Eine einzelne Ebene zur Authentifizierung reicht nicht mehr: Weil Passwörter das wichtigste Ziel von Hacking-Versuchen sind, sehen sich immer mehr Nutzer nach den effektivsten Methoden für die Multi-Faktor-Authentifizierung (MFA) um. Manche bevorzugen eine biometrische Erkennung, andere zusätzliche Verifizierungs-Codes – und Hardware-Geräte wie YubiKey haben ihre ganz eigenen Fans. Finden wir im Folgenden heraus, was ein YubiKey ist, wie er funktioniert und wie er im Vergleich zu anderen Authentifizierungsmethoden abschneidet.
Inhalt:
Wie funktioniert ein YubiKey?
YubiKey ist, einfach gesagt, ein Sicherheitsschlüssel, der von der FIDO-Allianz entwickelt wurde und von der Firma Yubico hergestellt wird. Jedem YubiKey-Gerät wird ein eindeutiger Code zugewiesen, der, sobald das Gerät mit einem Computer verbunden wird, die Identität des Benutzers authentifiziert. Neben USB-Schlüsseln werden auch NFC-YubiKeys für die Authentifizierung auf Mobilgeräten verwendet.
YubiKeys nutzen kryptografische Schlüssel, um Anmeldeversuche zu authentifizieren. Sie unterstützen eine Reihe von MFA-Protokollen wie zum Beispiel Passkeys, Einmalpasswörter und Universal 2nd Factor (U2F) und können Benutzer vor fortschrittlichen Man-in-the-Middle-Angriffen schützen,bei denen ein böswilliger Akteur versucht, eine Zwei-Faktor-Authentifizierung abzufangen.
So richten Sie einen YubiKey ein
Anders als bei herkömmlichen Passwörter müssen Besitzer eines YubiKeys sich keinen separaten Code merken, um einen Anmeldeversuch zu autorisieren – der YubiKey funktioniert, sobald er an das Gerät angeschlossen oder gehalten wird, und der Benutzer muss nur noch eine Taste drücken, um ihn zu aktivieren. Ähnlich einfach ist die Einrichtung des YubiKeys als Authentifizierungsgerät, dazu muss der Nutzer diesen nur in den Sicherheitseinstellungen des Accounts als bevorzugte Option auswählen.
Welche Dienste und Anwendungen unterstützen einen YubiKey?
Auch wenn die Authentifizierung per YubiKey zurzeit nicht die beliebteste Methode für die Multi-Faktor-Authentifizierung ist, steht sie doch für die breite private und geschäftliche Nutzung zur Verfügung. Mit ihr lassen sich Anmeldeversuche auf Websites, bei Anwendungen und bei Datenbanken authentifizieren.
Benutzer können mithilfe von YubiKeys im Alltag ihre Anmeldungen bei Social-Media- und E-Mail-Accounts authentifizieren sowie auf sensible Daten wie Bankdaten oder private medizinische Daten zugreifen. Nicht nur unterstützen Dienste wie Microsoft oder Google die Autorisierung per YubiKey, sondern die Technologie-Giganten, die hinter ihnen stehen, waren auch selbst an der Entwicklung dieses Schlüssels beteiligt.
YubiKeys funktioniert auch in Kombination mit Passwort-Managern. Der Schlüssel kann verwendet werden, um eine zusätzliche Sicherheitsebene zum Passwort-Manager selbst hinzuzufügen, und die mit dem Passwort-Manager erzeugten Anmeldedaten können die erste Verteidigungslinie für die Accounts des Benutzers stärken.
Die Beliebtheit von YubiKey wächst derzeit und die Branche sieht immer mehr Anwendungsfälle für YubiKeys. Diese Sicherheitsschlüssel sind bereits ein Favorit vieler Unternehmen geworden, die stets nach fortschrittlichen Sicherheitspraktiken für ihre Mitarbeiter suchen. Die größten Technologie-Unternehmen statten Mitarbeiter mit persönlichen YubiKeys zur Autorisierung aus und stellen so sicher, dass auf alle sensiblen Informationen ausschließlich von verifizierten Benutzern zugegriffen werden kann.
