Passwortloses Anmelden mit dem Solo v2

Bei unserem Testgerät handelt es sich um ein Vorabmodell. Die Hardware wird zwar so bleiben, wie uns Nicolas Stalder von Solokeys erklärt. "Bei der Firmware hat sich aber noch einiges getan", betont er. Dennoch funktioniert der Fido-Stick in einem Praxistest bereits einwandfrei.

Stellenmarkt
  1. IT Projektmanager (m/w/d)
    medac Gesellschaft für klinische Spezialpräparate mbH, Wedel
  2. Wissenschaftliche Mitarbeiterin / Wissenschaftlicher Mitarbeiter (m/w/d) am Lehrstuhl für ... (m/w/d)
    Universität Passau, Passau
Detailsuche

Im Unterschied zu Zwei-Faktor-Codes, die per SMS zugestellt oder per TOTP generiert werden, kommt bei den Fido-Sticks Public-Key-Kryptographie zum Einsatz. Ähnlich wie bei der E-Mail-Verschlüsselung mit PGP werden öffentliche und private Schlüssel generiert. Der öffentliche Schlüssel wird zwischen Nutzer und Webdienst ausgetauscht. Will sich der Nutzer einloggen, schickt der Dienst eine Challenge an ihn.

Mit dieser weisen Nutzer nach, dass sie im Besitz des privaten Schlüssels sind - ohne dass der private Schlüssel das Gerät verlässt. Das Ergebnis wird an den Dienst geschickt, der es mit dem öffentlichen Schlüssel der Nutzer überprüfen kann. Im Unterschied zu den Codes lässt sich dies nicht abfangen oder phishen.

Passwortlos in die Nextcloud

Die Technik kann jedoch nicht nur als zweiter Faktor genutzt werden, die wir später mit einem Google-Konto testen werden, sondern auch für komplett passwortloses Anmelden verwendet werden. Dieses testen wir mit einer Nextcloud-Installation. Seit Version 19 unterstützt die Open-Source-Cloudsoftware passwortloses Anmelden per Fido2/Webauthn. Hierzu muss in den Einstellungen des jeweiligen Kontos unter dem Reiter "Sicherheit" und dem Unterpunkt "Authentifizierung ohne Passwort" ein Webauthn-Gerät - in unserem Fall der Solo v2 - hinterlegt werden.

Golem Akademie
  1. Cloud Computing mit Amazon Web Services (AWS): virtueller Drei-Tage-Workshop
    14.–16. Februar 2022, virtuell
  2. CEH Certified Ethical Hacker v11: virtueller Fünf-Tage-Workshop
    21.–25. Februar 2022, Virtuell
Weitere IT-Trainings

Nach einem Klick auf den Button in der Nextcloud müssen die beiden Buttons an den Seiten des Solo v2 berührt werden. Anschließend kann noch ein Name vergeben werden, damit wir den Solo v2 von etwaigen anderen Sticks unterscheiden können.

Um uns passwortlos mit dem Solo v2 anzumelden, klicken wir beim nächsten Login einfach auf "Mit einem Gerät anmelden", anstatt unsere Zugangsdaten einzugeben. Anschließend muss der Nutzername angegeben und wieder die Seiten unseres Solo v2 berührt werden. Schon sind wir angemeldet, ganz ohne Passwort.

In unserem Test hat dies sowohl unter Windows 10 2004 mit den Browsern Chrome, Edge und Firefox, als auch unter Ubuntu 20.04 mit Firefox problemlos funktioniert. Die berührungsempfindlichen Sensoren sind dabei, je nach Position des Sticks, deutlich angenehmer als die Taste auf dem Solo v1.

Passwortlose Ein-Faktor-Authentifizierung

Allerdings handelt es sich dabei genau genommen nicht um eine Zwei-Faktor- oder gar Mehr-Faktor-Authentifikation. Denn zum einen kann man sich weiterhin ganz normal mit Nutzernamen und Passwort anmelden, zum anderen reicht der Besitz des Fido-Sticks für eine Anmeldung aus (sofern man auch den Nutzernamen kennt).

Dies ist insbesondere bei den Sicherheitsschlüsseln mit NFC gefährlich, da diese im Prinzip im Vorbeigehen missbraucht werden können, wie Sicherheitsforscher im vergangenen Jahr demonstrierten. Entsprechend funktioniert dies auch in der Kombination des Solo v2 und Nextcloud.

