• IT-Karriere:
  • Services:

Nitrokey und Somu im Test: Zwei Fido-Sticks für alle Fälle

Sie sind winzig und groß, sorgen für mehr Sicherheit bei der Anmeldung per Webauthn und können gepatcht werden: Die in Kürze erscheinenden Fido-Sticks von Nitrokey und Solokeys machen so manches besser als die Konkurrenz von Google und Yubico. Golem.de konnte bereits vorab zwei Prototypen testen.

Ein Test von veröffentlicht am
Klein & groß: Nitrokey Fido2 und Somu von Solokeys
Klein & groß: Nitrokey Fido2 und Somu von Solokeys (Bild: Martin Wolf/Golem.de)

Sie sehen aus wie USB-Sticks mit einer Taste und sollen das Internet per Zwei-Faktor-Authentifizierung und passwortlosem Anmelden sicherer machen: Fido-Sticks. In Kürze werden zwei neue Sticks von Nitrokey und Solokeys erscheinen. Beide setzen konsequent auf freie Software und offene Hardware und bieten damit eine interessante Alternative zu den Closed-Source-Produkten von Google und Yubico. Die Sticks weisen im Test einige Besonderheiten auf. So möchte Solokeys sogar neue Funktionen auf seinen alten und neuen Fido-Sticks per Firmwareupdate einführen. Golem.de konnte vorab Entwicklerversionen der beiden Sticks testen - die uns in der Praxis bereits überzeugen.

Inhalt:
  1. Nitrokey und Somu im Test: Zwei Fido-Sticks für alle Fälle
  2. Anmelden auf Knopfdruck
  3. Verfügbarkeit und Fazit

Die noch unveröffentlichten Fido-Sticks Somu von Solokeys und der Nitrokey Fido2 unterstützen beide das Fido2-Protokoll und damit Webauthn. Auf Knopfdruck kann eine kryptographisch abgesicherte Zwei-Faktor-Authentifizierung gestartet werden, sofern eine Webseite den entsprechenden Dienst anbietet. Beide Fido-Sticks unterstützen zudem passwortloses Anmelden. Das haben wir mit verschiedenen Webseiten getestet. Doch neben den Gemeinsamkeiten gibt es auch deutliche Unterschiede, dazu gehört etwa der Formfaktor.

Klein, kleiner, Somu

Der fingerkuppengroße Somu von Solokeys verschwindet fast komplett im USB-Schacht. So können ihn die Nutzer nicht mehr vergessen, sondern haben ihn immer mit dabei, wenn sie ihn beispielsweise im USB-Port ihres Laptops verstaut haben. Eine Besonderheit der Solokeys sind die bunten, auswechselbaren Silikonhüllen, die über die Sticks gestülpt werden können. Es gibt sie auch für den kleinen Somu.

Inspiriert wurde Solokeys von Tomu, einem Miniboard, das ebenfalls komplett im USB-Port verschwindet und mit der entsprechenden Software viele Aufgaben übernehmen kann, darunter Fido2/Webauthn. Mit dem Yubikey Nano 5 gibt es auch von Yubico einen Sicherheitsschlüssel, der komplett im USB-Schacht untergebracht wird. Der bietet im Moment zwar mehr Funktionen als der Somu, kostet jedoch mit 50 US-Dollar auch etwas mehr und verwendet weder freie Software noch lässt sich der Stick updaten. Daher musste Yubico bereits mehrfach Sicherheitsschlüssel austauschen, in deren Firmware eine Sicherheitslücke steckte. Auch Google musste bereits die Bluetooth-Variante des Titan-Fido-Sticks zurückrufen.

Anwender oder Entwickler?

Stellenmarkt
  1. Eurowings Aviation GmbH, Köln
  2. Phone Research Field GmbH, Hamburg

Den Somu gibt es - wie dessen großen Bruder Solo, der ungefähr die Größe eines handelsüblichen USB-Sticks besitzt - in zwei Varianten: Hacker und Secure. Bei beiden Varianten kann zwar die Firmware aktualisiert werden, aber bei der Secure-Variante kann nur von Solokeys signierte Firmware aufgespielt werden, sie richtet sich daher vor allem an normale Anwender. Der Somu Hacker hingegen ist vor allem für Entwickler gedacht, die angepasste Firmware auf den Stick spielen wollen.

Letztlich ist der Somu die Micro-Version des Solo, den wir bereits im März gemeinsam mit Fido-Sticks von Google, Yubico und Nitrokey getestet hatten. Sowohl der Somu als auch der Solo sollen per Firmwareupdate neue Funktionen erhalten. Die Entwickler arbeiten an einer OpenPGP- und SSH-Unterstützung für die Fido-Sticks, ähnlich wie sie auch bei den teureren Sicherheitsschlüsseln von Yubico oder Nitrokey angeboten wird. "Die Entwicklung ist schon ziemlich weit fortgeschritten", sagt Nicolas Stalder von Solokeys. Solo- und Somu-Besitzer könnten die Firmware direkt über einen Webauthn-fähigen Browser aktualisieren. Alternativ könne die Software über die Kommandozeile aktualisiert werden sowie über eine Desktop-App, an der Solokeys gerade arbeite, erklärt Stalder.

Nitro goes passwordless

Im Gegensatz zum Somu setzt der Nitrokey auf Altbewährtes: Das Gehäuse unterscheidet sich einzig durch den Aufdruck von den anderen Nitrokeys im Shop. Innen werkelt jedoch neue Technik: Der Nitrokey unterstützt erstmals Fido2 und Webauthn und damit neben einer sicheren Zwei-Faktor-Authentifizierung auch passwortloses Anmelden. Im Unterschied zum Somu, der sich nur kompliziert aus dem USB-Port herausfummeln lässt, ist der Nitrokey - wie die anderen Fido-Sticks im USB-Stick-Format - mobil und haltbar. Neben der offenen Hard- und Software bietet auch der Nitrokey Fido2 die Möglichkeit, die Firmware zu aktualisieren. Das Vorgängermodell Nitrokey U2F hatte diese Funktion nicht und unterstützte nur Fido, nicht Fido2.

Die Firmware soll einfach beim Besuch einer Nitrokey-Webseite mit einer Bestätigung über die Taste auf dem Nitrokey aktualisiert werden können, erklärt Jan Suhr, CEO von Nitrokey. Aus Sicherheitsgründen könnten nur von Nitrokey signierte Updates eingespielt werden. Bei der Firmware des Fido2-Sticks setzt Nitrokey laut Stalder auf die Software von Solokeys, an deren Verbesserung die beiden Projekte gemeinsam arbeiten würden.

Für Nutzer ist es durchaus ratsam, nicht nur einen Fido-Stick mit einem Webdienst zu verwenden, sondern mindestens zwei zu hinterlegen. So sperrt sich der Nutzer im Falle eines Verlustes oder wenn der Fido-Stick kaputtgeht nicht aus dem genutzten Dienst aus. Wir haben bei mehreren Webseiten Prototypen des Somu und des Nitrokeys hinterlegt und getestet, ob wir uns problemlos bei den verschieden Webseiten anmelden können.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Anmelden auf Knopfdruck 
  1. 1
  2. 2
  3. 3
  4.  


Anzeige
Hardware-Angebote
  1. (u. a. Fractal Define R6 für 119,90€, Thermaltake Level 20 für 66,90€, Be Quiet Dark Base 700...
  2. (reduzierte Überstände, Restposten & Co.)

My1 27. Nov 2019

solo arbeitet an PGP/GPG/whatever für mails und so daher ist zumindest bei denen da...

My1 27. Nov 2019

genau als ersatz für PWs gibts ja bei Fido2 eben userverification, sei es mit einer...

Iruwen 08. Nov 2019

Mich hat das ständige "wird zum Start sicher funktionieren" im Text gestört. Klingt...

My1 06. Nov 2019

das ist nicht mal so Simpel. bei Windows 10 1093 gehen alle Fido2 requests direkt via...


Folgen Sie uns
       


Rahmenloser TV von Samsung (CES 2020)

Der fast unsichtbare Rand des Q950TS hat anscheinend nicht nur Vorteile.

Rahmenloser TV von Samsung (CES 2020) Video aufrufen
30 Jahre Champions of Krynn: Rückkehr ins Reich der Drachen und Drakonier
30 Jahre Champions of Krynn
Rückkehr ins Reich der Drachen und Drakonier

Champions of Krynn ist das dritte AD&D-Rollenspiel von SSI, es zählt zu den Highlights der Gold-Box-Serie. Passend zum 30. Geburtstag hat sich unser Autor den Klassiker noch einmal angeschaut - und nicht nur mit Drachen, sondern auch mit dem alten Kopierschutz gekämpft.
Ein Erfahrungsbericht von Benedikt Plass-Fleßenkämper

  1. Dungeons & Dragons Dark Alliance schickt Dunkelelf Drizzt nach Icewind Dale

Cirrus7 Incus A300 im Test: Lautloses Ryzen-Genie aus Deutschland
Cirrus7 Incus A300 im Test
Lautloses Ryzen-Genie aus Deutschland

Passiv gekühlt aus heimischer Produktion: Wer den Incus A300 von Cirrus7 kauft, erhält einen Ryzen-basierten Mini-PC, der durchweg lautlos arbeitet. Besonders die clevere Kühlung ist außergewöhnlich - neben APU und Spannungswandlern hält sie auch zwei SSDs auf Temperatur.
Ein Test von Marc Sauter

  1. Ali Express Lüfterloser Mini-PC hat Notebook-AMD-Ryzen-Prozessor
  2. DeskMini A300 im Test Asrocks 2-Liter-Ryzen-Barebone überzeugt

Indiegames-Rundschau: Abenteuer zwischen Horror und Humor
Indiegames-Rundschau
Abenteuer zwischen Horror und Humor

Außerdische reagieren im Strategiespiel Phoenix Point gezielt auf unsere Taktiken, GTFO lässt uns schleichen und das dezent an Portal erinnernde Superliminal schmunzeln: Golem.de stellt die besten aktuellen Indiegames vor.
Von Rainer Sigl

  1. Indiegames-Rundschau Der letzte Kampf des alten Cops
  2. Indiegames-Rundschau Killer trifft Gans
  3. Indiegames-Rundschau Überleben im Dschungel und tausend Tode im Dunkeln

    •  /