Punkt für die Sicherheit. Das Runde ist der Sensor für Fingerabdrücke. © Stiftung Warentest / Ralph Kaiser
Die eigenen Onlinekonten lieber mehrfach vor Unbefugten schützen: mit Multi-Faktor-Authentifizierung. Dabei hilft der USB-Stick YubiKey Bio mit Fingerabdrucksensor.
Nur Passwort ist zu wenig
Was haben das E-Mail- und das Social-Media-Konto gemeinsam? Sie locken Kriminelle an, die sich Zugang verschaffen und aus der Übernahme Kapital schlagen wollen. Nur mit einem Passwort sind Onlinekonten unzulänglich geschützt. Sie lassen sich meist mit einem simplen Brute-Force-Angriff knacken, bei dem Hacker etwa gängige Passwörter wie „123456“ automatisiert eingeben, bis eines passt. Dagegen helfen die besten Passwortmanager.
Fingerabdruck für mehr Sicherheit
Noch wirksamer ist ein zusätzlicher Schutzfaktor, etwa ein SMS-Code oder ein digitaler Sicherheitsschlüssel auf speziellen USB-Sticks. Das sind gängige Methoden der Multi-Faktor-Authentifizierung. Auch Google hat die Belegschaft des eigenen Unternehmens mit einer vergleichbaren Lösung ausgestattet, dem hauseigenen Titan Security Key. Angeblich verzeichnete Google seither keinen erfolgreichen Phishing-Angriff mehr. Das können wir nicht überprüfen – angesichts unserer Testergebnisse ist es aber zumindest plausibel.
Der neueste Schrei ist ein Stick mit biometrischer Sicherung, der YubiKey Bio. Er schaltet Onlinedienste per Fingerabdruck frei und fügt den Sicherheitsfaktoren eins und zwei (Passwort und Sicherheitsstick) Biometrie als dritten Faktor hinzu.
Nicht leicht auszutricksen
Ob sich der Fingerabdrucksensor einfach austricksen lässt, prüften wir mit einem Abbild der Fingerkuppe. Es ähnelte ihr in allgemeiner Textur und glich ihr in der Anordnung der Papillarleisten. Mit dieser Attrappe konnten wir uns nicht authentifizieren und nicht einmal einen neuen Fingerabdruck anlegen.
Tipp: Um den Stick auch bei einer Verletzung der Fingerkuppe nutzen zu können, sollten Sie die Abdrücke mehrerer Finger speichern.
Schützt komfortabel
Für den Test sicherten wir Nutzerkonten bei Facebook, Google und Twitter. Das klappte. Der YubiKey war sicher und trotzdem sehr komfortabel. Das geht ja nicht immer Hand in Hand.
Funktioniert hat der Stick mit allen drei exemplarisch genutzten Diensten. Unterschiede fanden wir in den Verfahren zur Anmeldung und bei Nichterkennen des Sticks. Da führen Facebook & Co unterschiedlich zum Ziel. Zuweilen war das umständlich, ist jedoch unter anderem dem hohen Sicherheitsanspruch des YubiKey geschuldet. Wer in solchen Fällen Hilfe benötigt, bekommt sie auf den Hilfeseiten von Yubico nur in englischer Sprache.
Klick. Der Abdruck des Daumens ist praktisch zum Authentifizieren, viele fassen den Stick ohnehin so an. © Stiftung Warentest / Ralph Kaiser
Funktioniert auch mit Handys und Tablets
Auch der Zugriff auf Onlinedienste auf Mobilgeräten mit Android und iOS lässt sich sichern. Im Test verbanden wir Smartphones und Stick via USB-Adapter. Danach funktionierte am Smartphone alles so wie an Notebook oder PC.
Etwas eleganter ginge es mit dem YubiKey Bio in der ein paar Euro teureren USB-C-Variante. Viele neuere Smartphones und Tablets unterstützen diesen Anschluss bereits.