Ein YubiKey bietet zudem Flexibilität für Angestellte im Homeoffice und in hybriden Arbeitsumgebungen. Mit einem YubiKey können diese einfach und überall auf der Welt auf Datenbanken und berufliche Accounts zugreifen, ohne eine unautorisierte Offenlegung von Daten zu riskieren. Da YubiKeys keinerlei Netzverbindung für den Betrieb benötigen, können Hacker auch nicht – wie es bei offenen WLAN-Netzen der Fall wäre – in sie einbrechen.
Was sind die Vorteile einer Authentifizierung per YubiKey?
Der YubiKey gilt als eine der sichersten Mehrfaktor-Authentifizierungsmethoden. Seine Kompatibilität mit Mobil- und Desktop-Geräten macht ihn zu einer flexiblen Option für Privatpersonen wie Geschäftsanwender. Die USB-Version ist kompatibel mit den gängigen Anschlüssen von Hardware-Geräten wie USB-C oder Lightning und die meisten modernen Laptops besitzen heute ein eigenes Dock für Sicherheitsschlüssel.
Der YubiKey ist physisch stabil, wasserfest und widerstandsfähig, was ihn zu einer zuverlässigen langfristigen Investition in mehr Sicherheit macht. Seine Bedienung erfordert keine App eines Drittanbieters, obwohl Zusatz-Anwendungen für benutzerdefinierte Konfigurationen genutzt werden können.
Sobald Sie sich bei einem Account anmelden, der eine Authentifizierung mit YubiKey nutzt, erkennt der Schlüssel die Legitimität der Website. Er bestätigt den Login-Versuch nur, wenn die Website mit dem ursprünglichen Link übereinstimmt. Dies schützt Sie vor einem versehentlichen Einloggen auf gefälschten Webseiten und vor der Offenlegung Ihrer Zugangsdaten gegenüber Cyberkriminellen.
Es gibt jedoch einen Vorbehalt gegen das Herumtragen eines YubiKeys zur Authentifizierung. Aufgrund seiner Größe kann ein YubiKey leicht verloren gehen. Wenn Sie also einen YubiKey als Authentifizierungsgerät wählen, sorgen Sie dafür, dass Sie ihn an einem sicheren Ort aufbewahren. Yubico empfiehlt seinen Benutzern daher offiziell ein Backup-YubiKey-Gerät, das aktiviert werden kann, falls der Hauptschlüssel einmal verloren gehen oder gestohlen werden sollte.
Selbst wenn Sie Ihr YubiKey-Gerät verlieren, müssen Sie sich keine Sorgen machen, dass Ihre persönlichen Daten offengelegt werden könnten, da der Sicherheitsschlüssel nicht selbst als Speichergerät fungiert. Falls jemand Ihren YubiKey stehlen sollte, jedoch Ihr Passwort nicht kennt, kann er trotzdem nicht in Ihren Account einbrechen.
YubiKey vs. andere Authentifizierungsmethoden im Vergleich
Ein YubiKey ist eine von mehreren Alternativen, die einzelnen Usern und Unternehmen als nächster Schritt der Multi-Faktor-Authentifizierung zur Verfügung stehen. Sehen wir uns an, wie die Authentifizierung per YubiKey im Vergleich zu Passkeys, Apps von Drittanbietern und SMS-Codes abschneidet.
Passkeys
Nicht selten werden in Diskussionen über MFA YubiKeys und Passkeys nebeneinander erwähnt. Beide Authentifizierungsmethoden sind Konzepte der FIDO-Allianz, die unter den Begriff FIDO2 fallen. Beide bieten eine passwortlose Lösung für die Authentifizierung und den Schutz von Accounts. Und natürlich sind beide individuell verschlüsselt.
Der Hauptunterschied zwischen Passkeys und YubiKeys ist die Hardware. Passkeys verwenden eine Kombination aus biometrischer Verifizierung und kryptografischen Schlüsseln. Der Prozess wird mit einem Handy, Tablet oder Laptop bestätigt. Passkeys können darüber hinaus in Passwort-Managern von Drittanbietern wie NordPass gespeichert und nach Belieben zwischen verschiedenen Geräten synchronisiert werden.
