Internetsicherheit YubiKey Bio: Sicher per Fingertipp

1
Internetsicherheit - YubiKey Bio: Sicher per Fingertipp
Punkt für die Sicherheit. Das Runde ist der Sensor für Finger­abdrücke. © Stiftung Warentest / Ralph Kaiser

Die eigenen Online­konten lieber mehr­fach vor Unbe­fugten schützen: mit Multi-Faktor-Authentifizierung. Dabei hilft der USB-Stick YubiKey Bio mit Finger­abdruck­sensor.

Nur Pass­wort ist zu wenig

Was haben das E-Mail- und das Social-Media-Konto gemein­sam? Sie locken Kriminelle an, die sich Zugang verschaffen und aus der Über­nahme Kapital schlagen wollen. Nur mit einem Pass­wort sind Online­konten unzu­läng­lich geschützt. Sie lassen sich meist mit einem simplen Brute-Force-Angriff knacken, bei dem Hacker etwa gängige Pass­wörter wie „123456“ auto­matisiert eingeben, bis eines passt. Dagegen helfen die besten Passwortmanager.

Finger­abdruck für mehr Sicherheit

Noch wirk­samer ist ein zusätzlicher Schutz­faktor, etwa ein SMS-Code oder ein digi­taler Sicher­heits­schlüssel auf speziellen USB-Sticks. Das sind gängige Methoden der Multi-Faktor-Authentifizierung. Auch Google hat die Belegschaft des eigenen Unter­nehmens mit einer vergleich­baren Lösung ausgestattet, dem haus­eigenen Titan Security Key. Angeblich verzeichnete Google seither keinen erfolg­reichen Phishing-Angriff mehr. Das können wir nicht über­prüfen – angesichts unserer Test­ergeb­nisse ist es aber zumindest plausibel.

Der neueste Schrei ist ein Stick mit biome­trischer Sicherung, der YubiKey Bio. Er schaltet Online­dienste per Finger­abdruck frei und fügt den Sicher­heits­faktoren eins und zwei (Pass­wort und Sicher­heits­stick) Biometrie als dritten Faktor hinzu.

Nicht leicht auszutricksen

Ob sich der Finger­abdruck­sensor einfach austricksen lässt, prüften wir mit einem Abbild der Fingerkuppe. Es ähnelte ihr in allgemeiner Textur und glich ihr in der Anordnung der Papillar­leisten. Mit dieser Attrappe konnten wir uns nicht authentifizieren und nicht einmal einen neuen Finger­abdruck anlegen.

Tipp:
Um den Stick auch bei einer Verletzung der Fingerkuppe nutzen zu können, sollten Sie die Abdrücke mehrerer Finger speichern.

Schützt komfortabel

Für den Test sicherten wir Nutzer­konten bei Facebook, Google und Twitter. Das klappte. Der YubiKey war sicher und trotzdem sehr komfortabel. Das geht ja nicht immer Hand in Hand.

Funk­tioniert hat der Stick mit allen drei exemplarisch genutzten Diensten. Unterschiede fanden wir in den Verfahren zur Anmeldung und bei Nicht­erkennen des Sticks. Da führen Facebook & Co unterschiedlich zum Ziel. Zuweilen war das umständlich, ist jedoch unter anderem dem hohen Sicher­heits­anspruch des YubiKey geschuldet. Wer in solchen Fällen Hilfe benötigt, bekommt sie auf den Hilfe­seiten von Yubico nur in eng­lischer Sprache.

Internetsicherheit - YubiKey Bio: Sicher per Fingertipp
Klick. Der Abdruck des Daumens ist praktisch zum Authentifizieren, viele fassen den Stick ohnehin so an. © Stiftung Warentest / Ralph Kaiser

Funk­tioniert auch mit Handys und Tablets

Auch der Zugriff auf Online­dienste auf Mobilgeräten mit Android und iOS lässt sich sichern. Im Test verbanden wir Smartphones und Stick via USB-Adapter. Danach funk­tionierte am Smartphone alles so wie an Notebook oder PC.

Etwas eleganter ginge es mit dem YubiKey Bio in der ein paar Euro teureren USB-C-Variante. Viele neuere Smartphones und Tablets unterstützen diesen Anschluss bereits.

Zu kurze Pin

Geht der YubiKey-Bio-Schlüssel verloren, könnte ein Angreifer versuchen, sich damit Zugriff zu den Konten des Opfers zu verschaffen. Der Stick ignoriert den Finger­abdruck des Angreifers und fordert nach drei fehl­geschlagenen Versuchen der biome­trischen Erkennung die Eingabe des Pin-Codes. Nach acht Versuchen mit falscher Pin geht der YubiKey Bio in den „Geblockt“-Status. Dieser Brute-Force-Schutz ist wirk­sam, steht und fällt jedoch mit der Länge der von Nutze­rinnen und Nutzern fest­gelegten Pin. Die vom YubiKey akzeptierte Minimallänge von vier Zeichen ist definitiv zu kurz.

Tipp: Mehr als 20 Zeichen sollte die Pin-Nummer für den YubiKey schon haben – maximal 127 Zeichen sind möglich.

Klappt, aber nicht bei allen Online­diensten

Im Test hat sich der YubiKey Bio bewährt. An Sicherheit Interes­sierte werden den Aufwand beim Einrichten akzeptieren und sich anschließend an der komfort­ablen Hand­habung erfreuen. Bei etlichen Online­diensten ist eine Multi-Faktor-Authentifizierung mit dem YubiKey Bio möglich. Die besonders komfortable pass­wort­lose Authentifizierung, allein durch den Stick, unterstützte zum Test­zeit­punkt aber nur Microsoft bei seinen Online­diensten.

Fazit: Sicher auch bei Verlust des Sticks

Im Vergleich zur Verwendung eines Pass­worts bietet der YubiKey Bio mehr Sicherheit, da er durch die biome­trische Authentifizierung nicht von anderen miss­braucht werden kann. Der Fokus für den Einsatz liegt auf der Authentifizierung für Webdiensten an Notebook oder PC. Noch bindet längst nicht jeder Internet­dienst die biome­trische Sicher­heits­funk­tion in seinen Anmelde­prozess ein. Dann ist der YubiKey Bio etwas weniger sicher, weil er im Vertrauen auf die starke Schutz­wirkung der Biometrie recht wenig Krypto­stan­dards unterstützt. In solchen Fällen sind andere YubiKeys die bessere Wahl, etwa der in unserer Tabelle aufgeführte YubiKey 5 NFC.

Produkt

YubiKey Bio Fido-Edition

YubiKey 5 NFC

Preis mit USB-A (mit USB-C) in Euro ca.

95 (101)

54 (65)

Geschützter Rechnerstart möglich laut Anbieter (etwa: Wind­ows-Login)

Linux

nein

ja

MacOS

nein

ja

Wind­ows

nein

ja

Schutz vor Staub und Wasser (Klasse laut Anbieter)

IP68

IP68

Krypto­stan­dards

ECC p256

ECC p256
ECC p384
RSA 2048
RSA 4096 (PGP)

Unterstützte Authentifizierungs­stan­dards

FIDO2 CTAP1
FIDO2 CTAP2
Universal 2nd Factor (U2F)
WebAuthn

FIDO2 CTAP1
FIDO2 CTAP2
OATH - HOTP (Event)
OATH - TOTP (Time)
OpenPGP
Secure Static Pass­words
Smart card (PIV-compatible)
Universal 2nd Factor (U2F)
WebAuthn
Yubico OTP

1

Mehr zum Thema

  • Online-Konten schützen mit 2FA So funk­tioniert Zwei-Faktor-Authentifizierung

    - Pass­wörter sind für Angreifer oft recht leicht zu knacken. Wer seine Online-Konten besser schützen will, setzt auf die Zwei-Faktor-Authentifizierung, kurz: 2FA. Dann...

  • Pass­wort-Manager im Test Wer schützt mich vor Pass­wort­klau?

    - Die Programme erstellen starke Pass­wörter und schützen vor Angriffen. Auf sie zu verzichten, kann teuer werden. Doch im Test fanden wir nicht nur zuver­lässige Manager.

  • VPN-Dienste Preis-Wirr­warr bei NordVPN

    - Ein Dienst, drei Probleme: Beim Anbieter NordVPN schwanken die Preise bedenk­lich. Mitunter wird die Mehr­wert­steuer nicht ange­zeigt. Und iPhone-Nutzer sollen mehr zahlen.

1 Kommentar Diskutieren Sie mit

Nur registrierte Nutzer können Kommentare verfassen. Bitte melden Sie sich an. Individuelle Fragen richten Sie bitte an den Leserservice.

Nutzer­kommentare können sich auf einen früheren Stand oder einen älteren Test beziehen.

Pedi015 am 04.08.2022 um 09:00 Uhr
Fingerabdrucksensor

Meine Erfahrung mit dem Fingerabdrucksensor beim iPhone 6s ist, dass man weder Zeige- noch Mittelfinger der dominanten Hand nehmen sollte, da an diesen Fingern viel zu leicht Veränderungen geschehen (z.B. durch leichte Verletzungen), die eine korrekte Identifizierung verhindern. Seit ich als Rechtshänderin den Mittelfinger der linken Hand für den Sensor nutze, muss ich nicht mehr alle paar Tage den Abdruck neu einspeichern.