Zu kurze Pin
Geht der YubiKey-Bio-Schlüssel verloren, könnte ein Angreifer versuchen, sich damit Zugriff zu den Konten des Opfers zu verschaffen. Der Stick ignoriert den Fingerabdruck des Angreifers und fordert nach drei fehlgeschlagenen Versuchen der biometrischen Erkennung die Eingabe des Pin-Codes. Nach acht Versuchen mit falscher Pin geht der YubiKey Bio in den „Geblockt“-Status. Dieser Brute-Force-Schutz ist wirksam, steht und fällt jedoch mit der Länge der von Nutzerinnen und Nutzern festgelegten Pin. Die vom YubiKey akzeptierte Minimallänge von vier Zeichen ist definitiv zu kurz.
Tipp: Mehr als 20 Zeichen sollte die Pin-Nummer für den YubiKey schon haben – maximal 127 Zeichen sind möglich.
Klappt, aber nicht bei allen Onlinediensten
Im Test hat sich der YubiKey Bio bewährt. An Sicherheit Interessierte werden den Aufwand beim Einrichten akzeptieren und sich anschließend an der komfortablen Handhabung erfreuen. Bei etlichen Onlinediensten ist eine Multi-Faktor-Authentifizierung mit dem YubiKey Bio möglich. Die besonders komfortable passwortlose Authentifizierung, allein durch den Stick, unterstützte zum Testzeitpunkt aber nur Microsoft bei seinen Onlinediensten.
Fazit: Sicher auch bei Verlust des Sticks
Im Vergleich zur Verwendung eines Passworts bietet der YubiKey Bio mehr Sicherheit, da er durch die biometrische Authentifizierung nicht von anderen missbraucht werden kann. Der Fokus für den Einsatz liegt auf der Authentifizierung für Webdiensten an Notebook oder PC. Noch bindet längst nicht jeder Internetdienst die biometrische Sicherheitsfunktion in seinen Anmeldeprozess ein. Dann ist der YubiKey Bio etwas weniger sicher, weil er im Vertrauen auf die starke Schutzwirkung der Biometrie recht wenig Kryptostandards unterstützt. In solchen Fällen sind andere YubiKeys die bessere Wahl, etwa der in unserer Tabelle aufgeführte YubiKey 5 NFC.
|
Produkt |
YubiKey Bio Fido-Edition |
YubiKey 5 NFC |
|
|
Preis mit USB-A (mit USB-C) in Euro ca. |
95 (101) |
54 (65) |
|
|
Geschützter Rechnerstart möglich laut Anbieter (etwa: Windows-Login) |
Linux |
|
|
|
MacOS |
|
|
|
|
Windows |
|
|
|
|
Schutz vor Staub und Wasser (Klasse laut Anbieter) |
IP68 |
IP68 |
|
|
Kryptostandards |
ECC p256 |
ECC p256 |
|
|
Unterstützte Authentifizierungsstandards |
FIDO2 CTAP1 |
FIDO2 CTAP1 |
|
-
So funktioniert Zwei-Faktor-Authentifizierung
- Passwörter sind für Angreifer oft recht leicht zu knacken. Wer seine Online-Konten besser schützen will, setzt auf die Zwei-Faktor-Authentifizierung, kurz: 2FA. Dann...
-
Wer schützt mich vor Passwortklau?
- Die Programme erstellen starke Passwörter und schützen vor Angriffen. Auf sie zu verzichten, kann teuer werden. Doch im Test fanden wir nicht nur zuverlässige Manager.
-
Der Testsieger kommt aus Deutschland
- Cloud-Dienste ermöglichen es, von überall auf Fotos und Dokumente zuzugreifen. Doch sind die Daten auch sicher? Das zeigt unser Test von elf Cloud-Diensten.
Diskutieren Sie mit
Nur registrierte Nutzer können Kommentare verfassen. Bitte melden Sie sich an. Individuelle Fragen richten Sie bitte an den Leserservice.
Nutzerkommentare können sich auf einen früheren Stand oder einen älteren Test beziehen.
Meine Erfahrung mit dem Fingerabdrucksensor beim iPhone 6s ist, dass man weder Zeige- noch Mittelfinger der dominanten Hand nehmen sollte, da an diesen Fingern viel zu leicht Veränderungen geschehen (z.B. durch leichte Verletzungen), die eine korrekte Identifizierung verhindern. Seit ich als Rechtshänderin den Mittelfinger der linken Hand für den Sensor nutze, muss ich nicht mehr alle paar Tage den Abdruck neu einspeichern.