Yubikey Bio: FIDO2-Stick mit Fingerabdrucksensor
Yubico hat den Yubikey Bio fertig. Der FIDO2-Stick mit Fingerabdrucksensor war auf Microsofts Ignite 2019 erstmals zu sehen – die Einführung verzögerte sich.
(Bild: Yubico)
Sicherheitshardware-Hersteller Yubico hat die Entwicklung seines FIDO2-Sticks mit Fingerabdrucksensor abgeschlossen und bietet den Yubikey Bio in seinem Shop an – in einer Variante mit USB-C- und einer mit USB-A-Anschluss. Auf das Erscheinen des Yubikey Bio mussten Interessierte länger warten: Im November 2019 stellte das Unternehmen den Stick im Rahmen von Microsofts Ignite-Konferenz vor. Im September 2020 erschien dann zunächst der Yubikey 5C NFC mit NFC-Schnittstelle für den Einsatz zum Beispiel an Mobiltelefonen.
Der neue Yubikey Bio arbeitet als FIDO2-Authenticator, den man bei vielen Webdiensten als zweiten Faktor und vereinzelt auch als einzigen Faktor, also ganz ohne Passwort, nutzen kann. Die FIDO2-Anmeldung gibt er aber nur frei, wenn man entweder die PIN eingibt, oder den angelernten Finger auf den Sensor legt. Die Funktionsweise des Yubikey Bio zeigt ein fast zwei Jahre altes Demo-Video von Yubico.
Ein ähnliches Gerät gibt es zum Beispiel unter dem Namen Goldengate vom Hersteller eWBM. Insgesamt ist die Hardwareunterstützung für FIDO2 mittlerweile sehr gut: Neben den zahlreichen Sticks verschiedenster Hersteller (mit dem NitroKey gibt es sogar einen Open-Source-Stick) kann man auch das in vielen Notebooks, Smartphones und Tablets eingebaute Trusted Platform Module (TPM) als Authenticator nutzen und ganz auf zusätzliche Hardware verzichten. Das Endgerät wird damit zum Schlüssel für die Anmeldung. Das funktioniert bereits mit Windows, macOS, iOS und Android. Auf iPhone, macBook, Windows-Notebooks und Android-Handys mit Sensor ist der Zugriff auf die FIDO2-Funktion per Fingerabdruck gesichert. Häufige Fragen zu FIDO2 und zur Unterstützung durch Hard- und Software beantwortet eine ausführliche FAQ.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externes YouTube-Video (Google Ireland Limited) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Google Ireland Limited) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
Für Unternehmenskunden
Mit dem Yubikey Bio und den anderen schwarzen Sticks aus der Yubikey-5-Serie zielt Yubico vor allem auf Unternehmenskunden, die nach einer Alternative zur rein passwortbasierten Lösung sind. Bisher fehlt es im Unternehmensumfeld aber an Diensten, mit denen man FIDO2 (oder WebAuthn, wie der Standard im Browser heißt) nutzen kann. Bei großen Anbietern wie Google, GitHub, Facebook oder Twitter kann man FIDO2 schon als zweiten Faktor einsetzen, bei vielen Anwendungen, die im Unternehmen eingesetzt werden, dominiert aber noch immer die einfache Kennwortanmeldung.
Dass Yubico den Stick 2019 ausgerechnet auf der Microsoft-Unternehmenskunden-Veranstaltung Ignite vorgestellt hat, ist kein Zufall. Microsoft versucht seit Jahren, kennwortlose Anmeldungen attraktiver zu machen. Bei Microsoft.com und dem Azure-Active-Directory kann man FIDO2 auch als einzigen Faktor nutzen. Das Azure-Active-Directory können Unternehmen als Single-Sign-On-Plattform für andere Dienste nutzen.
FIDO2: Durchbruch bleibt bisher aus
Außerhalb der Kreise von eingefleischten IT-Sicherheits-Fans sind FIDO2 im Speziellen und zweite Faktoren im Allgemeinen noch immer kaum verbreitet. Obwohl die Sicherheitsprobleme von Kennwörtern regelmäßig in Form von geleakten Kennwortdatenbanken und Phishing-Attacken zutage treten, nutzt nur eine Minderheit zweite Faktoren. Trotz der guten Hardwareunterstützung löst auch FIDO2 beiweitem nicht alle Probleme: Kritiker des Standards bemängeln, dass es keine gute Lösung für einen Verlust des Authenticators (sei es Stick oder Notebook mit TPM) gibt.
Einerseits ist ein Backup des privaten Schlüssels des Authenticators nicht vorgesehen, man kann ihn also nicht klonen – stattdessen sollte man immer mehrere Authenticatoren bei den Diensten anlernen und einen an einem sicheren Ort hinterlegen. Im Verlustfall muss man den Authenticator dann aber mühsam bei allen Diensten löschen. Dass ein Finder damit die Accounts übernehmen kann, ist dagegen eher unwahrscheinlich, solange ein PIN- oder Fingerabdrucksperre aktiviert ist. Nach spätestens acht Fehlversuchen wird der Zugriff hardwareseitig gesperrt, sodass man ihn nur noch zurücksetzen und neu registrieren kann.
(jam)
