U2F ist ein neuer Standard für universelle Zwei-Faktor-Authentifizierungstoken. Diese Token können USB, NFC oder Bluetooth verwenden, um die Zwei-Faktor-Authentifizierung für eine Vielzahl von Diensten bereitzustellen. Es wird bereits in Chrome, Firefox und Opera für Google-, Facebook-, Dropbox- und GitHub-Konten unterstützt.

Dieser Standard wird von der FIDO-Allianz unterstützt, die Google, Microsoft, PayPal, American Express, MasterCard, Visa, Intel, ARM, Samsung, Qualcomm, die Bank of America und viele andere große Unternehmen umfasst. Erwarten Sie in Kürze U2F-Sicherheits-Token.

Etwas Ähnliches wird sich bald mit der Web-Authentifizierungs-API verbreitern. Dies ist eine Standard-Authentifizierungs-API, die auf allen Plattformen und Browsern funktioniert. Es werden andere Authentifizierungsmethoden sowie USB-Schlüssel unterstützt. Die Web-Authentifizierungs-API wurde ursprünglich als FIDO 2.0 bezeichnet.

Was ist es?

Die Zwei-Faktor-Authentifizierung ist eine wichtige Methode zum Schutz Ihrer wichtigen Konten. Normalerweise benötigen die meisten Konten nur ein Kennwort, um sich anzumelden. Dies ist ein Faktor, den Sie kennen. Jeder, der das Passwort kennt, kann in Ihr Konto gelangen.

Die Zwei-Faktor-Authentifizierung erfordert etwas, das Sie kennen und das Sie haben. Häufig handelt es sich hierbei um eine Nachricht, die per SMS an Ihr Telefon gesendet wird, oder einen Code, der von einer App wie Google Authenticator oder Authy auf Ihrem Telefon generiert wird. Jemand benötigt sowohl Ihr Passwort als auch Zugriff auf das physische Gerät, um sich anzumelden.

Die Zwei-Faktor-Authentifizierung ist jedoch nicht so einfach, wie sie sein sollte, und häufig werden Passwörter und SMS-Nachrichten in alle von Ihnen verwendeten Dienste eingegeben. U2F ist ein universeller Standard zum Erstellen von physischen Authentifizierungstokens, die mit jedem Dienst verwendet werden können.

Wenn Sie mit Yubikey vertraut sind, einem physischen USB-Schlüssel, mit dem Sie sich bei LastPass und einigen anderen Diensten anmelden können, sind Sie mit diesem Konzept vertraut. Im Gegensatz zu herkömmlichen Yubikey-Geräten ist U2F ein universeller Standard. Ursprünglich wurde U2F von Google und Yubico in Partnerschaft hergestellt.

Wie funktioniert es?

Derzeit sind U2F-Geräte normalerweise kleine USB-Geräte, die Sie in den USB-Anschluss Ihres Computers einstecken. Einige von ihnen verfügen über NFC-Unterstützung, sodass sie mit Android-Telefonen verwendet werden können. Es basiert auf der vorhandenen Sicherheitstechnologie „Smart Card“. Wenn Sie ihn in den USB-Anschluss Ihres Computers einstecken oder auf Ihr Telefon tippen, kann der Browser Ihres Computers mit dem USB-Sicherheitsschlüssel mithilfe einer sicheren Verschlüsselungstechnologie kommunizieren und die richtige Antwort geben, mit der Sie sich bei einer Website anmelden können.

Da dies als Teil des Browsers selbst ausgeführt wird, bietet dies einige Sicherheitsverbesserungen gegenüber der typischen Zwei-Faktor-Authentifizierung. Erstens überprüft der Browser, ob er mit der echten Website über Verschlüsselung kommuniziert, sodass Benutzer nicht dazu verleitet werden müssen, ihren Zwei-Faktor-Code in gefälschte Phishing-Websites einzugeben. Zweitens sendet der Browser den Code direkt an die Website, sodass ein Angreifer den temporären Zwei-Faktor-Code nicht erfassen und auf der realen Website eingeben kann, um Zugriff auf Ihr Konto zu erhalten.

Die Website kann auch Ihr Kennwort vereinfachen. Beispielsweise fordert Sie eine Website zur Zeit auf, ein langes Kennwort und anschließend einen Zwei-Faktor-Code einzugeben, den Sie beide eingeben müssen. Stattdessen kann eine Website Sie mit U2F nach einer vierstelligen PIN fragen, die Sie sich merken müssen. Anschließend müssen Sie eine Taste auf einem USB-Gerät drücken oder auf das Telefon tippen, um sich anzumelden.

Die FIDO-Allianz arbeitet auch an UAF, für die kein Passwort erforderlich ist. Beispielsweise kann der Fingerabdrucksensor eines modernen Smartphones verwendet werden, um Sie mit verschiedenen Diensten zu authentifizieren.

Mehr über den Standard selbst erfahren Sie auf der Website der FIDO-Allianz.

Wo wird es unterstützt?

Google Chrome, Mozilla Firefox und Opera (die auf Google Chrome basieren) sind die einzigen Browser, die U2F unterstützen. Es funktioniert unter Windows, Mac, Linux und Chromebooks. Wenn Sie über ein physisches U2F-Token verfügen und Chrome, Firefox oder Opera verwenden, können Sie damit Ihre Konten bei Google, Facebook, Dropbox und GitHub sichern. Andere große Dienste unterstützen U2F noch nicht.

U2F funktioniert auch mit dem Google Chrome-Browser unter Android, vorausgesetzt, Sie haben einen USB-Stick mit integrierter NFC-Unterstützung. Apple lässt Apps keinen Zugriff auf die NFC-Hardware zu, sodass dies auf iPhones nicht möglich ist.

Die aktuellen stabilen Versionen von Firefox unterstützen zwar U2F, sie sind jedoch standardmäßig deaktiviert. Sie müssen momentan eine versteckte Firefox-Einstellung aktivieren, um die U2F-Unterstützung zu aktivieren.

Die Unterstützung für U2F-Schlüssel wird mit dem Start der Web-Authentifizierungs-API weiter verbreitet. Es funktioniert sogar in Microsoft Edge.

Wie können Sie es verwenden?

Sie benötigen nur ein U2F-Token, um loszulegen. Google weist Sie an, bei Amazon nach „FIDO U2F-Sicherheitsschlüssel“ zu suchen, um sie zu finden. Der Top-Preis kostet 18 US-Dollar und wird von Yubico hergestellt, einem Unternehmen, das schon seit langem physische USB-Sicherheitsschlüssel herstellt. Der teurere Yubikey NEO bietet NFC-Unterstützung für die Verwendung mit Android-Geräten.

Sie können dann Ihre Google-Kontoeinstellungen aufrufen, die Seite mit der Bestätigung in zwei Schritten finden und auf die Registerkarte Sicherheitsschlüssel klicken. Klicken Sie auf Sicherheitsschlüssel hinzufügen, und Sie können den physischen Sicherheitsschlüssel hinzufügen, den Sie zum Anmelden bei Ihrem Google-Konto benötigen. Für andere Dienste, die U2F unterstützen, ist der Vorgang ähnlich. Weitere Informationen finden Sie in diesem Handbuch.


Dies ist noch kein Sicherheitstool, das Sie noch überall einsetzen können, aber viele Dienste sollten dies letztendlich unterstützen. Erwarten Sie in der Zukunft Großes von der Web-Authentifizierungs-API und diesen U2F-Schlüsseln.

Top-Tipps:
Kommentare: