SHIELD

Geräte

YubiKey und FIDO2-Schlüssel: alles, was man Ihnen nicht gesagt hat

Hardware-Authentifizierungsschlüssel wählen, konfigurieren, verwalten und sich nicht selbst aussperren.

Veröffentlicht am 16 Min. Lesezeit Exponiert

Zuletzt überprüft:

Geöffneter Laptop auf einem Schreibtisch

Ein Sicherheitsforscher verliert seinen Schlüssel in einem Taxi in Berlin, an einem Sonntagabend. Einen einzigen Schlüssel. Siebenundvierzig Konten dahinter gesperrt. Er hat drei Wochen damit verbracht, seine Zugänge einen nach dem anderen wiederzuerlangen, über lauter verschiedene Recovery-Prozeduren, manche unmöglich ohne Anruf bei einem Support, der nur zu den Bürozeiten einer anderen Zeitzone antwortet. „Ich dachte, ein Schlüssel reicht.” Das höre ich ungefähr einmal im Monat. Es ist mit Abstand das häufigste Versagen, dem ich bei Hardwareschlüsseln begegne: Man kauft einen, registriert ihn auf zwei oder drei Konten, und denkt nie an das Verlustszenario, bevor es eintritt.

Angle de lecture

Die übliche Falle

Einen Hardwareschlüssel zu kaufen ist keine Sicherheitsstrategie. Der Schlüssel ist ein Werkzeug. Die Strategie ist der Rollout: wie viele Schlüssel, auf welchen Konten, wo das Backup lebt, wie Sie den Verlust managen, wie Sie den Lebenszyklus managen. Der vorherrschende Diskurs hört bei „nimm eine YubiKeyHardware-Authentifizierungsschlüssel von Yubico, unterstützt FIDO2/WebAuthn, OTP, PIV, OpenPGP., das ist die beste MFAMehrfaktor-Authentifizierung: Kombination von zwei unabhängigen Identitätsnachweisen beim Anmelden.” auf. Das ist wahr und unzureichend. Es ist genau wie zu sagen „nimm einen Feuerlöscher”, ohne zu präzisieren, wie viele, wo und wer damit umgehen kann.

Die Konfiguration, die ich am häufigsten sehe: ein einziger Schlüssel, auf Google und GitHub registriert, und alle schwachen Wiederherstellungsmethoden parallel weiterhin aktiv. Notfall-SMS auf einer gewöhnlichen Mobilnummer, Wiederherstellungs-E-Mail ohne zweiten Faktor, Sicherheitsfragen, deren Antworten auf LinkedIn herumliegen. In dieser Konfiguration ändert der Schlüssel Ihre Exposition nicht radikal: Er fügt eine gepanzerte Tür neben einem offenen Fenster hinzu. Ein Angreifer, der hinein will, knackt nicht die gepanzerte Tür. Er löst einen SIM-SwapAngriff, bei dem ein Betrüger Ihren Netzbetreiber überzeugt, Ihre Nummer auf seine eigene SIM zu portieren. aus, fängt die Notfall-SMS ab und setzt den Zugang zurück, ohne Ihrem Schlüssel je zu begegnen.

Die andere Falle ist subtiler und schmerzhafter: Der Schlüssel macht seine Arbeit zu gut. FIDO2Standard für starke Authentifizierung mittels kryptografischem Hardware-Schlüssel, phishing-resistent. ist so konzipiert, dass keine Kopie der Credential den Schlüssel verlässt. Genau das macht ihn phishingsicher — und genau das sperrt Sie auch aus an dem Tag, an dem der Schlüssel in den Gully fällt. Es gibt kein „Passwort vergessen” für ein verlorenes physisches Objekt. Die einzige Gegenmaßnahme ist die Redundanz: einen zweiten Schlüssel vor dem Vorfall vorgesehen zu haben. Die Grundregel passt in einen Satz: Jedes kritische Konto muss zwei registrierte Schlüssel haben, und die alternativen Recovery-Methoden müssen mindestens so solide sein wie der Schlüssel selbst. Alles andere folgt daraus.