YubiKeys fungieren dagegen selbst als Passkey-Speicher, wenn auch mit gewissen Einschränkungen bei der Speicherung. YubiKey-Codes können nicht repliziert oder auf ein anderes Gerät übertragen werden, wodurch sie weniger flexibel sind als Passkeys.
Die Wahl zwischen Passkey und YubiKey hängt letztlich von den Vorlieben des Benutzers ab. Beide Methoden folgen dem FIDO2-Protokoll und sind daher starke Authentifizierungs-Mechanismen für Einzelpersonen wie Unternehmen.
Authentifizierungs-App
Authentifizierungs-Apps sind eine weitere beliebte Möglichkeit für die Unterstützung von MFA. Apps wie Google Authenticator oder der integrierte NordPass Authenticator erlauben Benutzern die Erzeugung von zeitlich begrenzten Einmalpasswörtern (TOTPs) auf ihren Geräten, wann immer sie sich auf einer Website oder App anmelden wollen. Die von Authentifizierungs-Apps generierten Codes sind in der Regel kurz, durchschnittlich 6 Zeichen lang, und werden nach einem festgelegten Zeitraum, in der Regel zwischen 15 und 60 Sekunden, zurückgesetzt.
YubiKeys wurden ursprünglich so entwickelt, dass sie hochkomplexe, 44 Zeichen lange, einzigartige Einmalpasswörter (OTPs) zur Authentifizierung von Accounts produzierten. Mit der Weiterentwicklung der YubiKey-Technologie hat sich diese jedoch zur passwortlosen Authentifizierung gewandelt. Obgleich es nach wie vor möglich ist, die OTPs mithilfe eines YubiKey-Geräts zu produzieren, ist WebAuthn heute dafür die bevorzugte Authentifizierungsmethode.
Authentifizierungsschlüssel und OTPs von YubiKey bieten einen ähnlichen Komfort. Sie erfordern nur ein einziges Gerät, um Codes zu generieren und sofortigen Zugriff zu gewähren. Der YubiKey ist jedoch als Hardware-Gerät widerstandsfähiger gegen Hacking-Versuche. Authentifizierungs-Apps von Drittanbietern können hingegen für Cyberangriffe oder Phishing-Versuche anfällig sein.
Betrachten wir ein Szenario, bei dem ein Betrüger einen Benutzer kontaktiert und versucht, den Authentifizierungscode von ihm herauszubekommen, um in seinen Account einzudringen. Sobald dieser erkennt, dass die geforderte Authentifizierungsmethode eine App ist, wird er mit größerer Wahrscheinlichkeit fortfahren. Schließlich ist es einfacher, einen Benutzer dazu zu bringen, einen 6-stelligen Code offenzulegen, als einen 44-stelligen.
Durch den Aspekt des Zurücksetzens nach einer bestimmten Zeitspanne erhalten Authentifizierungs-Apps zusätzlich Zuverlässigkeit, denn der Timer erschwert es Cyberkriminellen, die Methode zu umgehen. Der YubiKey-Authentifikator sorgt für zusätzliches Tempo, indem er den Authentifizierungscode automatisch ausfüllt, sobald Sie die Taste an Ihrem Schlüssel drücken, sodass Sie Zeit bei der Eingabe aller 44 Zeichen sparen.
SMS-basierte 2FA
Auch wenn die SMS-basierte Authentifizierung als eine der schwächeren Methoden gilt, bleibt sie doch wegen ihrer einfachen Handhabung beliebt. Um eine SMS-Authentifizierung einzurichten, gibt der Benutzer seine Handynummer an und erhält bei jedem Anmeldeversuch ein Einmalpasswort.
Im Vergleich zur Authentifizierung mit einem YubiKey ist das Verlassen auf SMS-Nachrichten ziemlich fehleranfällig. Mit beliebten Social-Engineering-Taktiken wie Telefon-Spoofing und SMS-Swapping zielen Täter darauf ab, den an Ihre Nummer gesendeten Authentifizierungscode herauszubekommen. Bei der ersten Taktik rufen Cyberkriminelle ihr Opfer an, geben vor, für ein legitimes Serviceunternehmen zu arbeiten, und bitten dann um den SMS-Code, um diesen zu überprüfen. Bei der zweiten Taktik rufen Hacker den Telefondienstanbieter ihres Opfers an und geben vor, selbst das Opfer zu sein, an, um auf diese Weise Zugang zur Nummer zu erhalten.
