Yubikey: Nie mehr schlechte Passwörter

Unser Autor hat 152 Onlinekonten, die er möglichst gut absichern will. Mit dem Passwortmanager Keepass und einem sogenannten Token - dem Yubikey Neo. Eine Anleitung.

Artikel von Johannes Wendt/Zeit Online veröffentlicht am
Der Yubikey Neo von Yubico kostet rund 50 Euro.
Der Yubikey Neo von Yubico kostet rund 50 Euro. (Bild: Yubico)

Auf genau 152 Nutzerkonten verteilt sich meine digitale Identität. Das geht so weit, dass ich sogar meine Gasrechnung online einsehen kann. Die digitale Prasserei tut nicht weh, hat aber einen großen Nachteil: Jedes dieser Konten braucht ein Passwort. Sicherheitsexperten raten zu einem, das nicht in Wörterbüchern steht, mindestens zwölf Zeichen hat und natürlich aus Zahlen, Klein- und Großbuchstaben sowie Sonderzeichen besteht. Man sollte es nicht für mehrere Dienste verwenden und bitte im Halbjahresturnus wechseln. Ich behaupte, nicht einmal neunjährige Gedächtnisweltmeister hätten Spaß daran, sich diesem Irrsinn auszusetzen. Passwörter überfordern uns.

Bislang schütze ich meine digitale Identität mit den immer gleichen und miserablen Wörtern, womit ich, wie diese Liste und diese Statistik zeigen, mehrheitsfähig bin. Das macht meine Passwörter allerdings zu einer leichten Beute für Angreifer, die mit gigabytegroßen Wörterbuchlisten und starken Rechnern vorgehen. Dagegen will ich meine digitale Identität künftig besser schützen. Die Frage ist nur, wie?

Ginge es nach der Fido-Allianz, sollen Nutzer und starke Passwörter wieder zusammenfinden. In der Allianz arbeiten seit 2012 Unternehmen wie Google, Microsoft und Visa an neuen Entwürfen. Vor allem die sogenannte Zwei-Faktor-Authentifizierung will die Allianz verbreiten. Die Idee: Man kombiniert ein leichter zu merkendes Passwort mit einem weiteren Faktor und erhält so ein starkes Passwort.

Der Yubikey hat zwei Funktionen

Der weitere Faktor kann ein Fingerabdruck, ein einmaliger Code (Einmalpasswort) oder ein Token sein. Token, die meist in Form einer Chipkarte oder eines USB-Sticks vorkommen, gibt es schon länger, bislang vor allem in Unternehmen. Dort sichern sie meist den Zugang zu besonders sensiblen Daten oder Räumen. Token sind in der Regel weniger fälschungsanfällig als Fingerabdrücke oder andere biometrische Merkmale und der Nutzer hat - im Gegensatz zum versandten Einmalpasswort - alles selbst in der Hand.

Stellenmarkt
  1. Software-Engineer (m/w/d) Linux Embedded
    eSystems MTG GmbH, Wendlingen
  2. Projektleiter IT & Digitale Transformation (m/w/d)
    GKD - GEBR. KUFFERATH AG, Düren
Detailsuche

Die Fido-Allianz will deshalb Token voranbringen, wie den Yubikey der Firma Yubico. Der sieht aus wie ein schmaler USB-Stick und kann einfach am Schlüsselbund getragen werden. Jeder Rechner erkennt den kleinen Token als normale Tastatur. Mit einem Druck auf seinen Sensor gibt der Yubikey ein Passwort aus. Das kann entweder ein sehr langes Passwort zur ständigen Verwendung oder ein kurzes Einmalpasswort sein. Letzteres lässt sich dann für besagte Zwei-Faktor-Authentifizierung nutzen. Nutzer wählen eine der beiden Funktionen, indem sie den kleinen Sensor des Yubikey lang oder kurz drücken. Google Mail sowie die E-Mail-Anbieter Mailbox.org und Posteo unterstützen schon heute den Yubikey. Microsoft hat angekündigt, mit Windows 10 die Ideen der Fido-Allianz zu unterstützen.

Yubikey für unterwegs

Der Yubikey soll auch meine digitale Identität künftig besser schützen. Ich bestelle den Yubikey Neo für rund 50 Euro. Es gibt auch andere Modelle, aber der Neo hat einen Vorteil: Er lässt sich sowohl per USB an meinen Rechner andocken als auch per drahtloser Nahfeldkommunikation, kurz NFC, benutzen. Ich könnte damit also auch auf meinem NFC-fähigen Smartphone gute Passwörter nutzen.

