Zusätzliche Sicherheitsmaßnahme: Der Nutzer muss per Fingertipp auf das Schlüsselsymbol die Eingabe bestätigen.
Der Yubikey FIDO U2F Security Key*) von Yubico ist ein USB-Stick, der die Computer- und Internetnutzung sicherer machen soll. Zusätzlich zu einem Benutzernamen und einem Passwort müssen Nutzer auch noch den USB-Stick in den Computer stecken, um sich zu authentifizieren. test.de hat sich den Yubikey angesehen – und erklärt, wie das Ganze in der Praxis funktioniert.
Starker Schutz durch zweites Merkmal
Beim Yubikey FIDO U2F Security Key (Preis: 17,50 Euro) *) handelt es sich um ein USB-Gerät, das der Nutzer als zweites Merkmal für die so genannte Zwei-Faktor-Authentifikation, kurz 2FA, einsetzen kann. Zwei-Faktor-Authentifikation: So funktioniert sie. Auf dem Stick ist ein Sicherheitsschlüssel hinterlegt, auch Token genannt. Das ist die einzige Funktion des USB-Gerätes, Daten lassen sich darauf nicht speichern. Man spricht daher auch von „USB-Token“. Bei dieser Art des Berechtigungsnachweises reicht es nicht aus, wenn der Nutzer, beispielsweise beim E-Mail-Konto, den Benutzernamen und sein Passwort eingibt. Zusätzlich braucht er noch ein weiteres Merkmal, um sich auszuweisen. Der Yubikey, beziehungsweise der darauf fest einprogrammierte Sicherheitsschlüssel, kann dieses Merkmal sein. Der Vorteil: Haben Cyberkriminelle, wie zuletzt häufig passiert, den Benutzernamen und das Passwort eine Nutzers ausgespäht, können sie sich trotzdem nicht in das Online-Konto einloggen, weil ihnen das zweite Merkmal fehlt. Dieses hat nur, wer im Besitz des Yubikeys ist.
Ein offener Standard
Der Yubikey ist neben dem französischen Produkt plug-up einer der ersten USB-Tokens, die den neuen offenen U2F-Standard (U2F = universal second factor, zu Deutsch universeller zweiter Faktor) unterstützen. Beim U2F handelt es sich um einen Sicherheitsstandard der FIDO-Allianz (FIDO = Fast Identity Online). Dieser Industriestandard beschreibt, wie genau eine universell einsetzbare Zwei-Faktor-Authentifikation aussehen soll. Zur FIDO-Allianz gehören mittelständische Unternehmen, aber auch große Player wie Google oder Microsoft. Im Gegensatz zu anderen Standards ist der U2F öffentlich und unterliegt keinerlei Geheimhaltungsvorschriften der beteiligten Partner. So soll eine große Verbreitung und hohe Akzeptanz des Standards erreicht werden.
Mit Googlemail und Chrome klappts ohne Probleme
Voraussetzung für die Zwei-Faktor-Authentifikation ist, dass ein entsprechender Online-Dienst sie unterstützt. Derzeit gibt es nur wenige Anwendungen und Webbrowser, mit denen diese zusätzliche Sicherheitsmaßnahme funktioniert. Mit Googlemail und dem Chromebrowser klappts aber schon. Zunächst muss der Nutzer die Zwei-Faktor-Authentifikation in den Sicherheitseinstellungen seines Googlemail-Accounts aktivieren und den Yubikey als zweiten Faktor registrieren. Will der Nutzer sich nun in sein E-Mail-Konto einloggen, muss er nach der Kennworteingabe und nachfolgender Aufforderung den Yubikey in den Rechner stecken und per Fingertipp auf das Schlüsselsymbol die Eingabe bestätigen. Letzteres ist eine zusätzliche Sicherheitsmaßnahme. Durch die Bestätigung des Nutzers werden so genannte „Brute-Force-Attacken“ erschwert. Damit versuchen Angreifer durch mikrosekundenschnelle, automatisierte Eingabe von zufälligen Zahlenfolgen, den Sicherheitsschlüssel herauszufinden. Im Test klappte die Authentifikation mit dem Yubikey schnell und zuverlässig. Der U2F-Standard ist theoretisch offen für alle möglichen Anwendungen, weil er sowohl geräte- als auch softwareunabhängig ist. Es bleibt allerdings noch abzuwarten, ob weitere Anwendungen hinzukommen, damit Sicherheits-Tokens wie der Yubikey einen noch größeren Nutzen haben.
