Der Sicherheitsschlüssel ist auf Wunsch nur beim ersten Login auf einem zuvor unbekannten System nötig. (Bild: Google)

Google-Nutzer können ihren Account ab sofort mit kleinen USB-Schlüsselanhängern vor Hackern schützen. Es handelt sich dabei um USB-Tokens, die Google als Sicherheitsschlüssel bezeichnet. Ist ein Account mit einem solchen Schlüssel verknüpft, muss der Nutzer diesen bei jedem Login mit dem Rechner verbinden, um sich erfolgreich anmelden zu können. Der Sicherheitsgewinn ist enorm: Fallen die Zugangsdaten etwa nach einer Trojaner-Infektion in die Hände von Hackern, ist ohne den Sicherheitsschlüssel kein Login möglich. Dieses Verfahren wird als Zweifaktor-Authentifizierung (2FA) bezeichnet.

USB statt SMS

Security Key von Plug-up International ist mit 6 Euro der bislang günstigste U2F-Stick. (Bild: Amazon)

Bereits seit geraumer Zeit bietet Google 2FA über Einmalpasswörter, die dem Nutzer entweder per SMS zugestellt oder von der Google-Authentificator-App auf dem Smartphone generiert werden. Dieses Verfahren ist prinzipiell anfällig für Phishing: Ein Angreifer könnte die Login-Seite nachbauen und sein Opfer in spe dort nicht nur nach den Zugangsdaten, sondern auch nach dem Bestätigungscode fragen. Der Sicherheitsschlüssel funktioniert laut Google hingegen nur, wenn sichergestellt ist, dass es sich um eine legitime Login-Seite des Dienstes handelt. Wie das genau überprüft wird, dazu äußerte sich das Unternehmen bislang nicht.

Offener Standard

Yubico verkauft einen reinen U2F-Stick, hat aber auch Modelle mit Zusatzfunktionen im Sortiment.

Die 2FA per Sicherheitsschlüssel funktioniert derzeit nur mit Google Chrome ab Version 38. Google nutzt das offene Universal Second Factor Protocol (U2F) der FIDO-Alliance, welcher neben Google auch Microsoft, Mastercard, PayPal, Samsung und Visa sowie weitere bekannte Namen angehören. U2F arbeitet mit Public-Key-Kryptographie: Registriert sich der Nutzer bei einem Dienst, generiert das USB-Gerät ein Schlüsselpaar aus privaten und öffentlichem Schlüssel. Anschließend wird der öffentliche Schlüssel an den Dienst geschickt.

Beim Login schickt der Dienst eine Challenge an das USB-Gerät, welches diese mit ihrem privaten Schlüssel signiert und zurückschickt. So ist zweifelsfrei sichergestellt, dass derjenige, der sich einzuloggen versucht, nicht nur die Zugangsdaten kennt, sondern auch Zugriff auf den mit dem Account verknüpften USB-Schlüssel hat.

Kompatible Hardware trägt dieses Logo.

Kompatible Geräte erkennt man an dem "FIDO U2F"-Logo. Bislang können zwei Hersteller liefern: Yubico verkauft unter anderem den YubiKey Security Key für 18 US-Dollar, das Unternehmen Plug-up International bietet einen Security Key für 6 Euro an.

Zum Thema Passwörter, YubiKey und FIDO-Alliance siehe auch:



(rei)