www.pc-howto.com

Wissenswertes zu Opensourcesoftware und IT

U2f security keys – eine gute idee, momentan schlecht umgesetzt?

Ich beschäftige mich nun den zweiten Tag mit sogenannten Security-Keys. Die Grundidee ist es, den Key als zweiten Faktor beim Login auf einer Website zu verwenden.

Viele von euch kennen sicher diverse Authenticator-Apps, oder auch SMS-Codes, die man nach dem Login als zweiten Faktor bestätigen bzw. erwähnte SMS-Codes eingeben muss. Dies sollte mit den Securitykeys der Vergangenheit angehören.

Die Einrichtung selbst (auf die ich hier nicht eingehen werden) ist recht simpel. Im Falle von Yubicon kann man von einer Plug and Play Lösung sprechen. Der Stick wird angesteckt, vom System automatisch erkannt (Windows 10 – möglichst in aktuellster Version) und kann dann in Google Chrome, Firefox und Microsoft Edge verwendet werden.

Welche Websiten / Anbieter unterstützen die Zwei-Faktor-Authentifizierung mittels Securitykeys?

Kurzum: „Die Bigplayer“

Allerdings haben die von mir getesteten Webseiten (bis auf Google) aus meiner Sicht ein großes Problem:

  1. Um die zwei Faktor Authentifizierung überhaupt aktivieren zu können, muss man eine Handynummer hinterlegen. (=zweiter Faktor -> SMS)
  2. Danach kann man einen Securitykey registrieren (das wäre nun eigentlich der gewünschte zweite Faktor)
  3. Nach dem Login mit Username und Passwort kann man nun aber wählen, ob man sich mittels SMS als zweiten Faktor authentifizieren will ODER mit dem Key.
  4. Bis auf Google kann man bei keinem Anbieter die Handynummer (=SMS) nachträglich deaktivieren, ohne dass die 2FA generell deaktiviert wird.

    Im Falle von Facebook wird – obwohl ich einen Securitykey und die Handynummer als zweiten Faktor aktiviert habe – die 2FA deaktiviert, sobald ich die Handynummer entferne. Das, obwohl mit dem Key der zweite Faktor noch hinterlegt wäre.

    Die Wahl des zweiten Faktors obliegt aufgrund dessen dem User (beim Login)!

Sofern die Seite, auf der man sich einloggen will, es nicht anbietet AUSSCHLIESSLICH den Security Key als zweiten Faktor zu verwenden, ist ein Securitykey aus meiner Sicht sinnlos, denn es gibt ja dann noch immer die (unsicherere) Variante 2 über das Handy+SMS als zweiten Faktor.

Schade! Die Keys sind eine gute Idee! Die Umsetzung so mancher Serviceanbieter und Websitebetreiber leider nicht.

Zur Verbesserung des Service werden anonymisierte Nutzerdaten mittels Google Analytics verarbeitet. Falls Sie das nicht wünschen - > Hier klicken um dich auszutragen.