Nitrokey und Somu im Test: Zwei Fido-Sticks für alle Fälle
Sie sehen aus wie USB-Sticks mit einer Taste und sollen das Internet per Zwei-Faktor-Authentifizierung und passwortlosem Anmelden sicherer machen: Fido-Sticks. In Kürze werden zwei neue Sticks von Nitrokey und Solokeys erscheinen. Beide setzen konsequent auf freie Software und offene Hardware und bieten damit eine interessante Alternative zu den Closed-Source-Produkten von Google und Yubico. Die Sticks weisen im Test einige Besonderheiten auf. So möchte Solokeys sogar neue Funktionen auf seinen alten und neuen Fido-Sticks per Firmwareupdate einführen. Golem.de konnte vorab Entwicklerversionen der beiden Sticks testen - die uns in der Praxis bereits überzeugen.
Die noch unveröffentlichten Fido-Sticks Somu von Solokeys und der Nitrokey Fido2 unterstützen beide das Fido2-Protokoll und damit Webauthn . Auf Knopfdruck kann eine kryptographisch abgesicherte Zwei-Faktor-Authentifizierung gestartet werden, sofern eine Webseite den entsprechenden Dienst anbietet. Beide Fido-Sticks unterstützen zudem passwortloses Anmelden. Das haben wir mit verschiedenen Webseiten getestet. Doch neben den Gemeinsamkeiten gibt es auch deutliche Unterschiede, dazu gehört etwa der Formfaktor.
Klein, kleiner, Somu
Der fingerkuppengroße Somu von Solokeys verschwindet fast komplett im USB-Schacht. So können ihn die Nutzer nicht mehr vergessen, sondern haben ihn immer mit dabei, wenn sie ihn beispielsweise im USB-Port ihres Laptops verstaut haben. Eine Besonderheit der Solokeys sind die bunten, auswechselbaren Silikonhüllen, die über die Sticks gestülpt werden können. Es gibt sie auch für den kleinen Somu.
Inspiriert wurde Solokeys von Tomu(öffnet im neuen Fenster) , einem Miniboard, das ebenfalls komplett im USB-Port verschwindet und mit der entsprechenden Software viele Aufgaben übernehmen kann, darunter Fido2/Webauthn. Mit dem Yubikey Nano 5 gibt es auch von Yubico einen Sicherheitsschlüssel, der komplett im USB-Schacht untergebracht wird. Der bietet im Moment zwar mehr Funktionen als der Somu, kostet jedoch mit 50 US-Dollar auch etwas mehr und verwendet weder freie Software noch lässt sich der Stick updaten. Daher musste Yubico bereits mehrfach Sicherheitsschlüssel austauschen , in deren Firmware eine Sicherheitslücke steckte. Auch Google musste bereits die Bluetooth-Variante des Titan-Fido-Sticks zurückrufen .
Anwender oder Entwickler?
Den Somu gibt es - wie dessen großen Bruder Solo, der ungefähr die Größe eines handelsüblichen USB-Sticks besitzt - in zwei Varianten: Hacker und Secure. Bei beiden Varianten kann zwar die Firmware aktualisiert werden, aber bei der Secure-Variante kann nur von Solokeys signierte Firmware aufgespielt werden, sie richtet sich daher vor allem an normale Anwender. Der Somu Hacker hingegen ist vor allem für Entwickler gedacht, die angepasste Firmware auf den Stick spielen wollen.
Letztlich ist der Somu die Micro-Version des Solo, den wir bereits im März gemeinsam mit Fido-Sticks von Google, Yubico und Nitrokey getestet hatten . Sowohl der Somu als auch der Solo sollen per Firmwareupdate neue Funktionen erhalten. Die Entwickler arbeiten an einer OpenPGP- und SSH-Unterstützung für die Fido-Sticks, ähnlich wie sie auch bei den teureren Sicherheitsschlüsseln von Yubico oder Nitrokey angeboten wird. "Die Entwicklung ist schon ziemlich weit fortgeschritten" , sagt Nicolas Stalder von Solokeys. Solo- und Somu-Besitzer könnten die Firmware direkt über einen Webauthn-fähigen Browser aktualisieren. Alternativ könne die Software über die Kommandozeile aktualisiert(öffnet im neuen Fenster) werden sowie über eine Desktop-App(öffnet im neuen Fenster) , an der Solokeys gerade arbeite, erklärt Stalder.
