Passkeys: FIDO2-Sicherheitsschlüssel mit Platz für 300 Passkeys
Der FIDO2-Sicherheitsschlüssel T2F2-Pin+ Release2 von Token2 ist günstig und bietet Platz für 300 Passkeys.
Der FIDO2-Stick mit dem etwas sperrigen Namen "T2F2-PIN+ Release2" von Token2 speichert 300 Passkeys und ist damit der Konkurrenz von Yubico, Google & Co. ein gutes Stück voraus. Auch sonst fällt der Stick positiv auf, denn man kann ihn komfortabel verwalten und so die gespeicherten Passkeys auflisten und löschen – eine Funktion, die wir bei Googles Titan-Stick schmerzlich vermisst haben. Der Stick ist wahlweise mit USB-A, USB-C oder beidem gleichzeitig ausgestattet, zudem bietet er NFC.
Passkey-Verwaltung
Zur Verwaltung und Diagnose bietet der Hersteller Token2 diverse Tools wie den FIDO2.1 Manager für Windows. Damit kann man die gesammelten Passkeys etwa auflisten und und gezielt löschen. Nutzer und Nutzerinnen von Linux und macOS verwalten ihre Passkeys etwa mit Googles Chrome-Webbrowser. Die URL chrome://settings/securityKeys
liefert die nötigen Einstellungen. Der Stick unterstützt den aktuellen FIDO2.1-Standard und damit auch das aktuelle Client to Authenticator Protocol (CTAP) 2.1, das die Verwaltungsfunktionen spezifiziert.
Das Windows-Kommandozeilentool fido-manager.exe listet die Eigenschaften des Sticks ausführlich auf. Der Token2-Stick unterstützt demnach Erweiterungen wie hmac-secret und die Algorithmen ES256 sowie EdDSA. Das Tool spuckt auch über FIDO2-Sticks anderer Hersteller interessante Informationen aus.
Die FIDO Alliance hinter dem FIDO2-Standard kennt mehrere Sicherheitslevel, nach denen ein Authenticator wie ein FIDO2-Stick zertifiziert wird. Der T2F2-PIN+ R2-Stick hat aktuell das Mindestlevel L1 erreicht, wie die meisten Mitbewerber auch. Wie der Hersteller gegenüber heise online erklärte, prüfe er derzeit, ob sich eine Level-2-Zertifizierung rechnet: Ein höherer Zertifizierungslevel koste lediglich mehr, gewährleiste jedoch keine bessere Sicherheit.
Zur Freigabe der Passkeys dient ein kapazitiver Knopf, den man nur leicht berühren muss, um ihn zu aktivieren. Dort leuchtet eine weiße Betriebs-LED, die bei Authentifzierungsanfragen blinkt. Eine hardwaregeschützte PIN-Abfrage sichert die bis zu 300 Passkeys vor unbefugten Nutzern. Der Hersteller hat zudem eine PIN-Complexity-Funktion eingebaut, die sicherstellen soll, dass man keine zu einfachen PINs wie "111111" verwendet.
Viele Funktionen fürs Geld
Neben dem Passkey-Speicher bietet der T2F2-PIN+ R2-Stick noch weitere nützliche Funktionen. Mit einer zusätzlichen Companion-App für Windows sowie einem Tool für die Kommandozeile mit zusätzlicher GUI unter Linux, macOS und Windows kann man den Stick nutzen, um Geheimnisse für zeitbasierte Einmalkennwörter (Time-based One-Time Password, TOTP) für bis zu 50 Zugänge sowie für ein HMAC-based One-Time Password (HOTP) abzulegen. Ein weiteres Geheimnis für einen HOTP-Zugang lässt sich mittels HID-Funktion des USB-Dongles speichern. Darüberhinaus ist der Stick mit dem U2F-Verfahren kompatibel (FIDO1).
Laut Produktseite gönnt sich der T2F2-PIN+ R2-Sicherheitsschlüssel 35 mA, im Leerlauf zeigte das USB-Messgerät lediglich 10mA an. Der integrierte Flash-Speicher ist mit 100.000 Schreibzyklen angegeben, die Lebensdauer soll mindestens zehn Jahre betragen. Der Stick ist sehr klein, in der USB-C-Version etwa misst er lediglich 42 x 17 x 6 mm, bei 5 Gramm Gewicht. Token2 verspricht eine "erweiterte Wasserdichtheit", die den Stick durch eine spezielle Beschichtung der Platine vor eindringendem Wasser schützt. Eine IPX-Zertifizierung liegt jedoch nicht vor – beim nächsten Schwimmbadbesuch bleibt der T2F2-PIN+ R2 besser daheim oder zumindest im Spind.
Der T2F2-PIN+ Release2-Stick ist ab 23 Euro (USB-A) beim Schweizer Hersteller Token2 erhältlich. Die USB-C-Variante kostet einen Euro mehr. Am vielseitigsten ist die Variante für 26 Euro, die sowohl mit USB-A als auch mit USB-C ausgestattet ist. Zudem ist immer NFC an Bord. Damit sind die Token2-Sticks relativ günstig, allerdings kommen noch 8,99 Euro Versandkosten obendrauf. Die Lieferung nach Deutschland dauert ungefähr eine Woche. Wichtig ist, beim Kauf auf die Formulierung "Release2" in der Produktbezeichnung zu achten. Nur diese Sticks bringen den großen Passkey-Speicher mit.
Fazit
Der T2F2-PIN+ Release2-Stick von Token2 ist üppig ausgestattet: Uns ist aktuell kein anderer Stick bekannt, der 300 Passkeys speichert. Damit dürfte man für die nächsten Jahre gut gerüstet sein, wenn man sich dafür entscheidet, Passkeys nicht (oder nicht nur) auf dem Rechner und Smartphone, sondern in einer separaten Hardware zu speichern. Das ist derzeit der die sicherste Option für FIDO2. Erfreulich ist, dass man die ganzen Passkeys nicht nur speichern, sondern auch gezielt wieder löschen kann, ohne den gesamten Stick zurücksetzen zu müssen. Tief in die Tasche greifen muss man nicht: Mit höchstens 35 Euro (inkl. Versand) für die vollausgestattete Variante mit USB-A, USB-C und NFC hat der Hersteller einen fairen Preis gewählt.
(dmk)