Das Angebot an FIDO2-Sicherheitsschlüsseln wächst weiter: Neben einem lange angekündigten NFC-Modell von YubiKey sind inzwischen auch einige Modelle des Newcomers TrustKey lieferbar. Die USB-Sticks eignen sich nicht nur zum Einloggen ohne Passwort, sondern auch als zweiter Faktor zur Absicherung von Online-Accounts.

YubiKey 5C NFC

Den YubiKey 5C NFC hat Yubico vor so langer Zeit angekündigt, dass der ein oder andere vermutlich nicht mehr mit einer Auslieferung gerechnet hat: Schon im November 2019 berichtete c't, dass der Hersteller an einer YubiKey-Variante arbeitet, die nicht nur über USB-C, sondern auch über den Nahfunk NFC nutzbar ist. Durch diese Kombination ist der YubiKey 5C NFC, der nun endlich lieferbar ist, universell einsetzbar: Eine USB-C-Schnittstelle findet man bei vielen modernen Notebooks und Android-Smartphones, über NFC spricht der FIDO2-Sicherheitsschlüssel sogar mit iPhones. Per Adapter lässt sich der Stick zudem an der weit verbreiteten USB-A-Schnittstelle anschließen. Solche Adapter findet man für wenige Euro in den gängigen Online-Shops.

Lange angekündigt, immer noch nicht lieferbar: Der YubiKey Bio lässt auf sich warten. (Bild: Yubico)

Abgesehen von den Anschlussmöglichkeiten scheint sich der YubiKey 5 NFC nicht von den seit längeren erhältichen Schwestermodellen zu unterscheiden. Auch das neue Modell ist nicht nur ein FIDO2-Authenticator, sondern kann für viele weitere Krypto-Aufgaben genutzt werden. Die YubiKeys arbeiten unter anderem als OpenPGP-Smartcard und nach dem PIV-Standard. Zudem können Sie Einmal-Passwörter nach dem OTP-Verfahren generieren.

Der YubiKey 5C NFC ist ab sofort für 55 US-Dollar im Onlineshop des Hersteller verfügbar. Damit ist das neue Modelle zehn Dollar teurer als die ansonsten identische Version mit USB-A. Was Yubico weiterhin in seinem breiten Sortiment fehlt, ist ein Authenticator mit Fingerabdruck-Scanner. Einen solchen hatte das Unternehmen ebenfalls vor langer Zeit angekündigt, um den YubiKey Bio ist es seitdem jedoch ruhig geworden.

TrustKeys mit und ohne Fingerabdruckscanner

Der Newcomer TrustKey ist Yubico in der Zwischenzeit zuvor gekommen: Die TrustKey-Modelle G310, G320, G450 und G500 sind nicht mit einem einfachen Knopf ausgestattet, sie überprüfen bei der Nutzung den Fingerabdruck des Nutzers. Nur wenn der Fingerabdruck zu der bei der Einrichtung registrierten Person passt, wird die Authentifizierung durchgeführt. Die Speicherung und Überprüfung der Fingerabdrücke erfolgt lokal auf dem Stick. Die vier Modelle unterscheiden sich nur durch Anschlussmöglichkeiten und Formfaktor, im Inneren werkelt stets der vom Mutterkonzern eWBM entwickelte Krypto-Chip MS500.

Was ist FIDO2? FIDO2 ist ein modernes Authentfizierungsverfahren, das Online-Acounts effektiv vor Hackern schützt. Zum Einloggen muss der Nutzer nachweisen, dass er Zugriff auf einen FIDO2-Authenticator (Sicherheitsschlüssel) hat, der mit dem Account verknüpft ist. Solche Authenticator kann man in Form eines USB-Sticks oder Schlüsselanhängers kaufen, zudem kann der Krypto-Chip des Rechners oder Smartphones als Authenticator fungieren. Je nach Dienst dient der Sicherheitsschlüssel entweder als zusätzlicher Faktor (zusätzlich zum Passwort) oder kann die Eingabe eines Passworts sogar überflüssig machen.

TrustKey wirbt damit, dass die Authenticator die ersten mit einer Level-2-Zertifizierung der FIDO Alliance sind. Die Level-2-Zertifizierung verspricht Schutz gegen "Device OS compromise". Mit "Device" ist der Sicherheitsschlüssel gemeint, mit „OS“ dessen Firmware. Level-­2-Authentifikatoren sind also besonders gut gegen Angriffe und Manipulationen der Firmware geschützt.

TrustKey verkauft bereits seit einiger Zeit FIDO2-Sicherheitsschlüssel mit Fingerabdruckscanner. (Bild: c't Magazin)

Die Modelle G310 und G320 konnten im c't-Test durchaus überzeugen: Sie funktionierten tadellos mit allen getesteten Websites und der Fingerabdruck wurde zuverlässig erkannt. Zudem überzeugte die robuste Verarbeitung, die bei einem FIDO2-Sicherheitsschlüssel, den man alltäglich am Schlüsselbund mit sich führt, eine wichtige Rolle spielt. Die TrustKeys mit Fingerabdruckscanner werden für rund 50 Euro bereits ausgeliefert.

Günstiger ohne Fingerabdruck

Wer einfach nur einen FIDO2-Sicherheitsschlüssel sucht und auf den Zusatzschutz verzichten kann, den der Fingeradruckscanner verspricht, der wird bei TrustKey seit kurzem ebenfalls fündig. Ganz neu sind die Modelle T110 (USB-A) und T120 (USB-C), für die vor allem der niedrigere Preis spricht: Man bekommt sie schon für unter 30 Euro. Die beiden Neuzugänge sind seit kurzem verfügbar.

Anders als die YubiKeys kann man die TrustKeys nicht als OpenPGP-Smartcard oder ähnliches nutzen Sie beherrschen nur die FIDO2-Authentifizierung (abwärtskompatibel zu FIDO U2F). Mit der aktuellen Firmware lassen sie sich zudem noch als OTP-Generator für bis zu 50 Accounts einsetzen. Die neue Firmware erhält man derzeit, wie bei YubiKey, ausschließlich vorinstalliert auf Exemplaren neueren Produktionsdatums. TrustKey tüftelt nach eigenen Angaben jedoch bereits an einem sicheren Verfahren, die Firmware der USB-Sicherheitsschlüssel nachträglich aktualisierbar zu machen.

