iX 3/2023
S. 50
Titel
Roaming-Devices

Vier FIDO2-Token für den USB-Port

Für eine Zwei-Faktor-Authentifizierung, die nicht an ein bestimmtes Endgerät wie ein Mobiltelefon oder einen PC gebunden sein soll, bieten sich USB- oder NFC-Token als Roaming-Devices an. Wir haben uns vier davon näher angesehen.

Von Jürgen Seeger

Auf dem Markt gibt es eine niedrig dreistellige Zahl von als Security Keys oder FIDO-Sticks bezeichneten Token. Für unsere Betrachtung haben wir OTP-Generatoren, bei denen man eine erzeugte PIN von einem Display abtippen muss, von vornherein aussortiert. Denn eine NFC- oder USB-Anbindung macht das Handling deutlich einfacher – dranhalten oder reinstecken reicht.

In die engere Auswahl kamen vier solcher Keys – und zwar die aus der Kompatibilitätsliste von Microsoft (siehe ix.de/zm8b) –, deren Hersteller FIPS-zertifizierte Produkte im Portfolio haben. In den Federal Information Processing Standards (FIPS) sind die Anforderungen von US-Behörden an IT-Equipment veröffentlicht, FIPS 140-2 und der Nachfolger 140-3 behandeln die Sicherheit kryptografischer Module, getestet in einem fünfstufigen Prozess. US-Behörden betrachten Sicherheitsmodule ohne ein solches Zertifikat juristisch als unsicher, eine mit nicht FIPS-zertifizierten Tools verschlüsselte Nachricht gilt als unverschlüsselt. Die Tests sind recht langwierig, darum waren bei Redaktionsschluss noch nicht alle hier betrachteten Token FIPS-zertifiziert. Hinzugenommen haben wir den Titan Key von Google, weil dieser Konzern FIDO2 mit aus der Taufe gehoben hat.

So kamen in die Redaktion:

  • ePass FIDO NFC K9, ein USB-A- und NFC-Token von Feitian Technologies;
  • zwei Titan Security Keys von Google für USB-A- respektive USB-C-Ports sowie jeweils NFC;
  • SafeNet eToken FIDO von Thales;
  • YubiKey 5C und 5Ci FIPS für USB-A und USB-C von Yubico.

​Alle Keys bestehen aus einem ABS-Polycarbonat-Gehäude und einem Metallstecker. Keinem der Produkte lag mehr als eine Kurzanleitung bei – Manuals müssen die Anwender wie heute üblich von der Hersteller-Site herunterladen, Google bietet auch das nicht. Getestet wurden die Token an einem Windows-10- und einem Windows-11-Laptop mit Edge sowie einem Mac Mini unter macOS Catalina und Chrome, also sowohl aktueller Hard- und Software als auch Legacy-Equipment. Als Gegenstelle dienten Micosofts Azure-Cloud, ein Google-Konto, der WebAuth-Testserver webauthn.io, GitHub und eine Synology-NAS-Station DS220+ unter DSM 7.1.

Folgenlos Benutzername und Passwort vergessen

Microsoft Azure bietet ein passwortloses Log-in mit FIDO2-Schlüsseln an, dito die Testsite webauthn.io. Passwortlos bedeutet dabei nicht „ohne weiteres Zutun“. Wenn der USB-Key im Slot steckt, muss der Anmeldeprozess durch eine PIN sowie eine Berührung freigegeben werden. Allerdings muss man sich nicht mehr den Benutzernamen merken, es reicht ein Mausklick auf „Mit Sicherheitsschlüssel anmelden“. Registrieren kann man ein Securitytoken – sowie andere Verifizierungsoptionen – in den persönlichen Sicherheitseinstellungen der MS-Azure-Cloud.

Kommentieren

Leserbrief schreiben

Auf Facebook teilen

Auf X teilen