Reale Bestandsaufnahme: was ein Schlüssel wirklich tut, und wogegen

Ein Hardwareschlüssel ist kein Objekt mit einer einzigen Funktion. Je nach Protokoll, das er mit dem Dienst spricht, schützt er Sie gegen verschiedene Dinge. Diese Protokolle zu verwechseln, heißt zu glauben, man sei dort gedeckt, wo man es nicht ist.

Das zentrale Protokoll, das den Kauf allein rechtfertigt, ist FIDO2Standard für starke Authentifizierung mittels kryptografischem Hardware-Schlüssel, phishing-resistent. und seine Browser-Schnittstelle WebAuthnBrowser-API, die FIDO2-Authentifizierung auf Websites ermöglicht.. Hier ist, was es tut, was nichts anderes tut: Wenn Sie einen Schlüssel auf einer Website registrieren, erzeugt er ein an die exakte Domain des Dienstes gebundenes kryptografisches Schlüsselpaar — accounts.google.com zum Beispiel. Bei jeder Anmeldung prüft der Schlüssel, dass die Domain, die die Authentifizierung verlangt, der Registrierungsdomain entspricht. Eine auf accounts-google.com oder google.secure-login.example gehostete PhishingSocial-Engineering-Angriff, der das Ziel dazu bringt, Zugangsdaten preiszugeben oder Code auszuführen.-Seite entspricht nicht. Der Schlüssel weigert sich zu signieren. Er fragt Sie nicht um Ihre Meinung, er vertraut nicht darauf, dass Sie den Fehler in der URL erkennen: Er stellt die Domain-Abweichung fest und hält an. Kein TOTP6-stelliger Code, der alle 30 Sekunden von einer App (Google Authenticator, Authy usw.) generiert wird.-Code, keine SMS, keine Push-Benachrichtigung tut das — all diese Faktoren können auf einer falschen Seite eingegeben und vom Angreifer in Echtzeit weitergespielt werden. Das ist die einzige Anti-Phishing-Verteidigung, die einem kompetenten menschlichen Bediener gegenüber standhält.

Die anderen Protokolle sind nützliche Boni, nicht der Kern. OTP: Der Schlüssel kann einen Einmalcode für Seiten erzeugen, die FIDO2 noch nicht unterstützen. Die PKISystem, das Zertifikate und öffentliche Schlüssel zur Identitätsauthentifizierung verwaltet. per PIV (Personal Identity Verification): Der Schlüssel speichert x.509-Zertifikate für die SSH-Authentifizierung per Zertifikat, das Windows-Login per Smartcard, die Dokumentensignierung — der private Schlüssel verlässt nie die Hardware, also erlaubt ein kompromittierter Laptop nicht, ihn zu exfiltrieren. PGPEnde-zu-Ende-Verschlüsselungs- und Signatursystem, erstellt von Phil Zimmermann 1991.: Der Schlüssel signiert Ihre Git-Commits und entschlüsselt Ihre E-Mails, ohne dass der private Schlüssel die Festplatte berührt. In all diesen Fällen ist das Prinzip identisch: Die kryptografische Operation findet auf dem Chip statt, nicht auf der Host-Maschine. Das ist es, was ein „kopierbares” Geheimnis in ein „nicht entreißbares” Geheimnis verwandelt.

Ein technisches Detail ändert in der Praxis alles, und niemand erklärt es Ihnen beim Kauf: der Unterschied zwischen residenter und nicht-residenter Credential. Eine nicht-residente Credential (die historische Form, „server-side” genannt) wird nicht auf dem Schlüssel gespeichert — es ist der Dienst, der einen verschlüsselten Blob aufbewahrt, den er dem Schlüssel im Moment der Authentifizierung zurücksendet. Der Schlüssel kann also eine unbegrenzte Zahl davon verwalten, aber er „weiß” nichts: Er kann Ihre Konten nicht auflisten, und Sie müssen immer eine Kennung liefern, um die Anmeldung zu starten. Eine residente Credential (discoverable, die von PasskeysConsumer-Implementierung von FIDO2: Authentifizierungsschlüssel, gespeichert und synchronisiert von Apple/Google/Microsoft. verlangte) ist dagegen im Chip gespeichert: Der Schlüssel wird fähig, sich allein vorzustellen, ohne Kennung, was das Login „ohne Benutzernamen” erlaubt. Die Kehrseite ist hart: Der Speicher ist begrenzt — in der Größenordnung von 25 residenten Credentials auf einer YubiKey 5, mehr auf den neueren Generationen — und vor allem kann eine residente Credential weder kopiert noch exportiert werden. Wenn Sie alles auf residenten Passkeys aufbauen und den Schlüssel verlieren, „erlangen” Sie nichts zurück: Sie beginnen bei der Notfallprozedur des Dienstes. Genau deshalb muss der zweite Schlüssel ebenfalls seine eigene residente Credential auf jedem betroffenen Konto erhalten.

