Passkeys: FIDO2-Sicherheitsschlüssel mit Platz für 300 Passkeys

Der FIDO2-Sicherheitsschlüssel T2F2-Pin+ Release2 von Token2 ist günstig und bietet Platz für 300 Passkeys.

In Pocket speichern vorlesen Druckansicht 231 Kommentare lesen
Token2 T2F2 -PIN+ Release2

Der Token2-FIDO2-Sicherheitsschlüssel ist sehr klein, leicht und kommt mit kurzem Wasserkontakt klar. Der Passkey-Speicher ist verwaltbar.

(Bild: heise online / dmk)

Lesezeit: 5 Min.
Von
Inhaltsverzeichnis

Der FIDO2-Stick mit dem etwas sperrigen Namen "T2F2-PIN+ Release2" von Token2 speichert 300 Passkeys und ist damit der Konkurrenz von Yubico, Google & Co. ein gutes Stück voraus. Auch sonst fällt der Stick positiv auf, denn man kann ihn komfortabel verwalten und so die gespeicherten Passkeys auflisten und löschen – eine Funktion, die wir bei Googles Titan-Stick schmerzlich vermisst haben. Der Stick ist wahlweise mit USB-A, USB-C oder beidem gleichzeitig ausgestattet, zudem bietet er NFC.

Die FIDO2.1-Manager-GUI erlaubt auch die Verwaltung der Passkeys, die auf dem T2F2-PIN+ R2 abgelegt sind. Sie lassen sich auflisten und löschen.

(Bild: Screenshot / dmk)

Zur Verwaltung und Diagnose bietet der Hersteller Token2 diverse Tools wie den FIDO2.1 Manager für Windows. Damit kann man die gesammelten Passkeys etwa auflisten und und gezielt löschen. Nutzer und Nutzerinnen von Linux und macOS verwalten ihre Passkeys etwa mit Googles Chrome-Webbrowser. Die URL chrome://settings/securityKeys liefert die nötigen Einstellungen. Der Stick unterstützt den aktuellen FIDO2.1-Standard und damit auch das aktuelle Client to Authenticator Protocol (CTAP) 2.1, das die Verwaltungsfunktionen spezifiziert.

Mit Googles Chrome-Webbrowser lassen sich die auf dem FIDO2-Stick gespeicherten Passkeys unter Linux und macOS verwalten.

(Bild: Screenshot / dmk)

Das Windows-Kommandozeilentool fido-manager.exe listet die Eigenschaften des Sticks ausführlich auf. Der Token2-Stick unterstützt demnach Erweiterungen wie hmac-secret und die Algorithmen ES256 sowie EdDSA. Das Tool spuckt auch über FIDO2-Sticks anderer Hersteller interessante Informationen aus.

Die FIDO Alliance hinter dem FIDO2-Standard kennt mehrere Sicherheitslevel, nach denen ein Authenticator wie ein FIDO2-Stick zertifiziert wird. Der T2F2-PIN+ R2-Stick hat aktuell das Mindestlevel L1 erreicht, wie die meisten Mitbewerber auch. Wie der Hersteller gegenüber heise online erklärte, prüfe er derzeit, ob sich eine Level-2-Zertifizierung rechnet: Ein höherer Zertifizierungslevel koste lediglich mehr, gewährleiste jedoch keine bessere Sicherheit.

Das Fido-Manage-Tool liest die Informationen aus dem T2F2-PIN+ R2 (und anderen FIDO2-Sticks) aus und ermöglicht die Verwaltung an der Kommandozeile.

(Bild: Screenshot / dmk)

Zur Freigabe der Passkeys dient ein kapazitiver Knopf, den man nur leicht berühren muss, um ihn zu aktivieren. Dort leuchtet eine weiße Betriebs-LED, die bei Authentifzierungsanfragen blinkt. Eine hardwaregeschützte PIN-Abfrage sichert die bis zu 300 Passkeys vor unbefugten Nutzern. Der Hersteller hat zudem eine PIN-Complexity-Funktion eingebaut, die sicherstellen soll, dass man keine zu einfachen PINs wie "111111" verwendet.

Mit einer Companion-App lassen sich weitere Funktionen des FIDO2-Sticks von Token2 nutzen. Etwa zum Speichern von Geheimnissen zur Erstellung von Einmalkennwörtern (TOTP, HOTP).

(Bild: Screenshot / dmk)

Neben dem Passkey-Speicher bietet der T2F2-PIN+ R2-Stick noch weitere nützliche Funktionen. Mit einer zusätzlichen Companion-App für Windows sowie einem Tool für die Kommandozeile mit zusätzlicher GUI unter Linux, macOS und Windows kann man den Stick nutzen, um Geheimnisse für zeitbasierte Einmalkennwörter (Time-based One-Time Password, TOTP) für bis zu 50 Zugänge sowie für ein HMAC-based One-Time Password (HOTP) abzulegen. Ein weiteres Geheimnis für einen HOTP-Zugang lässt sich mittels HID-Funktion des USB-Dongles speichern. Darüberhinaus ist der Stick mit dem U2F-Verfahren kompatibel (FIDO1).

Laut Produktseite gönnt sich der T2F2-PIN+ R2-Sicherheitsschlüssel 35 mA, im Leerlauf zeigte das USB-Messgerät lediglich 10mA an. Der integrierte Flash-Speicher ist mit 100.000 Schreibzyklen angegeben, die Lebensdauer soll mindestens zehn Jahre betragen. Der Stick ist sehr klein, in der USB-C-Version etwa misst er lediglich 42 x 17 x 6 mm, bei 5 Gramm Gewicht. Token2 verspricht eine "erweiterte Wasserdichtheit", die den Stick durch eine spezielle Beschichtung der Platine vor eindringendem Wasser schützt. Eine IPX-Zertifizierung liegt jedoch nicht vor – beim nächsten Schwimmbadbesuch bleibt der T2F2-PIN+ R2 besser daheim oder zumindest im Spind.

Der T2F2-PIN+ Release2-Stick ist ab 23 Euro (USB-A) beim Schweizer Hersteller Token2 erhältlich. Die USB-C-Variante kostet einen Euro mehr. Am vielseitigsten ist die Variante für 26 Euro, die sowohl mit USB-A als auch mit USB-C ausgestattet ist. Zudem ist immer NFC an Bord. Damit sind die Token2-Sticks relativ günstig, allerdings kommen noch 8,99 Euro Versandkosten obendrauf. Die Lieferung nach Deutschland dauert ungefähr eine Woche. Wichtig ist, beim Kauf auf die Formulierung "Release2" in der Produktbezeichnung zu achten. Nur diese Sticks bringen den großen Passkey-Speicher mit.

Der T2F2-PIN+ Release2-Stick von Token2 ist üppig ausgestattet: Uns ist aktuell kein anderer Stick bekannt, der 300 Passkeys speichert. Damit dürfte man für die nächsten Jahre gut gerüstet sein, wenn man sich dafür entscheidet, Passkeys nicht (oder nicht nur) auf dem Rechner und Smartphone, sondern in einer separaten Hardware zu speichern. Das ist derzeit der die sicherste Option für FIDO2. Erfreulich ist, dass man die ganzen Passkeys nicht nur speichern, sondern auch gezielt wieder löschen kann, ohne den gesamten Stick zurücksetzen zu müssen. Tief in die Tasche greifen muss man nicht: Mit höchstens 35 Euro (inkl. Versand) für die vollausgestattete Variante mit USB-A, USB-C und NFC hat der Hersteller einen fairen Preis gewählt.

(dmk)