• IT-Karriere:
  • Services:

Nitrokey und Somu im Test: Zwei Fido-Sticks für alle Fälle

Sie sind winzig und groß, sorgen für mehr Sicherheit bei der Anmeldung per Webauthn und können gepatcht werden: Die in Kürze erscheinenden Fido-Sticks von Nitrokey und Solokeys machen so manches besser als die Konkurrenz von Google und Yubico. Golem.de konnte bereits vorab zwei Prototypen testen.

Ein Test von veröffentlicht am
Klein & groß: Nitrokey Fido2 und Somu von Solokeys
Klein & groß: Nitrokey Fido2 und Somu von Solokeys (Bild: Martin Wolf/Golem.de)

Sie sehen aus wie USB-Sticks mit einer Taste und sollen das Internet per Zwei-Faktor-Authentifizierung und passwortlosem Anmelden sicherer machen: Fido-Sticks. In Kürze werden zwei neue Sticks von Nitrokey und Solokeys erscheinen. Beide setzen konsequent auf freie Software und offene Hardware und bieten damit eine interessante Alternative zu den Closed-Source-Produkten von Google und Yubico. Die Sticks weisen im Test einige Besonderheiten auf. So möchte Solokeys sogar neue Funktionen auf seinen alten und neuen Fido-Sticks per Firmwareupdate einführen. Golem.de konnte vorab Entwicklerversionen der beiden Sticks testen - die uns in der Praxis bereits überzeugen.

Inhalt:
  1. Nitrokey und Somu im Test: Zwei Fido-Sticks für alle Fälle
  2. Anmelden auf Knopfdruck
  3. Verfügbarkeit und Fazit

Die noch unveröffentlichten Fido-Sticks Somu von Solokeys und der Nitrokey Fido2 unterstützen beide das Fido2-Protokoll und damit Webauthn. Auf Knopfdruck kann eine kryptographisch abgesicherte Zwei-Faktor-Authentifizierung gestartet werden, sofern eine Webseite den entsprechenden Dienst anbietet. Beide Fido-Sticks unterstützen zudem passwortloses Anmelden. Das haben wir mit verschiedenen Webseiten getestet. Doch neben den Gemeinsamkeiten gibt es auch deutliche Unterschiede, dazu gehört etwa der Formfaktor.

Klein, kleiner, Somu

Der fingerkuppengroße Somu von Solokeys verschwindet fast komplett im USB-Schacht. So können ihn die Nutzer nicht mehr vergessen, sondern haben ihn immer mit dabei, wenn sie ihn beispielsweise im USB-Port ihres Laptops verstaut haben. Eine Besonderheit der Solokeys sind die bunten, auswechselbaren Silikonhüllen, die über die Sticks gestülpt werden können. Es gibt sie auch für den kleinen Somu.

Inspiriert wurde Solokeys von Tomu, einem Miniboard, das ebenfalls komplett im USB-Port verschwindet und mit der entsprechenden Software viele Aufgaben übernehmen kann, darunter Fido2/Webauthn. Mit dem Yubikey Nano 5 gibt es auch von Yubico einen Sicherheitsschlüssel, der komplett im USB-Schacht untergebracht wird. Der bietet im Moment zwar mehr Funktionen als der Somu, kostet jedoch mit 50 US-Dollar auch etwas mehr und verwendet weder freie Software noch lässt sich der Stick updaten. Daher musste Yubico bereits mehrfach Sicherheitsschlüssel austauschen, in deren Firmware eine Sicherheitslücke steckte. Auch Google musste bereits die Bluetooth-Variante des Titan-Fido-Sticks zurückrufen.

Anwender oder Entwickler?

Stellenmarkt
  1. Quentic GmbH, Berlin
  2. Bechtle Onsite Services GmbH, Baunatal

Den Somu gibt es - wie dessen großen Bruder Solo, der ungefähr die Größe eines handelsüblichen USB-Sticks besitzt - in zwei Varianten: Hacker und Secure. Bei beiden Varianten kann zwar die Firmware aktualisiert werden, aber bei der Secure-Variante kann nur von Solokeys signierte Firmware aufgespielt werden, sie richtet sich daher vor allem an normale Anwender. Der Somu Hacker hingegen ist vor allem für Entwickler gedacht, die angepasste Firmware auf den Stick spielen wollen.

Letztlich ist der Somu die Micro-Version des Solo, den wir bereits im März gemeinsam mit Fido-Sticks von Google, Yubico und Nitrokey getestet hatten. Sowohl der Somu als auch der Solo sollen per Firmwareupdate neue Funktionen erhalten. Die Entwickler arbeiten an einer OpenPGP- und SSH-Unterstützung für die Fido-Sticks, ähnlich wie sie auch bei den teureren Sicherheitsschlüsseln von Yubico oder Nitrokey angeboten wird. "Die Entwicklung ist schon ziemlich weit fortgeschritten", sagt Nicolas Stalder von Solokeys. Solo- und Somu-Besitzer könnten die Firmware direkt über einen Webauthn-fähigen Browser aktualisieren. Alternativ könne die Software über die Kommandozeile aktualisiert werden sowie über eine Desktop-App, an der Solokeys gerade arbeite, erklärt Stalder.