Nun das ehrliche Bedrohungsmodell. Wogegen ein Hardwareschlüssel Sie nicht schützt. Er schützt kein Konto, auf dem eine schwache Wiederherstellungsmethode aktiv bleibt: Der Angreifer geht durch das schwache Glied, Punkt. Er schützt nicht gegen den physischen Verlust, wenn Sie kein Backup haben: Sie werden Ihr eigener Gegner. Er schützt nicht gegen einen schlecht programmierten Dienst, der ein Downgrade auf einen schwächeren Faktor akzeptiert, „weil Sie Ihren Schlüssel vergessen haben” — und viele Consumer-Dienste tun das noch, indem sie einen SMS-Rückfall anbieten, sobald der Schlüssel nicht eingesteckt ist. Und er schützt nicht gegen den Angreifer, der einen persistenten Root-Zugriff auf Ihre Maschine hat, während der Schlüssel eingesteckt ist — er stiehlt nicht den Schlüssel, er kapert eine bereits authentifizierte Sitzung. Der Schlüssel sichert die Authentifizierung, nicht die folgende Sitzung. Diesen Umfang zu verstehen heißt aufzuhören zu glauben, ein Stück Plastik für 50 € sei ein Unverwundbarkeitsumhang.

Bleibt die Frage der Berührung. Auf der Mehrzahl der Schlüssel verlangt die FIDO2-Authentifizierung eine „Presence Check”: einen physischen Kontakt auf der goldenen Scheibe. Diese Geste beweist, dass ein Mensch anwesend ist, was die Fernnutzung durch eine Malware blockiert, die Zugriff auf den USB-Port hätte. Aber ein einfacher Kontakt ist kein Identitätsnachweis: Wer den Schlüssel in der Hand hat, kann berühren. Die biometrischen Modelle fügen eine lokale Fingerabdruckprüfung hinzu — der Schlüssel signiert nur, wenn der registrierte Fingerabdruck übereinstimmt. Für einen geteilten Arbeitsplatz, ein Großraumbüro oder ein Profil, das den opportunistischen Diebstahl des eingesteckten Schlüssels fürchtet, zählt diese Nuance. Für die meisten Nutzungen genügt der physische Kontakt, weil der Angreifer, der Ihren Schlüssel bereits in der Hand hat, wahrscheinlich auch Ihren Laptop hat, und das Problem nicht mehr dasselbe ist.

Der richtige Ansatz: die Zwei-Schlüssel-Regel und der Rollout nach Kritikalität

Der pragmatische Umschwung passt in ein Wort: Redundanz vor Migration. Sie aktivieren nie einen Schlüssel auf einem kritischen Konto, ohne in derselben Sitzung einen zweiten zu registrieren. Nicht „später”, nicht „wenn ich den zweiten erhalten habe”: in derselben Sitzung, oder Sie rühren das Konto nicht an. Das ist kontraintuitiv, weil man schnell sichern will. Aber ein einziger Schlüssel auf einem kritischen Konto ist eine Zeitbombe, die Sie sich selbst stellen.

Konkret wende ich systematisch die Zwei-Schlüssel-Regel an, idealerweise mit zwei verschiedenen Modellen. Ein Primärschlüssel — ständig bei Ihnen, am Schlüsselbund oder in der Innentasche, er ist es, der im Alltag dient. Ein Backup-Schlüssel — an einem getrennten physischen Ort: Tresor zu Hause, Bankschließfach oder bei einer Vertrauensperson, nie in derselben Tasche wie der Primärschlüssel. Wenn Sie die Tasche verlieren, dürfen Sie nicht beide Schlüssel auf einmal verlieren. Zwei verschiedene Modelle sind die Versicherung gegen einen Serienfehler oder einen Herstellerrückruf: Trifft eine Schwachstelle ein Modell, bleibt das andere gültig. Für stark exponierte Profile — Führungskräfte, Journalisten, Personen unter gezielter Bedrohung — deckt ein dritter Schlüssel bei einer Vertrauensperson das Extremszenario: Sie sind handlungsunfähig, im Ausland ohne Gepäck, oder das Backup ist unzugänglich.

