Google Titan-Sicherheitsschlüssel: Keine Passkey-Verwaltung

Googles Titan-Sicherheitsschlüssel können bis zu 250 Passkeys speichern – mehr als bei den meisten anderen Herstellern. Die lassen sich auf dem Stick jedoch nicht verwalten. Es gab offenbar auch Schwierigkeiten bei der Anmeldung an Microsofts EntraID.

Bei Passkeys handelt es sich um ein Authentifizierungsverfahren auf Grundlage von Public-Key-Kryptographie, das resistent gegen Phishing ist. Anstelle eines Passwort gibt's für jeden Account einen privaten Kryptoschlüssel, den man irgendwo speichern muss. Eine der sichersten Optionen hierfür sind FIDO2-Sticks (oder auch Sicherheitsschlüssel), die meist das Format eines USB-Sticks haben.

Google Titan-Sicherheitssticks: Viel Platz für Passkeys

Google bietet mit seinen Titan-Sicherheitschlüsseln solche Sticks an, die 250 Passkeys speichern können – ein Vielfaches der Menge, die FIDO2-Sticks anderer Hersteller aufnehmen. Allerdings hat es Google versäumt, eine Verwaltungsfunktion für die Passkeys zu integrieren.

Die auf dem Stick abgelegten Passkeys lassen sich dadurch weder auflisten, noch können sie gelöscht werden. Sofern einmal die 250 Speicherplätze belegt sind, lassen sich keine weiteren Passkeys hinzufügen. Das ergab eine aktuelle Recherche von heise online, nachdem uns ein Leser darauf aufmerksam gemacht hatte.

Es dürfte zwar eine ganze Weile dauern, bis man dieses Limit erreicht, denn derzeit unterstützen noch längst nicht alle Webdienste das moderne Loginverfahren. Ist der Speicher jedoch einmal voll, kann man ihn nicht aufräumen, indem man einzelne, nicht länger genutzte Passkeys entfernt. Der einzige Weg, Altlasten loszuwerden, ist ein Werksreset, der den gesamten Speicher löscht.

Auf unsere Anfrage bestätigt Google dieses Problem. Ob es etwa ein Update der Firmware des Google Titan-Sicherheitsschlüssel geben wird, das eine Verwaltung der gespeicherten Schlüssel erlaubt, konnte das Unternehmen nicht sagen.

Auch eine Anfrage bei dem Hersteller Feitan, der offenbar die Hardware bereitstellt, die Google mit eigener Firmware versieht, war ernüchternd: "Derzeit ist die Firmware im Titan-Sicherheitsschlüssel 'fused' und kann nicht aktualisiert werden – das passiert aus Sicherheitsgründen und betrifft auch andere Sicherheitsschlüssel auf dem Markt." 'Fused' bedeutet, dass in dem auf dem Sicherheitsschlüssel eingesetzten Mikroprozessor nur einmalig schreibbare Register gesetzt werden, die eine Schreibsperre für die Firmware im Flash-Speicher bewirken.

Unklar bleibt, warum Google darauf verzichtet hat, den aktuellen Titan-Sticks eine Verwaltungsfunktion zu spendieren. Bereits seit Jahren sind FIDO2-Sticks im Handel, die ein gezieltes Löschen zulassen. FIDO2-Sticks kommunizieren über das sogenannte Client to Authenticator Protocol (CTAP) mit dem Rechner. Manche Hersteller unterstützten die Verwaltung bereits mit CTAP 2.0 über die Eigenschaft credentialMgmtPreview, seit CTAP 2.1 ist das Credential Management mit credMgmt auch fester Teil der Spezifikation. Verpflichtend ist diese Eigenschaft jedoch nicht, die Anwendung kann von FIDO2-Sticks abfragen, was unterstützt wird. Die Titan-Schlüssel sind derzeit lediglich für CTAP 2.0 zertifiziert.

Wer den Speicher der Sticks komplett leeren will, kann unter Linux und macOS den Chrome Browser verwenden: Rufen Sie die Einstellungsseite chrome://settings/securityKeys im Browser auf und klicken Sie auf "Sicherheitsschlüssel zurücksetzen". Unter Windows gelingt das Rücksetzen über die "Einstellungen" – "Konten" – "Anmeldeoptionen" – "Sicherheitsschlüssel". Wer den Punkt aufklappt, findet dort die Schaltfläche "Verwalten" und kann dort mittels weiteren Klick auf die Schaltfläche "Zurücksetzen" unter "Sicherheitsschlüssel zurücksetzen" die Werkseinstellungen wiederherstellen. Aber aufgepasst: Die Passkeys sind damit unrettbar verloren. Es gibt keine Möglichkeit, einen Passkey, der von einem FIDO2-Stick generiert wurde, zu sichern oder zu exportieren. Bevor man wichtige Passkeys löscht, sollte man also neue innerhalb der Accounts bei den Webdiensten erstellen.

Anmeldung bei Microsofts EntraID

Es gibt zudem Hinweise, dass zumindest anfänglich die Authentifizierung mit Passkeys für Microsofts EntraID-Anmeldung aufgrund zusätzlicher Zeichen im gespeicherten Schlüssel fehlschlug. Das Problem solle demnach aber seit etwa zwei Monaten behoben sein. Microsoft listet den Google Titan-Sicherheitsschlüssel auch als kompatibel mit passwortloser Anmeldung an EntraID auf.

Unter dem Strich bleibt der Eindruck, dass Google den Titan-Sicherheitsschlüssel in neuer Fassung Ende 2023 überhastet auf den Markt gebracht hat. Zwar scheinen die Einschränkungen durch die fehlende Passkey-Verwaltung aufgrund der zahlreichen Speicherplätze vorerst eher theoretischer Natur. Diverse andere FIDO2-Sticks mit Passkey-Unterstützung können das jedoch. Die Nutzung als "Blackbox" – welche Passkeys befinden sich auf dem Titan-Sicherheitsschlüssel? – dürfte für viele ein Showstopper sein. Alternativen finden sich etwa im Vergleich von sechs FIDO2-Sticks mit Fingerabdrucksicherung.

(dmk)