Mel
In diesem Jahr sorgte eine neue Sicherheitstechnologie für Aufsehen: Passkeys. Immer mehr Dienste, Apps und Websites unterstützen den neuen Sicherheitsfaktor beim Login. Statt sich mit seinen klassischen Login-Daten anzumelden, kann man einfach einen Passkey verwenden. Dann erfolgt der Login via Face ID oder Touch ID. Passkeys sind sicherer als Passwörter, da sie vom eigenen Gerät für jeden Account einzigartig generiert werden und weniger anfällig für Phishing-Angriffe sind.
Google bietet mit dem Google Titan auch einen Hardware-Sicherheitsschlüssel an, der sich mit der neuen passwortlosen Passkey-Technologie von Apple, Google, Microsoft und anderen Services verwenden lässt. Zwei neue Versionen des Schlüssels sind im Google Store für jeweils 35 Euro erhältlich, entweder mit einem USB-C- oder einem USB-A-Anschluss. Wie die vorherigen Versionen, die 2021 veröffentlicht wurden, verfügen beide Sicherheitsschlüssel auch über NFC, um sich drahtlos mit Telefonen und anderen mobilen Geräten zu verbinden.
Richard Lawler von The Verge konnte den Google Titan-Schlüssel bereits testen und berichtet dazu:
„Ich habe die USB-C-Version seit ein paar Tagen im Einsatz, und sie funktioniert genauso gut wie andere Schlüssel, die ich habe, darunter die ältere Titan-Hardware und andere FIDO2-Schlüssel von Yubico. Die NFC-Unterstützung bei beiden Versionen ist praktisch, so dass man sich nicht entscheiden muss. Dies ist vor allem wichtig, da man beim Einrichten von Schlüsseln mindestens zwei zur Verfügung haben möchte, um ein Backup zu haben.
Selbst mit der schnell wachsenden Unterstützung für Passkeys war das passwortlose Arbeiten mit einem Sicherheitsschlüssel einfacher als alle anderen Optionen, die ich ausprobiert habe. Diese sind FIDO2-kompatibel, so dass sie als Zwei-Faktor-Authentifizierungssicherheit für bestehende Dienste dienen können, und sie haben genügend Speicherplatz für mehr als 250 eindeutige Passkeys an Bord.“
Zwar können auch andere Zwei-Faktor-Technologien wie Code-Generatoren, Push-Benachrichtigungen und das Versenden von Codes per E-Mail oder Text einen gewissen Schutz gegen Angreifer bieten, die die eigenen Passwörter stehlen. Aber Sicherheitsschlüssel gehen darüber hinaus, indem sie Kryptografie verwenden, die beide Seiten verifiziert: Sie stellen sicher, dass es sich um einen legitimen Schlüssel handelt und dass man die eigenen Anmeldeinformationen nicht an eine gefälschte Website weitergibt.
Wenn man Schlüssel wie den Google Titan registriert, um verschiedene Online-Accounts – beispielsweise das eigene Apple-Konto – mit einem Passkey zu entsperren, kann man sich authentifizieren, indem man den Schlüssel verbindet und mit einer selbst festgelegten PIN verifiziert – ein Passwort ist nicht erforderlich.
👍🏻
Ich habe mich enthusiastisch auf diese Technologie gestürzt, bis mein YubiKey nicht mehr gelesen werden konnte. Auch ging das Einrichten bei manchen Diensten nur mühsam (immer wieder Timeouts) oder gar nicht. Die beiden hängen jetzt nur noch als Erinnerungsstücke im Kasten.