Yubikey

Der privaten Schlüssel eines Hardware-Sicherheitstokens von Google lässt sich anhand der Strahlung rekonstruieren.

Weil er den kleinen Sensorknopf auf seinem Yubikey 5C Nano schlecht erreichte, hat Entwickler Bertrand Fan das einzig Sinnvolle getan: einen automatischen Finger dafür konstruiert.

Schlüssel für SSH lassen sich auf sogenannte Hardware-Token auslagern. Diese können in OpenSSH mit einem zweiten Faktor geschützt werden.

Kein Mensch kann sich stapelweise Passwörter merken, aufschreiben ist keine Alternative. Ein Passwortmanager muss her - aber welcher?
Ein Test von Moritz Tremmel

Der neue Yubikey 5C NFC soll eine breite Unterstützung moderner Geräte gewährleisten. Je nach Verwendungszweck gibt es günstigere Alternativen.

Flipper Zero vereint mehrere Hacking-Devices und ein Tamagotchi in einem Gerät - mit dem sich wirklich hacken lässt.

Das auf Sicherheit fokussierte Betriebssystem OpenBSD hat eine Sicherheitslücke geschlossen, mit der sich die Authentifizierung auch aus der Ferne umgehen lässt. Das betrifft den SMTP-, LDAP- und Radius-Daemon.

Mit dem Nitrokey Fido2 ist erstmals passwortloses Anmelden mit Webauthn möglich. Auch eine starke Zwei-Faktor-Authentifizierung unterstützt der nun offiziell veröffentlichte Sicherheitsschlüssel. Eine Besonderheit ist die aktualisierbare Firmware, die er sich mit den Solokeys teilt.

Auf Knopfdruck anmelden, ohne Passwort und PIN, aber mit Fingerabdruck: Genau das soll der neue Yubikey Bio unterstützen. Die Sicherheit von biometrischen Merkmalen ist allerdings umstritten.

Sie sind winzig und groß, sorgen für mehr Sicherheit bei der Anmeldung per Webauthn und können gepatcht werden: Die in Kürze erscheinenden Fido-Sticks von Nitrokey und Solokeys machen so manches besser als die Konkurrenz von Google und Yubico. Golem.de konnte bereits vorab zwei Prototypen testen.
Ein Test von Moritz Tremmel

Google wechselt mit seinem neuen Titan-Sicherheitschlüssel zur Zwei-Faktor-Authentifizierung nicht nur den Anschluss auf USB-C, sondern auch den Hersteller. Die Firmware stammt jedoch weiterhin von Google selbst.

Funkende Fido2-Sticks lassen sich mit iOS 13 auch auf dem iPhone verwenden. Passwortloses Anmelden oder eine starke Zwei-Faktor-Authentifizierung per Webauthn waren bisher nur mit einer Lightning-Variante des Yubikeys möglich.

Mit zwei Steckern sorgt der neue Yubikey 5Ci für eine breite Geräteunterstützung in und außerhalb der Apple-Welt. Mit USB-C und Lightning lassen sich Apps auf iPhones schützen oder eine sichere Zwei-Faktor-Authentifizierung nutzen. Das hat seinen Preis.

Der Hersteller Yubico muss einige seiner Sticks zur Zwei-Faktor Authentifizierung wegen Sicherheitslücken zurückziehen und bei Kunden austauschen. Kurioserweise nur jene mit einer besonderen Zertifizierungen der US-Regierung.

Sicher mit nur einer PIN oder einem schlechten Passwort: Fido-Sticks sollen auf Tastendruck Zwei-Faktor-Authentifizierung oder passwortloses Anmelden ermöglichen. Golem.de hat getestet, ob sie halten, was sie versprechen.
Ein Test von Moritz Tremmel

Mit einem eigenen Hardwareschlüssel, dem Titan Security Key, will Google ähnlich wie mit den bekannten Yubikeys den Zugriff seiner Kunden auf die Cloud absichern. Der Hardwareschlüssel zur Zwei-Faktor-Authentifizierung soll später für alle im Google Store angeboten werden.

iPhone-Nutzer können die One-Time-Passwort-Funktion des Yubikey nutzen, um sich bei einer Applikation anzumelden. Als erster Hersteller unterstützt der Passwortmanager Lastpass das neue Software-Development-Kit.