Nitro goes passwordless

Im Gegensatz zum Somu setzt der Nitrokey auf Altbewährtes: Das Gehäuse unterscheidet sich einzig durch den Aufdruck von den anderen Nitrokeys im Shop. Innen werkelt jedoch neue Technik: Der Nitrokey unterstützt erstmals Fido2 und Webauthn und damit neben einer sicheren Zwei-Faktor-Authentifizierung auch passwortloses Anmelden. Im Unterschied zum Somu, der sich nur kompliziert aus dem USB-Port herausfummeln lässt, ist der Nitrokey - wie die anderen Fido-Sticks im USB-Stick-Format - mobil und haltbar. Neben der offenen Hard- und Software bietet auch der Nitrokey Fido2 die Möglichkeit, die Firmware zu aktualisieren. Das Vorgängermodell Nitrokey U2F hatte diese Funktion nicht und unterstützte nur Fido, nicht Fido2.

Die Firmware soll einfach beim Besuch einer Nitrokey-Webseite mit einer Bestätigung über die Taste auf dem Nitrokey aktualisiert werden können, erklärt Jan Suhr, CEO von Nitrokey. Aus Sicherheitsgründen könnten nur von Nitrokey signierte Updates eingespielt werden. Bei der Firmware des Fido2-Sticks setzt Nitrokey laut Stalder auf die Software von Solokeys, an deren Verbesserung die beiden Projekte gemeinsam arbeiten würden.

Für Nutzer ist es durchaus ratsam, nicht nur einen Fido-Stick mit einem Webdienst zu verwenden, sondern mindestens zwei zu hinterlegen. So sperrt sich der Nutzer im Falle eines Verlustes oder wenn der Fido-Stick kaputtgeht nicht aus dem genutzten Dienst aus. Wir haben bei mehreren Webseiten Prototypen des Somu und des Nitrokeys hinterlegt und getestet, ob wir uns problemlos bei den verschieden Webseiten anmelden können.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Anmelden auf Knopfdruck 
  1. 1
  2. 2
  3. 3
  4.  


Anzeige
Spiele-Angebote
  1. 59,99€
  2. 4,26€
  3. 2,99€
  4. 4,99€

Iruwen 08. Nov 2019 / Themenstart

Mich hat das ständige "wird zum Start sicher funktionieren" im Text gestört. Klingt...

Der Agent 07. Nov 2019 / Themenstart

It's that simple. Die SmartCard per NFC auflegen mit Pin-Pad auf der Karte. https...

rubberduck09 06. Nov 2019 / Themenstart

Ich wünsche mit. Sehe es nicht ein Mehrere Sticks mitzuschleppen - einen für Login, den...

My1 06. Nov 2019 / Themenstart

das ist nicht mal so Simpel. bei Windows 10 1093 gehen alle Fido2 requests direkt via...

Kommentieren


Folgen Sie uns
       


Blackmagic Pocket Cinema Camera 6k im Test

Die neue Pocket Cinema Camera 6k von Blackmagicdesign hat nur wenig mit DSLR-Kameras gemein. Die Kamera liefert Highend-Qualität, erfordert aber entsprechendes Profiwissen - und wir vermissen einige Funktionen.

Blackmagic Pocket Cinema Camera 6k im Test Video aufrufen
Social Engineering: Die Mitarbeiter sind unsere Verteidigung
Social Engineering
"Die Mitarbeiter sind unsere Verteidigung"

Prävention reicht nicht gegen Social Engineering und die derzeitigen Trainings sind nutzlos, sagt der Sophos-Sicherheitsexperte Chester Wisniewski. Seine Lösung: Mitarbeiter je nach Bedrohungslevel schulen - und so schneller sein als die Kriminellen.
Ein Interview von Moritz Tremmel

  1. Social Engineering Mit künstlicher Intelligenz 220.000 Euro erbeutet
  2. Social Engineering Die unterschätzte Gefahr

Kognitive Produktionssteuerung: Auf der Suche nach dem Universalroboter
Kognitive Produktionssteuerung
Auf der Suche nach dem Universalroboter

Roboter erledigen am Band jetzt schon viele Arbeiten. Allerdings müssen sie oft noch von Menschen kontrolliert und ihre Fehler ausgebessert werden. Wissenschaftler arbeiten daran, dass das in Zukunft nicht mehr so ist. Ziel ist ein selbstständig lernender Roboter für die Automobilindustrie.
Ein Bericht von Friedrich List

  1. Ocean Discovery X Prize Autonome Fraunhofer-Roboter erforschen die Tiefsee

Mi Note 10 im Hands on: Fünf Kameras, die sich lohnen
Mi Note 10 im Hands on
Fünf Kameras, die sich lohnen

Mit dem Mi Note 10 versucht Xiaomi, der Variabilität von Huaweis Vierfachkameras noch eins draufzusetzen - mit Erfolg: Die Fünffachkamera bietet in fast jeder Situation ein passendes Objektiv, auch die Bildqualität kann sich sehen lassen. Der Preis dafür ist ein recht hohes Gewicht.
Ein Hands on von Tobias Költzsch

  1. Xiaomi Neues Redmi Note 8T mit Vierfachkamera kostet 200 Euro
  2. Mi Note 10 Xiaomis neues Smartphone mit 108 Megapixeln kostet 550 Euro
  3. Mi Watch Xiaomi bringt Smartwatch mit Apfelgeschmack

    •  /