FIDO-Tokens sind Sicherheitsschlüssel, die in ihrem Aussehen einem herkömmlichen USB-Stick gleichen. Sie können an den PC beziehungsweise Laptop angeschlossen werden oder via Near Field Communication (NFC) auch mit dem Smartphone gekoppelt werden. Das Login erfolgt dann über einen auf dem Token gespeicherten Authentifizierungsschlüssel, ohne dass man biometrische Daten wie den Fingerabdruck oder eine Gesichtserkennung einsetzen muss.
Vorsicht bei der Wahl des Modells
Auch der elektronische Identitätsnachweis ID Austria bietet die Möglichkeit, einen FIDO-Sicherheitsschlüssel als zweiten Faktor beim Login einzusetzen. Bekannte Hersteller der Tokens sind unter anderem Unternehmen wie Yubico und GoTrust. Bei der Wahl des Modells sollte man aber vorsichtig sein, wenn man das Gerät speziell für die Services der ID Austria nutzen möchte. So benötigt ID Austria aus rechtlichen Gründen einen FIDO2-Token mit Level-2-Zertifizierung, die den Standard WebAuthn unterstützen.
Im stationären Handel sind FIDO-Keys (nach ersten Recherchen) eher Mangelware, man kann die Geräte aber online bestellen. Bei Amazon gestaltet sich die Suche eher schwierig, da Sucheingaben wie „FIDO-Token“ und „ID Austria“ auch Geräte ausweisen, die nicht mit der ID Austria kompatibel sind. Wer auf Nummer sicher gehen möchte, kann den Token zum Beispiel direkt im Webshop der A-Trust ordern, die für viele Prozesse rund um Dienste der elektronischen Identität (eID) verantwortlich ist.
Geizhals bietet speziellen ID Austria-Filter
Auch die Onlineplattform Geizhals.at bietet einen speziellen Filter an, der Modelle ausweist, die für die Nutzung mit der ID Austria geeignet sind. Wer dort einen Token auswählt, erhält diesen in der Regel günstiger als im Webshop der A-Trust. Folgende Modelle wurden von offizieller Stelle als kompatibel ausgewiesen:
- GoTrust Idem Key FIDO2
- Trustkey G310H
- Yubico Security Key NFC in schwarz (USB-A + NFC, USB-C + NFC)
- Yubico YubiKey FIPS Series (5 NFC FIPS, 5C NFC FIPS, 5C FIPS, 5 Nano FIPS, 5C Nano FIPS, 5Ci FIPS)
Um auf der sicheren Seite zu sein, sollte man bei der Produktauswahl aber vorsichtshalber darauf achten, dass Vermerke wie „für ID Austria geeignet“ explizit in der Produktbeschreibung angegeben sind.
Wie man einen FIDO-Token verwendet
Möchte man den FIDO-Token als zweiten Faktor für ein Login verwenden, muss man ihn mit dem entsprechenden Dienst – z.B. Microsoft Konto, Gmail Konto, Facebook Account oder eben der ID Austria – verknüpfen. Diese Verknüpfungsprozesse können leicht variieren. Im Fall der ID Austria geht man folgendermaßen vor:
Man loggt sich mit der ID Austria in einem A-Trust Benutzerkonto ein und wählt den Punkt „Neuen FIDO-Token verknüpfen“. Nun meldet man sich mit Benutzernamen beziehungsweise der eigenen Mobiltelefonnummer und dem Signaturpasswort an. Anschließend muss man bestätigen, dass man im alleinigen Besitz und der alleinigen Kontrolle des FIDO-Tokens ist. Im Zuge der Verknüpfung wird der Browser in einem Dialog schließlich dazu auffordern, den Sicherheitsschlüssel mit dem Computer zu verbinden, um den Token zu aktivieren.
Man steckt nun den FIDO-Token am Laptop oder dem Computer an und klickt durch den Dialog, der sich automatisch startet. Im nächsten Schritt wird man aufgefordert, eine geheime PIN zu vergeben. Zum Abschluss der Einrichtung muss man das goldene Element des FIDO-Tokens berühren, um sicherzustellen, dass man auch wirklich physisch anwesend ist. Dann öffnet sich noch einmal ein Setup Fenster, und man gibt erneut die PIN ein. Danach ist der FIDO-Token mit der ID Austria verknüpft und kann fortan als zweiter Faktor beim Login zu ID Austria-Diensten verwendet werden.
Zur alltäglichen Anwendung als zweiter Faktor loggt man sich mit dem Benutzernamen oder der Mobiltelefonnummer beim entsprechenden Service ein und steckt den FIDO-Token an. Nun wird man aufgefordert, die PIN einzugeben. Man muss den Token anschließend kurz berühren, ist das geschehen, hat man den Login oder die Signatur erfolgreich freigegeben.
FIDO-Token im Test der Ö1-Konsumentenredaktion
Die Ö1-Konsumentenredaktion hat einen FIDO-Sicherheitsschlüssel der Marke YubiKey einem Praxistestest unterzogen. Das Ergebnis: Die oben beschriebene etwas sperrige Anleitung muss keinesfalls abschrecken, der Setup-Prozess ist dank entsprechender Hinweise auf dem Bildschirm eigentlich selbsterklärend.
Ein paar Stolpersteine kann es geben, wie man sie aber kennt, wenn man einen neuen Dienst am Computer einrichten möchte. Etwa, wenn eine Serveranfrage nicht verarbeitet wird oder es durch zu langsame Eingeben zu einem Time out kommt. Der getestete FIDO-Token ließ sich außerdem nach beiden Seiten an den USB-Port anschließen, wodurch wir ihn auch einmal verkehrt in der Buchse platziert haben. Nach etwa drei Versuchen war der Token aber mit dem Konto verknüpft, das Login funktioniert bis jetzt problemlos.
Wie langlebig und stabil die Geräte sind, konnten wir bis jetzt nicht prüfen, da es sich bei unserem Versuch keinesfalls um einen Langzeittest gehandelt hat. In jedem Fall ist es ratsam (und wird auch von den Herstellern empfohlen), einen zweiten Sicherheitsschlüssel als Reserve an einem sicheren Ort aufzubewahren, falls es zu einem Defekt kommt oder der Schlüssel verloren geht.
FIDO-Tokens unterstützen auch Passkeys
Derzeit werden FIDO-Tokens in der Regel als zweiter Faktor im Rahmen der Zwei-Faktor-Authentifizierung (2FA) genutzt. Die Geräte unterstützen aber auch Passkeys. Passkeys sind Teil eines neuen Login-Verfahrens, das Onlinekonten zukünftig sicherer machen soll. Sie bestehen aus einem elektronisch generierten Schlüsselpaar, wobei ein Teil (der private Schlüssel) zu keinem Zeitpunkt über das Internet gesendet wird, sondern stets auf dem lokalen Gerät der Anwenderinnen und Anwender verbleibt.
Nach dem momentanen Stand der Technik können Passkeys daher nicht aus der Ferne gehackt werden, sie sind somit wesentlich sicherer als der herkömmliche Anmeldeprozess mit Benutzernamen und Passwort. Noch steht das Verfahren am Anfang, die Technologie soll aber in weiterer Folge die unsicheren (und durchaus nervigen) Passwörter abschaffen. Anbieter wie Google, Apple oder Microsoft und Passwortmanager wie 1Password oder LastPass bieten bereits jetzt die Möglichkeit an, Passkeys beim Login einzusetzen.