Die Reihenfolge des Rollouts ist nicht beliebig. Man beginnt mit dem Konto, dessen Fall alle anderen mitreißt, und steigt dann nach absteigender Kritikalität ab. Die Sequenz, die ich empfehle: zuerst der Passwort-Manager, Schlussstein des gesamten digitalen Lebens; dann die Haupt-E-Mail, weil sie der Wiederherstellungsvektor für fast alles andere ist; dann das föderierte Identitätskonto (Google, Apple, Microsoft), das oft als SSOMechanismus, der eine einmalige Anmeldung für den Zugriff auf mehrere Anwendungen ermöglicht. zu einem Dutzend Drittdiensten dient; dann GitHub/GitLab, falls Sie entwickeln, und schließlich die Bank- und Krypto-Konten. Für jedes Konto: Man registriert den Primärschlüssel, registriert das Backup, lädt die Offline-Wiederherstellungscodes herunter, behält die alte MFA vorübergehend aktiv und deaktiviert sie erst, nachdem man geprüft hat, dass alles auf beiden Schlüsseln funktioniert. Die Migration erstreckt sich über zwei bis drei Wochen, nicht über einen genervten Abend.

Letzter Punkt, der einzige Test, der wirklich zählt: Melden Sie sich von einem Konto ab und melden Sie sich nur mit dem Backup-Schlüssel wieder an, einmal, für echt. Solange Sie diesen Ablauf nicht ausgeführt haben, wissen Sie nicht, ob er funktioniert — Sie hoffen es. Ein ungetesteter Recovery-Plan ist ein Plan, der genau an dem Tag scheitert, an dem Sie ihn brauchen.

Das richtige Modell ohne Fehlgriff wählen

Der Markt wirkt kompliziert, ist es aber nicht. Drei Fragen genügen zur Entscheidung: welcher Anschluss, welche Protokolle und welches Niveau der physischen Prüfung. Der Rest ist Marketing.

Der Anschluss zuerst, weil das die dümmste Falle ist: ein USB-A-Schlüssel in einem Laptop, der nur USB-C hat, ist ein Briefbeschwerer. Schauen Sie auf Ihre Ports, bevor Sie kaufen. Die meisten aktuellen Ultrabooks (MacBook, Dell XPS, Surface) sind reines USB-C; Tower und viele Profi-PCs behalten USB-A. NFC ist kein Luxus: Es ist das, was erlaubt, den Schlüssel an die Rückseite des Telefons zu halten, um sich mobil zu authentifizieren, ohne Adapter, ohne Dongle. Für jeden, der sein Telefon nutzt — also alle —, ist NFC nicht verhandelbar.

Das Referenzmodell bleibt die YubiKey 5 NFC (USB-A + NFC) oder ihr Zwilling 5C NFC (USB-C + NFC). Sie sprechen alle nützlichen Protokolle: FIDO2Standard für starke Authentifizierung mittels kryptografischem Hardware-Schlüssel, phishing-resistent./WebAuthn, OTP, PIVSystem, das Zertifikate und öffentliche Schlüssel zur Identitätsauthentifizierung verwaltet. für die Zertifikate, OpenPGPEnde-zu-Ende-Verschlüsselungs- und Signatursystem, erstellt von Phil Zimmermann 1991.. Das ist die gute Voreinstellung für 90 % der Leute und für einen ersten Unternehmens-Rollout, weil es alle Anwendungsfälle abdeckt, ohne sechs Monate später neue Hardware nachkaufen zu müssen. Die Nano-Varianten (5 Nano, 5C Nano) sind Miniaturversionen, die ständig im Port stecken bleiben: praktisch im Büro, um ihn nie zu verlieren, aber genau das vergisst man in einem Laptop, den man verleiht oder der gestohlen wird. Für einen festen, sich nicht bewegenden Arbeitsplatz vorzubehalten.

