Sicher einloggen mit deinem Schlüsselbund – der USB-Stick-Authenticator von Yubico im Test
Machen wir uns genug Gedanken um unsere Sicherheit im Web? Zu diesem Thema habe ich mich erkundigt und versucht rauszufinden, wie sicher ich im Web unterwegs bin und was ich noch verbessern kann. Dazu habe ich den YubiKey von Yubico getestet, eine Multifaktor-Authentifizierung in einem USB-Key. Hier erfahrt ihr, was mir am YubiKey gefallen hat und wo ich mir Änderungen erhoffe.
Laut Statistik gehören "123456" und "password" zu den meistgenutzten Passwörtern von Personen im Web. Warum entscheiden wir uns, wenn es oftmals um die wichtigsten Daten in unserem Leben im Netz geht, die einfachsten und "hackbarsten" Passwörter zu nutzen?
Mit der richtigen Software können Hacker heute in nur wenigen Minuten abertausende Variationen von Passwörtern durchspielen und in ein fremdes System eindringen. Warum machen wir es den Hackern nicht ein bisschen schwerer, zum Beispiel mit Multifaktor-Authentifizierung?
Die meisten von uns kennen das von unserer Bank oder bei der Arbeit, wo wir bei jeder Anmeldung einen Sicherheitscode per SMS zugesendet bekommen, damit wir uns anmelden können. Das wäre dann eine so genannte Zwei-Faktor-Authentifizierung, welche auch immer mehr zum Standard wird bei den meisten Portalen. Doch dies wird nicht mehr als sichere Authentifizierung angesehen, da viele Personen durch Social Engineering auch per Zweifach-Authentifizierung Opfer eines Hacks werden können.
Auch ich benutze mindestens 2FA bei all meinen Accounts. Ich bin grundsätzlich sehr sicher unterwegs im Web und nutze kryptische Passwörter und nutze FaceID oder TouchID von meinen Apple Geräten, um diese anzeigen zu lassen. Auch Social Engineering kommt bei mir nicht an, da bin ich zu tief in der Materie um auf sowas "reinzufallen". Hacker werden aber immer geschickter, dass muss man Ihnen lassen.
Grosse Sicherheit in einem kleinen Schlüsselanhänger
Yubico soll hier Abhilfe schaffen. Der YubiKey dient als Multi-Faktor-Authentifizierung und schützt zusätzlich vor Hackern. Alles ganz einfach und unkompliziert? Das will ich herausfinden.
Die Firma Yubico hat eine Reihe von USB-Keys kreiert, welche es ermöglicht, eine Multi-Faktor-Authentifizierung zur Sicherheit im Web, passwortlose und nahtlose touch-to-sign Anmeldungen möglich macht. Mit einer Auswahl an unterschiedlichen USB-Anschlüssen und Verifizierungen wird bietet der YubiKey eine breite Kompatibilität an. Dank den diversen unterstützten Protokollen, wie z.B. (FIDO2/AWebauthn, U2F, Smartcart, TOTP, HOTP) kann der Stick auf den verschiedensten digitalen Services genutzt werden.
Ich habe den YubiKey 5C in meinem Alltag und auf mehreren Betriebssystemen getestet (Windows, macOS, iPadOS) und versuche, auf die üblichsten Seiten, die ich besuche, zuzugreifen. Laut Herstellerangabe ist der Stick mit einer ganzen Liste an Apps und Services kompatibel. Er fügt über zwei kleine Sensoren an der Seite, um sich zu verifizieren (kein Fingerabdruck-Scan).
Anfangsprobleme mit dem iPad, Google und Co.
Die Einrichtung bei diesem Stick ist sehr unkompliziert und funktioniert via Plug and Play. Für andere Versionen muss zusätzlich eine App installiert werden.
Da ich privat zuhause nur ein iPad nutze, fange ich direkt damit an, da laut Hersteller der Stick auch beim iPad genutzt werden kann. Eingesteckt und los geht’s. Oder doch nicht?
Das iPad scheint den angeschlossenen Stick als Tastatur zu erkennen und öffnet die interne Tastatur nicht mehr. Kann am iPadOS oder am Stick liegen. Ich versuche auf diversen Seiten den Stick bei der Anmeldung zu hinterlegen. Ohne Erfolg. Google und Instagram zeigen bei der Einrichtung beide eine Fehlermeldung an. Auch bei zwei weiteren Diensten stellt sich kein Erfolg ein. Doch siehe da, am Computer lässt sich der Key sofort einrichten.
