Internetsicherheit YubiKey Bio: Sicher per Fingertipp

Internetsicherheit - YubiKey Bio: Sicher per Fingertipp
Punkt für die Sicherheit. Das Runde ist der Sensor für Finger­abdrücke. © Stiftung Warentest / Ralph Kaiser

Die eigenen Online­konten lieber mehr­fach vor Unbe­fugten schützen: mit Multi-Faktor-Authentifizierung. Dabei hilft der USB-Stick YubiKey Bio mit Finger­abdruck­sensor.

Nur Pass­wort ist zu wenig

Was haben das E-Mail- und das Social-Media-Konto gemein­sam? Sie locken Kriminelle an, die sich Zugang verschaffen und aus der Über­nahme Kapital schlagen wollen. Nur mit einem Pass­wort sind Online­konten unzu­läng­lich geschützt. Sie lassen sich meist mit einem simplen Brute-Force-Angriff knacken, bei dem Hacker etwa gängige Pass­wörter wie „123456“ auto­matisiert eingeben, bis eines passt. Dagegen helfen die besten Passwortmanager.

Finger­abdruck für mehr Sicherheit

Noch wirk­samer ist ein zusätzlicher Schutz­faktor, etwa ein SMS-Code oder ein digi­taler Sicher­heits­schlüssel auf speziellen USB-Sticks. Das sind gängige Methoden der Multi-Faktor-Authentifizierung. Auch Google hat die Belegschaft des eigenen Unter­nehmens mit einer vergleich­baren Lösung ausgestattet, dem haus­eigenen Titan Security Key. Angeblich verzeichnete Google seither keinen erfolg­reichen Phishing-Angriff mehr. Das können wir nicht über­prüfen – angesichts unserer Test­ergeb­nisse ist es aber zumindest plausibel.

Der neueste Schrei ist ein Stick mit biome­trischer Sicherung, der YubiKey Bio. Er schaltet Online­dienste per Finger­abdruck frei und fügt den Sicher­heits­faktoren eins und zwei (Pass­wort und Sicher­heits­stick) Biometrie als dritten Faktor hinzu.

Nicht leicht auszutricksen

Ob sich der Finger­abdruck­sensor einfach austricksen lässt, prüften wir mit einem Abbild der Fingerkuppe. Es ähnelte ihr in allgemeiner Textur und glich ihr in der Anordnung der Papillar­leisten. Mit dieser Attrappe konnten wir uns nicht authentifizieren und nicht einmal einen neuen Finger­abdruck anlegen.

Tipp:
Um den Stick auch bei einer Verletzung der Fingerkuppe nutzen zu können, sollten Sie die Abdrücke mehrerer Finger speichern.

Schützt komfortabel

Für den Test sicherten wir Nutzer­konten bei Facebook, Google und Twitter. Das klappte. Der YubiKey war sicher und trotzdem sehr komfortabel. Das geht ja nicht immer Hand in Hand.

Funk­tioniert hat der Stick mit allen drei exemplarisch genutzten Diensten. Unterschiede fanden wir in den Verfahren zur Anmeldung und bei Nicht­erkennen des Sticks. Da führen Facebook & Co unterschiedlich zum Ziel. Zuweilen war das umständlich, ist jedoch unter anderem dem hohen Sicher­heits­anspruch des YubiKey geschuldet. Wer in solchen Fällen Hilfe benötigt, bekommt sie auf den Hilfe­seiten von Yubico nur in eng­lischer Sprache.

Internetsicherheit - YubiKey Bio: Sicher per Fingertipp
Klick. Der Abdruck des Daumens ist praktisch zum Authentifizieren, viele fassen den Stick ohnehin so an. © Stiftung Warentest / Ralph Kaiser

Funk­tioniert auch mit Handys und Tablets

Auch der Zugriff auf Online­dienste auf Mobilgeräten mit Android und iOS lässt sich sichern. Im Test verbanden wir Smartphones und Stick via USB-Adapter. Danach funk­tionierte am Smartphone alles so wie an Notebook oder PC.

Etwas eleganter ginge es mit dem YubiKey Bio in der ein paar Euro teureren USB-C-Variante. Viele neuere Smartphones und Tablets unterstützen diesen Anschluss bereits.

