Abo
  • IT-Karriere:

Fido-Sticks im Test: Endlich schlechte Passwörter

Sicher mit nur einer PIN oder einem schlechten Passwort: Fido-Sticks sollen auf Tastendruck Zwei-Faktor-Authentifizierung oder passwortloses Anmelden ermöglichen. Golem.de hat getestet, ob sie halten, was sie versprechen.

Ein Test von veröffentlicht am
Vier Security-Keys im Golem.de-Test
Vier Security-Keys im Golem.de-Test (Bild: Martin Wolf/Golem.de)

Phishing und Datenlecks über gehackte oder schlecht administrierte Webserver sind ein Alltagsphänomen geworden. Immer wieder wird geraten, neben Benutzernamen mit Passwort einen zweiten Faktor einzusetzen, beispielsweise einen Code, der aus einer SMS abgetippt werden muss. Mit dem neuen Fido2-Standard soll der Login-Vorgang nicht nur viel sicherer, sondern auch einfacher werden. Passwörter könnten mit ihm sogar obsolet werden.

Als besonders sicher gelten sogenannte Security Keys oder Fido-Sticks, die wie gewöhnliche USB-Sticks mit einer Taste aussehen. Mit einem Tastendruck soll ein zweiter Faktor ausgehandelt werden können oder ein passwortloser Login möglich sein. Wir haben vier Security-Keys von Yubico, Google, Nitrokey und Solokeys getestet. Passwortloses Anmelden funktioniert nicht mit allen, auch bei den Anschlüssen und dem Open-Source-Gedanken gibt es deutliche Unterschiede.

Von Newcomern und alten Hasen

Alle vier getesteten Fido-Sticks sind 2018 auf den Markt gekommen. Auf den ersten Blick unterscheiden sie sich nur geringfügig und ähneln klassischen USB-Sticks. Die Firmen Yubico und Nitrokey sind schon lange im Geschäft der Security Keys. Beide bieten sie mit unterschiedlichen Funktionen an. Mit dem Yubico Security Key und Nitrokey Fido U2F testen wir die beiden Sticks, die für Zwei-Faktor-Authentifizierung beziehungsweise passwortlose Anmeldung (Yubico) gedacht sind. Ganz neu sind die Solokeys, die über eine Kickstarter-Kampagne von knapp 3.000 Unterstützern ermöglicht wurden. Das Ziel von 5.000 US-Dollar wurde mit 123.614 US-Dollar deutlich überschritten. Die ersten Solos wurden im Dezember ausgeliefert - auch wir haben zwei Testexemplare.

Seit Anfang 2017 verlangt Google von seinen über 85.000 Mitarbeitern, einen Security Key zu verwenden. Seitdem ist laut Google kein Konto eines Mitarbeiters übernommen worden. Mittlerweile vertreibt Google seinen eignen Security Key namens Titan, der allerdings bisher nur in den USA verfügbar ist. Wir konnten Googles Security Key erstehen und haben ihn getestet.

Fido-Sticks in allen Variationen

Stellenmarkt
  1. Haufe Group, Freiburg
  2. KfW Bankengruppe, Berlin

Alle Sticks im Test wirken hochwertig. Nur der Nitrokey verwendet einen echten USB-Anschluss, der zudem mit einer Verschlusskappe geschützt wird. Die anderen Sticks verwenden eine flachere Variante: Google und Yubico setzen auf eine sehr flache Bauweise, die dennoch stabil wirkt. Über die Platine der Solokeys wird eine Silikonhülle gestülpt, die die Sticks schützt. Die Platine ist relativ dick und macht einen stabilen Eindruck; ohne den Schutz durch die Silikonhülle würden wir sie jedoch nicht verwenden.

Umfangreiches Zubehör enthält das Paket des Titan-Sticks aus dem Hause Google. Neben dem USB-Stick enthält es einen weiteren Bluetooth-Stick, der beispielsweise mit Android-Smartphones verwendet werden kann. Zudem liegt ein Micro-USB-Ladekabel bei, mit dem der Bluetooth-Stick aufgeladen werden kann. Über ein kleines rotes Lämpchen signalisiert er, wenn die Zeit dafür gekommen ist. Als weiteres Gimick liegt ein Adapterkabel bei, mit dem der USB-Stick auch an USB-C-Anschlüssen verwendet werden kann. Außer über Bluetooth kann der Titan auch über NFC funken.

Den Solo gibt es mit einem USB-A- oder einem USB-C-Stecker. Beide Sticks sind auch als Entwicklerversion namens Solo Hacker erhältlich. Die Silikonhülle, die die Platine umgibt, kann in verschiedenen Farben erstanden und ausgetauscht werden. Kommen mehrere Sticks zum Einsatz, können sie an der Farbe unterschieden werden. Noch im März soll eine Funkvariante mit NFC namens Solo Tap folgen.

