Wie kommt der Fingerabdruck auf den Yubikey Bio?

Um den Yubikey Bio einzurichten, reicht im Prinzip ein Browser. In diesem wird eine Webseite aufgerufen, die Webauthn unterstützt, in unserem Fall ist das eine Nextcloud. Will man dort den Sicherheitsschlüssel hinterlegen, beginnt die Einrichtung: Wir werden erst nach einer PIN gefragt, anschließend müssen wir mehrfach unseren Finger auf den Sensor halten, um ein Fingerabdruck-Template zu erstellen. Das fühlt sich exakt wie bei der Einrichtung eines Smartphones an und ist binnen weniger Sekunden erledigt.

Danach können wir uns passwortlos an unserer Nextcloud anmelden, indem wir auf "Mit einem Gerät anmelden" klicken und den Sensor kurz mit unserem Finger berühren. Das funktioniert gut und ist sehr komfortabel. Durch den Fingerabdruckschutz müssen wir uns beim passwortlosen Anmelden weder Sorgen machen, dass Dritte sich mit dem Fido-Stick einfach an unserer Cloud anmelden können, wenn sie den Stick finden, noch müssen wir eine PIN eingeben, die eben diese Sorgen vertreiben würde. Der Prozess ist jetzt wirklich passwortlos.

Im Test klappt das Einrichten nicht mit jedem Browser

Allerdings klappt die Einrichtung in unserem Test nur unter Linux (Ubuntu 20.04) mit Chromium, der freien Variante des Chrome-Browsers von Google. Mit Firefox funktioniert die Einrichtung weder unter Windows 10 2004 noch unter Linux, während Chrome unter Windows zwar die Einrichtung startet, allerdings das Eingabefeld für die PIN nicht anzeigen will. Ein Bug, der hoffentlich nur bei unserem Test aufgetreten ist.

Alternativ lässt sich der Yubikey Bio jedoch auch mit Windows Hello oder mit der Software Yubico Authenticator for Desktop einrichten, die für Windows, Mac OS und Linux zur Verfügung steht. Die Software steht unter einer Open-Source-Lizenz (BSD-2-Clause) und ist sowohl in Ubuntus Appstore als auch im Microsoft-Appstore erhältlich. Alternativ kann sie auf der Webseite von Yubico heruntergeladen werden.

Mit Yubico Authenticator und Windows Hello lässt sich der Yubikey Bio jedoch nicht nur einrichten, sondern auch verwalten. So können beispielsweise die hinterlegte PIN geändert oder der Fingerabdruck gelöscht beziehungsweise weitere hinzugefügt werden.

Mit dem Fingerabdruck klappt's, mit der PIN nicht immer

Einmal eingerichtet, gelten die Einschränkungen für Browser und Betriebssystem nicht mehr. Wir können den Stick sowohl unter Windows als auch unter Linux mit Chrome, Chromium und Firefox in der Nextcloud hinterlegen und uns anschließend passwortlos anmelden. Gleiches gilt für die Zwei-Faktor-Authentifizierung mit unserem Google-Testkonto. Auch hier können wir den Yubikey Bio in allen getesteten Varianten problemlos verwenden.

Wird der Fingerabdruck dreimal hintereinander nicht erkannt, fällt der Yubikey Bio auf die PIN zurück. Das funktioniert im Firefox allerdings nicht, während Chrome respektive Chromium den Wechsel auf die PIN problemlos vollziehen. Wird auch die PIN achtmal falsch eingegeben, sperrt sich der Yubikey Bio komplett und muss zurückgesetzt werden.

Die Limitierungen sollen vor Angriffen mit nachgebildeten Fingerabdrücken oder Brute-Force-Angriffen schützen, also dem Durchprobieren von PIN-Kombinationen. Die Kollegen des Computermagazins C't versuchten erfolglos, den Sensor mit einer Kopie des Fingerabdrucks aus einer dünnen Schicht Holzleim zu überlisten.

Allerdings gelingt es Sicherheitsforschern immer wieder, biometrische Sicherheitssysteme auszutricksen. Solche Angriffe sind jedoch aufwendig und definitiv nichts für Gelegenheitsfinder. Angriffe auf ein Passwort wie beispielsweise mit einer versteckten Kamera dürften ähnlich aufwendig oder sogar einfacher sein.

Neben der Beschränkung der Versuche, Fingerabdruck oder PIN einzugeben, hat Yubico auch bei der Hardware selbst auf Sicherheit geachtet. So werden die Fingerabdruck-Templates direkt auf dem Sicherheitsschlüssel generiert und verlassen diesen nie. "Die Schlüsselserie verfügt über ein Drei-Chip-Design, das es ermöglicht, das biometrische Fingerabdruckmaterial in einem separaten Sicherheitselement zu speichern, das einen verbesserten Schutz vor physischen Angriffen bietet", erklärt Yubico.