Internetsicherheit Schnelltest

Zusätzliche Sicher­heits­maßnahme: Der Nutzer muss per Fingertipp auf das Schlüssel­symbol die Eingabe bestätigen.

Der Yubikey FIDO U2F Security Key*) von Yubico ist ein USB-Stick, der die Computer- und Internetnut­zung sicherer machen soll. Zusätzlich zu einem Benutzer­namen und einem Pass­wort müssen Nutzer auch noch den USB-Stick in den Computer stecken, um sich zu authentifizieren. test.de hat sich den Yubikey angesehen – und erklärt, wie das Ganze in der Praxis funk­tioniert.

Starker Schutz durch zweites Merkmal

Beim Yubikey FIDO U2F Security Key (Preis: 17,50 Euro) *) handelt es sich um ein USB-Gerät, das der Nutzer als zweites Merkmal für die so genannte Zwei-Faktor-Authentifikation, kurz 2FA, einsetzen kann. Zwei-Faktor-Authentifikation: So funktioniert sie. Auf dem Stick ist ein Sicher­heits­schlüssel hinterlegt, auch Token genannt. Das ist die einzige Funk­tion des USB-Gerätes, Daten lassen sich darauf nicht speichern. Man spricht daher auch von „USB-Token“. Bei dieser Art des Berechtigungs­nach­weises reicht es nicht aus, wenn der Nutzer, beispiels­weise beim E-Mail-Konto, den Benutzer­namen und sein Pass­wort eingibt. Zusätzlich braucht er noch ein weiteres Merkmal, um sich auszuweisen. Der Yubikey, beziehungs­weise der darauf fest einprogrammierte Sicher­heits­schlüssel, kann dieses Merkmal sein. Der Vorteil: Haben Cyberkriminelle, wie zuletzt häufig passiert, den Benutzer­namen und das Pass­wort eine Nutzers ausgespäht, können sie sich trotzdem nicht in das Online-Konto einloggen, weil ihnen das zweite Merkmal fehlt. Dieses hat nur, wer im Besitz des Yubikeys ist.

Ein offener Stan­dard

Der Yubikey ist neben dem französischen Produkt plug-up einer der ersten USB-Tokens, die den neuen offenen U2F-Stan­dard (U2F = universal second factor, zu Deutsch universeller zweiter Faktor) unterstützen. Beim U2F handelt es sich um einen Sicher­heits­stan­dard der FIDO-Allianz (FIDO = Fast Identity Online). Dieser Industrie­stan­dard beschreibt, wie genau eine universell einsetz­bare Zwei-Faktor-Authentifikation aussehen soll. Zur FIDO-Allianz gehören mittel­stän­dische Unternehmen, aber auch große Player wie Google oder Microsoft. Im Gegen­satz zu anderen Stan­dards ist der U2F öffent­lich und unterliegt keinerlei Geheimhaltungs­vorschriften der beteiligten Partner. So soll eine große Verbreitung und hohe Akzeptanz des Stan­dards erreicht werden.

Mit Googlemail und Chrome klappts ohne Probleme

Voraus­setzung für die Zwei-Faktor-Authentifikation ist, dass ein entsprechender Online-Dienst sie unterstützt. Derzeit gibt es nur wenige Anwendungen und Webbrowser, mit denen diese zusätzliche Sicher­heits­maßnahme funk­tioniert. Mit Googlemail und dem Chrome­browser klappts aber schon. Zunächst muss der Nutzer die Zwei-Faktor-Authentifikation in den Sicher­heits­einstel­lungen seines Googlemail-Accounts akti­vieren und den Yubikey als zweiten Faktor registrieren. Will der Nutzer sich nun in sein E-Mail-Konto einloggen, muss er nach der Kenn­wort­eingabe und nach­folgender Aufforderung den Yubikey in den Rechner stecken und per Fingertipp auf das Schlüssel­symbol die Eingabe bestätigen. Letzteres ist eine zusätzliche Sicher­heits­maßnahme. Durch die Bestätigung des Nutzers werden so genannte „Brute-Force-Atta­cken“ erschwert. Damit versuchen Angreifer durch mikro­sekunden­schnelle, auto­matisierte Eingabe von zufäl­ligen Zahlen­folgen, den Sicher­heits­schlüssel heraus­zufinden. Im Test klappte die Authentifikation mit dem Yubikey schnell und zuver­lässig. Der U2F-Stan­dard ist theoretisch offen für alle möglichen Anwendungen, weil er sowohl geräte- als auch software­unabhängig ist. Es bleibt allerdings noch abzu­warten, ob weitere Anwendungen hinzukommen, damit Sicher­heits-Tokens wie der Yubikey einen noch größeren Nutzen haben.

Ein zweiter Schlüssel ist ratsam

Ähnlich wie ein richtiger Schlüssel kann auch der Yubikey kaputt- oder verloren­gehen oder gar geklaut werden. Wer ganz sicher sein will, sollte bei seinem jeweiligen Online-Dienst also entweder noch einen zweiten USB-Token einrichten, zum Beispiel bei seinem Google-Account registrieren, und diesen für den Notfall am einem sicheren Ort verwahren oder ein anderes zusätzliches Sicher­heits­merkmal als Ausweich­möglich­keit einrichten, wie eine Tan-Liste. Verliert der Nutzer seinen Yubikey, kann er dann beim jeweiligen Online-Dienst den Stick als Authentifikations­merkmal löschen und schon ist er nutzlos. Der Nachteil: Eine zentrale Sperr­funk­tion für den Yubikey gibt es nicht — der Nutzer muss ihn bei jeder Anwendung einzeln einrichten oder löschen.

Fazit: Sicher­heits­maßnahme mit Potenzial

Im Test funk­tionierte der Yubikey FIDO U2F Security Key*) zuver­lässig und ohne Probleme. Derzeit fehlt es allerdings noch an einer breiten Masse von Anwendungen, die den Sicher­heits­stan­dard des Schlüssels unterstützen. Auch deshalb dürften viele Nutzer noch zurück­haltend sein, bevor sie 17,50 Euro*) ausgeben. Sollte sich die Zwei-Faktor-Authentifikation aber weiter durch­setzen, können USB-Tokens wie der Yubikey die Sicherheit erhöhen. Wer zum Beispiel am Smartphone oder Tablet keinen USB-Anschluss zur Verfügung hat, kann auch ein Sicher­heits­token mit der Nahfeld-Kommunikations­technik NFC wählen. Ein solches Modell kostet bei Yubico zirka 46 Euro.

*) Produktbezeichnung und Preis korrigiert am 04.02.2015

Dieser Artikel ist hilfreich. 155 Nutzer finden das hilfreich.