Golem hat vier verschiedene FIDO-Sticks getestet [1]. FIDO [2] ist eine Allianz für starke Authentifizierung, die verschiedene Standards und Technologien herausgebracht hat. FIDO UAF ist der Standard für passwortlose Authentifizierung, beispielsweise über einen Fingerabdruck. FIDO U2F beschreibt, wie man einen zweiten Faktor benutzerfreundlich und zugleich sicher einsetzen kann. Am neuesten ist FIDO2, eine W3C Web Authentifizierung Spezifikation mit den Client-to-Authenticator-Protocols (CTAP) der FIDO Allianz. Verschiedene Security Keys und Sticks sind FIDO-zertifiziert.
Manche Anwendungen, wie Google und Facebook, unterstützen einen zweiten Faktor. Zudem muss der Browser mitspielen. Chrome/Chromium und Edge unterstützen U2F von Haus aus, bei Firefox muss dies erst aktiviert werden (in about:config security.webauth.u2f = true). Für manche Dienste kann der Schlüssel trotzdem nicht hinterlegt werden.
Golem hat Security Keys von Yubico, Google, Nitrokey und Solokeys getestet, die 2018 auf dem Markt kamen und allesamt U2F können sollen. Solokeys kam aus einer Kickstarter-Kampagne hervor. Googles Security Key heißt Titan und ist bisher nur in den USA verfügbar.
Im Test konnte keiner der zweiten Faktoren abgefangen oder gephisht werden. Unter Linux müssen für Nitrokey und Solokeys Udev-Regeln gesetzt werden. Solokeys und Yubico Security Key unterstützen FIDO2, Googles Titan und Nitrokey unterstützen passwortloses Anmelden nicht. Auch wird dies nur unter Windows 10 ab Version 1809 und im Browser Edge unterstützt. Solokeys und Nitrokeys werben mit offener Hard- und Software. Die Pläne gibt es auf GitHub. Bei Googles und Yubicos Security Keys lässt sich die Firmware hingegen nicht aktualisieren (was bereits bei nicht zufälligen Zufallszahlen in der Vergangenheit für eine Tauschaktion gesorgt hat).
Prinzipiell tun die Sticks was sie sollen. Es nutzt aber nichts, wenn die verwendeten Dienste den Standard nicht unterstützen. Wichtig ist es immer Ersatz zu haben, da ein Stick schon einmal verloren oder kaputt gehen kann. Zumindest ist mit einem Stick der zweite Faktor nicht auf ein und demselben Gerät wie der erste Faktor (auch wenn das theoretisch realisierbar wäre).
Quellen:
[1] https://www.golem.de/news/fido-sticks-im-test-endlich-schlechte-passwoerter-1903-139953.html
[2] https://fidoalliance.org
Manche Anwendungen, wie Google und Facebook, unterstützen einen zweiten Faktor. Zudem muss der Browser mitspielen. Chrome/Chromium und Edge unterstützen U2F von Haus aus, bei Firefox muss dies erst aktiviert werden (in about:config security.webauth.u2f = true). Für manche Dienste kann der Schlüssel trotzdem nicht hinterlegt werden.
Golem hat Security Keys von Yubico, Google, Nitrokey und Solokeys getestet, die 2018 auf dem Markt kamen und allesamt U2F können sollen. Solokeys kam aus einer Kickstarter-Kampagne hervor. Googles Security Key heißt Titan und ist bisher nur in den USA verfügbar.
Im Test konnte keiner der zweiten Faktoren abgefangen oder gephisht werden. Unter Linux müssen für Nitrokey und Solokeys Udev-Regeln gesetzt werden. Solokeys und Yubico Security Key unterstützen FIDO2, Googles Titan und Nitrokey unterstützen passwortloses Anmelden nicht. Auch wird dies nur unter Windows 10 ab Version 1809 und im Browser Edge unterstützt. Solokeys und Nitrokeys werben mit offener Hard- und Software. Die Pläne gibt es auf GitHub. Bei Googles und Yubicos Security Keys lässt sich die Firmware hingegen nicht aktualisieren (was bereits bei nicht zufälligen Zufallszahlen in der Vergangenheit für eine Tauschaktion gesorgt hat).
Prinzipiell tun die Sticks was sie sollen. Es nutzt aber nichts, wenn die verwendeten Dienste den Standard nicht unterstützen. Wichtig ist es immer Ersatz zu haben, da ein Stick schon einmal verloren oder kaputt gehen kann. Zumindest ist mit einem Stick der zweite Faktor nicht auf ein und demselben Gerät wie der erste Faktor (auch wenn das theoretisch realisierbar wäre).
Quellen:
[1] https://www.golem.de/news/fido-sticks-im-test-endlich-schlechte-passwoerter-1903-139953.html
[2] https://fidoalliance.org