Ein zweiter Schlüssel ist ratsam
Ähnlich wie ein richtiger Schlüssel kann auch der Yubikey kaputt- oder verlorengehen oder gar geklaut werden. Wer ganz sicher sein will, sollte bei seinem jeweiligen Online-Dienst also entweder noch einen zweiten USB-Token einrichten, zum Beispiel bei seinem Google-Account registrieren, und diesen für den Notfall am einem sicheren Ort verwahren oder ein anderes zusätzliches Sicherheitsmerkmal als Ausweichmöglichkeit einrichten, wie eine Tan-Liste. Verliert der Nutzer seinen Yubikey, kann er dann beim jeweiligen Online-Dienst den Stick als Authentifikationsmerkmal löschen und schon ist er nutzlos. Der Nachteil: Eine zentrale Sperrfunktion für den Yubikey gibt es nicht — der Nutzer muss ihn bei jeder Anwendung einzeln einrichten oder löschen.
Fazit: Sicherheitsmaßnahme mit Potenzial
Im Test funktionierte der Yubikey FIDO U2F Security Key*) zuverlässig und ohne Probleme. Derzeit fehlt es allerdings noch an einer breiten Masse von Anwendungen, die den Sicherheitsstandard des Schlüssels unterstützen. Auch deshalb dürften viele Nutzer noch zurückhaltend sein, bevor sie 17,50 Euro*) ausgeben. Sollte sich die Zwei-Faktor-Authentifikation aber weiter durchsetzen, können USB-Tokens wie der Yubikey die Sicherheit erhöhen. Wer zum Beispiel am Smartphone oder Tablet keinen USB-Anschluss zur Verfügung hat, kann auch ein Sicherheitstoken mit der Nahfeld-Kommunikationstechnik NFC wählen. Ein solches Modell kostet bei Yubico zirka 46 Euro.
*) Produktbezeichnung und Preis korrigiert am 04.02.2015
-
So funktioniert Zwei-Faktor-Authentifizierung
- Passwörter sind für Angreifer oft recht leicht zu knacken. Wer seine Online-Konten besser schützen will, setzt auf die Zwei-Faktor-Authentifizierung, kurz: 2FA. Dann...
-
Phishing-Gefahr für Bürorückkehrer
- Derzeit kehren viele Beschäftigte an ihren Arbeitsplatz zurück, und es entstehen neue Einfallstore für Cyberkriminelle. test.de sagt, worauf Sie achten sollten.
-
Hilfreich gegen Hacker – VPN-Dienste im Vergleich
- Kaum jemand kennt sie, doch fast jeder braucht sie: VPN-Dienste schützen vor Datenraub durch Hacker im offenen WLan. Der VPN-Test zeigt die besten Programme.
Diskutieren Sie mit
Nur registrierte Nutzer können Kommentare verfassen. Bitte melden Sie sich an. Individuelle Fragen richten Sie bitte an den Leserservice.
Nutzerkommentare können sich auf einen früheren Stand oder einen älteren Test beziehen.
Open Source made in Berlin: https://www.nitrokey.com/de
Selbst ein langes und kompliziertes Kennwort, das zwar sehr schwer zu erraten wäre, kann dennoch ausgespäht oder gestohlen werden, und dagegen hilft eine Hardware, wie zum Beispiel ein Yubikey. Ein Cyber-Krimineller müsste dann sowohl in den Besitz des Kennworts als auch in den Besitz des Hardware-Schlüssels kommen, was die Sicherheit deutlich erhöht.
.
Es gibt viele Faktoren, die den Zugang zu digitalen Daten schützen können. Diese kann man in drei Kategorien einordnen:
1. Etwas, was der Nutzer kennt – Beispiele: Benutzernamen, Kennwort, Persönliche Identifikationsnummer (PIN), Transaktionsnummer (TAN)
2. Etwas, was der Nutzer besitzt – Beispiele: Hardware-Token, Kreditkarte, Schlüssel
3. Etwas, was zum Nutzer gehört – Beispiele: Fingerabdruck, Muster der Regenbogenhaut (Iris-Erkennung), menschliche Stimme
.
Zwei (oder sogar drei) Faktoren sind dabei immer sicherer sind als nur ein einziger. (Bu)
Gibt es eine?
nice to have...... Aber wirklich notwendig,wenn man seine Passwörter in Ordnung hat????
@alle
Bei dem von uns getesteten Modell handelt es sich tatsächlich nicht um den Yubikey Standard, sondern um den Yubikey FIDO U2F Security Key. Wir hatten aufgrund eines redaktionellen Fehlers - es gibt mehrere Yubikey-Modelle - zunächst eine falsche Produktbezeichnung in unserem Artikel verwendet. Dies ist inzwischen korrigiert (siehe Sternchen-Hinweis oben). Alle Angaben im Test bezogen sich von Anfang an auf den Yubikey FIDO U2F Security Key. Unsere Abbildung zeigte ebenfalls von Anfang an den tatsächlich getesteten Yubikey FIDO U2F Security Key.
(aci)