Ein YubiKey kann dagegen nicht aus der Ferne von böswilligen Akteuren übernommen werden. Es handelt sich um ein Offline-Gerät, das keine Internet- oder Mobilfunkverbindung benötigt. Durch die einfache Authentifizierungsmethode, ohne ein Einmalpasswort offenlegen oder eingeben zu müssen, sind die Benutzer-Accounts widerstandsfähiger gegenüber Phishing-Attacken.
Außerdem kann der YubiKey Ihre SMS-Apps von innen schützen – er lässt sich über das USB-Dock mit dem Telefon verbinden oder kann Anmeldeversuche per NFC authentifizieren. Darüber hinaus erspart er Ihnen das Problem, alle Accounts mit SMS-Authentifizierung aktualisieren zu müssen, wenn sich einmal Ihre Telefonnummer ändert.
Kombinieren Sie Ihren YubiKey mit NordPass
Ob für den persönlichen oder geschäftlichen Gebrauch – Sie wollen den Schutz Ihres Accounts maximieren. Die Kombination von NordPass mit einem YubiKey ermöglicht ein höheres Sicherheitsniveau, ohne die Dinge kompliziert zu machen.
NordPass ist ein sicherer Passwort-Manager, mit dem Sie starke, einzigartige Passwörter generieren und Passkeys für alle Ihre Accounts speichern und verwalten können. Mit seiner Zero-Knowledge-Architektur und einer fortschrittlichen XChaCha20-Verschlüsselung schützt er Ihre sensiblen Daten und hält alle Zugangsdaten in einem Tresor zugänglich, auf den nur mit Ihrer Autorisierung zugegriffen werden kann.
Als Mitglied der FIDO-Allianz ist sich NordPass der bedeutenden Rolle bewusst, die die passwortlose Authentifizierung in naher Zukunft spielen wird. Sie haben den Zugriff auf Ihren YubiKey verloren? Keine Sorge: Wechseln Sie Ihre bevorzugte Authentifizierungsmethode und wählen Sie eine Authentifizierungs-App. Von hier aus können Sie mit dem NordPass Authenticator zusammen mit Ihren Passwörtern auch Einmal-Codes generieren. Sie können den YubiKey sogar zusammen mit Ihrem Nord Account nutzen und Ihrer Online-Sicherheit so höchste Priorität einräumen.
Häufig gestellte Fragen
In jedes YubiKey-Gerät ist ein einzigartiger Code eingebettet, sodass er auf mehreren Geräten verwendet werden kann, um die Anmeldeversuche derselben Person zu autorisieren. Wenn ein YubiKey NFC-kompatibel ist, kann er sowohl für Desktop- als auch für Mobilgeräte verwendet werden.
Falls Sie Ihren YubiKey verloren haben, können Sie eine alternative Authentifizierungsmethode auswählen, beispielsweise eine Authentifizierungs-App oder Backup-Codes, die von der App bzw. Website angeboten werden, oder Sie nutzen einen Backup-Sicherheitsschlüssel. Alternativ können Sie auch ein vollständiges Zurücksetzen des Accounts anfordern.
Wenn Sie Ihren YubiKey verloren haben oder er gestohlen wurde, können Sie für künftige Account-Authentifizierungen einen Backup-Sicherheitsschlüssel nutzen. Yubico empfiehlt, dass Benutzer für mehr Sicherheit eine FIDO2-PIN einrichten, bevor sie das Gerät verwenden. Wenn Sie den verlorenen Schlüssel nicht widerherstellen können, setzen Sie die Authentifizierungsmethode zu Ihren Accounts zurück. Wenn Sie vermuten, dass diese Accounts gehackt wurden, ändern Sie umgehend Ihre Passwörter und richten Sie eine neue MFA-Methode ein.
Ja, der YubiKey unterstützt vollständig die passwortlose Authentifizierung nach FIDO2.