Das Passwort im Portemonnaie: FIDO2-Smartcard im Test
Sicherheitsexperten plädieren für einen Umstieg vom Passwort auf FIDO2. Wir haben die BobeePass-Smartcard mit Fingerabdrucksensor getestet.
- JĂĽrgen Seeger
Der taiwanische Kartenspezialist Smartdisplayer hat die zweite Generation seiner FIDO-Smartcard vorgestellt. Die BobeePass-Karte verfĂĽgt ĂĽber eine biometrische Sicherung der Daten per Fingerabdruck und mit BLE 5.0, NFC und USB ĂĽber drei Kommunikationsschnittstellen. Fingerabdrucksensor und Ein-Aus-Schalter sind nicht auftragend in die Karte integriert, die Karte passt so problemlos in das Kreditkartenfach im Portemonnaie. Seit Mitte Dezember 2023 ist Smartdisplayer von Microsoft als Anbieter von FIDO2-Token aufgefĂĽhrt, die mit MS Entra ID (vormals Azure AD) kompatibel sind.
Die Karte wird per USB aufgeladen. Der Ladestand des integrierten Akkus wird wie andere Betriebszustände durch drei kleine LEDs signalisiert, so unter anderem das Ergebnis der Fingerabdruckprüfung. Ein kurzer Druck auf einen eingelassenen Knopf neben dem Sensor schaltet die Karte ein, die nach erfolgreicher Fingerabdruckerkennung versucht, über eine der Schnittstellen zu kommunizieren. Die zu übermittelnden Credentials lassen sich zusätzlich durch eine selbst gesetzte PIN schützen. Auf der BobeePass-Karte finden maximal fünf Fingerabdrücke Platz.
Kennen Sie schon den kostenlosen iX-Newsletter? Jetzt anmelden und monatlich zum Erscheinungsdatum nichts verpassen: heise.de/s/NY1E In der nächsten Ausgabe geht's ums Titelthema der Februar-iX: ESG-Reporting-Software.
Rundum kompatibel
Bei einem Kurztest erwies sich die Karte als kompatibel zu allen Gegenstellen, an denen sich auch schon die bisher getesteten FIDO-Token bewähren mussten. Mit Windows 11 waren webauthn.io-Registrierung und anschließendes Einloggen per passwortlosem Passkey-Verfahren möglich, ebenso bei Microsoft Entra, GitHub und Google. Bei den drei erstgenannten Seiten funktionierte auch das Einloggen ohne Angabe des Benutzernamens. Das klappte unter Windows mit allen drei Schnittstellen, unter macOS nur via USB, da eine Bluetooth-Verbindung in dieser Kombination nicht zustande kam und für den Test kein Mac-kompatibler NFC-Leser zur Verfügung stand. Erkennen und Erfassen der Fingerabdrücke funktionierten zuverlässig. Einzig die automatische Abschaltung der Karte nach 10-sekündigem Warten auf den Fingerabdruck erwies sich im Zusammenspiel mit dem NFC-Leser als etwas kurz.
FIDO2 wird aktuell von Sicherheitsspezialisten als Ablösung der unsicheren Authentisierung per Benutzername und Passwort empfohlen. Dieses Verfahren arbeitet mit asymmetrischer Verschlüsselung, der private Schlüssel verbleibt beim Benutzer. Es kommt ohne die Speicherung sensibler Daten auf dem Server aus und ist zudem nicht anfällig für Phishing, da der Servername in die Schlüsselgenerierung eingeht. Hinter FIDO2 steht eine breite Herstellerallianz von Apple über Google bis Microsoft.
Unter anderem Namen
Smartdisplayer verkauft diese FIDO-Karte nicht an Endanwender, sondern bietet sie als White-Label-Produkt für Hersteller von Sicherheitsequipment oder Großkunden an. Diese können neben der Optik auch technische Merkmale modifizieren, etwa statt des separaten USB-Dongles eine USB-C-Schnittstelle direkt auf der Karte integrieren sowie die Passkey- und FIDO-Funktionen durch OTP oder Speicher für andere digitale Schlüssel ergänzen.
(ur)