• IT-Karriere:
  • Services:

Passwortloses Anmelden mit dem Solo v2

Bei unserem Testgerät handelt es sich um ein Vorabmodell. Die Hardware wird zwar so bleiben, wie uns Nicolas Stalder von Solokeys erklärt. "Bei der Firmware hat sich aber noch einiges getan", betont er. Dennoch funktioniert der Fido-Stick in einem Praxistest bereits einwandfrei.

Stellenmarkt
  1. über Hays AG, Berlin
  2. dSPACE GmbH, Paderborn

Im Unterschied zu Zwei-Faktor-Codes, die per SMS zugestellt oder per TOTP generiert werden, kommt bei den Fido-Sticks Public-Key-Kryptographie zum Einsatz. Ähnlich wie bei der E-Mail-Verschlüsselung mit PGP werden öffentliche und private Schlüssel generiert. Der öffentliche Schlüssel wird zwischen Nutzer und Webdienst ausgetauscht. Will sich der Nutzer einloggen, schickt der Dienst eine Challenge an ihn.

Mit dieser weisen Nutzer nach, dass sie im Besitz des privaten Schlüssels sind - ohne dass der private Schlüssel das Gerät verlässt. Das Ergebnis wird an den Dienst geschickt, der es mit dem öffentlichen Schlüssel der Nutzer überprüfen kann. Im Unterschied zu den Codes lässt sich dies nicht abfangen oder phishen.

Passwortlos in die Nextcloud

Die Technik kann jedoch nicht nur als zweiter Faktor genutzt werden, die wir später mit einem Google-Konto testen werden, sondern auch für komplett passwortloses Anmelden verwendet werden. Dieses testen wir mit einer Nextcloud-Installation. Seit Version 19 unterstützt die Open-Source-Cloudsoftware passwortloses Anmelden per Fido2/Webauthn. Hierzu muss in den Einstellungen des jeweiligen Kontos unter dem Reiter "Sicherheit" und dem Unterpunkt "Authentifizierung ohne Passwort" ein Webauthn-Gerät - in unserem Fall der Solo v2 - hinterlegt werden.

Golem Akademie
  1. IT-Sicherheit für Webentwickler
    31. Mai - 1. Juni 2021, online
Weitere IT-Trainings

Nach einem Klick auf den Button in der Nextcloud müssen die beiden Buttons an den Seiten des Solo v2 berührt werden. Anschließend kann noch ein Name vergeben werden, damit wir den Solo v2 von etwaigen anderen Sticks unterscheiden können.

Um uns passwortlos mit dem Solo v2 anzumelden, klicken wir beim nächsten Login einfach auf "Mit einem Gerät anmelden", anstatt unsere Zugangsdaten einzugeben. Anschließend muss der Nutzername angegeben und wieder die Seiten unseres Solo v2 berührt werden. Schon sind wir angemeldet, ganz ohne Passwort.

In unserem Test hat dies sowohl unter Windows 10 2004 mit den Browsern Chrome, Edge und Firefox, als auch unter Ubuntu 20.04 mit Firefox problemlos funktioniert. Die berührungsempfindlichen Sensoren sind dabei, je nach Position des Sticks, deutlich angenehmer als die Taste auf dem Solo v1.

Passwortlose Ein-Faktor-Authentifizierung

Allerdings handelt es sich dabei genau genommen nicht um eine Zwei-Faktor- oder gar Mehr-Faktor-Authentifikation. Denn zum einen kann man sich weiterhin ganz normal mit Nutzernamen und Passwort anmelden, zum anderen reicht der Besitz des Fido-Sticks für eine Anmeldung aus (sofern man auch den Nutzernamen kennt).

Dies ist insbesondere bei den Sicherheitsschlüsseln mit NFC gefährlich, da diese im Prinzip im Vorbeigehen missbraucht werden können, wie Sicherheitsforscher im vergangenen Jahr demonstrierten. Entsprechend funktioniert dies auch in der Kombination des Solo v2 und Nextcloud.

Nitrokey FIDO2

Andere Anbieter wie Microsoft verlangen daher zusätzlich das Setzen einer PIN, die neben dem Druck auf die Taste des Fido-Sticks angegeben werden muss. Das sorgt für mehr Sicherheit, ist jedoch etwas umständlicher und konnte im Falle von Microsoft in der Vergangenheit umgangen werden.

Sicherer zweiter Faktor für Google

Mit einem Testkonto bei Google haben wir zudem die Zwei-Faktor-Authentifizierung getestet. Hier kann der Fido-Stick wie in der Nextcloud ebenfalls einfach hinterlegt werden und anschließend neben Passwort und Benutzernamen als zweiter Faktor verwendet werden. Wir konnten den Solo v2 in allen getesteten Browsern (Windows 10 2004 Chrome, Edge, Firefox / Ubuntu 20.04 Firefox) sowohl hinterlegen als auch zum Login als zweiten Faktor verwenden.

Beachtet werden sollte dabei allerdings, dass nicht nur auf einen Sicherheitsschlüssel gesetzt wird, damit man sich bei Verlust oder Defekt des Sticks nicht aus seinen Diensten aussperrt. Denn einen Schlüsseldienst für Fido-Sticks gibt es nicht.

Entweder man kauft sich einen zweiten Fido-Stick und hinterlegt diesen ebenfalls bei allen Diensten oder man setzt auf eine andere Technik als Fallback. Beispielsweise eine TOTP-App.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Solo v2 im Test: Ein Stick für noch mehr FälleSolo v2: Verfügbarkeit und Fazit 
  1.  
  2. 1
  3. 2
  4. 3
  5.  


Anzeige
Top-Angebote
  1. 9,99€ (Vergleichspreis 17,21€)
  2. 44,99€ (Vergleichspreis 56,61€)
  3. 229,99€ + Versand (Vergleichspreis ca. 300€)

masterx244 23. Apr 2021 / Themenstart

+1. Die Volksbank bietet das zum gück bei mir lokal an. Für mich kommt nichts anderes...

My1 23. Apr 2021 / Themenstart

ja, glück im unglück

Hantilles 22. Apr 2021 / Themenstart

War nicht als Kritik an dir gemeint! Mir ging es darum, dass der TO das unbedingt meinte...

mtr (golem.de) 22. Apr 2021 / Themenstart

Hallo Sogos, wir haben bereits Yubico Security Key, Google Titan, Nitrokey Fido U2F...

My1 22. Apr 2021 / Themenstart

Der Solo ist kein einfacher FIDO Stick sondern macht mehr und hat auch Updates. Günstiger...

Kommentieren


Folgen Sie uns
       


Razer Kyio Pro Webcam - Test

Webcams müssen keine miese Bildqualität haben, wie Razers Kyio Pro in unserem Test beweist.

Razer Kyio Pro Webcam - Test Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /