Google stellt neue Versionen der Titan Security Keys vor
Über dreieinhalb Jahre ist es nun her, dass Google seine Titan Security Keys in Deutschland eingeführt hat. Dabei handelt es sich um Googles eigene Hardware-Lösung für die Authentifizierung im Rahmen der hardwarebasierten Zwei-Faktor-Authentifizierung für Google Mail, Google Drive und andere Dienste wie 1Password, Dropbox oder Facebook. Auf dem diesjährigen Aspen Cyber Summit hat das Unternehmen nun auch seine neueste Version des Security Keys vorgestellt, die Preise starten bei 30 US-Dollar. Laut Google möchte man im Laufe des Jahres 2024 gleich 100.000 dieser Geräte kostenlos an Nutzer weltweit verteilen, die als „Hochrisikonutzer“ eingestuft werden. Das sind Personen mit hohem Bekanntheitsgrad und sensiblen Informationen – von Kampagnenmitarbeitern bis hin zu Aktivisten und Journalisten.
Die neuen Titan Security Keys bringen die passwortlose Sicherheit von Passkeys in eine Hardware. Die neuen Modelle sollen dabei die bisherigen USB-A- und USB-C-Geräte ersetzen, hinzu kommen hier nun auch NFC-Funktionen. Die neuen Schlüssel können außerdem mehr als 250 eindeutige Passkeys speichern. Beim Erstellen eines Passkeys für euer Google-Konto auf einem der neuen Keys, vergebt ihr dann einfach einen PIN-Code, welcher fortan zur einfachen und dennoch sicheren Anmeldung bei Google genutzt werden kann.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
250 Passkeys. Das ist ’ne Ansage. Mir fällt spontan kein anderer Security-Key-Hersteller ein, de mehr in seinen Hardware-Keys implementiert hat. Beim Yubikey 5 sind es nur 25 resident keys. Reicht mir bisher (für die wichtigsten) Accounts noch vollkommen aus.
Fragwürdig. Resident Keys von FIDO2 sind schon was anderes als Passkeys.
Nö, technisch genau die selbe Sache. Nur wo sie gespeichert werden ist halt anders.
https://www.yubico.com/blog/a-yubico-faq-about-passkeys/
In Deutschland kostet er 35€. Ist auch schon verfügbar: https://store.google.com/de/product/titan_security_key?sku=_titan_key_k52t&hl=de
Aber immer noch kein FIDO2?
Doch:
https://blog.google/technology/safety-security/titan-security-key-google-store/
Weiß nicht, ob damit wirklich FIDO2 gemeint ist oder eher die auf FIDO2 basierende, aber weitaus weniger sichere Passkeys.
Meiner Einschätzung nach kann man diese etwas schwammige Formulierung, gepaart mit der angeblichen Fähigkeit, bis zu 200 Passkeys zu speicher auf der einen Seite so lesen, dass sie im Grunde endlich FIDO2 mit persistentem Speicher unterstützen, wodurch man nicht nur das Passwort, sondern auch den Nutzernamen ersetzen kann und sie zusätzlich ungeschützten Speicher verbaut haben für Passkeys, die ja dann exportierbar wären (was FIDO2 ad absurdum führt), oder sie meinen damit wirklich nur Speicher für Passkeys, wollen aber mehr Sicherheit vorgaukeln.
Auch wenn 35€ nun nicht sooo viel ist, finde ich müsste das Teil für maximal 5€ verscherbelt werden, damit das viele nutzen.
Die die sowas nutzen wollen zahlen auch die 35€, aber vielen ist eben Username+Passwort manchmal schon zu viel, dann noch son Hardwareteil für 35€ kaufen, das machen vermutlich einige nicht mit
Genau die User müssen dann mit bestimmten Sicherheits-Risiken leben.
Ich muss sowas in der Firma nutzen. Erstmal nett: Google aufmachen, Dongle rein, alles gut.
Dann ging’s los: Das Mailprogramm will ein Passwort für SMTP, da musste man sich eines generieren. Durch Webrecherche rausgefunden. Und eines für IMAP. Danach kam ein anderes Passwort für die Kalender-App per caldav. Und dann das ganze für 2 Accounts: privat und nochmal für Job. Damals hatte ich dann noch den Spaß, dass der Mac immer das Safari-Webwidget geöffnet hat, und Chrome davon nix wusste. Zumindest das scheint inzwischen behoben.