Die biometrischen Modelle (YubiKey Bio) fügen den oben beschriebenen Fingerabdruck hinzu: Der Schlüssel signiert nur für die richtige Person. Der Preis steigt, die Protokollabdeckung reduziert sich oft auf reines FIDO2, aber für eine Führungskraft oder ein Profil unter Bedrohung ist die Gewissheit, dass ein eingesteckter gestohlener Schlüssel nicht genügt, den Aufpreis wert. Bei den Alternativen spricht die in Deutschland entwickelte Nitrokey mit offener Hardware die Profile an, die sich weigern, von einem einzigen Anbieter abzuhängen, oder die Firmware auditieren wollen — das Verwaltungswerkzeug ist weniger ausgefeilt, die Funktion auf FIDO2 und OpenPGP gleichwertig. Die Google Titan dagegen macht zuverlässiges FIDO2 und nichts anderes: nicht programmierbar, einfach, als günstiges Backup neben einer vollständigen YubiKey korrekt. Es ist im Übrigen eine gesunde Strategie zu mischen: eine YubiKey 5 als vielseitiger Primärschlüssel, ein zweiter Schlüssel einer anderen Marke oder eines anderen Modells als Backup, um nicht von einer einzigen Firmware-Linie abzuhängen.

Lebenszyklus, Reset und Widerruf

Ein Schlüssel ist kein einmaliger Kauf, sondern ein über die Zeit zu verwaltendes Asset — genau wie ein physischer Schlüsselbund. Drei Momente zählen: der Verlust, das Löschen und der Austritt.

Beim Verlust des Primärschlüssels ist das Szenario komfortabel, wenn Sie die Arbeit im Vorfeld geleistet haben: Sie melden sich weiterhin mit dem Backup an, bestellen einen Ersatz, registrieren ihn auf allen Konten, und erst danach entfernen Sie die Credential des verlorenen Schlüssels, Konto für Konto. Achtung vor der Falle: Auf vielen Diensten entfernt „einen Schlüssel entfernen” eine Credential auf Serverseite, aber der verlorene physische Schlüssel bleibt, falls er gefunden wird, technisch gültig für die Konten, auf denen Sie nicht aufgeräumt haben. Daher das Inventar — genau zu wissen, auf welchen Konten jeder Schlüssel registriert ist. Das sagt Ihnen ykman: ykman fido credentials list zählt die residenten Credentials eines Schlüssels auf, ykman info gibt seinen allgemeinen Zustand. Ohne dieses Werkzeug verwalten Sie blind.

Das Löschen (Reset) ist die Operation, die man vernachlässigt, bis man sie eines Tages unter Druck braucht. ykman fido reset löscht alle residenten FIDO2-Credentials und setzt die PIN zurück; ykman piv reset beginnt auf Zertifikatseite bei null; die OpenPGP- und OTP-Slots setzen sich getrennt zurück. Die Anwendungsfälle: Weiterverkauf eines Schlüssels, von einem ausgeschiedenen Kollegen geerbter Schlüssel oder als kompromittiert verdächtigter Schlüssel, den man vor der Wiederverwendung neu aufsetzt. An dem Tag, an dem Sie einen Schlüssel ohne Reset weiterverkaufen oder recyceln, hinterlassen Sie potenziell verwertbare Credentials und ein Zertifikat für den nächsten Käufer. Diese Befehle kalt zu kennen heißt, sie nicht heiß zu improvisieren.

Im Unternehmen ist der Widerruf das Glied, das man zu verkabeln vergisst. Ein Schlüssel muss an eine Identität im IAMZentrale Verwaltung von Identitäten und Zugriffen auf Ressourcen. gebunden sein, und der Austritt eines Mitarbeiters muss die Invalidierung seiner Credentials auslösen, ebenso wie die Deaktivierung seines E-Mail-Kontos. Eine verwaiste FIDO2-Credential — gültig, an ein noch aktives Konto gebunden, in der Tasche eines Ex-Mitarbeiters — ist genau die Art unsichtbarer Sicherheitsschuld, die sich erst am Vorfall zeigt. Der Unternehmensmodus der Schlüssel (Attestierung, gesperrte Konfiguration, erzwungene PIN) existiert genau dazu, diesen Bestand auditierbar zu machen. Dieselbe Logik gilt für den Reset: Es ist eine dokumentierte Prozedur, keine der Eigeninitiative jedes Einzelnen überlassene Geste.

