Fido-Sticks im Test: Endlich schlechte Passwörter

Sicher mit nur einer PIN oder einem schlechten Passwort: Fido-Sticks sollen auf Tastendruck Zwei-Faktor-Authentifizierung oder passwortloses Anmelden ermöglichen. Golem.de hat getestet, ob sie halten, was sie versprechen.

Ein Test von veröffentlicht am
Vier Security-Keys im Golem.de-Test
Vier Security-Keys im Golem.de-Test (Bild: Martin Wolf/Golem.de)

Phishing und Datenlecks über gehackte oder schlecht administrierte Webserver sind ein Alltagsphänomen geworden. Immer wieder wird geraten, neben Benutzernamen mit Passwort einen zweiten Faktor einzusetzen, beispielsweise einen Code, der aus einer SMS abgetippt werden muss. Mit dem neuen Fido2-Standard soll der Login-Vorgang nicht nur viel sicherer, sondern auch einfacher werden. Passwörter könnten mit ihm sogar obsolet werden.

Als besonders sicher gelten sogenannte Security Keys oder Fido-Sticks, die wie gewöhnliche USB-Sticks mit einer Taste aussehen. Mit einem Tastendruck soll ein zweiter Faktor ausgehandelt werden können oder ein passwortloser Login möglich sein. Wir haben vier Security-Keys von Yubico, Google, Nitrokey und Solokeys getestet. Passwortloses Anmelden funktioniert nicht mit allen, auch bei den Anschlüssen und dem Open-Source-Gedanken gibt es deutliche Unterschiede.

Von Newcomern und alten Hasen

Alle vier getesteten Fido-Sticks sind 2018 auf den Markt gekommen. Auf den ersten Blick unterscheiden sie sich nur geringfügig und ähneln klassischen USB-Sticks. Die Firmen Yubico und Nitrokey sind schon lange im Geschäft der Security Keys. Beide bieten sie mit unterschiedlichen Funktionen an. Mit dem Yubico Security Key und Nitrokey Fido U2F testen wir die beiden Sticks, die für Zwei-Faktor-Authentifizierung beziehungsweise passwortlose Anmeldung (Yubico) gedacht sind. Ganz neu sind die Solokeys, die über eine Kickstarter-Kampagne von knapp 3.000 Unterstützern ermöglicht wurden. Das Ziel von 5.000 US-Dollar wurde mit 123.614 US-Dollar deutlich überschritten. Die ersten Solos wurden im Dezember ausgeliefert - auch wir haben zwei Testexemplare.

Seit Anfang 2017 verlangt Google von seinen über 85.000 Mitarbeitern, einen Security Key zu verwenden. Seitdem ist laut Google kein Konto eines Mitarbeiters übernommen worden. Mittlerweile vertreibt Google seinen eignen Security Key namens Titan, der allerdings bisher nur in den USA verfügbar ist. Wir konnten Googles Security Key erstehen und haben ihn getestet.

Fido-Sticks in allen Variationen

Stellenmarkt
  1. Fachinformatiker (m/w/d) als System Administrator (m/w/d)
    Max-Planck-Institut für Pflanzenzüchtungsforschung, Köln
  2. IT Consultant S / 4HANA SAP GTS - Export Control / Sanction Party Screening (m/w/d)
    Schaeffler Technologies AG & Co. KG, Nürnberg
Detailsuche

Alle Sticks im Test wirken hochwertig. Nur der Nitrokey verwendet einen echten USB-Anschluss, der zudem mit einer Verschlusskappe geschützt wird. Die anderen Sticks verwenden eine flachere Variante: Google und Yubico setzen auf eine sehr flache Bauweise, die dennoch stabil wirkt. Über die Platine der Solokeys wird eine Silikonhülle gestülpt, die die Sticks schützt. Die Platine ist relativ dick und macht einen stabilen Eindruck; ohne den Schutz durch die Silikonhülle würden wir sie jedoch nicht verwenden.

Umfangreiches Zubehör enthält das Paket des Titan-Sticks aus dem Hause Google. Neben dem USB-Stick enthält es einen weiteren Bluetooth-Stick, der beispielsweise mit Android-Smartphones verwendet werden kann. Zudem liegt ein Micro-USB-Ladekabel bei, mit dem der Bluetooth-Stick aufgeladen werden kann. Über ein kleines rotes Lämpchen signalisiert er, wenn die Zeit dafür gekommen ist. Als weiteres Gimick liegt ein Adapterkabel bei, mit dem der USB-Stick auch an USB-C-Anschlüssen verwendet werden kann. Außer über Bluetooth kann der Titan auch über NFC funken.

