2449839

YubiKey 5Ci: WebAuthn verschlüsselter Lightning-Key für iPhone und iPad zur sicheren Authentifizierung

21.08.2019 | 15:15 Uhr |

Der neue YubiKey 5Ci von Yubico ist das erste Hardware-Authentifizierungsgerät des Unternehmens mit einem Lightning-Adapter für das iPhone. YubiKey bietet Sicherheit, die das Potenzial der passwortbasierten Kontoentführung reduziert.

Zweifaktorauthentifizierung ist sicher, aber nicht immer sicher genug. Genau dann, wenn Angreifer SMS an die Mobilfunknummer abfangen – was durchaus passieren kann. Daher sind physikalische Token eine Nummer sicherer. Anstatt den zweiten Faktor per SMS  oder von einer Authentifizierungsanwendung wie Google Authenticator oder Authy zu bekommen, stellt YubiKey nach einer Anmeldung mit Benutzername und Passwort ein zusätzliches Element bereit. Da Telefonnummern entführt und an andere Telefone umgeleitet werden können und wurden, ist es zuverlässiger, da ein textbasierter Code immer auf demselben physischen Gerät ankommt.

YubiKey arbeitet derzeit mit einigen Apps und über den Brave-Browser in iOS . YubiKey unterstützt das relativ neue WebAuthn-Protokoll , das vom World Web Web Consortium (W3C) genehmigt wurde, um eine starke, verschlüsselte Authentifizierung des zweiten Faktors direkt in einem Browser zu ermöglichen, ohne proprietäre Erweiterungen oder unternehmensspezifische Hard- oder Software zu benötigen.

Das 70 US-Dollar teure Gerät enthält auch einen USB-C-Stecker für die Authentifizierung am Desktop-Rechner, aber sein USB-C-Anschluss funktioniert noch nicht mit dem iPad Pro von 2018.

Der YubiKey 5Ci verfügt über einen Lightning-Anschluss für den Einsatz auf iOS-Geräten und einen USB-C-Stick für die Verbindung mit einem Mac. Mit USB-C-fähigen iPads funktioniert es noch nicht.
Vergrößern Der YubiKey 5Ci verfügt über einen Lightning-Anschluss für den Einsatz auf iOS-Geräten und einen USB-C-Stick für die Verbindung mit einem Mac. Mit USB-C-fähigen iPads funktioniert es noch nicht.
© Yubico

Im Test funktioniert der YubiKey 5Ci wie erwartet, aber viele Websites sind noch nicht bereit für die iPhone- und iPad-Authentifizierung. Das wird sich in naher Zukunft ändern, wenn sich die Akzeptanz von WebAuthn verbessert und der Schlüssel auf den Markt kommt.

Breite Unterstützung, aber mit Einschränkungen

Yubico stellt bereits eine Reihe von USB- und NFC-Sticks (kontaktlos) her, die frühere sichere Protokolle unterstützen, während seine neueren Modelle auch WebAuthn unterstützen. Diese Erweiterung zu Lightning gepaart mit USB-C ist ein Versuch, diese wesentlich sicherere Option auf iPhones und iPads zu übertragen, indem sie angeblich Nachfrage und Interesse bei Apple-Nutzern weckt.

Microsoft Edge, Google Chrome (Desktop und Android), Opera, Firefox (Desktop und Android) und der integrierte Android-Browser unterstützen WebAuthn bereits in veröffentlichten Versionen. Apple hat WebAuthn in der Safari Technology Preview für die kommende Version 13 aktiviert, diese soll mit macOS 10.15 Catalina im Herbst erscheinen.

Apple hat noch nicht gesagt, ob Safari für iOS und iPadOS auch WebAuthn unterstützen wird. Als weit verbreiteter Industriestandard, der die Sicherheitskontrolle in den Händen eines Benutzers lässt, gibt es wenig Grund für Apple, sich dem zu verweigern.

Für die Arbeit mit dem YubiKey 5Ci benötigen Sie zunächst die richtige App in iOS. Dazu gehören der sicherheitsbewusste Brave-Browser, der WebAuthn direkt nutzt und eigenständige Anwendungen wie 1Password und LastPass, die ebenso das Protokoll enthalten. Yubico sagt, dass weitere Unternehmen folgen werden.

Ich habe den YubiKey 5Ci mit Dropbox, Amazon Web Services Konsole, Twitter, 1Password und anderen getestet. Die Registrierung erforderte die Verwendung eines Desktop-Browsers zu erfordern und ich setzte auf die USB-C-Seite des zweigliedrigen Geräts.

Nach der Anmeldung zeigten die Services unterschiedliche Verhalten. 1Password erkannte sofort, dass ich meine Authentifizierung aktualisiert hatte, und forderte mich auf, den Schlüssel einzugeben, als ich die App startete. Ich habe das YubiKey über Lightning angeschlossen, angetippt und 1Password war aktiviert.

