Anschlüssen verwendet werden kann. Außer über Bluetooth kann der Titan auch über NFC funken.

Den Solo gibt es mit einem USB-A- oder einem USB-C-Stecker. Beide Sticks sind auch als Entwicklerversion namens Solo Hacker erhältlich. Die Silikonhülle, die die Platine umgibt, kann in verschiedenen Farben erstanden und ausgetauscht werden. Kommen mehrere Sticks zum Einsatz, können sie an der Farbe unterschieden werden. Noch im März soll eine Funkvariante mit NFC namens Solo Tap folgen.

Yubicos Security Key wird nur mit dem klassischen USB-Anschluss angeboten, zudem gibt es eine baugleich NFC-Variante. Yubico bietet zudem Security Keys mit größerem Funktionsumfang sowie weiteren Anschlüssen an, die wir allerdings nicht getestet haben. Den Nitrokey Fido U2F gibt es nur mit klassischem USB-Anschluss. Auch Nitrokey bietet weiter Security Keys mit unterschiedlichem Funktionsumfang an, allerdings unterstützen diese nicht den Fido-Standard und können daher nicht für die Zwei-Faktor-Authentifizierung oder passwortloses Anmelden verwendet werden. Die Fido-Sticks im Test können jedoch zur Zwei-Faktor-Authentifizierung verwendet werden.

Alle Sticks im Test versprechen eine One-Click-Zwei-Faktor-Authentifizierung, die einfach und komfortabel sein soll. Wir testen, ob die Sticks halten, was sie versprechen.

Zweiter Faktor auf Knopfdruck 
  1. 1
  2. 2
  3. 3
  4. 4
  5.  


Anzeige
Top-Angebote
  1. (u. a. Gaming-Monitore und PCs)
  2. 59,99€ (bei otto.de)
  3. 125,99€
  4. (u. a. Ni No Kuni 2 29,99€, Dark Souls 3 25,49€)

Truster 18. Mär 2019 / Themenstart

du musst ja nicht den Google Authenticator nehmen. Es gibt genug freie Varianten. Ich...

nille02 17. Mär 2019 / Themenstart

Aber diese Firmen wollen das nun mal auch nicht. Dann wollen die idr. auch nicht das man...

OlafLostViking 15. Mär 2019 / Themenstart

Sofern dies auf Serverseite (beispielsweise durch einen nachgeschalteten SASL-Server...

Truster 15. Mär 2019 / Themenstart

aus diesem Grund habe ich alle PNGs in einer Keepass Datenbank gesichert.

Kommentieren


Folgen Sie uns
       


LG V50 mit Dualscreen - Hands on (MWC 2019)

LG hat auf dem Mobile World Congress 2019 in Barcelona das 5G-fähige Smartphone V50 Thinq gezeigt. Passend dazu gibt es eine spezielle Hülle, die sich Dual Screen nennt. Darun befindet sich ein zweites Display, das sich parallel zum normalen Smartphone-Display nutzen lässt.

LG V50 mit Dualscreen - Hands on (MWC 2019) Video aufrufen
Christchurch: Wie umgehen mit Terrorvideos im Netz?
Christchurch
Wie umgehen mit Terrorvideos im Netz?

Ein Video des Terroranschlags von Christchurch ist aus dem Internet kaum noch wegzubekommen. Das gibt denjenigen neue Argumente, die auch gegen Terrorinhalte im Netz Uploadfilter einsetzen wollen.
Ein Bericht von Christiane Schulzki-Haddouti

  1. Urheberrechtsreform Startups sollen von Uploadfiltern ausgenommen werden
  2. EU-Urheberrechtsreform Die Uploadfilter sollen doch noch kommen
  3. Uploadfilter Openstreetmap schwärzt Karten aus Protest

Security: Vernetzte Autos sicher machen
Security
Vernetzte Autos sicher machen

Moderne Autos sind rollende Computer mit drahtloser Internetverbindung. Je mehr davon auf der Straße herumfahren, desto interessanter werden sie für Hacker. Was tun Hersteller, um Daten der Insassen und Fahrfunktionen zu schützen?
Ein Bericht von Dirk Kunde

  1. Alarmsysteme Sicherheitslücke ermöglicht Übernahme von Autos
  2. Netzwerkanalyse Wireshark 3.0 nutzt Paketsniffer von Nmap
  3. Sicherheit Wie sich "Passwort zurücksetzen" missbrauchen lässt

Verschlüsselung: Die meisten Nutzer brauchen kein VPN
Verschlüsselung
Die meisten Nutzer brauchen kein VPN

VPN-Anbieter werben aggressiv und preisen ihre Produkte als Allheilmittel in Sachen Sicherheit an. Doch im modernen Internet nützen sie wenig und bringen oft sogar Gefahren mit sich.
Eine Analyse von Hanno Böck

  1. Security Wireguard-VPN für MacOS erschienen
  2. Security Wireguard-VPN für iOS verfügbar
  3. Outline Digitalocean und Alphabet-Tochter bieten individuelles VPN

    •  /