Den Überblick über diese ganzen generierten Spezialpasswörter habe ich längst verloren. Gott weiss, was passiert, wenn ich den Dongle mal verliere.
Für mich sähe ein sicheres Verfahren, dass ich akzeptiere, so aus:
1. Ich zahle 10 Euro.
2. Ich bekomme dafür ZWEI Dongles, einen zur Nutzung, einen für die Schublade. Die sind „identisch“, also austauschbar.
3. Der Kram funktioniert auf Betriebssystemebene. Ich steck den einmal rein, und dann habe ich Web, File, Mail, Kalender, ssh, SMB und meine Kaninchenbilderdatenbank offen.
Kurz gesagt: Hausschlüssel.
1. Vergisst man manchmal, dann haben Frau und Kind den gleichen.
2. Wenn ich „drin“ bin, bin ich „drin“. Ich will nicht einen Schlüssel für die Haustür, einen anderen für die Küche und einen dritten für das Schnapsregal in der Küche.
… so sehe ich das auch. Bis dahin Benutzer & Passwort und bei wichtigen Zugängen 2FA dazu.
Danke, besser kann man es nicht beschreiben. Dieses für jeden Sch… ein eigenes Passwort generieren mit oft unterschiedlichen Regeln (Länge, Sonderzeichen, Groß-/Kleinschreibung usw.) + 2-Faktor Authentifizierung (bei den Banken dann wieder Push in unterschiedlichen Apps) ist einfach nur nervig. Da war selbst die SMS-TAN noch Luxus dagegen. Und selbst so ein USB Stick ist nix weil nicht auch am Handy einsetzbar.
Was ich mir wünschen würde wäre der Zugang auf Betriebsystemebene mit FaceID + Fingerabdruck und bei wichtigen Sachen zusätzlich eine Authentifizierung mit ePerso über NFC. Mehr braucht es nicht.
„Und selbst so ein USB Stick ist nix weil nicht auch am Handy einsetzbar“
Echt nicht? Und wofür ist dann USB-C? Und NFC?
Anders gesagt: Natürlich funktionieren diese Sticks mit modernen Smartphones und Tablets
USB-C ja aber im Apple Universum aktuell nur beim neuen iPhone 15. Alle anderen werden sicher nicht noch mit einem extra Kabel oder Adapter herumlaufen. NFC und ePerso wäre die richtige Wahl. Ich brauche nicht noch einen zusätzlichen Dongle am Schlüsselbund. Den Ausweis hat man sowieso immer griffbereit, zumindest bis der irgendwann auch in eine Wallet wandert.
„USB-C ja aber im Apple Universum aktuell nur beim neuen iPhone 15. Alle anderen werden sicher nicht noch mit einem extra Kabel oder Adapter herumlaufen.“
Es geht auch per NFC… man muss den nicht per USB anstecken.
Und solche Keys per NFC unterstützen – soweit mir bekannt – alle iPhones mit aktuellem iOS. Praktisch ausprobiert habe ich es ehrlicherweise noch nicht.
NFC und ePerso kann man doch trotzdem machen – für (hoffentlich bald immer mehr) deutsche (Behörden-)Dienste. Aber Du glaubst Doch nicht, das weltweite Anbieter Bock darauf haben, eIDs bzw. smartcards diverser Standards und Weltregionen alle zu unterstützen?
Und natürlich kann der ePerso keinen Web-Authentifizierungs-Standard wie FIDO2 oder Passkeys. Nur weil er ne Smartcard integriert und NFC hat, ist das ja keine Wunderwaffe.
Genau das, also Zugang zm Passkey mit Face-Id macht Apple doch mit dem Keyring?
Deswegen nutze ich lieber OTP als 2.Faktor, die OTPs kann ich aus der Authentication-App meiner Wahl exportieren und auf dem Zweithandy sowie dem Tablet importieren. Kostet nichts, ist nicht unbequemer als so ein Dongle und man kann Backups haben.
Sehe ich grundsätzlich ähnlich.
