Passwortloses Anmelden mit dem Solo v2

Bei unserem Testgerät handelt es sich um ein Vorabmodell. Die Hardware wird zwar so bleiben, wie uns Nicolas Stalder von Solokeys erklärt. "Bei der Firmware hat sich aber noch einiges getan", betont er. Dennoch funktioniert der Fido-Stick in einem Praxistest bereits einwandfrei.

Im Unterschied zu Zwei-Faktor-Codes, die per SMS zugestellt oder per TOTP generiert werden, kommt bei den Fido-Sticks Public-Key-Kryptographie zum Einsatz. Ähnlich wie bei der E-Mail-Verschlüsselung mit PGP werden öffentliche und private Schlüssel generiert. Der öffentliche Schlüssel wird zwischen Nutzer und Webdienst ausgetauscht. Will sich der Nutzer einloggen, schickt der Dienst eine Challenge an ihn.

Mit dieser weisen Nutzer nach, dass sie im Besitz des privaten Schlüssels sind - ohne dass der private Schlüssel das Gerät verlässt. Das Ergebnis wird an den Dienst geschickt, der es mit dem öffentlichen Schlüssel der Nutzer überprüfen kann. Im Unterschied zu den Codes lässt sich dies nicht abfangen oder phishen.

Passwortlos in die Nextcloud

Die Technik kann jedoch nicht nur als zweiter Faktor genutzt werden, die wir später mit einem Google-Konto testen werden, sondern auch für komplett passwortloses Anmelden verwendet werden. Dieses testen wir mit einer Nextcloud-Installation. Seit Version 19 unterstützt die Open-Source-Cloudsoftware passwortloses Anmelden per Fido2/Webauthn. Hierzu muss in den Einstellungen des jeweiligen Kontos unter dem Reiter "Sicherheit" und dem Unterpunkt "Authentifizierung ohne Passwort" ein Webauthn-Gerät - in unserem Fall der Solo v2 - hinterlegt werden.

Nach einem Klick auf den Button in der Nextcloud müssen die beiden Buttons an den Seiten des Solo v2 berührt werden. Anschließend kann noch ein Name vergeben werden, damit wir den Solo v2 von etwaigen anderen Sticks unterscheiden können.

Um uns passwortlos mit dem Solo v2 anzumelden, klicken wir beim nächsten Login einfach auf "Mit einem Gerät anmelden", anstatt unsere Zugangsdaten einzugeben. Anschließend muss der Nutzername angegeben und wieder die Seiten unseres Solo v2 berührt werden. Schon sind wir angemeldet, ganz ohne Passwort.

In unserem Test hat dies sowohl unter Windows 10 2004 mit den Browsern Chrome, Edge und Firefox, als auch unter Ubuntu 20.04 mit Firefox problemlos funktioniert. Die berührungsempfindlichen Sensoren sind dabei, je nach Position des Sticks, deutlich angenehmer als die Taste auf dem Solo v1.

Passwortlose Ein-Faktor-Authentifizierung

Allerdings handelt es sich dabei genau genommen nicht um eine Zwei-Faktor- oder gar Mehr-Faktor-Authentifikation. Denn zum einen kann man sich weiterhin ganz normal mit Nutzernamen und Passwort anmelden, zum anderen reicht der Besitz des Fido-Sticks für eine Anmeldung aus (sofern man auch den Nutzernamen kennt).

Dies ist insbesondere bei den Sicherheitsschlüsseln mit NFC gefährlich, da diese im Prinzip im Vorbeigehen missbraucht werden können, wie Sicherheitsforscher im vergangenen Jahr demonstrierten. Entsprechend funktioniert dies auch in der Kombination des Solo v2 und Nextcloud.

Andere Anbieter wie Microsoft verlangen daher zusätzlich das Setzen einer PIN, die neben dem Druck auf die Taste des Fido-Sticks angegeben werden muss. Das sorgt für mehr Sicherheit, ist jedoch etwas umständlicher und konnte im Falle von Microsoft in der Vergangenheit umgangen werden.

