Die zunehmende Bedrohungslage mit immer raffinierteren Phishing-Angriffen und Password-Spraying stellt die Zukunftsfähigkeit klassischer Passwörter zunehmend infrage. Ihre Schwächen sind seit Langem bekannt. Passwortlose Authentisierungsmethoden wie FIDO2 (Fast Identity Online 2) gewinnen daher immer mehr an Bedeutung – nicht zuletzt, weil sie einen entscheidenden Vorteil bieten: Sie sind resistent gegen Phishing. Wir haben kürzlich verschiedene 2FA-Verfahren hier vorgestellt und deren Phishing-Resistenz geprüft.
In diesem Artikel stellen wir Ihnen den FIDO2-Sicherheitsschlüssel vor - auch bekannt als Passkey oder USB-Sicherheitsschlüssel für eine passwortlose Anmeldung. Diese fortschrittliche und besonders sichere Lösung für die Zwei-Faktor-Authentifizierung (2FA) eröffnet Unternehmen neue Wege, um IT-Sicherheit und Komfort wirkungsvoll zu vereinen.
Was ist ein USB-Sicherheitsschlüssel und wie funktioniert er?
Ein USB-Sicherheitsschlüssel, häufig auch als Passkey, Security Token oder Hardware Authenticator bezeichnet, ist ein kompaktes und handliches Gerät zur besonders sicheren Anmeldung bei Online-Diensten. Er ersetzt klassische 2FA-Methoden wie SMS-Codes oder Authenticator-Apps und basiert auf einem asymmetrischen, kryptografischen Schlüsselpaar: einem privaten und einem öffentlichen Schlüssel.
Der private Schlüssel bleibt ausschließlich auf dem Gerät gespeichert, während der öffentliche Schlüssel beim erstmaligen Login an den Server gesendet wird. Bei jedem weiteren Anmeldeversuch generiert der Server eine sogenannte Nonce, einen zufälligen Einmalwert, der vom Sicherheitsschlüssel kryptografisch signiert und zurückgesendet wird. Dieser wird zusammen mit einer Prüfsumme zurück an den Server gesendet, der die Echtheit des Schlüssels und des Anmeldevorgangs eindeutig und zuverlässig verifizieren kann.
Wie läuft die Anmeldung über FIDO2 ab?
Das Anmeldeverfahren ist in der Praxis ausgesprochen komfortabel. Beim Login wählt der Nutzer die Option „Mit Passkey anmelden“ aus. Anschließend wird der USB-Sicherheitsschlüssel eingesteckt oder bei mobilen Geräten die Verbindung per NFC/Bluetooth genutzt. Das System fordert daraufhin eine Verifikation z.B. durch Berührung des Touch-Sensors oder einen Fingerabdruck. Im Hintergrund tauschen das Gerät und der Online-Dienst die notwendigen kryptografischen Informationen aus, ohne dass ein Passwort eingegeben oder angezeigt werden muss. Nach der erfolgreichen Verifikation wird der Zugriff innerhalb weniger Sekunden freigegeben.
Viele Token verfügen über keinen Fingerabdrucksensor und müssen daher zwingend durch ein Passwort geschützt werden, da bei einem Verlust des Tokens gegebenenfalls ein unerlaubter Zugang möglich ist.
Warum ist FIDO2 so sicher?
Ein FIDO2-Key bietet Schutz auf mehreren Ebenen und geht weit über klassische 2FA hinaus. Der physische Besitz des Hardware-Schlüssels gewährleistet, dass sich nur jene Person anmelden kann, die das Gerät auch tatsächlich in der Hand hält. Selbst im Falle eines Verlusts des Hardware-Token bleibt der Zugang geschützt, da eine lokale Verifikation durch Berührung oder biometrische Merkmale zwingend erforderlich ist, bevor die Anmeldung gelingt.
Außerdem erfolgt die Authentifizierung über asymmetrische Kryptografie. Statt Passwörter und Codes, die abgefangen werden könnten, wird bei jedem Login ein einzigartiger Nachweis erbracht. Die starke Kombination aus physischem Hardwarebesitz, Nutzerverifikation und moderner Kryptografie macht FIDO2 besonders widerstandsfähig gegenüber Phishing und Keyloggern. Aber auch die beste Technik stößt an ihre Grenzen, wenn User ihren USB-Key inklusive Passwort leichtfertig weitergeben. Menschliches Fehlverhalten lässt sich nur schwer durch technische Maßnahmen ausgleichen.
Wann ist der Einsatz von Passkeys nicht geeignet?
- das Zielsystem unterstützt FIDO2 nicht z.B. ältere Software
- fehlende USB/NFC-Schnittstelle zur Verbindung mit dem Sicherheitsschlüssel
- gemeinsame Nutzung einer Login-Session durch mehrere Personen
- Einsatz in Offline-Umgebungen ohne Serveranbindung
Alternative Lösungen wie OTP-Apps oder klassische Token können in diesen Fällen eingesetzt werden.
Wie aufwendig ist FIDO2 für Unternehmen?
Der Einsatz von FIDO2-Token erfordert eine sorgfältige Planung, insbesondere bei der Auswahl der geeigneten Schlüssel. Dabei gilt es, den konkreten Bedarf sowie die Anforderungen der Nutzer genau zu analysieren. Sollen die Token über einen Fingerabdrucksensor verfügen oder nicht? Welcher USB-Typ wird benötigt?
Nach dieser Vorarbeit folgt der technische Einrichtungsaufwand. Ebenso wichtig wie die Einrichtung ist auch die Schulung der Mitarbeitenden, damit sie den Umgang mit dem Token sicher beherrschen und diesen korrekt verwalten. Zudem entstehen weitere Aufgaben für den IT-Support wie die Dokumentation, den Ersatz bei Verlust oder die Anbindung an bestehende Systeme wie Azure, Google, Jira oder Windows. Token2 bietet darüber hinaus Zusatzfunktionen wie OTP und OpenPGP an, die sich nicht allein mit Windows verwalten lassen. Hier sind spezielle Tools erforderlich, die den Integrationsaufwand entsprechend erhöhen.
Fazit
FIDO2-Keys sind eine leistungsstarke, benutzerfreundliche und sichere Alternative zu klassischen Zwei-Faktor-Methoden. Der Einsatz bringt zahlreiche Vorteile mit sich, erfordert aber auch eine gründliche Vorbereitung und eine Kompatibilitätsprüfung. Besonders bei kritischen Admin-Zugängen empfiehlt sich die Nutzung dieser Authentifizierungs-Methode. Für Unternehmen, die auf Zukunfts- und Informationssicherheit setzen, sind FIDO2-Token ein klarer Gewinn und eine Investition mit langfristigem Mehrwehrt. Gerne begleiten wir Sie fachmännisch bei der Einführung und stehen Ihnen mit Rat und Tat zur Seite.