Zu kurze Pin

Geht der YubiKey-Bio-Schlüssel verloren, könnte ein Angreifer versuchen, sich damit Zugriff zu den Konten des Opfers zu verschaffen. Der Stick ignoriert den Finger­abdruck des Angreifers und fordert nach drei fehl­geschlagenen Versuchen der biome­trischen Erkennung die Eingabe des Pin-Codes. Nach acht Versuchen mit falscher Pin geht der YubiKey Bio in den „Geblockt“-Status. Dieser Brute-Force-Schutz ist wirk­sam, steht und fällt jedoch mit der Länge der von Nutze­rinnen und Nutzern fest­gelegten Pin. Die vom YubiKey akzeptierte Minimallänge von vier Zeichen ist definitiv zu kurz.

Tipp: Mehr als 20 Zeichen sollte die Pin-Nummer für den YubiKey schon haben – maximal 127 Zeichen sind möglich.

Klappt, aber nicht bei allen Online­diensten

Im Test hat sich der YubiKey Bio bewährt. An Sicherheit Interes­sierte werden den Aufwand beim Einrichten akzeptieren und sich anschließend an der komfort­ablen Hand­habung erfreuen. Bei etlichen Online­diensten ist eine Multi-Faktor-Authentifizierung mit dem YubiKey Bio möglich. Die besonders komfortable pass­wort­lose Authentifizierung, allein durch den Stick, unterstützte zum Test­zeit­punkt aber nur Microsoft bei seinen Online­diensten.

Fazit: Sicher auch bei Verlust des Sticks

Im Vergleich zur Verwendung eines Pass­worts bietet der YubiKey Bio mehr Sicherheit, da er durch die biome­trische Authentifizierung nicht von anderen miss­braucht werden kann. Der Fokus für den Einsatz liegt auf der Authentifizierung für Webdiensten an Notebook oder PC. Noch bindet längst nicht jeder Internet­dienst die biome­trische Sicher­heits­funk­tion in seinen Anmelde­prozess ein. Dann ist der YubiKey Bio etwas weniger sicher, weil er im Vertrauen auf die starke Schutz­wirkung der Biometrie recht wenig Krypto­stan­dards unterstützt. In solchen Fällen sind andere YubiKeys die bessere Wahl, etwa der in unserer Tabelle aufgeführte YubiKey 5 NFC.

Produkt

YubiKey Bio Fido-Edition

YubiKey 5 NFC

Preis mit USB-A (mit USB-C) in Euro ca.

95 (101)

54 (65)

Geschützter Rechnerstart möglich laut Anbieter (etwa: Wind­ows-Login)

Linux

nein

ja

MacOS

nein

ja

Wind­ows

nein

ja

Schutz vor Staub und Wasser (Klasse laut Anbieter)

IP68

IP68

Krypto­stan­dards

ECC p256

ECC p256
ECC p384
RSA 2048
RSA 4096 (PGP)

Unterstützte Authentifizierungs­stan­dards

FIDO2 CTAP1
FIDO2 CTAP2
Universal 2nd Factor (U2F)
WebAuthn

FIDO2 CTAP1
FIDO2 CTAP2
OATH - HOTP (Event)
OATH - TOTP (Time)
OpenPGP
Secure Static Pass­words
Smart card (PIV-compatible)
Universal 2nd Factor (U2F)
WebAuthn
Yubico OTP

Mehr zum Thema

  • Online-Konten schützen mit 2FA So funk­tioniert Zwei-Faktor-Authentifizierung

    - Pass­wörter sind für Angreifer oft recht leicht zu knacken. Wer seine Online-Konten besser schützen will, setzt auf die Zwei-Faktor-Authentifizierung, kurz: 2FA. Dann...

  • VPN-Dienste Preis-Wirr­warr bei NordVPN

    - Ein Dienst, drei Probleme: Beim Anbieter NordVPN schwanken die Preise bedenk­lich. Mitunter wird die Mehr­wert­steuer nicht ange­zeigt. Und iPhone-Nutzer sollen mehr zahlen.

  • Messenger-Apps im Vergleich Wo niemand mitliest

    - WhatsApp, Signal, Telegram & Co sind aus dem Alltag nicht mehr wegzudenken. Unser Messenger-Vergleich zeigt, welche der 16 Chat-Dienste im Test besonders sicher sind.

0 Kommentare Diskutieren Sie mit

Nur registrierte Nutzer können Kommentare verfassen. Bitte melden Sie sich an. Individuelle Fragen richten Sie bitte an den Leserservice.