Den Solo gibt es mit einem USB-A- oder einem USB-C-Stecker. Beide Sticks sind auch als Entwicklerversion namens Solo Hacker erhältlich. Die Silikonhülle, die die Platine umgibt, kann in verschiedenen Farben erstanden und ausgetauscht werden. Kommen mehrere Sticks zum Einsatz, können sie an der Farbe unterschieden werden. Noch im März soll eine Funkvariante mit NFC namens Solo Tap folgen.

Yubicos Security Key wird nur mit dem klassischen USB-Anschluss angeboten, zudem gibt es eine baugleich NFC-Variante. Yubico bietet zudem Security Keys mit größerem Funktionsumfang sowie weiteren Anschlüssen an, die wir allerdings nicht getestet haben. Den Nitrokey Fido U2F gibt es nur mit klassischem USB-Anschluss. Auch Nitrokey bietet weiter Security Keys mit unterschiedlichem Funktionsumfang an, allerdings unterstützen diese nicht den Fido-Standard und können daher nicht für die Zwei-Faktor-Authentifizierung oder passwortloses Anmelden verwendet werden. Die Fido-Sticks im Test können jedoch zur Zwei-Faktor-Authentifizierung verwendet werden.

Alle Sticks im Test versprechen eine One-Click-Zwei-Faktor-Authentifizierung, die einfach und komfortabel sein soll. Wir testen, ob die Sticks halten, was sie versprechen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Zweiter Faktor auf Knopfdruck 
  1. 1
  2. 2
  3. 3
  4. 4
  5.  


Truster 18. Mär 2019

du musst ja nicht den Google Authenticator nehmen. Es gibt genug freie Varianten. Ich...

nille02 17. Mär 2019

Aber diese Firmen wollen das nun mal auch nicht. Dann wollen die idr. auch nicht das man...

OlafLostViking 15. Mär 2019

Sofern dies auf Serverseite (beispielsweise durch einen nachgeschalteten SASL-Server...

Truster 15. Mär 2019

aus diesem Grund habe ich alle PNGs in einer Keepass Datenbank gesichert.



Aktuell auf der Startseite von Golem.de
LaTeX
Schreibst du noch oder setzt du schon?

LaTeX lohnt sich nicht für jeden, für manche dafür umso mehr. Warum die Text-Programmiersprache nach 40 Jahren noch so treue Fans hat.
Eine Anleitung von Uwe Ziegenhagen

LaTeX: Schreibst du noch oder setzt du schon?
Artikel
  1. Bundesservice Telekommunikation: Schlecht getarnte Tarnorganisation praktisch enttarnt
    Bundesservice Telekommunikation
    Schlecht getarnte Tarnorganisation praktisch enttarnt

    Inzwischen ist offensichtlich, dass der Bundesservice Telekommunikation zum Bundesamt für Verfassungsschutz gehört.
    Von Friedhelm Greis

  2. DDoS: Angriff auf Minecraft-Spieler legt Internet in Andorra lahm
    DDoS
    Angriff auf Minecraft-Spieler legt Internet in Andorra lahm

    Durch DDoS-Angriffe auf den ISP in Andorra wurden mehrere Minecraft-Spieler aus einem Turnier gekegelt und das Internet im ganzen Land lahmgelegt.

  3. Elektro-Pick-up: Neuer Tesla-Cybertruck-Prototyp gefilmt
    Elektro-Pick-up
    Neuer Tesla-Cybertruck-Prototyp gefilmt

    In einem Video wird ein neuer Cybertruck-Prototyp von Tesla im Detail gezeigt. Es stammt vermutlich aus der Gigafactory in Texas.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 ab 11:30 Uhr bestellbar • Palit RTX 3080 12GB 1.539€ • Acer Curved Gaming-Monitor 27" 259€ • Corsair 16GB DDR4-4000 111,21€ • MindStar (u.a. 8GB DDR5-4800 89€) • Hisense-Fernseher zu Bestpreisen • Edifier Aktivlautsprecher 119€ • 4 Blu-rays für 22€ • LG OLED (2021) 77 Zoll 120Hz 2.799€ [Werbung]
    •  /