Wie vor kurzem bekanntwurde, können Hacker durch eine Schwachstelle die PIN-Abfrage des Yubikey Neo umgehen. Der Angreifer könnte die Krypto-Funktionen zum Beispiel über Funk missbrauchen. Der Hersteller hat reagiert und tauscht den Yubikey aus.

Der erste Funktionstest ist simpel: Ich stecke den Yubikey in den USB-Slot meines Rechners und drücke das kleine Sensorenfeld mit der grünen Diode. Der Token spuckt sofort kleine Einmalpasswörter aus. So ist der Yubikey voreingestellt. Man testet das einfach im Editor oder Notepad.

Den Yubikey einrichten

Um den Yubikey auf meine Bedürfnisse anzupassen, brauche ich das Yubikey Personalization Tool. Das Programm läuft auf Windows, Mac OS und Linux, die Installation geht flott und ist intuitiv. Dann folgen aber viele Begriffe und Abkürzungen, die den Yubikey zu einem sinnvollen, aber auch komplexen Werkzeug machen.

Ich öffne das Yubikey Personalization Tool und sehe in der oberen Leiste die Möglichkeiten des Tokens angezeigt. Dort befinden sich auch die zwei Grundfunktionen: Im "static mode" gibt der Yubikey das lange Passwort aus, im "oath-hotp-mode" hingegen das kurze Einmalpasswort. Zwischen beiden Funktionen kann ich - wie oben erwähnt - wechseln, indem ich den Sensor lang oder kurz drücke. Das lange Passwort des static mode kann ich im Prinzip für jeden Onlinedienst verwenden. Jeden Onlinedienst mit demselben Passwort zu sichern, ist aber nicht besonders klug. Denn gerät das Passwort einmal in falsche Hände, zum Beispiel durch einen Hack oder aus Unachtsamkeit, stehen Angreifern gleich alle meine Dienste offen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Zwei-Faktor-Authentifizierung mit dem Yubikey 
  1. 1
  2. 2
  3. 3
  4.  


das_mav 25. Mai 2015

Du redest vom KreditkarteOnline der Haspa? Da kann die HASPA nix für, das ist die Schuld...

theWhip 20. Mai 2015

diese Seite von howsecureismypassword.net , wer betreibt diese??? ;) digitale spuren...

Chargeback 16. Mai 2015

... Habe gelesen, dass 1Password nun auch eine aktuelle Windows Version herausbringt...

Nasenbaer 13. Mai 2015

Für Privatpersonen sind das aber keine Szenarien - oder ihr habt ein anderes Kaliber an...



Aktuell auf der Startseite von Golem.de
Storytelling
IT-Projekte beginnen mit guten Geschichten

Wer in Unternehmen über das Geld verfügt, versteht nicht unbedingt etwas von IT. Wie wir Vorgesetzte von Projekten überzeugen können.
Ein Ratgebertext von Felix Uelsmann

Storytelling: IT-Projekte beginnen mit guten Geschichten
Artikel
  1. US-Streaming: Immer mehr Netflix-Abonnenten kündigen nach einem Monat
    US-Streaming
    Immer mehr Netflix-Abonnenten kündigen nach einem Monat

    Netflix hat zunehmend Probleme, neue Abonnenten zu halten. Der Anteil an Neukunden, die nach einem Monat wieder kündigen, steigt.

  2. Streaming und Sport: Dazn-Abo wird auch für Bestandskunden doppelt so teuer
    Streaming und Sport
    Dazn-Abo wird auch für Bestandskunden doppelt so teuer

    Als Reaktion auf die Preiserhöhung haben Dazn-Kunden nach eigenen Angaben bereits das Abo gekündigt.

  3. Rufus Beta 3.19: Installationstool umgeht Onlinekontozwang von Windows 11
    Rufus Beta 3.19
    Installationstool umgeht Onlinekontozwang von Windows 11

    Windows 11 ohne Microsoft-Konto installieren: In der Beta 3.19 von Rufus ist das wieder möglich. Das Tool kann auch andere Sperren umgehen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Gigabyte RX 6800 679€ • Samsung SSD 2TB (PS5-komp.) 249,90€ • MindStar (Zotac RTX 3090 1.399€) • Nanoleaf günstiger • Alternate (TeamGroup DDR4-3600 16GB 49,99€, Be Quiet Silent Tower 159,90€) • iPhone SE (2022) günstig wie nie: 481,41€ • Switch OLED günstig wie nie: 333€ [Werbung]
    •  /