Datenschutz

22. Oktober 2014 19:05; Akt: 22.10.2014 19:06 Print

USB-Schlüssel ersetzen Passwörter

Bei Online-Portalen mit doppelter Benutzer-Authentifikation kann neu ein USB-Stick verwendet werden, der wie ein Hardware-Schlüssel funktioniert.

Bildstrecke im Grossformat »

Zum Thema
Fehler gesehen?

Wer sein Google-Konto oder einen anderen Online-Account besser vor fremden Zugriffen schützen möchte, kann die 2-Schritte-Authentifikation verwenden. Ist diese aktiviert, benötigt man zusätzlich zum Passwort auch noch einen temporären Code, der dem Benutzer beim Einloggen per SMS zugeschickt wird.

Weil diese Methode anfällig auf Phishing sein soll, können als Benutzer-Identifikation auch USB-Sticks verwendet werden, die wie ein Schlüssel funktionieren. Einen solchen hat am Dienstag Yubico vorgestellt. Der USB-Sicherheitsschlüssel mit dem Namen Fido U2F soll sicherstellen, dass es sich bei der Person, die sich gerade ins Online-Konto einloggen will, um den rechtmässigen Benutzer handelt. Ohne den Stick wird der Zugriff verweigert.

Mini-USB-Stick am Schlüsselbund

Der Fido U2F ist so klein, dass er problemlos am Schlüsselbund befestigt werden kann. Zudem ist er wasserdicht und robust. Er verschafft Zugang zu allen Websites, die die entsprechende Technik unterstützen. Wie Heise schreibt, ist Google der grösste Anbieter, bei dem die Daten auf diese Weise gesichert werden können.

Der Stick funktioniert unter Windows, OS X und Linux. Ist der Fido-Stick einmal registriert, erhält man Zugang zur jeweiligen Website erst, nachdem man den Stick am Computer eingesteckt und seinen Aktivierungsknopf gedrückt hat. Verliert man den Schlüssel, kann man sich bei Google dennoch mit der Bestätigungs-SMS anmelden. In diesem Fall sollte man jedoch den USB-Schlüssel auf der Google-Website deaktiveren.

Laut Google liegen die Vorteile eines solchen USB-Dongles darin, dass diese Methode keine Mobilfunkverbindung und kein Handy mit aufgeladenem Akku benötigt und nicht anfällig auf Phishing ist. Der Sicherheitsschlüssel enthält keine Daten zu persönlichen Konten. Aus einem gefundenen Sicherheitsschlüssel lassen sich also keine Daten oder zugehörige Konten ermitteln, da der Stick keine solchen Informationen speichert.

Mehrere Einschränkungen

Der USB-Schlüssel funktioniert zwar auf sehr einfache Art, doch kann er nicht in jedem Fall verwendet werden. Um damit ein Google-Konto zu sichern, ist es zwingend, dass man am Computer den Chrome-Browser (mindestens Version 38) verwendet. Zudem kann an einem Mobilgerät wie einem Smartphone oder Tablet kein USB-Schlüssel eingesteckt werden. Diese können jedoch den herkömmlichen Bestätigungscode per SMS oder Sprachanruf verwenden. Ein zusätzlicher Code kann aber auch mittels der Google Authenticator App direkt am Smartphone generiert werden.

Wenn man den USB-Sicherheitsschlüssel verlieren sollte, muss man ebenfalls auf den SMS-Code ausweichen. Der USB-Schlüssel verwendet den offenen Standard Universal Second Factor. Der Dienst mit Fido U2F ist kostenlos, der Stick muss aber gekauft werden. Bei Amazon kostet dieser 6 Euro.

(ray)