Nitro goes passwordless
Im Gegensatz zum Somu setzt der Nitrokey auf Altbewährtes: Das Gehäuse unterscheidet sich einzig durch den Aufdruck von den anderen Nitrokeys im Shop. Innen werkelt jedoch neue Technik: Der Nitrokey unterstützt erstmals Fido2 und Webauthn und damit neben einer sicheren Zwei-Faktor-Authentifizierung auch passwortloses Anmelden. Im Unterschied zum Somu, der sich nur kompliziert aus dem USB-Port herausfummeln lässt, ist der Nitrokey - wie die anderen Fido-Sticks im USB-Stick-Format - mobil und haltbar. Neben der offenen Hard- und Software bietet auch der Nitrokey Fido2 die Möglichkeit, die Firmware zu aktualisieren. Das Vorgängermodell Nitrokey U2F hatte diese Funktion nicht und unterstützte nur Fido, nicht Fido2.
Die Firmware soll einfach beim Besuch einer Nitrokey-Webseite mit einer Bestätigung über die Taste auf dem Nitrokey aktualisiert werden können, erklärt Jan Suhr, CEO von Nitrokey. Aus Sicherheitsgründen könnten nur von Nitrokey signierte Updates eingespielt werden. Bei der Firmware des Fido2-Sticks setzt Nitrokey laut Stalder auf die Software von Solokeys, an deren Verbesserung die beiden Projekte gemeinsam arbeiten würden.
Für Nutzer ist es durchaus ratsam, nicht nur einen Fido-Stick mit einem Webdienst zu verwenden, sondern mindestens zwei zu hinterlegen. So sperrt sich der Nutzer im Falle eines Verlustes oder wenn der Fido-Stick kaputtgeht nicht aus dem genutzten Dienst aus. Wir haben bei mehreren Webseiten Prototypen des Somu und des Nitrokeys hinterlegt und getestet, ob wir uns problemlos bei den verschieden Webseiten anmelden können.
Anmelden auf Knopfdruck
Wir beginnen unseren Test mit der Webseite Webauthn.io. Hier können wir die Fido-Sticks testweise registrieren und uns dann mit dem Stick per Webauthn anmelden. Das funktioniert weitgehend unter Windows 10 1809 mit Firefox, Edge und Chrome sowie unter Ubuntu 18.04 mit Firefox. Die Betaversion des Nitrokeys hat mit Chrome und Edge noch Probleme, bis zur Veröffentlichung sollen diese jedoch behoben sein. Im Praxistest wird die Zwei-Faktor-Authentifizierung dann auch problemlos funktionieren.
Mit Chromium unter Ubuntu 18.04 funktionieren die Fido-Sticks anfangs gar nicht. Das Chromium-Paket lässt sich unter Ubuntu sowohl klassisch als auch im Ubuntu-eigenen Paketformat Snap installieren. Letzteres macht massive Probleme bei der Verwendung von Fido-Sticks, mit Firefox 70 klappt jedoch alles ohne Probleme. Zudem müssen unter Ubuntu und vielen anderen Linux-Distributionen zuerst Udev-Regeln hinterlegt werden, damit diese auch erkannt und verwendet werden können. Nitrokey weist auf der Installationsseite des Vorgängermodells(öffnet im neuen Fenster) auf die Udev-Regeln hin, Solokeys bietet eine Anleitung(öffnet im neuen Fenster) , auf die in den FAQ verwiesen wird. Bei aktuellen Linux-Distributionen reicht es jedoch, das Paket libu2f-udev zu installieren. Ab der Version 1.1.10 sind hier die entsprechenden Udev-Regeln für die Solokeys bereits hinterlegt. Der Nitrokey Fido2 soll bald folgen.
