Chrome OS liefert Hinweis für auf Bluetooth-basierende 2FA-Keys für Google-Accounts
Der Redakteur Dinsan hat beim Einrichten des Play Stores auf seinem Chromebook kürzlich eine interessante Entdeckung gemacht, die er auch direkt in seinem Blog niederschreiben und teilen musste. Während der Einrichtung kam er bei der Zwei Faktor-Authentifizierung an, bekam allerdings einen recht merkwürdigen Screen dabei präsentiert. Darauf zu sehen ist ein Key, der stark an den Umriss eines Einkauf-Chips erinnert, allerdings in der Mitte einen Button besitzt. Dies erinnere laut Dinsan sehr an den Knopf der USB-Sticks, die er zum Entsperren seiner Zwei Faktor-Authentifizierung beim Google-Account nutzt. Hier wäre dieser für eine kleine Taschenlampe gedacht.
Dinsan merkt an, dass Google schon seit geraumer Zeit gemeinsam mit dem Unternehmen Yubico an solchen Security Keys arbeiten würde, die noch eine zusätzliche Ebene an Sicherheit in die 2FA bringen sollen. Yubico tüftele dabei gerade an Keys, die sich via Bluetooth pairen lassen. Das Unternehmen selbst äußerte in einem Blog-Beitrag, dass es diverse Herausforderungen dabei zu meistern gelte:
- Bluetooth pairing is not an easy thing to get right, for the engineer and also for the user
- Bluetooth compatibility with operating systems
- Battery life, Bluetooth based devices will need batteries as opposed to the USB devices that we currently use
- Radio regulatory issues that come with Bluetooth devices
Einen ganz speziellen Part sieht Dinsan hier als besonders erwähnenswert an:
„In summary, we are selectively releasing the YubiKey BLE into specific pilots. As platform support matures during the second half of 2016, we will increase the pace of our Bluetooth certifications. Stay tuned and once the entire ecosystem is ready for prime-time, we are too.“
Er vermutet (vor allem wegen des Screens seines Chromebooks), dass Google Teil dieses Pilotprojekts sein dürfte und damit mitten in einer Erprobungsphase eines solchen BT-Security Keys stecken könnte.
Würdet Ihr so einen Key mit euch herumtragen? Haltet Ihr das Konzept für sinnvoll?
Mehr Sicherheit ist IMMER sinnvoll. Ich habe auch lange mit dem Gedanken gespielt, mit den Yubiko-Key zu holen, aber >50,- € ist’s mir dann doch nicht wert – normale 2FA per App muss(te) reichen. Mal schauen, ob das Teil dann auch andere 2FA-Authentifizierungen absichern kann…
Ich hätte 0 Probleme damit sowas mit herumzutragen. Ich nutze auch bei Paypal noch den Token Generator (den kann man wohl mittlerweile nicht mehr neu bestellen). Warum sollte ich dieses blöde SMS Gedöns nutzen. Solche Keys sind, meines erachtens, immer besser.
Ab gesehen davon kann man einen YubiKey auch jetzt schon bei vielen Diensten nutzen….
Google, Dropbox. Fastmail, Mailbox.org, Dashlane, KeePass, Github, Posteo halt alle Dienste die auch U2F unterstützen…..
Und mal weg vom Sicherheitsgedanken. Ein großer Vorteil ist auch, das man keine Auth App pflegen muss. Insbesondere dann nervig, wenn man das Mobiltelefon wechselt…
@Jan – hätte ich früher so unterschrieben. Seit Umstieg auf Authenticator Plus wird mein Bestand gesichert und kann bei Bedarf innerhalb weniger Sekunden wiederhergestellt werden. Hardwarelösungen werden es IMHO schwer haben, da man sie einfach nicht immer dabei hat…im Gegensatz zum Smartphone.
Einen Hardware-Key je Gerät oder einer für alle?
Solange das Teil am Schlüsselbund nicht stört bin ich dabei!
Matze, Du musst ja nicht unbedingt mit dem YubiKey NEO anfangen, zum ausprobieren kannst Du auch klein zB mit HyperFIDO U2F Security Key (lächerliche 8 Euro bei Amazon) anfangen und Dich dann steigern.
Meinen YubiKey Standard trage ich schon seit Jahren am Schlüsselbund mit mir rum und bis dato noch keine Abnutzungserscheinungen.
@Stephan – stimmt, schon, aber…dann funktioniert’s am Smartphone/Tablet nicht…die regelmäßigen Devices sichert man eh, damit man nicht jedesmal das Teil stecken muss…und am Ende hat man ihn nicht dabei, wenn man ihn mal braucht. Erinnert mich ein wenig an die guten alten HBCI-Karten fürs Onlinebanking. Sicher, aber unpraktisch und daher vom Aussterben bedroht.
Matze, für meinen shell Mailclient habe ich mir ein App-spezifisches Passwörter generiert.
Mit dem App-Passwort kannst Du keinen grösseren Schaden anrichten, IMHO, ausser Mail lesen&löschen 🙂
Alle anderen google Funktionen funktionieren nur mit dem originalen Passwort.
Und wenn ich meinen Yubikey vergessen haben sollte so kannst Du Dir immer noch eine Sms zuschicken lassen.
So habe ich zumindest für mich einen passabelen Schutz eingerichtet.
Leider errinnere ich mich nicht ganz genau wie das ablief als ich mein Telefon eingerichtet habe, wage mich aber zu schreiben das ich mich nicht nur mit dem normalen gmail PW einloggen konnte.
Auf jeden Fall ist die Kombination von Besitz und Wissen doch ein enormer Sicherheitsgewinn um auch mal unterwegs die Mail zb im Webfrontend bei Bekannten zu ohne im Nachgang das gmail Passwort panisch in „1234“ zu ändern.