So richtig passwortlos war das Login per Fido-Stick oft nicht. Der Yubikey Bio macht das besser.
Auf dem Smartphone haben sich biometrische Anmeldesysteme bereits als Alternative zu Passwort oder PIN durchgesetzt. Auch Fido-Sticks wie der Yubikey Bio von Yubico sollen Passwörter verbannen. Doch für passwortloses Anmelden war bisher meist noch eine PIN notwendig - damit der Fido-Stick im Falle eines Verlustes nicht von Dritten per Knopfdruck genutzt werden kann.
Der Yubikey Bio bietet - wie viele Smartphones - einen Fingerabdruck als Alternative zur PIN und sorgt damit für mehr Komfort und Sicherheit, wie der Test von Golem.de zeigt.
Der Yubikey Bio ist seit Kurzem lieferbar, angekündigt hat Yubico ihn bereits vor zwei Jahren. Nun halten wir ihn endlich in den Händen.
Äußerlich gleicht der Yubikey Bio den anderen Sicherheitsschlüsseln von Yubico. Vom Yubikey 5 NFC und 5C NFC unterscheiden sich die beiden Yubikeys Bio mit USB-A- und USB-C-Anschluss von außen nur durch den schwarzen Fingerabdrucksensor, der den goldfarbenen Button in der Mitte ersetzt.
Die Verarbeitung ist wie von Yubico gewohnt hochwertig. Ohne Werkzeug kann man dem Yubikey Bio auch mit roher Gewalt nichts anhaben. Entsprechend widerstandsfähig ist der Fido-Stick am Schlüsselbund oder im Einsatz unter widrigen Bedingungen. Auch Wasser beschädigt den Sicherheitsschlüssel nicht.
Der Yubikey Bio ist ein reiner Fido-Stick
Das schwarze Äußere und die Ähnlichkeit zur Yubikey-5-Serie täuschen allerdings über den Funktionsumfang hinweg. Beim Yubikey Bio handelt es sich um einen reinen Fido2-Stick, der vom Funktionsumfang eher mit dem blauen Yubikey Security Key NFC (Test) zu vergleichen ist. Von diesem unterscheidet ihn einzig der Fingerabdrucksensor sowie das Fehlen der Kontaktlos-Funktion per NFC. Während die Yubikey-5-Serie weitere Funktionen wie beispielsweise OpenPGP, HOTP oder TOTP unterstützt, ist das beim Yubikey Bio nicht der Fall.
Auf Nachfrage von Golem.de, ob auch eine Yubikey-5-Variante mit Fingerabdrucksensor geplant sei, äußert sich eine Sprecherin von Yubico vage: "Wir haben keine weiteren Informationen über den Fahrplan von Yubico im Bereich der Biometrie, aber wir können sagen, dass Yubico stets an der Innovation bestehender und zukünftiger Produkte arbeitet." Allerdings hat der Anbieter den Yubikey Bio bereits als Fido Edition angekündigt, was erahnen lässt, dass weitere Editionen mit anderem Funktionsumfang geplant sind.
Den höchsten Komfortgewinn dürfte die biometrische Funktion jedoch ohnehin bei einer passwortlosen Anmeldung per Fido2/Webauthn bringen, da wie bereits erwähnt die PIN durch den Fingerabdruck ersetzt werden kann.
Nach Android beherrscht damit nun auch Yubico passwortloses Anmelden mit biometrischen Daten per Fido2/Webauthn. Ähnlich wie bei PGP oder SSH kommt hierbei Public-Key-Kryptographie zum Einsatz.
Der öffentliche Schlüssel wird zwischen Nutzern und Webdienst ausgetauscht. Wer sich einloggen will, erhält eine Challenge vom Dienst, mit der er oder sie den Besitz des privaten Schlüssels nachweist - ohne dass der private Schlüssel das Gerät verlässt. Das Ergebnis wird an den Dienst geschickt, der über den öffentlichen Schlüssel überprüft, ob die sich einloggende Person auch wirklich im Besitz des privaten Schlüssels ist.
Um den Yubikey Bio einzurichten, reicht im Prinzip ein Browser. In diesem wird eine Webseite aufgerufen, die Webauthn unterstützt, in unserem Fall ist das eine Nextcloud. Will man dort den Sicherheitsschlüssel hinterlegen, beginnt die Einrichtung: Wir werden erst nach einer PIN gefragt, anschließend müssen wir mehrfach unseren Finger auf den Sensor halten, um ein Fingerabdruck-Template zu erstellen. Das fühlt sich exakt wie bei der Einrichtung eines Smartphones an und ist binnen weniger Sekunden erledigt.
Danach können wir uns passwortlos an unserer Nextcloud anmelden, indem wir auf "Mit einem Gerät anmelden" klicken und den Sensor kurz mit unserem Finger berühren. Das funktioniert gut und ist sehr komfortabel. Durch den Fingerabdruckschutz müssen wir uns beim passwortlosen Anmelden weder Sorgen machen, dass Dritte sich mit dem Fido-Stick einfach an unserer Cloud anmelden können, wenn sie den Stick finden, noch müssen wir eine PIN eingeben, die eben diese Sorgen vertreiben würde. Der Prozess ist jetzt wirklich passwortlos.
Im Test klappt das Einrichten nicht mit jedem Browser
Allerdings klappt die Einrichtung in unserem Test nur unter Linux (Ubuntu 20.04) mit Chromium, der freien Variante des Chrome-Browsers von Google. Mit Firefox funktioniert die Einrichtung weder unter Windows 10 2004 noch unter Linux, während Chrome unter Windows zwar die Einrichtung startet, allerdings das Eingabefeld für die PIN nicht anzeigen will. Ein Bug, der hoffentlich nur bei unserem Test aufgetreten ist.
