Abo
  • IT-Karriere:

Fido-Sticks im Test: Endlich schlechte Passwörter

Sicher mit nur einer PIN oder einem schlechten Passwort: Fido-Sticks sollen auf Tastendruck Zwei-Faktor-Authentifizierung oder passwortloses Anmelden ermöglichen. Golem.de hat getestet, ob sie halten, was sie versprechen.

Ein Test von veröffentlicht am
Vier Security-Keys im Golem.de-Test
Vier Security-Keys im Golem.de-Test (Bild: Martin Wolf/Golem.de)

Phishing und Datenlecks über gehackte oder schlecht administrierte Webserver sind ein Alltagsphänomen geworden. Immer wieder wird geraten, neben Benutzernamen mit Passwort einen zweiten Faktor einzusetzen, beispielsweise einen Code, der aus einer SMS abgetippt werden muss. Mit dem neuen Fido2-Standard soll der Login-Vorgang nicht nur viel sicherer, sondern auch einfacher werden. Passwörter könnten mit ihm sogar obsolet werden.

Als besonders sicher gelten sogenannte Security Keys oder Fido-Sticks, die wie gewöhnliche USB-Sticks mit einer Taste aussehen. Mit einem Tastendruck soll ein zweiter Faktor ausgehandelt werden können oder ein passwortloser Login möglich sein. Wir haben vier Security-Keys von Yubico, Google, Nitrokey und Solokeys getestet. Passwortloses Anmelden funktioniert nicht mit allen, auch bei den Anschlüssen und dem Open-Source-Gedanken gibt es deutliche Unterschiede.

Von Newcomern und alten Hasen

Alle vier getesteten Fido-Sticks sind 2018 auf den Markt gekommen. Auf den ersten Blick unterscheiden sie sich nur geringfügig und ähneln klassischen USB-Sticks. Die Firmen Yubico und Nitrokey sind schon lange im Geschäft der Security Keys. Beide bieten sie mit unterschiedlichen Funktionen an. Mit dem Yubico Security Key und Nitrokey Fido U2F testen wir die beiden Sticks, die für Zwei-Faktor-Authentifizierung beziehungsweise passwortlose Anmeldung (Yubico) gedacht sind. Ganz neu sind die Solokeys, die über eine Kickstarter-Kampagne von knapp 3.000 Unterstützern ermöglicht wurden. Das Ziel von 5.000 US-Dollar wurde mit 123.614 US-Dollar deutlich überschritten. Die ersten Solos wurden im Dezember ausgeliefert - auch wir haben zwei Testexemplare.

Seit Anfang 2017 verlangt Google von seinen über 85.000 Mitarbeitern, einen Security Key zu verwenden. Seitdem ist laut Google kein Konto eines Mitarbeiters übernommen worden. Mittlerweile vertreibt Google seinen eignen Security Key namens Titan, der allerdings bisher nur in den USA verfügbar ist. Wir konnten Googles Security Key erstehen und haben ihn getestet.

Fido-Sticks in allen Variationen

Stellenmarkt
  1. über experteer GmbH, Nürnberg
  2. Duisburger Versorgungs- und Verkehrsgesellschaft mbH, Duisburg

Alle Sticks im Test wirken hochwertig. Nur der Nitrokey verwendet einen echten USB-Anschluss, der zudem mit einer Verschlusskappe geschützt wird. Die anderen Sticks verwenden eine flachere Variante: Google und Yubico setzen auf eine sehr flache Bauweise, die dennoch stabil wirkt. Über die Platine der Solokeys wird eine Silikonhülle gestülpt, die die Sticks schützt. Die Platine ist relativ dick und macht einen stabilen Eindruck; ohne den Schutz durch die Silikonhülle würden wir sie jedoch nicht verwenden.

Umfangreiches Zubehör enthält das Paket des Titan-Sticks aus dem Hause Google. Neben dem USB-Stick enthält es einen weiteren Bluetooth-Stick, der beispielsweise mit Android-Smartphones verwendet werden kann. Zudem liegt ein Micro-USB-Ladekabel bei, mit dem der Bluetooth-Stick aufgeladen werden kann. Über ein kleines rotes Lämpchen signalisiert er, wenn die Zeit dafür gekommen ist. Als weiteres Gimick liegt ein Adapterkabel bei, mit dem der USB-Stick auch an USB-C-Anschlüssen verwendet werden kann. Außer über Bluetooth kann der Titan auch über NFC funken.

Den Solo gibt es mit einem USB-A- oder einem USB-C-Stecker. Beide Sticks sind auch als Entwicklerversion namens Solo Hacker erhältlich. Die Silikonhülle, die die Platine umgibt, kann in verschiedenen Farben erstanden und ausgetauscht werden. Kommen mehrere Sticks zum Einsatz, können sie an der Farbe unterschieden werden. Noch im März soll eine Funkvariante mit NFC namens Solo Tap folgen.