Ich bin auch noch skeptisch, was FIDO2 angeht – security technisch ist das natürlich super, ABER ich sehe schon den Pferdefuß im Handling
– Man kann einen FIDO Stick nicht klonen oder ein Backup machen (würde ja auch gegen das Security-Konzept verstoßen)
– Wenn mir jemand meinen FIDO Stick klaut, hat er ggfs. Vollzugriff auf alle meine Konten?!? (Oder gibt es überall noch eine PIN aka „Wissenselement“?)
Ich hab mir trotzdem aus Neugier jetzt mal so einen Titan bestellt und probiere es testweise aus. Dann weiß ich wenigstens, wie es sich in der Praxis macht.
– Wenn mir jemand meinen FIDO Stick klaut, hat er ggfs. Vollzugriff auf alle meine Konten?!? (Oder gibt es überall noch eine PIN aka „Wissenselement“?)
Genau so ist es: Bei den normalen Yubi Keys erstellet man noch eine PIN, damit der Stick die Authentifizierung am Dienst wie Facebook, Google erst freigibt, wenn der PIN eingegeben wurde.
Es gibt aber auch den „Yubikey FiDo Stick BIO“ mit Fingerabdruck Authentifizierung. Da gibt man zwar auch eine PIN ein, kann aber alternativ den Fingerabdruck dann nutzen für die Freigabe.
Trotzdem würde ich diesen „BIO-Stick“ nicht empfehlen, da dieser keine OTPs für die einfache 2FA erstellen kann.
Man kann und sollte auch immer mehrere Dongles registrieren bei einem Dienst. Ein einzelnes Dongle sollte keiner nutzen.
OTP ist schön und gut aber ganz andere Sicherheitskategorie.
Genau so soll FIDO2 funktionieren, alles andere ist eben per Definition nicht sicher. Denn das unsichere am Passwort ist, dass die meisten dem Irrglauben noch unterlegen sind, sie müssten sich Passwörter merken können. Nur führt das dazu, dass Passwörter sehr leicht zu knacken sind. Sowohl Passwortspeicher, als auch FIDO2 machen damit Schluss. Du sollst dir keine Passwörter merken. Bei Passwortspeichern musst du dir nur noch ein sehr gutes Master-Passwort merken, bei FIDO2 nicht einmal das.
Und ja, du hast Recht, dass du für Backup Zwecke zwei Keys haben solltest. Aber diese dürfen auf keinen Fall identisch sein. Stattdessen registrierst du beide Geräte unabhängig voneinander für die gleichen Accounts. Das muss natürlich nicht gleichzeitig geschehen, einen Schlüssel hast du über dabei und erstellst damit den Account, den anderen gräbst du ein Mal die Woche oder den Montag oder so aus und registrierst den quasi als zweites Passwort.
Identisch dürfen die Schlüssel niemals sein, da die Technik dahinter auf Zufall basieren soll, damit selbst der Hersteller nie einen Zweitschlüssel haben kann. Wenn du aber in der Lage bist, zwei identische Schlüssel zu haben, bist du auch in der Lage beliebig viele identische Schlüssel zu haben. Ist nur die Frage, was gefährlicher ist, das oder die Exportierbarkeit der Schlüssel in der Passkeys Implementierung.
PS: nicht alles, was hinkt, ist ein Vergleich. Dein „Kurzgesagt“ läuft also völlig am der Realität vorbei. Zunächst einmal, wenn du deinen Schlüssel vergisst, ist es nur bei echten Schlössern notwendig, dass der Schlüssel deiner Frau identisch zu deinem ist. Aber das liegt nicht daran, dass es nicht anders geht, sondern weil alles andere viel teurer ist. Zum anderen, nein, ein eigenes Passwort für jeden Dienst ist eben nicht das gleiche wie ein Schlüssel für jedes Zimmer. Eher sollte jeder Account bei einem Dienst ein eigenes Haus sein. Wenn bei jedem Haus der identische Schlüssel passt, dann haben es Einbrecher sehr leicht. Hast du aber einfach einen Generalschlüssel, den du zudem auch noch bei Verlust sperren kannst, haben es Einbrecher unvergleichbar schwerer.