Sicherer zweiter Faktor für Google

Mit einem Testkonto bei Google haben wir zudem die Zwei-Faktor-Authentifizierung getestet. Hier kann der Fido-Stick wie in der Nextcloud ebenfalls einfach hinterlegt werden und anschließend neben Passwort und Benutzernamen als zweiter Faktor verwendet werden. Wir konnten den Solo v2 in allen getesteten Browsern (Windows 10 2004 Chrome, Edge, Firefox / Ubuntu 20.04 Firefox) sowohl hinterlegen als auch zum Login als zweiten Faktor verwenden.

Beachtet werden sollte dabei allerdings, dass nicht nur auf einen Sicherheitsschlüssel gesetzt wird, damit man sich bei Verlust oder Defekt des Sticks nicht aus seinen Diensten aussperrt. Denn einen Schlüsseldienst für Fido-Sticks gibt es nicht.

Entweder man kauft sich einen zweiten Fido-Stick und hinterlegt diesen ebenfalls bei allen Diensten oder man setzt auf eine andere Technik als Fallback. Beispielsweise eine TOTP-App.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Solo v2 im Test: Ein Stick für noch mehr FälleSolo v2: Verfügbarkeit und Fazit 
  1.  
  2. 1
  3. 2
  4. 3
  5.  


masterx244 23. Apr 2021

+1. Die Volksbank bietet das zum gück bei mir lokal an. Für mich kommt nichts anderes...

My1 23. Apr 2021

ja, glück im unglück

Hantilles 22. Apr 2021

War nicht als Kritik an dir gemeint! Mir ging es darum, dass der TO das unbedingt meinte...

mtr (golem.de) 22. Apr 2021

Hallo Sogos, wir haben bereits Yubico Security Key, Google Titan, Nitrokey Fido U2F...



Aktuell auf der Startseite von Golem.de
JPEG XL
Die Browserhersteller sagen nein zum Bildformat

JPEG XL ist das überlegene Bildformat. Aber Chrome und Firefox brechen die Implementierung ab. Wir erklären das Format und schauen auf die Gründe für die Ablehnung.
Eine Analyse von Boris Mayer

JPEG XL: Die Browserhersteller sagen nein zum Bildformat
Artikel
  1. Walking Simulator: Gameplay von The Day Before erntet Spott
    Walking Simulator
    Gameplay von The Day Before erntet Spott

    Nach Betrugsvorwürfen haben die Entwickler von The Day Before nun Gameplay veröffentlicht - das nicht besonders gut ankommt.

  2. Lasertechnik: Hoffnung auf Femtosekundenlaser für die Hosentasche
    Lasertechnik
    Hoffnung auf Femtosekundenlaser für die Hosentasche

    An der Universität Yale wurde ein Titan-Saphir-Laser auf einem Chip erzeugt und fortgeschrittene Lasertechnik auf Millimetergröße geschrumpft.

  3. Bluebrixx Klingon Bird-of-Prey 104584: Worf wäre stolz auf dieses Star-Trek-Set
    Bluebrixx Klingon Bird-of-Prey 104584
    Worf wäre stolz auf dieses Star-Trek-Set

    Auch wenn die Steinequalität nicht an Lego heranreicht, macht der Bird-of-Prey die Weiten der Sammelvitrine unsicher - Qapla', Bluebrixx!
    Ein Test von Oliver Nickel

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Mindfactory DAMN-Deals: Grakas, CPUs & Co. • HTC Vice 2 Pro Full Kit 899€ • RAM-Tiefstpreise • Amazon-Geräte bis -50% • Samsung TVs bis 1.000€ Cashback • Corsair HS80 7.1-Headset -42% • PCGH Cyber Week • Samsung Curved 27" WQHD 267,89€ • Samsung Galaxy S23 vorbestellbar [Werbung]
    •  /