Yubicos Security Key wird nur mit dem klassischen USB-Anschluss angeboten, zudem gibt es eine baugleich NFC-Variante. Yubico bietet zudem Security Keys mit größerem Funktionsumfang sowie weiteren Anschlüssen an, die wir allerdings nicht getestet haben. Den Nitrokey Fido U2F gibt es nur mit klassischem USB-Anschluss. Auch Nitrokey bietet weiter Security Keys mit unterschiedlichem Funktionsumfang an, allerdings unterstützen diese nicht den Fido-Standard und können daher nicht für die Zwei-Faktor-Authentifizierung oder passwortloses Anmelden verwendet werden. Die Fido-Sticks im Test können jedoch zur Zwei-Faktor-Authentifizierung verwendet werden.

Alle Sticks im Test versprechen eine One-Click-Zwei-Faktor-Authentifizierung, die einfach und komfortabel sein soll. Wir testen, ob die Sticks halten, was sie versprechen.

Zweiter Faktor auf Knopfdruck 
  1. 1
  2. 2
  3. 3
  4. 4
  5.  


Anzeige
Top-Angebote
  1. (u. a. AMD Upgrade-Bundle mit Sapphire Radeon RX 590 Nitro+ SE + AMD Ryzen 7 2700X + ASUS TUF B450...
  2. (u. a. Sandisk SSD Plus 1 TB für 88€, WD Elements 1,5-TB-HDD für 55€ und Seagate Expansion...
  3. (u. a. Call of Duty: Modern Warfare für 52,99€, Pillars of Eternity II für 16,99€, Devil May...

Truster 18. Mär 2019

du musst ja nicht den Google Authenticator nehmen. Es gibt genug freie Varianten. Ich...

nille02 17. Mär 2019

Aber diese Firmen wollen das nun mal auch nicht. Dann wollen die idr. auch nicht das man...

OlafLostViking 15. Mär 2019

Sofern dies auf Serverseite (beispielsweise durch einen nachgeschalteten SASL-Server...

Truster 15. Mär 2019

aus diesem Grund habe ich alle PNGs in einer Keepass Datenbank gesichert.


Folgen Sie uns
       


Nintendo Switch Lite - Test

Die Nintendo Switch Lite sieht aus wie eine Switch, ist aber kompakter, leichter und damit gerade unterwegs eine sinnvolle Wahl - trotz einiger fehlender Funktionen.

Nintendo Switch Lite - Test Video aufrufen
Indiegames-Rundschau: Killer trifft Gans
Indiegames-Rundschau
Killer trifft Gans

John Wick Hex ist ein gelungenes Spiel zum Film, die böse Gans sorgt in Untitled Goose Game für Begeisterung und in Noita wird jeder Pixel simuliert: Die Indiegames des Monats sind abwechslungsreich und hochwertig wie selten zuvor.
Von Rainer Sigl

  1. Indiegames-Rundschau Überleben im Dschungel und tausend Tode im Dunkeln
  2. Indiegames-Rundschau Epische ASCII-Abenteuer und erlebnishungrige Astronauten
  3. Indiegames-Rundschau Von Bananen und Astronauten

IT-Sicherheit: Auch kleine Netze brauchen eine Firewall
IT-Sicherheit
Auch kleine Netze brauchen eine Firewall

Unternehmen mit kleinem Geldbeutel verzichten häufig auf eine Firewall. Das sollten sie aber nicht tun, wenn ihnen die Sicherheit ihres Netzwerks wichtig ist.
Von Götz Güttich

  1. Anzeige Wo Daten wirklich sicher liegen
  2. Erasure Coding Das Ende von Raid kommt durch Mathematik
  3. Endpoint Security IT-Sicherheit ist ein Cocktail mit vielen Zutaten

Samsung CRG9 im Test: Das Raumschiffcockpit für den Schreibtisch
Samsung CRG9 im Test
Das Raumschiffcockpit für den Schreibtisch

Keine Frage: An das Curved Panel und das 32:9-Format des Samsung CRG9 müssen wir uns erst gewöhnen. Dann aber wollen wir es fast nicht mehr hergeben. Dank der hohen Bildfrequenz und guten Auflösung vermittelt der Monitor ein immersives Gaming-Erlebnis - als wären wir mittendrin.
Ein Test von Oliver Nickel

  1. Speichertechnik Samsung will als Erster HBM2 in 12 Ebenen und 24 GByte bauen
  2. Samsung Fehler am Display des Galaxy Fold aufgetreten
  3. Samsung Displaywechsel beim Galaxy Fold einmalig vergünstigt möglich

    •  /