Die Verbindung eines Google-Accounts mit einem USB-Sicherheitsschlüssel erschwert es Hackern erheblich, auf den Account zuzugreifen. Google ist der erste große Dienst der den offenen Standard "Universal Second Factor" (U2F) unterstützt. Es gibt bereits passende Hardware für nur 6 Euro plus Versand.
Bild: Google
Google-Nutzer können ihren Account ab sofort mit kleinen USB-Schlüsselanhängern vor Hackern schützen. Es handelt sich dabei um USB-Tokens die Google als Sicherheitsschlüssel bezeichnet. Ist ein Account mit einem solchen Schlüssel verknüpft · muss der Nutzer diesen bei jedem Login mit dem Rechner verbinden · um sich erfolgreich anmelden zu können. Der Sicherheitsgewinn ist enorm: Fallen die Zugangsdaten etwa nach einer Trojaner-Infektion in die Hände von Hackern ist ohne den Sicherheitsschlüssel kein Login möglich. Dieses Verfahren wird als Zweifaktor-Authentifizierung (2FA) bezeichnet.
USB statt SMS
Security Key von Plug-up International ist mit 6 Euro der bislang günstigste U2F-Stick.
Bild: Amazon
Bereits seit geraumer Zeit bietet Google 2FA über Einmalpasswörter die dem Nutzer entweder per SMS zugestellt oder von der Google-Authentificator-App auf dem Smartphone generiert werden. Dieses Verfahren ist prinzipiell anfällig für Phishing: Ein Angreifer könnte die Login-Seite nachbauen und sein Opfer in spe dort nicht nur nach den Zugangsdaten, allerdings ebenfalls nach dem Bestätigungscode fragen. Der Sicherheitsschlüssel funktioniert laut Google hingegen nur, wenn sichergestellt ist, dass es sich um eine legitime Login-Seite des Dienstes handelt. Wie das ebendies überprüft wird, dazu äußerte sich das Unternehmen bislang nicht.
Offener Standard
Yubico verkauft einen reinen U2F-Stick, hat auch noch Modelle mit Zusatzfunktionen im Sortiment.
Die 2FA per Sicherheitsschlüssel funktioniert derzeit nur mit Google Chrome ab Version 38. Google nutzt das offene Universal Second Factor Protocol (U2F) der FIDO-Alliance, welcher neben Google auch Microsoft Mastercard PayPal, Samsung & Visa und auch weitere bekannte Namen angehören. U2F arbeitet mit Public-Key-Kryptographie: Registriert sich der Nutzer bei einem Dienst, generiert das USB-Gerät ein Schlüsselpaar aus privaten und öffentlichem Schlüssel. Anschließend wird der öffentliche Schlüssel an den Dienst geschickt.
Beim Login schickt der Dienst eine Challenge an das USB-Gerät, welches diese mit ihrem privaten Schlüssel signiert und zurückschickt. So ist zweifelsfrei sichergestellt, dass derjenige der sich einzuloggen versucht, nicht nur die Zugangsdaten kennt, einschließlich Zugriff auf den mit dem Account verknüpften USB-Schlüssel hat.
Kompatible Hardware trägt dieses Logo.
Kompatible Geräte erkennt man an dem "FIDO U2F"-Logo. Bislang können zwei Hersteller liefern: Yubico verkauft unter anderem den YubiKey Security Key für 18 US-Dollar, das Unternehmen Plug-up International bietet einen Security Key für 6 Euro an.
Zum Thema Passwörter, YubiKey und FIDO-Alliance siehe auch:
- c't zeigt Auswege aus dem Passwort-Dilemma
Kommentare