Yubicos Security Key wird nur mit dem klassischen USB-Anschluss angeboten, zudem gibt es eine baugleich NFC-Variante. Yubico bietet zudem Security Keys mit größerem Funktionsumfang sowie weiteren Anschlüssen an, die wir allerdings nicht getestet haben. Den Nitrokey Fido U2F gibt es nur mit klassischem USB-Anschluss. Auch Nitrokey bietet weiter Security Keys mit unterschiedlichem Funktionsumfang an, allerdings unterstützen diese nicht den Fido-Standard und können daher nicht für die Zwei-Faktor-Authentifizierung oder passwortloses Anmelden verwendet werden. Die Fido-Sticks im Test können jedoch zur Zwei-Faktor-Authentifizierung verwendet werden.

Alle Sticks im Test versprechen eine One-Click-Zwei-Faktor-Authentifizierung, die einfach und komfortabel sein soll. Wir testen, ob die Sticks halten, was sie versprechen.

Zweiter Faktor auf Knopfdruck 
  1. 1
  2. 2
  3. 3
  4. 4
  5.  


Anzeige
Top-Angebote
  1. (u. a. Tropico 6 für 24,99€, PSN Card 10€ für 9,49€, PSN Card 20€ für 18,99€)
  2. (u. a. Switch-Spiele: Daemon X Machina für 49,99€, The Legend of Zelda: Link's Awakening; PS4...
  3. GRATIS im Ubisoft-Sale
  4. 329,00€

Truster 18. Mär 2019

du musst ja nicht den Google Authenticator nehmen. Es gibt genug freie Varianten. Ich...

nille02 17. Mär 2019

Aber diese Firmen wollen das nun mal auch nicht. Dann wollen die idr. auch nicht das man...

OlafLostViking 15. Mär 2019

Sofern dies auf Serverseite (beispielsweise durch einen nachgeschalteten SASL-Server...

Truster 15. Mär 2019

aus diesem Grund habe ich alle PNGs in einer Keepass Datenbank gesichert.


Folgen Sie uns
       


Samsungs Monitor The Space - Test

Der Space-Monitor von Samsung ist ungewöhnlich: Er wird mit einer Schraubzwinge an die Tischkante geklemmt. Das spart tatsächlich viel Platz. Mit 32 Zoll Diagonale und 4K-Auflösung ist auch genug Platz für die tägliche Arbeit vorhanden.

Samsungs Monitor The Space - Test Video aufrufen
Elektromobilität: Die Rohstoffe reichen, aber ...
Elektromobilität
Die Rohstoffe reichen, aber ...

Brennstoffzellenautos und Elektroautos sollen künftig die Autos mit Verbrennungsantrieb ersetzen und so den Straßenverkehr umweltfreundlicher machen. Dafür sind andere Rohstoffe nötig. Kritiker mahnen, dass es nicht genug davon gebe. Die Verfügbarkeit ist aber nur ein Aspekt.
Eine Analyse von Werner Pluta

  1. Himo C16 Xiaomi bringt E-Mofa mit zwei Sitzplätzen für rund 330 Euro
  2. ADAC-Test Hohe Zusatzkosten bei teuren Wallboxen möglich
  3. Elektroroller E-Scooter sollen in Berlin nicht mehr auf Gehwegen parken

Smarte Wecker im Test: Unter den Blinden ist der Einäugige König
Smarte Wecker im Test
Unter den Blinden ist der Einäugige König

Einen guten smarten Wecker zu bauen, ist offenbar gar nicht so einfach. Bei Amazons Echo Show 5 und Lenovos Smart Clock fehlen uns viele Basisfunktionen. Dafür ist einer der beiden ein besonders preisgünstiges und leistungsfähiges smartes Display.
Ein Test von Ingo Pakalski

  1. Nest Hub im Test Google vermasselt es 1A

WEG-Gesetz: Bundesländer preschen bei Anspruch auf Ladestellen vor
WEG-Gesetz
Bundesländer preschen bei Anspruch auf Ladestellen vor

Können Elektroauto-Besitzer demnächst den Einbau einer Ladestelle in Tiefgaragen verlangen? Zwei Bundesländer haben entsprechende Ergebnisse einer Arbeitsgruppe schon in einem eigenen Gesetzentwurf aufgegriffen.
Eine Analyse von Friedhelm Greis

  1. Startup Rivian plant elektrochromes Glasdach für seine Elektro-SUVs
  2. Elektroautos Mehr als 7.000 neue Ladepunkte in einem Jahr
  3. Elektroautos GM und Volkswagen verabschieden sich vom klassischen Hybrid

    •  /