YubiKey-Hardware-Token im Praxis-Check

Dass sich Systeme und Online-Konten heutzutage nicht mehr allein durch Passwörter probat schützen lassen, hat sich in den vergangenen Jahren durch verschiedene Datenlecks mehrfach bestätigt. Mehr Sicherheit bieten hingegen mehrschichtige Anmeldeverfahren per 2-Faktor-Authentifizierung (2FA) sowie der Einsatz von Hardware-basierten Lösungen. Letztere werden unter anderem vom Unternehmen Yubico in verschiedenen Varianten angeboten. Im Praxis-Check betrachtet com! professional den Funktionsumfang und die Praxistauglichkeit der kompakten YubiKeys.

Die Geräte unterstützen eine Vielzahl von Sicherheitsstandards wie OTP, U2F, FIDO, FIDO2, WebAuthn, OATH, OpenPGP oder Smart Card (OIV) und sind mit verschiedenen Schnittstellen (USB Typ A, Typ C, NFC) und Formfaktoren erhältlich. Erst kürzlich ist zudem die neue Serie 5 der Sicherheits-Token an den Start gegangen.

Zur Absicherung der Anmeldung nutzen die YubiKeys eine starke Hardware-Verschlüsselung nach RSA 2048, RSA 4096 (PGP), ECC p256, ECC p384, die den Vorgaben von strengen Sicherheitsrichtlinien wie etwa der EU-DSGVO entsprechen. Die Komplexität der Sicherheits-Token bleibt aber glücklicherweise im Verborgenen, sowohl die Einrichtung wie auch die Nutzung gestaltet sich in der Regel als komfortabel.

Für die sichere Anmeldung an Desktop-Systemen unterstützen die YubiKeys unter anderem die Betriebssysteme Windows 7, 8 und 10, macOS sowie verschiedene Linux-Distributionen wie Red Hat Linux, Fedora, Cent OS. Darüber hinaus können die Hardware-Token auch zur Authentifizierung bei einer Vielzahl von Online-Diensten und Services wie Salesforce, Dropbox oder Google genutzt werden. Ebenso unterstützen auch klassische Desktop-Programme wie der Passwort-Manager KeePass (per Add-on) die Technologie.

In der Praxis reicht beispielsweise unter Windows die Installation der YubiKey-App aus dem Microsoft Store aus, um mit der Konfiguration des Tokens zu beginnen. Der Hardware-Schlüssel dient nach erfolgreicher Einrichtung als Anmeldeoption für Windows Hello. Anstatt sich mit einem Passwort anzumelden, wird Windows automatisch nach dem Einstecken des YubiKeys entsperrt. In den meisten Fällen hat das auch anstandslos funktioniert. Ab und an wollte Windows 10 aber den Hardware-Token par­tout nicht erkennen. Eine Anmeldung war dann nur noch klassisch per PIN möglich.

Auf dieselbe Weise lassen sich die Tokens auch für alle anderen unterstützen Dienste und Systeme nutzen. Außerdem können die Schlüssel auch als zusätzliches Anmeldeverfahren für eine 2FA dienen. Dieses Anwendungsszenario unterstützen etwa Facebook, Google, Docker sowie Github.

Dank einer Variante mit NFC-Unterstützung (Neo) sind die Hardware-Token auch mit mobilen Geräten mit Android oder iOS kompatibel. Voraussetzung ist ein Smartphone oder Tablet mit NFC-Modul. Die Anmeldung auf dem Mobilgerät erfolgt dann bei Berührung mit dem Hardware-Token.

Durch die zunehmende Digitalisierung müssen sich Firmen-Admins stetig um mehr Systeme im Netz kümmern. In der Praxis verschwenden aber immer noch viele Spezialisten wertvolle Zeit damit, Mitarbeiter mit neuen Passwörtern zu versorgen, weil die Login-Daten vergessen oder verloren wurden. Bei Google sind durch den Einsatz von Hardware-Token die Supportvorfälle um 92 Prozent gesunken. Gleichzeitig sanken die Authentifizierungsfehler auf geradezu Null.

Hinsichtlich dieser Ergebnisse wundert es nicht, dass der Konzern aus Mountain View mit dem Titan Security Key mittlerweile eine eigene Lösung für die Token-basierte Anmeldung entwickelt hat. Auch andere große Konzerne und bekannte Anbieter wie Facebook, Salesforce oder das CERN nutzen intern Hardware-Token für die Anmeldung zu ihren Systemen.

Daneben bieten die YubiKeys-Token auch eine höhere Sicherheit als andere 2FA-Methoden wie SMS-basierte Einmalpasswörter. Per SMS versendete Codes können von Angreifern abgefangen und zur Account-Übernahme missbraucht werden. Diese Erfahrung musste beispielsweise das Online-Portal Reddit machen. Cyberkriminelle hatten erfolgreich einen Angriff auf die Plattform ausgeführt und dabei zahlreiche Nutzerdaten kopiert. Für den Zugang haben die Hacker eine SMS für die 2FA abgefangen und den dahinterliegenden Account gekapert.

Allgemein eignen sich Hardware-Token als einfache Methode und relativ preiswerte Methode, um die Account-Sicherheit im Unternehmen sowie im heimischen Netzwerk zu erhöhen. Neben Yubico und Google bieten auch zahlreiche andere Hersteller wie Nitrokey oder die Linux-Spezialisten von Purism vergleichbare und empfehlenswerte Lösungen an.