Kryptographische Zwei-Faktor-Authentifizierung auf Knopfdruck
Anschließend testen wir die Zwei-Faktor-Authentifizierung der Sticks mit Dropbox und Google. Im Unterschied zu Zwei-Faktor-Codes, die per SMS zugestellt oder per TOTP generiert werden, kommt bei den Fido-Sticks Public-Key-Kryptographie zum Einsatz. Ähnlich wie bei der E-Mail-Verschlüsselung mit PGP werden öffentliche und private Schlüssel generiert. Der öffentliche Schlüssel wird zwischen Nutzer und Webdienst ausgetauscht. Will sich der Nutzer einloggen, schickt der Dienst eine Challenge an ihn. Mit dieser beweist der Nutzer, dass er im Besitz des privaten Schlüssels ist - ohne dass der private Schlüssel das Gerät verlässt. Das Ergebnis schickt er an den Dienst, der es mit dem öffentlichen Schlüssel des Nutzers überprüfen kann. Im Unterschied zu den Codes lässt sich dies nicht abfangen oder phishen .
Wir hinterlegen die beiden Sticks bei Dropbox sowie Google und melden uns ab. Nun melden wir uns in verschieden Browsern wieder an. Nach Eingabe unseres Benutzernamens und Passworts müssen wir den Knopf des jeweiligen Fido-Sticks drücken, um uns einzuloggen. Wir testen die Sticks unter Ubuntu in Chromium und Firefox und unter Windows in Edge, Chrome und Firefox: Alles funktioniert.
Komplizierter wird es mit dem passwortlosen Anmelden, das bisher nur von login.live.com, Microsofts zentraler Loginseite für Online-Dienste wie Outlook, Office 365 oder Onedrive, unterstützt wird. Das funktioniert allerdings bisher nur unter Windows 10 ab Version 1809. Mittlerweile wird neben Microsofts hauseigenem Browser Edge jedoch auch Chrome unterstützt. Wir konnten beide Sticks in Microsoft Edge sowie in Chrome hinterlegen. Das passwortlose Anmelden klappte jedoch nur mit dem Somu und auch nicht immer auf Anhieb. Zudem sperrte Microsoft das passwortlose Anmelden nach mehreren Logins hintereinander vorübergehend. Die Firmware des finalen Nitrokey Fido2 sowie des Somu sollten dann auch keine Probleme mehr mit dem passwortlosen Anmelden bei Microsoft haben. Verwenden die Nutzer allerdings nicht die Microsoft-Webdienste oder setzen keine aktuelle Version von Microsofts Betriebssystem Windows 10 ein, bleibt passwortloses Anmelden erst einmal weiter ein Traum . Hier fehlen schlicht die Dienste und eine breite Unterstützung über verschiedene Geräte - auch wenn dies technisch problemlos möglich sein sollte und sie von den beiden Sticks im Test bereits unterstützt werden.
Verfügbarkeit und Fazit
Der Somu kann sowohl in der Secure- als auch in der Hacker-Variante auf der US-Plattform Crowdsupply(öffnet im neuen Fenster) vorbestellt werden. Ein Somu kostet 35 US-Dollar, hinzu kommen 7 US-Dollar Versand. Letzterer entfällt, wenn der Somu im Dreier- (95 US-Dollar) oder Fünferpack (145 US-Dollar) bestellt wird. Laut Nicolas Stalder von Solokeys befinden sich die Somus bereits in der Produktion und sollen am 4. Dezember 2019 ausgeliefert werden. Auch die deutschen Versandhändler 1bitsquared.de(öffnet im neuen Fenster) und 13-37.org(öffnet im neuen Fenster) werden den Somu anbieten.