1Passwort für iOS weiß von YubiKey. Nachdem ich die Sicherheit meines Kontos aktualisiert hatte, wurde beim nächsten Start der App nach dem Schlüssel gefragt.
Vergrößern 1Passwort für iOS weiß von YubiKey. Nachdem ich die Sicherheit meines Kontos aktualisiert hatte, wurde beim nächsten Start der App nach dem Schlüssel gefragt.

Andere Anwendungen waren heikler. Einige würden die macOS Safari-Preview nicht als WebAuthn-fähig erkennen, also habe ich auf Chrome für den Desktop umgestellt. Dann, mit dem Brave-Browser in iOS, weigerten sich einige Websites, Brave als WebAuthn-unterstützend zu erkennen. Dropbox verstand es, dass der Browser den Code lesen konnte, wollte ihn aber nicht akzeptieren. Mit Twitter funktionierte das System jedoch so nahtlos und perfekt wie mit der 1Password App.

Hunderte von Websites ermöglichen bereits WebAuthn-basierte Anmeldungen, die nur sehr wenige Änderungen erfordern, um mit anderen Methoden des zweiten Faktors zusammenzuarbeiten. Diese werden tendenziell mehr, da die Browser den aktuell verabschiedeten Standard unterstützen. Entwickler haben aber versucht, Kompatibilitätsprobleme zu minimieren, indem sie strenge Filter verwenden, welche Browser ihrer Meinung nach geeignet sind.

WebAuthn hat den gleichen Vorteil gegenüber textbasierten und appgenerierten zweiten Faktoren wie Apples Secure Enclave in iPhones, iPads und dem T2 Security Chip in Macs – und bei ähnlichen Sicherheitschips in anderen Geräten – und setzt den Besitz einer einzigartigen Hardware voraus, aus der man keine Daten extrahieren kann. Anstatt sich auf Klartextcodes zu verlassen, die abgefangen oder generiert werden können, verwendet WebAuthn die Kryptographie des öffentlichen Schlüssels und erstellt für jede Website einen eindeutigen Verschlüsselungscode.

WebAuthn beginnt mit der Registrierung. Sie besuchen eine Website oder verwenden eine App, die den Standard unterstützt, beweisen Ihre Identität und schließen dann Ihren mit WebAuthn ausgestatteten Schlüssel wie den YubiKey 5Ci an und tippen darauf. Ihr Gerät erzeugt ein einzigartiges privat-öffentliches Schlüsselpaar für den Standort und behält den privaten Schlüssel in seiner manipulationssicheren Hardware. Es sendet den öffentlichen Schlüssel an die Website, die ihn zusammen mit dem Konto speichert.

Bei nachfolgenden Besuchen, bei der Anmeldung mit einem Szenario, in dem ein zweiter Faktor erforderlich wäre – wie z.B. ein neuer Browser, ein geografisch entfernter Standort oder nach 30 Tagen, je nach Standort – geben Sie wie bisher einen Benutzernamen und ein Passwort ein, geben dann aber Ihren YubiKey zur Authentifizierung ein und tippen darauf.

Da die verschlüsselte Nachricht innerhalb des Schlüssels erzeugt wird und die Website bereits den mit Ihnen verknüpften öffentlichen Schlüssel gespeichert hat, schränkt sie die Möglichkeit für jemanden, eine Nachricht abzufangen, drastisch ein und verhindert die Generierung einer Nachricht, die eine Website täuschen würde. Es blockiert auch das Senden der Nachricht an jede Website, die nicht mit der ursprünglichen URL übereinstimmt und nicht über den öffentlichen Schlüssel verfügt, mit dem Sie sich angemeldet haben, und verhindert so Phishing durch gefälschte Websites.

Fazit

Der YubiKey 5Ci ist eigentlich marktreif, nur ist leider der Markt noch nicht reif für den Yubikey 5Ci: zu viele notwendige Puzzle-Teile fehlen aktuell. 70 US-Dollar mögen dann als ein hoher Preis erscheinen, wenn viele Websites und Apps noch nicht dafür bereit sind und Apple noch seine Systeme nachrüsten muss.

Da es sich bei WebAuthn jedoch um eine breit abgestützte Brancheninitiative handelt, die auf gutem Weg ist und an Fahrt gewinnt, ist der 5Ci der richtige tragbare Authentifikator für einen zukunftssicheren Kauf.

Der Yubikey 5Ci wird in Zukunft hochsichere, verschlüsselte Kontoauthentifizierungen bieten, die noch eine bessere Unterstützung durch Websites und Apps erfordern.

Vorteile

-       Kryptographische Sicherheit für die Anmeldung mit zweitem Faktor -       Unterstützung des Industriestandards WebAuthn für Web-Logins -       Abwärtskompatibel mit älteren FIDO und ähnlichen Authentifizierungsprotokollen -       Bietet USB-C und Lightning für den Einsatz auf zwei Plattformen.  

Nachteile

-       Apple unterstützt WebAuthn noch nicht direkt in iOS und zukünftigen iPadOS. -       Websites, die noch immer die Unterstützung für Safari Preview (macOS) oder Brave Browser (iOS) verweigern

Macwelt Marktplatz

2449839