Ich habe es nun mit meinem Microsoft Konto und Google Konto versucht und ich konnte den YubiKey sehr einfach einrichten. Die meisten Anbieter verweisen auf die Sicherheitseinstellungen, wo auch Passwörter verwaltet werden. Dort kann ein erweiterte Anmeldeoption eingerichtet werden.
Drei einfache Schritte, welche man auf jedem Service durchführen muss, bei dem man den YubiKey in Zukunft nutzen möchte:
Schritt 1:
Anmeldung auf der Webseite mit deinen Anmeldedaten.
Schritt 2:
In den Sicherheitseinstellungen deines Accounts kannst du den Stick dann als Anmeldeoption hinzufügen. Bei diesem Schritt folgt man am besten den Anweisungen auf dem Screen. Für den Stick musste ich zusätzlich noch einen Sicherheits-Pin hinterlegen.
Achtung: Je nach Kompatibilität wird für die Einrichtung der Yubico Authenticator gebraucht.
Schritt 3:
Abmelden und in Zukunft wird dir dann bei dem Anmeldefenster die Möglichkeit angezeigt, dich via Stick einzuloggen.
Die Anmeldung nach der Einrichtung
Wie läuft das denn nun ab, wenn ich auf mein Microsoft Konto zugreifen möchte? Ich gehe auf die Seite und der Stick wird mir direkt im Anmeldefenster als Option angegeben, um mich anzumelden. Kaum angewählt, wird man Schritt für Schritt durch die Anmeldung durchgeführt. Pin eingeben, Touch-Sensoren antippen und schon ist man angemeldet. Kein Passwort merken nötig, kein endloses E-Mail eintippen. Verhält sich das so, weil es mein Laptop ist? Nein. Ich habe es an einem anderen, willkürlichen Laptop versucht und kann mich nur mit dem Stick anmelden.
Bei Google und anderen Diensten werden die Anmeldeinformationen dennoch benötigt. Somit ist es bei der Anmeldung immer davon abhängig, welche Anforderungen der Service an den User stellt.
Sehr tolles Produkt, aber ob ich der passende Endkunde bin?
Ich bin grundsätzlich sehr überzeugt von der Technik und kann mir durchaus vorstellen, den YubiKey in Zukunft zu nutzen. Der Stick funktioniert über Plug and Play und ist relativ einfach einzurichten. Das Verkaufsargument für den Stick ist, dass man nicht bei einer Anmeldung das Handy hervornehmen muss, um eine Anmeldung zu verifizieren und so Zeit spart. Jedoch brauche ich z.B. bei Microsoft weniger lange, wenn ich mich mit dem iPhone via 2FA und einem Code anmelde. Im Gegenzug muss ich den USB-C Stick einstecken, warten, bis er erkannt wird, den Code eingeben und den Sensor antippen, damit ich drin bin.
Da sehe ich noch nicht ganz den Mehrwert für mich persönlich. Dazu kommt, dass ich bei den meisten Webseiten bereits angemeldet bin und ich im Alltag den Stick noch nicht wirklich als Hilfe für eine One-Touch-Anmeldung sehe.
Ich finde es gut, dass der YubiKey sehr klein und handlich ist und ohne Probleme an den Schlüsselbund angehängt werden kann. So hat man den Key jederzeit dabei.
Ich empfehle jedem aber, alternative Autorisierungs-Möglichkeiten bei seinen Konten zu hinterlegen oder einen Backup-Key zu erstellen, damit man nicht von einem Stick abhängig ist.
Ich wünsche mir in Zukunft, dass der Key auch Anmeldeinformationen für alle Webseiten speichern kann. So kann man sich bequem auf den Stick verlassen, um sich anzumelden. Das scheint aber eher abhängig von Dienst zu sein und nicht vom Stick selbst. Der USB-C YubiKey 5C bietet eine breite Kompatibilität an, jedoch funktioniert er nicht mit meinem iPad. iPad User sind mit dem kompatiblem YubiKey 5Ci besser dran.
Den YubiKey habe ich aber auf jeden Fall täglich mit dabei und setze ihn da ein, wo ich es bereits eingerichtet habe, und füge ihn da hinzu, wo ich es noch nicht gemacht habe.
Finde den passenden YubiKey bei uns im Shop
Content Marketing Manager
Seit 12 Jahren bin ich in der IT tätig und kombiniere mein Wissen und Kreativität in Text und Bild | Illustratorin | digitale & analoge Fotografie | Sneakerhead | Serienjunkie
Alle Beiträge der Autorin anzeigenKommentare (0)
Bitte melden Sie sich an, um die Kommentarfunktion zu nutzen.