Genau darum geht es doch: Es muss ja nicht PERFEKT sicher sein. Weder meine Wohnung noch meine Geldbörse noch mein Auto sind Geheimdienst-sicher. Es reicht, dass all diese Dinget „sicher genug“ für den Alltag sind.
Wenn die Technik das nicht liefert – genau deswegen macht das keiner.
Du kannst mir im Dunklen auflauern und meine EC-Karten-Pin aus mir rausprügeln. Das ist nicht sicher, aber „sicher genug“.
Genau das leitest aber FIDO2. Hingegen ist deine Einstellung einfach völlig falsch. Du willst für jeden Dienst das gleiche Passwort, oder zumindest eins, dass du dir merken kannst. Aber genau das ist eben nicht sicher genug.
Bist Du sicher, dass Du auf den richtigen Kommentar geantwortet hast? Ich habe nirgends gesagt, ich will überall das gleiche Passwort?
Ich will einfach nur…
– …so wie wir für unsere Wohnung 3 Schlüssel haben, auch mehrere austauschbare Dongle.
– …dass generell der entsperrte Rechner als Login gilt. So wie mein Smartphone in der Homezone immer automatisch unentsperrt ist, will ich an meinem entsperrten Rechner nicht auch noch meinen Passwortsafe nochmal entsperren müssen.
Natürlich ist das nicht „komplett sicher“. Es ist „Ich lass den Laptop im Bus liegen“-sicher, und für mehr opfere ich dann keine weitere Bequemlichkeit mehr.
Ja, bin ich. Denn genau das schreibst du, wenn auch nicht exakt mit den Worten.
Und nein, es wird niemals möglich sein, mehrere identische Schlüssel zu haben, und das ist auch gut so. Alles andere zerstört das gesamte Sicherheitskonzept. Habe ich aber auch schon ausführlich erklärt. Dann kannst du auch einfach alles ohne Passwort lassen. Oder eben überall das gleiche vergeben.
Aber der Witz am ganzen ist, dass du eben keine 3 identischen Schlüssel, sondern einfach nur drei Schlüssel. Und wenn du einen verlierst, kannst du ihn überall sperren. Ist bei deinem Konto auch nicht anders. Wenn du deine Bankkarte verlierst, sperrst du die natürlich, weil sonst jeder Zugriff hat.
Und der Rest hat nicht das geringste mit FIDO2 oder sonstigem zu tun. Wenn du willst, dass der Lockscreen deines PCs im Heim-WLAN nicht nach einem Passwort fragt, mach das dem Hersteller des OS klar. Das hat aber nichts damit zu tun, ob du irgendwelche Passwörter ist Hardwareschlüssel nutzt.
Klar könnte man mit der richtigen Technik identische Schlüssel haben, und wenn das mit dieser Technik nicht geht, dann ist das halt alles unpraktisch, und ich bleibe beim Passwort — das kann ich mir merken, notieren, meiner Frau sagen. DAS ist praktikabel.
Dann solltest du mal mit deiner Firma reden. IMAP und SMTP gehen schon länger über oAuth. CalDAV, CardDav und Webdav kann man ebenso über oAuth einrichten. Man muss es halt Serverseitig entsprechend einrichten. Und auf der entsprechenden Anmeldeseite lässt sich dann – wenn richtig eingerichtet – natürlich auch der Stick nutzen.
SMB läuft über die Windows-Authentifizierung. Auch dort kannst du den Stick natürlich zur Anmeldung nutzen.
Auch SSH kannst du über Residental Keys problemlos nutzen. Tue ich jetzt schon.
Alle deine Beispiele sind mit einem einzelnen Key machbar, wenn der Betreiber der Infrastruktur es entsprechend einrichtet bzw. der Admin auch aktiviert.
2) Ein komplett gleicher, kopierbarer Key widerspricht halt komplett dem Konzept.
Kompatibel auch mit iOS zwei Faktor Authentifizierung Sicherheitsschlüssel? Wird durch das hinzufügen von diesem Sicherheitsschlüssel in iOS das ändern des iCloud Passworts ohne Sicherheitsschlüssel verhindert?
„Kompatibel auch mit iOS zwei Faktor Authentifizierung Sicherheitsschlüssel? “
Gute Frage, werde ich ausprobieren (gerade so einen Titan Stick USB-C bestellt).