Was das konkret bedeutet

Für Sie als Privatperson

Realistisches Gesamtbudget unter 200 €, dieses Wochenende machbar. Drei Prioritäten, in dieser Reihenfolge, und keine weitere, solange die drei nicht erledigt sind.

  1. Kaufen Sie zwei Schlüssel, nicht einen. Eine YubiKey 5 NFC (USB-A oder USB-C je nach Laptop) als Primärschlüssel, plus eine günstigere Security Key NFC als Backup. Zwei Schlüssel, zwei verschiedene Schubladen. Das Backup verlässt nie seinen Aufbewahrungsort, außer an dem Tag, an dem der Primärschlüssel verschwindet. Kosten: etwa 50 € + 30 €.
  2. Registrieren Sie die beiden Schlüssel auf Ihrem Passwort-Manager VOR allem anderen. Das ist das Konto, das alle anderen öffnet. Wenn Sie nur ein einziges Konto mit Ihren Schlüsseln sichern dürften, wäre es dieses. Gleich danach tun Sie dasselbe für Ihre Haupt-E-Mail und Ihr Google-/Apple-Konto. Laden und drucken Sie die Wiederherstellungscodes, verwahren Sie sie beim Backup-Schlüssel.
  3. Kappen Sie die Notfall-SMS, sobald die Migration validiert ist. Solange eine Wiederherstellungs-SMS auf einem per Schlüssel geschützten Konto aktiv bleibt, bleiben Sie dem SIM-SwapAngriff, bei dem ein Betrüger Ihren Netzbetreiber überzeugt, Ihre Nummer auf seine eigene SIM zu portieren. ausgesetzt: Der Angreifer umgeht den Schlüssel über den schwachen Kanal. Deaktivieren Sie sie erst, nachdem Sie eine vollständige Anmeldung mit dem Backup-Schlüssel getestet haben — nicht vorher, sonst riskieren Sie den Lockout.

Für Sie als CISO / IT-Leitung / Geschäftsführung

1. Rollen Sie nach Kritikalitätskreisen aus, nicht nach HR-Welle. Beginnen Sie mit den privilegierten Konten — IT-Administratoren, IAMZentrale Verwaltung von Identitäten und Zugriffen auf Ressourcen.-Team, Cloud-Konsolen, Root-Zugänge — weil sie es sind, die, kompromittiert, die Schlüssel zum Königreich geben. Danach die Führungskräfte und Finanzfunktionen (BEC-Ziele), dann die sensiblen Funktionen. Direkte Konsequenz: Sie erzielen schon in den ersten Wochen eine maximale Risikoreduktion auf der am stärksten anvisierten Population, ohne einen vollständigen 12-monatigen Rollout abzuwarten.

2. Erzwingen Sie zwei registrierte Schlüssel pro Konto, vom Unternehmen finanziert, und einen exklusiven Anti-Phishing-Faktor auf den Admin-Konten. Deaktivieren Sie auf diesen Konten jeden schwachen Rückfallfaktor (TOTP per SMS, OTP per E-Mail), sobald die Doppelschlüssel an Ort und Stelle sind. Direkte Konsequenz: Ein Administrator-Konto kann nicht mehr per Spiegelseite noch per Echtzeit-Bediener gephisht werden, was den Eingangsvektor Nr. 1 der Kompromittierungen von Dienstanbietern schließt.

3. Industrialisieren Sie den Lebenszyklus: Provisionierung, Inventar, Widerruf, Offboarding. Führen Sie ein Register der Credentials pro physischem Schlüssel (per ykman oder Unternehmensattestierung), binden Sie den Schlüssel an die Identität im IAMZentrale Verwaltung von Identitäten und Zugriffen auf Ressourcen., und integrieren Sie den Widerruf in den Austrittsprozess. Direkte Konsequenz: Ein verlorener Schlüssel oder ein Austritt hinterlässt keine gültige verwaiste Credential, und Sie können den Zustand des Bestands bei einem Audit nachweisen.