Der Nitrokey Fido2 soll im Laufe des November für 29 Euro erhältlich sein(öffnet im neuen Fenster) . Hinzu kommen 6 Euro Versand. Er kann direkt auf der Webseite des Berliner Unternehmens bestellt werden. Im ersten Quartal 2020 soll zudem eine NFC- und USB-C-Version des Fido2-Sticks kommen. Später soll Fido2 auch in die anderen Sicherheitsschlüssel von Nitrokey integriert werden. Wie alle anderen Nitrokeys wird auch der Fido2 in Berlin produziert.
Die Fido-Sticks auf einen Blick
| Nitrokey Fido2 | Somu Secure/Hacker | Solo | Security Key | Titan | |
|---|---|---|---|---|---|
| Hersteller | Nitrokey UG | Solokeys | Solokeys | Yubico | |
| USB-A / USB-C / NFC | * / -¹ / -¹ | * / - / - | * / * / * | * / - / * | * / * / * |
| Standard | Fido2 | Fido2 | Fido2 | Fido2 | Fido only |
| Passwortloses Anmelden | * | * | * | * | - |
| Open Source | * | * | * | - | - |
| Firmware Update | * | *² | *² | - | - |
| Preis | 29 Euro | 35 US-Dollar | 20 - 35 US-Dollar | 20 - 27 US-Dollar | 25 - 40 US-Dollar |
| Versand | 6 Euro | 7 US-Dollar | 12 US-Dollar | 5 US-Dollar | US only |
| Erscheinungsdatum | November 2019 | 4. Dezember 2019 | verfügbar | verfügbar | US only |
¹ Soll 2020 folgen
² Secure: signierte Firmware/Hacker: unsignierte Firmware für Entwickler
Fazit
Für den Test stellten Solokeys und Nitrokey Beta-Versionen ihrer in Kürze erscheinenden Fido2-Sticks zur Verfügung - entsprechend war mit Fehlern und einer wackeligen Unterstützung zu rechnen. Umso erstaunter waren wir jedoch, dass beide Sticks im Praxistest der Zwei-Faktor-Authentifizierung keinerlei Probleme machten. Wir können sie bereits problemlos in unserem Arbeitsalltag verwenden. Die noch vorhandenen Wackler beim passwortlosen Anmelden mit Microsoft-Diensten und der Testseite Webauthn.io dürften mit der finalen Version der Sticks dann auch beseitigt sein.
Die Offenheit des Nitrokeys und des Somu ermöglichen nicht nur, Soft- und Hardware einzusehen oder sogar Patches einzureichen, sondern auch die Möglichkeit eines Firmwareupdates. So können Fehler und Sicherheitslücken auch im Nachgang beseitigt werden. Das hebt beide Sticks deutlich von den Yubikeys oder Googles Titan ab, die im Falle eines Fehlers komplett ausgetauscht werden müssen. Googles Titan unterstützt zudem kein Fido2 - auch per Update kann die Unterstützung nicht nachgeliefert werden.
Solokeys will sogar noch einen Schritt weiter gehen und per Firmwareupdate gänzlich neue Funktionen zur Verfügung stellen. Mit der Unterstützung von OpenPGP- und SSH-Schlüsseln treten der Solo und der Somu damit in Konkurrenz zu den deutlich teureren Yubikeys.
Auch wenn es noch fast keine Webdienste gibt, die passwortloses Anmelden unterstützen, sind Nutzer mit dem Nitrokey und dem Somu für die passwortlose Zukunft gerüstet, sollte sie denn kommen. Bis dahin bleibt die sichere Zwei-Faktor-Authentifizierung, die selbst die Betaversionen der beiden Sticks mit Bravour meisterte. Käufer sollten jedoch nicht auf nur einen Stick setzen, damit sie sich bei Verlust oder Defekt des Sticks nicht aus ihren Diensten aussperren. Denn einen Schlüsseldienst für Fido-Sticks gibt es nicht.