Die aktuelle Version 60 Firefox bringt die Beschleunigung des Projekts Quantum auch auf die Variante mit Langzeitsupport und auf Android. Außerdem gibt es eine bessere Enterprise-Unterstützung, Web-Authentication und wieder Neuerungen in der Tab-Ansicht.

Mozilla will die Nutzung von Zwei-Faktor-Authentifizierung erhöhen und aktiviert in Firefox 60 die Webauthentication-API standardmäßig. Noch gebe es allerdings keine fertigen Bibliotheken, die Entwickler nur einbinden müssten.

Nach Angaben von Google nehmen nur sehr wenige Gmail-Nutzer die sichere Anmeldung mit einem zweiten Faktor in Anspruch. Auch Passwortmanager sind zumindest in den USA offenbar nicht weit verbreitet.

2017 wurde viel Firmware und andere grundlegende Computertechnik produktiv auseinandergenommen und kaputt gemacht. Gut so, denn die Fundamente moderner Computer sind oft brüchig.
Eine Analyse von Hauke Gierow

Yubico bietet ein Hardware-Security-Modul für kleinere Unternehmen an, die nicht Hunderte Schlüssel sicher verwahren müssen. Der Schlüssel im Nano-Format verschwindet fast vollständig im USB-Port.

Infineon-Chips in Personalausweisen, Laptops und Krypto-Hardware sind unsicher. Pikant daran: Die Produkte wurden vom Bundesamt für Sicherheit in der Informationstechnik zertifiziert.

RSA-Schlüssel von Hardware-Kryptomodulen der Firma Infineon lassen sich knacken. Das betrifft unter anderem Debian-Entwickler, Anbieter qualifizierter Signatursysteme, TPM-Chips in Laptops und estnische Personalausweise.

Nach der Schlüsselbundversion des Yubikey für USB-C folgt die Nano-Version. Sie ist nur ein Gramm schwer und kann dauerhaft im Gerät verbleiben.

Wer den Zugang zu seinem Github-Account verliert, kann sich künftig mit einem von Facebook bereitgestellten Token einloggen. Die interessante Funktion soll den Namen Delegated Recovery tragen und untermauert Facebooks Anspruch, die digitale Schaltzentale der Nutzer zu werden.

Facebook gibt Nutzern eine weitere Möglichkeit, ihren Account abzusichern. Künftig können auch Hardwareschlüssel wie Yubikeys verwendet werden. Außerdem sollen Nutzer besser verstehen können, welche Inhalte mit wem geteilt werden.

CES 2017 Macbook-Nutzer können künftig auch ohne Adapterchaos die Zwei-Faktor-Authentifizierung mit dem Hardwareschlüssel Yubikey nutzen. Der Yubikey 4C unterstützt alle gängigen Standards und OpenPGP bis hin zu RSA 4096.

Die aktuelle Version 11 von Nextcloud enthält einige neue Sicherheitsfunktionen und Nextcloud ist einem Security-Check der NCC Group unterzogen worden. Zudem erneuert das Projekt seinen Appstore, der Signaturen nutzt und der Server bietet eine experimentelle WebRTC-Integration mit Spreed.me an.

Obwohl die Zwei-Faktor-Authentifizierung einer der wirksamsten Wege ist, einen Account abzusichern, schrecken nach wie vor viele Nutzer davor zurück. Wir erklären die wichtigsten Fakten.
Von Hauke Gierow

Bislang ging es nur über Umwege, jetzt funktioniert die Zwei-Faktor-Authentifizierung bei Amazon auch in Deutschland offiziell.

Eine Warnung vor staatlichen Hackerangriffen auf Google-Konten sorgt derzeit in den USA für Diskussionen. Vor allem Journalisten und Diplomaten erhielten die Warnung, auch in der Türkei gibt es Betroffene.

Mit Hilfe des Yubikeys lässt sich eine verschlüsselte Systempartition unter Linux zusätzlich per Zwei-Faktor-Authentifizierung absichern. In dieser Kombination kann auch ein bequemeres Kennwort genutzt werden.
Von Jörg Thoma

Unser Autor hat 152 Onlinekonten, die er möglichst gut absichern will. Mit dem Passwortmanager Keepass und einem sogenannten Token - dem Yubikey Neo. Eine Anleitung.
Von Johannes Wendt