c't 25/2019
S. 66
Titel
FIDO2: Marktübersicht
Aufmacherbild

Online-Schlüssel

FIDO2-Sicherheitsschlüssel zum Einloggen mit und ohne Passwort

Mit einem Sicherheitsschlüssel schützen Sie Ihre Accounts effektiv vor Phishing und Trojanern. Spielt der Dienst mit, können Sie sich sogar ohne Benutzername und Passwort einloggen. Manche Sticks eignen sich auch zur Mail-Verschlüsselung. Wir haben die derzeit erhältlichen Modelle ausprobiert, um Ihnen den Kauf zu erleichtern.

Das Login-Verfahren FIDO2 ist die Lösung für viele Probleme: Es schützt Ihre Online-Accounts vor Phishing, Trojanern und Passwortklau. Dabei dient es entweder als zweiter Faktor zusätzlich zum Kennwort – oder sogar als Passwortersatz. Wenn der Dienst die technischen Möglichkeiten der neuen Technik ausreizt, dann können Sie sich die lästige Eingabe Ihres Benutzernamens und Ihres Passworts schenken. Wie komfortabel das sein kann, können Sie bereits bei den Microsoft-Diensten ausprobieren. Anfänglich klappte das nur mit dem Edge-Browser, inzwischen hat Microsoft das Einloggen ohne Passwort aber auch für andere Browser unter Windows 10 freigegeben.

Das FIDO2-Verfahren ist nicht nur sehr bequem, sondern auch sehr sicher. Sie authentifizieren sich mit einem sogenannten Sicherheitsschlüssel (oder auch Authenticator, zu Deutsch: Authentifikator) bei den Diensten. Zum Einloggen reicht oft ein Knopfdruck. Ist mehr Sicherheit gefragt, dann wird der FIDO-Schlüssel mit einer PIN entsperrt. So ist gewährleistet, dass eine unbefugte Person, der Ihr Schlüssel in die Hände fällt, sich nicht einfach in Ihre Accounts einloggen kann. Das Prinzip ist vergleichbar mit einer EC-Karte: Da nur wenige Fehlversuche erlaubt sind, reicht eine vierstellige PIN aus. Bei FIDO2 sind auch längere, alphanumerische PINs erlaubt. Eingeben muss man sie etwa dann, wenn ein Dienst komplett auf die Eingabe von Benutzername und Passwort verzichtet. Noch bequemer wird es, wenn man die PIN-Eingabe durch Biometrie ersetzt und den Sicherheitsschlüssel einfach per Fingerabdruck entsperrt. Die Überprüfung erfolgt in jedem Fall lokal – der Dienst erfährt, dass Sie sich verifiziert haben und somit vertrauenswürdig sind, es wird jedoch niemals PIN oder Fingerabdruck übertragen. Die Technik hinter FIDO2 haben wir ausführlich in c’t 18/2019 vorgestellt.

Video: Nachgehakt

Dieses Mal geht es um die Sicherheitsschlüssel, die es bereits in allen Farben und Formen gibt. Am meisten verbreitet ist das USB-Stick-Format. Die einfachsten Ausführungen kosten rund 20 Euro und haben einen Knopf, über den man den FIDO2-Vorgang bestätigt. Ist eine PIN nötig, wird sie auf dem Rechner abgefragt. Wer ein paar Euro mehr ausgibt, bekommt Exemplare mit Fingerabdruckscanner, welche die PIN-Eingabe obsolet machen. Bei den Anschlüssen ist fast alles vertreten, was derzeit möglich ist: Es gibt Sicherheitsschlüssel mit USB-A, USB-C, Lightning, Bluetooth und NFC. Man hat aktuell im Wesentlichen die Wahl zwischen drei Herstellern: Feitian, SoloKeys und Yubico. Jeder davon bietet etliche Modelle an – mit unterschiedlichen Anschlusskombinationen und oft auch unterschiedlichen Funktionen. Wir haben fast alle FIDO2-Sicherheitsschlüssel bestellt, die derzeit erhältlich sind und ausführlich getestet.

Benutzername und Passwort? Nicht nötig. Wer einen FIDO2-Stick im Einsatz hat, klickt einfach auf „Mit Windows Hello oder einem Sicherheitsschlüssel anmelden“.
Simple FIDO2-Authentifikatoren wie den Security Key von Yubico bekommt man schon für 20 Euro.

Das wichtigsten Kriterium bei der Auswahl der Produkte war Zukunftssicherheit. Denn nicht alle Sicherheitsschlüssel beherrschen etwa das Einloggen ohne Benutzername und Passwort, das in Zukunft nicht länger nur Microsoft anbieten wird, sondern hoffentlich viele weitere Dienste. Dazu muss der Authenticator in der Lage sein, bei der Registrierung den für den Dienst generierten Krypto-Schlüssel zu speichern, den sogenannten Resident Key. Kann der Authenticator das nicht, wird der Krypto-Key verschlüsselt beim Anbieter abgelegt. Dann muss der Authenticator den Key bei jeder Anmeldung zunächst beim Dienst abholen, wozu der Anwender mindestens seinen Benutzernamen eintippen muss – anders kann der Dienst nicht den richtigen Key heraussuchen.

Kommentare lesen (5 Beiträge)

Videos