Fehler, die man ständig sieht

  • Ein einziger Schlüssel, kein Backup. Der Königsfehler. Es funktioniert perfekt bis zu dem Tag, an dem der Schlüssel in die Toilette eines Flughafens fällt. Es ist keine Frage des „ob”, sondern des „wann”.
  • Das Backup nur auf manchen Konten registriert. Man fügt es auf Google und GitHub hinzu, vergisst den Passwort-Manager. Ergebnis: Beim Verlust des Primärschlüssels behält man den Zugang zum Nebensächlichen und verliert den Zugang zum zentralen Tresor.
  • Wiederherstellungscodes nie gesichert. Das ist das ultimative Sicherheitsnetz. Gleichzeitig mit dem Schlüssel verloren, wird die Wiederherstellung zum Leidensweg, mitunter zur endgültigen Sackgasse.
  • Primär- und Backup-Schlüssel in derselben Tasche. Zwei Schlüssel, ein einziger physischer Versagenspunkt. Ein Taschendiebstahl und Sie haben beide zusammen verloren — dann könnte man auch nur einen haben.
  • Schwache Recovery-Methoden aktiv gelassen. Notfall-SMS, Wiederherstellungs-E-Mail ohne MFA, öffentliche Sicherheitsfragen. Der Schlüssel wird dekorativ: Der Angreifer greift ihn nicht an, er umgeht ihn.
  • Kein Test des Backup-Ablaufs. Man registriert den zweiten Schlüssel und benutzt ihn nie. Am Tag X entdeckt man, dass ein Dienst einen vergessenen Schritt verlangte. Der ungetestete Plan ist kein Plan.
  • Hardwareschlüssel und synchronisierten Passkey verwechseln. Ein in einer Cloud (iCloud, Google) synchronisierter PasskeyConsumer-Implementierung von FIDO2: Authentifizierungsschlüssel, gespeichert und synchronisiert von Apple/Google/Microsoft. ist praktisch, lebt aber nicht in einem nicht entreißbaren Chip: Sein Bedrohungsmodell unterscheidet sich. Für die höchstwertigen Konten bleibt der Hardwareschlüssel die Stufe darüber.

Umsetzbare Checkliste

  • N1 Zwei Hardwareschlüssel kaufen, idealerweise zwei Modelle (Primär + Backup)
  • N1 Die beiden Schlüssel zuerst auf dem Passwort-Manager registrieren
  • N1 Die beiden Schlüssel auf der Haupt-E-Mail und dem föderierten Identitätskonto registrieren
  • N1 Die Wiederherstellungscodes jedes kritischen Kontos herunterladen und offline speichern
  • N2 Den Backup-Schlüssel an einem physisch vom Primärschlüssel getrennten Ort verwahren
  • N2 Eine vollständige Anmeldung allein mit dem Backup-Schlüssel testen, bevor die alte MFA deaktiviert wird
  • N2 Die schwachen Recovery-Methoden (SMS, ungeschützte E-Mail) nach Validierung deaktivieren
  • N3 ykman installieren und die auf jedem Schlüssel registrierten Credentials inventarisieren
  • N3 Im Unternehmen nach Kritikalitätskreis ausrollen (Admin → Führungskräfte → sensible Funktionen)
  • N3 Einen dritten Schlüssel bei einer Vertrauensperson für stark exponierte Profile registrieren

Zum Weiterlesen

Die offizielle Dokumentation von Yubico(opens in a new tab) deckt im Detail ykman, den PIV-Modus und die Verwaltung der residenten Credentials ab — zu lesen vor jedem ernsthaften Rollout. Die Spezifikationen der FIDO Alliance(opens in a new tab) und die WebAuthn-Empfehlung des W3C(opens in a new tab) erklären, warum der Mechanismus der Domain-Bindung das Phishing wirkungslos macht: nützlich, um einer zweifelnden Geschäftsleitung gegenüber den Return on Investment zu begründen. Schließlich legt das BSIMehrfaktor-Authentifizierung: Kombination von zwei unabhängigen Identitätsnachweisen beim Anmelden. mit seinem Material zur Zwei-Faktor-Authentisierung und FIDO2 den erwarteten Rahmen aus Sicht des deutschen Unternehmens fest, insbesondere für die privilegierten Konten.

Quellen und weiterführende Literatur

Verwandte Artikel