Fido-Sticks im Test: Endlich schlechte Passwörter

Phishing und Datenlecks über gehackte oder schlecht administrierte Webserver sind ein Alltagsphänomen geworden. Immer wieder wird geraten, neben Benutzernamen mit Passwort einen zweiten Faktor einzusetzen, beispielsweise einen Code, der aus einer SMS abgetippt werden muss. Mit dem neuen Fido2-Standard soll der Login-Vorgang nicht nur viel sicherer, sondern auch einfacher werden. Passwörter könnten mit ihm sogar obsolet werden.

Als besonders sicher gelten sogenannte Security Keys oder Fido-Sticks, die wie gewöhnliche USB-Sticks mit einer Taste aussehen. Mit einem Tastendruck soll ein zweiter Faktor ausgehandelt werden können oder ein passwortloser Login möglich sein. Wir haben vier Security-Keys von Yubico, Google, Nitrokey und Solokeys getestet. Passwortloses Anmelden funktioniert nicht mit allen, auch bei den Anschlüssen und dem Open-Source-Gedanken gibt es deutliche Unterschiede.

Von Newcomern und alten Hasen

Alle vier getesteten Fido-Sticks sind 2018 auf den Markt gekommen. Auf den ersten Blick unterscheiden sie sich nur geringfügig und ähneln klassischen USB-Sticks. Die Firmen Yubico und Nitrokey sind schon lange im Geschäft der Security Keys. Beide bieten sie mit unterschiedlichen Funktionen an. Mit dem Yubico Security Key und Nitrokey Fido U2F testen wir die beiden Sticks, die für Zwei-Faktor-Authentifizierung beziehungsweise passwortlose Anmeldung (Yubico) gedacht sind. Ganz neu sind die Solokeys, die über eine Kickstarter-Kampagne von knapp 3.000 Unterstützern ermöglicht wurden. Das Ziel von 5.000 US-Dollar wurde mit 123.614 US-Dollar deutlich überschritten. Die ersten Solos wurden im Dezember ausgeliefert - auch wir haben zwei Testexemplare.

Seit Anfang 2017 verlangt Google von seinen über 85.000 Mitarbeitern, einen Security Key zu verwenden. Seitdem ist laut Google kein Konto eines Mitarbeiters übernommen worden. Mittlerweile vertreibt Google seinen eignen Security Key namens Titan, der allerdings bisher nur in den USA verfügbar ist. Wir konnten Googles Security Key erstehen und haben ihn getestet.

Fido-Sticks in allen Variationen

Alle Sticks im Test wirken hochwertig. Nur der Nitrokey verwendet einen echten USB-Anschluss, der zudem mit einer Verschlusskappe geschützt wird. Die anderen Sticks verwenden eine flachere Variante: Google und Yubico setzen auf eine sehr flache Bauweise, die dennoch stabil wirkt. Über die Platine der Solokeys wird eine Silikonhülle gestülpt, die die Sticks schützt. Die Platine ist relativ dick und macht einen stabilen Eindruck; ohne den Schutz durch die Silikonhülle würden wir sie jedoch nicht verwenden.

Umfangreiches Zubehör enthält das Paket des Titan-Sticks aus dem Hause Google. Neben dem USB-Stick enthält es einen weiteren Bluetooth-Stick, der beispielsweise mit Android-Smartphones verwendet werden kann. Zudem liegt ein Micro-USB-Ladekabel bei, mit dem der Bluetooth-Stick aufgeladen werden kann. Über ein kleines rotes Lämpchen signalisiert er, wenn die Zeit dafür gekommen ist. Als weiteres Gimick liegt ein Adapterkabel bei, mit dem der USB-Stick auch an USB-C-Anschlüssen verwendet werden kann. Außer über Bluetooth kann der Titan auch über NFC funken.

Den Solo gibt es mit einem USB-A- oder einem USB-C-Stecker. Beide Sticks sind auch als Entwicklerversion namens Solo Hacker erhältlich. Die Silikonhülle, die die Platine umgibt, kann in verschiedenen Farben erstanden und ausgetauscht werden. Kommen mehrere Sticks zum Einsatz, können sie an der Farbe unterschieden werden. Noch im März soll eine Funkvariante mit NFC namens Solo Tap folgen.

Yubicos Security Key wird nur mit dem klassischen USB-Anschluss angeboten, zudem gibt es eine baugleich NFC-Variante. Yubico bietet zudem Security Keys mit größerem Funktionsumfang sowie weiteren Anschlüssen an, die wir allerdings nicht getestet haben. Den Nitrokey Fido U2F gibt es nur mit klassischem USB-Anschluss. Auch Nitrokey bietet weiter Security Keys mit unterschiedlichem Funktionsumfang an, allerdings unterstützen diese nicht den Fido-Standard und können daher nicht für die Zwei-Faktor-Authentifizierung oder passwortloses Anmelden verwendet werden. Die Fido-Sticks im Test können jedoch zur Zwei-Faktor-Authentifizierung verwendet werden.

Alle Sticks im Test versprechen eine One-Click-Zwei-Faktor-Authentifizierung, die einfach und komfortabel sein soll. Wir testen, ob die Sticks halten, was sie versprechen.