„Nur weil du paranoid bist, heißt das nicht, dass sie nicht hinter dir her sind.“ Diesen schwungvollen Satz hat der Fantasy-Schriftsteller Terry Pratchett einst geprägt. Man muss aber auch nicht paranoid sein, wenn man sich vor bösen Hackern fürchtet, die einem die Passwörter ausspähen, um dann mit den eigenen Konten und Daten Schindluder zu treiben. Dicht dran am perfekten Schutz sind Verfahren der Zwei-Faktor-Authentifizierung, wie sie von vielen Internetdiensten und Social-Medien-Seiten angeboten werden. Meist geschieht das in der Form, das zum Einloggen ein Code, ein Einmal-Passwort angefordert werden muss, das per SMS aufs Smartphone kommt und dann eingetippt werden muss. Mit einem YubiKey lässt sich U2F – so der Fachbegriff – viel komfortabler bewerkstelligen.

Google hat schon vor Jahren mehr als 85.000 Mitarbeiter mit solchen physischen Security-Schlüsseln ausgerüstet und hat nun berichtet, dass es seitdem zu keinem einzigen erfolgreichen Phishing mehr gekommen sei. Dabei ist die Anwendung denkbar einfach. Hat man den entsprechenden Accounts mitgeteilt, dass man einen YubiKey nutzt, werden im jeweiligen Login-Fenster nicht mehr nur Benutzername und Passwort abgefragt. Man wird zusätzlich aufgefordert, den Security-Stick in einen USB-Slot zu stecken und die im Stick eingebaute Taste zu drücken. Das Ding generiert ein Einmal-Passwort (OTP = One Time Password), und weil es eine USB-Tastatur emuliert, wird dieses OTP gleich ins Login eingesetzt und abgeschickt.

Mehr als Benutzername und Passwort

Das bedeutet im Klartext: Es reicht nicht, wenn der Hacker Benutzernamen und Passwort abgegriffen hat, er müsste sich auch noch den YubiKey unter den Nagel reißen, um eines oder mehrere Konten zu hacken. Wenn hier immer vom YubiKey die Rede ist, dann nur, weil die Firma Yubico momentan führend auf diesem Gebiet ist und die größte Auswahl verschiedener Hardware-Lösungen anbietet. Tatsächlich bieten rund ein Dutzend größer und kleinerer Hersteller, viele davon aus Fernost, solche U2F-Dinger an – meist zu erheblich geringeren Preisen als Yubico.

Basis für das alles ist das Wirken der FIFO-Allianz, die Anfang 2013 von sieben Unternehmen gegründet wurde und Ende 2014 zwei Standards präsentierte. U2F (Universal Second Factor) spezifiziert Hard- und Softwareverfahren zur Zwei-Faktor-Authentifizierung, UAF (Universal Authentication Framework) ist ein grundsätzliches Regelwerk für den Ablauf der Authentifizierung im Web, das festlegt, wie man sich auch ohne Passwort anmelden kann – also z.B. über biometrische Methoden (Fingerabdruck etc.) oder eben per U2F.

U2F geht auch billiger

Mein Security Key by Yubico ist nun seit etwa zwei Jahren im Einsatz und tut, was er soll. Um ehrlich zu sein: Das blaue Ding ist kein YubiKey, denn die USB-Dongles, die so heißen, können viel mehr, sind aber auch erheblich teurer. Dinger, die dasselbe können wie der Schlüssel von Yubico, nämlich Einmal-Passwörter zu generieren und abzuschicken, gibt es bei Amazon schon für knapp 8 Euro; das „Original“ kostet beim Hersteller 20 US-Dollar. Nun habe ich mir kürzlich einen YubiKey Neo geleistet, der bei Yubicon50 US-Dollar kostet (bei Amazon sind es etwas mehr als 50 Euro). Der verfügt über ein NFC-Modul, was bedeutet: Ich kann den Dongle auch an meinem Android-Smartphone benutzen!

Außerdem beherrscht der YubiKey Neo nicht nur U2F per UAF, sondern auch den konkurrierenden Standard OAuth (dazu gleich mehr), generiert simple Einmal-Passwörter und kann als Schlüssel für PGP-Verschlüsslung eingesetzt werden. OAuth (Open Authorization) funktioniert ähnlich wie die Zwei-Faktor-Authentifizierung nach UAF. Auch bei Logins, die mit diesem Verfahren geschützt sind, braucht man ebenfalls neben dem Benutzernamen und dem Passwort ein Token, das allerdings auf einem Server erzeugt und dann übertragen wird. Etliche nichtkommerzielle Websites nutzen OAuth, das im Übrigen auch älter ist als das, was die FIDO-Allianz erarbeitet hat. Zusätzlich stellt der Neo eine PIV-Smartcard da, was aber außerhalb der USA wenig Sinn macht, denn mit einer solchen Smartcard hat man Zugriff auf staatliche Webseiten und Web-Services. Interessant ist die OTP-Funktion, die man auf „statisch“ umstellen kann. Dann kann man sein persönliches Lieblings-Universal-Passwort darauf ablegen und sich auf den entsprechenden Seiten einloggen, indem man nur den YubiKey in einen USB-Anschluss steckt und die ominöse Taste daran drückt.

Ohne Code geht nichts mehr

Ganz ohne Falle ist das Absichern per YubiKey übrigens nicht. Geht der USB-Dongle verloren, muss man das Verfahren bei allen Web-Diensten, in die man sich per U2F einloggt zurücksetzen und dafür einen Code benutzen, den man bei der Registrierung des Schlüssels bei Yubico anfordern kann. Hat man auch diesen Code verloren, geht gar nichts mehr – die bis dato so geschützten Accounts kann man ein für allemal vergessen. Kluge YubiKey-Nutzer schaffen deshalb gleich zwei USB-Sticks an, nutzen den einen durchgehend und verstauen den anderen als Backup-Lösung an einem sicheren Platz.