Alternativ lässt sich der Yubikey Bio jedoch auch mit Windows Hello oder mit der Software Yubico Authenticator for Desktop einrichten, die für Windows, Mac OS und Linux zur Verfügung steht. Die Software steht unter einer Open-Source-Lizenz (BSD-2-Clause) und ist sowohl in Ubuntus Appstore als auch im Microsoft-Appstore erhältlich. Alternativ kann sie auf der Webseite von Yubico heruntergeladen werden.
Mit Yubico Authenticator und Windows Hello lässt sich der Yubikey Bio jedoch nicht nur einrichten, sondern auch verwalten. So können beispielsweise die hinterlegte PIN geändert oder der Fingerabdruck gelöscht beziehungsweise weitere hinzugefügt werden.
Mit dem Fingerabdruck klappt's, mit der PIN nicht immer
Einmal eingerichtet, gelten die Einschränkungen für Browser und Betriebssystem nicht mehr. Wir können den Stick sowohl unter Windows als auch unter Linux mit Chrome, Chromium und Firefox in der Nextcloud hinterlegen und uns anschließend passwortlos anmelden. Gleiches gilt für die Zwei-Faktor-Authentifizierung mit unserem Google-Testkonto. Auch hier können wir den Yubikey Bio in allen getesteten Varianten problemlos verwenden.
Wird der Fingerabdruck dreimal hintereinander nicht erkannt, fällt der Yubikey Bio auf die PIN zurück. Das funktioniert im Firefox allerdings nicht, während Chrome respektive Chromium den Wechsel auf die PIN problemlos vollziehen. Wird auch die PIN achtmal falsch eingegeben, sperrt sich der Yubikey Bio komplett und muss zurückgesetzt werden.
Die Limitierungen sollen vor Angriffen mit nachgebildeten Fingerabdrücken oder Brute-Force-Angriffen schützen, also dem Durchprobieren von PIN-Kombinationen. Die Kollegen des Computermagazins C't versuchten erfolglos, den Sensor mit einer Kopie des Fingerabdrucks aus einer dünnen Schicht Holzleim zu überlisten.
Allerdings gelingt es Sicherheitsforschern immer wieder, biometrische Sicherheitssysteme auszutricksen. Solche Angriffe sind jedoch aufwendig und definitiv nichts für Gelegenheitsfinder. Angriffe auf ein Passwort wie beispielsweise mit einer versteckten Kamera dürften ähnlich aufwendig oder sogar einfacher sein.
Neben der Beschränkung der Versuche, Fingerabdruck oder PIN einzugeben, hat Yubico auch bei der Hardware selbst auf Sicherheit geachtet. So werden die Fingerabdruck-Templates direkt auf dem Sicherheitsschlüssel generiert und verlassen diesen nie. "Die Schlüsselserie verfügt über ein Drei-Chip-Design, das es ermöglicht, das biometrische Fingerabdruckmaterial in einem separaten Sicherheitselement zu speichern, das einen verbesserten Schutz vor physischen Angriffen bietet", erklärt Yubico.
Der Yubikey Bio ist in einer USB-A- und einer USB-C-Variante erhältlich und kann direkt im Shop von Yubico bestellt werden. Dort wird er inklusive Mehrwertsteuer für rund 95 Euro (USB-A) beziehungsweise rund 100 Euro (USB-C) angeboten. Damit kostet die biometrische Variante des Fido-Sticks rund dreimal so viel wie der Yubikey Security Key NFC (Test).
Wie bei Yubikey üblich, ist weder die Hardware noch die Firmware Open Source. Im Unterschied zu den Open-Source-Fido-Sticks von Solokeys (Test) oder Nitrokey (Test) kann die Firmware nicht aktualisiert werden.
Fazit
Die Kombination aus kryptographisch abgesichertem Login beziehungsweise Zwei-Faktor-Authentifizierung per Fido2/Webauthn und Biometrie halten wir für sinnvoll. Damit wird das Anmelden endlich wirklich passwortlos und geht schnell und sicher von der Hand.
Insbesondere bei der Nextcloud war zwar auch bisher schon komplett passwortloses Anmelden ohne PIN mit einem Fido-Stick möglich - allerdings für jeden, der in den Besitz des Fido-Sticks kommt. Damit ist ein Fido-Stick mit einem Haustürschlüssel vergleichbar - mit dem Unterschied, dass man die Tür von jedem Ort der Welt aus aufschließen kann.
Deshalb verlangen viele Dienste für das passwortlose Login eine PIN, was der gängigen Vorstellung von passwortlos nicht unbedingt entspricht. Mit biometrisch geschützten Fido-Sticks wie dem Yubikey Bio steht der passwortlosen Welt hingegen seitens des Sicherheitsschlüssels nichts mehr im Wege.
Bei unseren Tests hatten wir jedoch immer wieder mit kleineren Softwareproblemen zu kämpfen. So unterscheidet sich das Handling der Fido-Sticks je nach Browser und Betriebssystem doch stark, was im Falle der Biometriefunktionen von Fido deutlich mehr zutage tritt. Auch ist die Anzahl der Dienste, die passwortloses Anmelden oder Zwei-Faktor-Authentifizierung per Webauthn anbieten, nach wie vor überschaubar.
Dafür kann der Yubikey Bio jedoch nichts. Wir halten ihn für einen solide verarbeiteten Fido-Stick, der ein bisher bestehendes Problem mit Fido löst. Allerdings zu einem recht hohen Preis, zu dem wir uns auch weitere Funktionen gewünscht hätten, wie sie bei der Yubikey-5-Serie vorhanden sind.
Yubikey Bio im Test: Erst mit Fingerabdruck wird Fido wirklich passwortlos - Golem.de
Read More
No comments:
Post a Comment