Nitrokey FIDO2

Andere Anbieter wie Microsoft verlangen daher zusätzlich das Setzen einer PIN, die neben dem Druck auf die Taste des Fido-Sticks angegeben werden muss. Das sorgt für mehr Sicherheit, ist jedoch etwas umständlicher und konnte im Falle von Microsoft in der Vergangenheit umgangen werden.

Sicherer zweiter Faktor für Google

Mit einem Testkonto bei Google haben wir zudem die Zwei-Faktor-Authentifizierung getestet. Hier kann der Fido-Stick wie in der Nextcloud ebenfalls einfach hinterlegt werden und anschließend neben Passwort und Benutzernamen als zweiter Faktor verwendet werden. Wir konnten den Solo v2 in allen getesteten Browsern (Windows 10 2004 Chrome, Edge, Firefox / Ubuntu 20.04 Firefox) sowohl hinterlegen als auch zum Login als zweiten Faktor verwenden.

Beachtet werden sollte dabei allerdings, dass nicht nur auf einen Sicherheitsschlüssel gesetzt wird, damit man sich bei Verlust oder Defekt des Sticks nicht aus seinen Diensten aussperrt. Denn einen Schlüsseldienst für Fido-Sticks gibt es nicht.

Entweder man kauft sich einen zweiten Fido-Stick und hinterlegt diesen ebenfalls bei allen Diensten oder man setzt auf eine andere Technik als Fallback. Beispielsweise eine TOTP-App.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Solo v2 im Test: Ein Stick für noch mehr FälleSolo v2: Verfügbarkeit und Fazit 
  1.  
  2. 1
  3. 2
  4. 3
  5.  


masterx244 23. Apr 2021

+1. Die Volksbank bietet das zum gück bei mir lokal an. Für mich kommt nichts anderes...

My1 23. Apr 2021

ja, glück im unglück

Hantilles 22. Apr 2021

War nicht als Kritik an dir gemeint! Mir ging es darum, dass der TO das unbedingt meinte...

mtr (golem.de) 22. Apr 2021

Hallo Sogos, wir haben bereits Yubico Security Key, Google Titan, Nitrokey Fido U2F...

My1 22. Apr 2021

Der Solo ist kein einfacher FIDO Stick sondern macht mehr und hat auch Updates. Günstiger...



Aktuell auf der Startseite von Golem.de
Microsoft
Sony äußert sich zur Übernahme von Activision Blizzard

Rund 20 Milliarden US-Dollar haben die Aktien von Sony verloren. Nun hat der Konzern erstmals den Kauf von Activision Blizzard kommentiert.

Microsoft: Sony äußert sich zur Übernahme von Activision Blizzard
Artikel
  1. Jochen Homann: Der Regulierer, der nicht regulieren wollte
    Jochen Homann
    Der Regulierer, der nicht regulieren wollte

    Der grüne Verbraucherschützer Klaus Müller kommt, Jochen Homann geht. Eigentlich kann es in der Bundesnetzagentur nur besser werden.
    Ein IMHO von Achim Sawall

  2. Parallel Systems: Ehemalige SpaceX-Mitarbeiter entwickeln neuartige Güterzüge
    Parallel Systems
    Ehemalige SpaceX-Mitarbeiter entwickeln neuartige Güterzüge

    Das Startup Parallel Systems will konventionelle Züge durch modulare Fahrzeuge mit eigenem Antrieb und Energieversorgung ersetzen.

  3. 802.11be: Wi-Fi 7 soll doppelt so schnell sein wie aktuelles WLAN
    802.11be
    Wi-Fi 7 soll doppelt so schnell sein wie aktuelles WLAN

    Mediatek hat in internen Demos bereits hohe WLAN-Datenraten mit dem kommenden Wi-Fi 7 erreichen können. Dieses funkt auch in 6 GHz.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • LG OLED (2021) 40% günstiger (u.a. 65" 1.599€) • WD Black 1TB SSD 94,90€ • Lenovo Laptops (u.a. 17,3" RTX3080 1.599€) • Gigabyte Mainboard 299,82€ • RTX 3090 2.399€ • RTX 3060 Ti 799€ • MindStar (u.a. 32GB DDR5-6000 389€) • Alternate (u.a. Samsung LED TV 50" 549€) [Werbung]
    •  /