„Wird durch das hinzufügen von diesem Sicherheitsschlüssel in iOS das ändern des iCloud Passworts ohne Sicherheitsschlüssel verhindert?“
Wird das nicht mittlerweile ohnehin ohne 2FA verhindert?
Nur das aktuell der Standard-2FA das „vertrauenswürdige iOS-Gerät“ mit Biometrie ist?!?
Man braucht 2 Sicherheitsschlüssel für iOS zwei Faktor Sicherheitsschlüssel.
Wenn ich am iPhone auf Einstellungen – Apple ID – Anmeldung und Sicherheit gehe und Passwort ändern wird der iPhone Code abgefragt. Wird dieser iPhone Code durch den Sicherheitsschlüssel ersetzt an dieser Stelle? Hintergrund ist dass wenn das iPhone gestohlen und Code ausgespäht wurde man durch den Schlüssel das ändern des Passwortes verhindern könnte.
OK, verstanden was Du meinst.
Gute Frage…
Daher ist es natürlich auch jetzt schon immer eine gute Idee, einen langen Entsperrcode zu verwenden, der schwieriger auszuspähen (oder -probieren) ist.
Mein Smartphone ist Android/Samsung, da darf ich als Nummercode (Zahlenblock) „nur“ 16 Zeichen verwenden 😀 Nutze ich auch.
Bei iOS war das Limit höher, da hatte ich am iPhone einen 18-stelligen Nummerncode
Muss man ja nicht ständig eingeben, meist reicht ja die Biometrie
Meine Sticks sind angekommen. Leider ist beiden USB-A Sticks das Sigel nicht (mehr) verschlossen. Ich werde sie wohl zurückgehen lassen.
Hat von den Mitlesenden noch jemand die Dinger bestellt? Waren sie bei Euch ordnungsgemäß versiegelt?
Habe meinen heute erhalten, dass kleine weiße Siegel war noch richtig verschlossen und musste von mir aufgeschnitten werden. Beim passkeys.io test gings auch noch nicht mit komischer Fehlermeldung in Chrome. Habs dann mal direkt bei Google versucht und ausversehen erstmal als 2FA (Fido2) hinzugefügt. Passkey dann nochmal, diesmal erstmal einen PIN einrichten, okay gemacht wieder Fehlermeldung. Stick von 2FA entfernt und dann ging auch das hinzufügen als Passkey (nach eingabe vom PIN). Nach dem PIN setzen gings auch problemlos bei Passkeys.io, Amazon usw.
Kannst ja mal schauen ob du noch eine Pin setzen kannst, wenn nicht ist das Teil sowieso fast wertlos. Wenn man das weiße Siegel versucht abzuziehen bleibt auch der Schrifzug VOID überall an der Packung kleben.
Ich habe 4 USB-C Sticks bestellt, bei allen war das Siegel verletzt.
Weiß jemand, woran das liegen kann? Welches Risiko besteht jetzt??
Danke!
Bei mir war das Siegel auch nicht richtig geklebt/hatte sich gelöst.
Ich glaube, das heißt gar nix – außer das die Siegel nix taugen.
Letztlich muss man da eh Google vertrauen. Das Secret kann man aus dem Secure Element ohnehin nicht wirklich extrahieren (außer man steckt enorm viel Aufwand rein – aber wofür?). Das Zertifikat bzw. der öffentliche Schlüssel ist eh das – öffentlich.
Ich würde mir da keine Sorgen machen.
Ich werde ihn trotzdem zurückgehen lassen, denn diese Mixtur aus Passkeys und echter FIDO2 Funktion und mal wird die gesetzte PIN respektiert und abgefragt und mal nicht und es genügt antippen und mit manchem Browser auf manchem System funktioniert es und anderswo gibt es Fehlermeldungen ist mur zu doof (diverse Systeme und Geräte, alles mit dem Google Account getestet).
Das hat so für mich keinen Mehrwert. Ich warte auf Passkey-Unterstützung in Keepass(XC) und so lange – oder noch sehr lange, denn es sieht ja nicht wirklich so aus, als ob Passkeys schon groß fliegen – bleibt es bei PW und AuthApp