Stina Ehrensvard

Der Grund dafür, warum YubiKey so und nicht anders ist

Der erste YubiKey wurde 2008 auf den Markt gebracht. Bei seiner Namensgebung stand das Wort „ubiquity“ (zu dt. Allgegenwärtigkeit) Pate, mit der Grundidee, Anmeldepraktiken für alle einfach und sicher zu gestalten. Damals bestand unser Unternehmen noch nicht einmal aus 10 Personen, aber unsere Strategie war einfach: Wenn wir es schaffen würden, unsere Entwicklung der YubiKey-Technologie in enger Zusammenarbeit mit einer Handvoll Konzerne der Technikbranche voranzubringen, würde dadurch das Internet für alle sicherer werden.  

Nach 12 Jahren sind wir diesem Ziel jetzt näher gekommen. Yubico hat 2014 den ersten FIDO-Sicherheitsschlüssel überhaupt herausgebracht, und nun unterstützen alle führenden Plattformen und Browser den YubiKey und die FIDO- und WebAuthn-Standards, die wir wegbereitend entwickelt haben. Außerdem drängt eine steigende Zahl an FIDO-kompatiblen Authentifikatoren auf den Markt wie zum Beispiel solche, die in Rechner oder Handys eingebaut sind — was ganz unseren Erwartungen entspricht. Immer mehr Unternehmen, die diese Standards übernehmen, werden das Ökosystem weiter ausbreiten und YubiKey-Nutzern Vorteile verschaffen.

TEs wird niemals einen Königsweg geben, der alle Authentifizierungsbedürfnisse abdeckt, aber der YubiKey ist so ausgelegt, dass er möglichst viele Anwendungsfälle unter einen Hut bringt. Das aktuelle Produktangebot von YubiKey ist das Ergebnis von ständiger Innovation und Kooperation mit unseren Kunden, Partnern und Nutzern, mit dem wir das größtmögliche Maß an Sicherheit, Benutzerfreundlichkeit und Langlebigkeit zu erreichen versuchen. Sehen Sie im Folgenden einen detaillierten Überblick von Entwicklungs- und Produktionsentscheidungen, die Yubico aus bestimmten Gründen getroffen hat. 

Ein externer Authentifikator reduziert die Angriffsfläche

FIDO-Authentifikatoren lassen sich jetzt direkt in Handys und Rechner integrieren, wodurch die Verbraucher verstärkt darauf zurückgreifen können und ein breites Spektrum an Anwendungsfällen abgedeckt wird. Leider gehen diese Multifunktionskomponenten auch mit breiteren Angriffsmöglichkeiten und potenziellen Sicherheitsrisiken einher, wie die Sicherheitslücke bei Intel gezeigt hat. 

Sicherheitsexperten sowohl aus dem physischen als auch dem digitalen Bereich sind sich darin einig, dass für einen stärkeren Schutz die Angriffsfläche minimiert werden muss. Um die Sicherheit von Online-Konten zu steigern, haben wir den YubiKey als externen Authentifikatoren entworfen, der nur die Authentifikation und Verschlüsselung übernimmt und nicht an das Internet gebunden ist. Im Gegensatz zu eingebauten Authentifikatoren funktioniert der YubiKey außerdem ohne Batterien, über alle Rechner und Handys hinweg und stellt eine kostengünstige, geräteübergreifende Grundlage für Vertrauen dar. 

Kleine Geräte, die den ökologischen Fußabdruck verbessern

Der YubiKey ist nachhaltig entworfen: Eine stabile Einkomponentenform, ohne Batterien und bewegliche Teile. Der handelsüblichste YubiKey kann als Schlüsselanhänger verwendet werden und wiegt nicht mehr als eine Kreditkarte. Außerdem achten wir bei der Planung unserer Produkte und deren Verpackung auf möglichst geringes Gewicht und flache Formate, um platzsparende Versandgrößen und eine bessere CO2-Bilanz zu erreichen. 

USB und NFC sind sichere und benutzerfreundliche Formfaktoren

Manche FIDO-Authentifikatoren, einschließlich Handys, Laptops und Sicherheitsschlüssel, verwenden die Kommunikation während der Authentifizierung per Bluetooth Low Energy (BLE). Allerdings war Bluetooth ursprünglich für Audio-Zwecke entwickelt worden, nicht für die Sicherheit. Auch wenn seit den Anfängen der BLE-Spezifikationen große Schritte in puncto Sicherheit zurückgelegt wurden, ist das Risiko, innerhalb weniger Meter manipuliert zu werden, nicht vollständig beseitigt. Außerdem ist das BLE nicht ganz so einfach für den Benutzer, was Helpdesk-Support-Anfragen ansteigen lässt, die wiederum mit steigenden Kosten verbunden sind.

Untersuchungen zufolge haben breit angelegte FIDO-basierte Einrichtungen mit USB- und NFC-YubiKeys zu keinerlei Account Takeover geführt und Support-Anfragen zu 92 % reduziert, was eine Kosteneinsparung im Millionenbereich bedeutet. 

Sicherheitselemente bieten starken physischen Schutz

Wenn mehr Personen einen Code überprüfen, kommt das im Allgemeinen zwar der Sicherheit zugute, wirft aber leider auch Fragen zur Quellensicherheit wie beispielsweise bei Heartbleed auf.

Ursprünglich wurde der YubiKey auf USB-Standardteilen aufgebaut. Um die physische Sicherheit des YubiKeys zu verbessern, gingen wir später dazu über, unsere gesamte Hardware auf Sicherheitselementen aufzubauen, wie sie auch für Chip-basierte Kreditkarten und Ausweise verwendet werden. Nachdem Sicherheitselemente den Bauteilen von Anfang an Authentizität geben, können sie Betrüger, die ein Gerät entwendet haben, daran hindern, den Code zu entschlüsseln oder zu ändern.

Moderne Sicherheitselemente sind nicht für die Implementierung von offenen Quellen ausgelegt, da deren Chips in Bezug auf die Quellennutzung und die Tools proprietär und geheim sind. Um die Qualität und die Integrität von Yubico-Produkten zu schützen, werden von unseren Sicherheits- und Entwicklungsteams und von Drittunternehmen ständig Sicherheitsprüfungen durchgeführt. 

Biometrische Erkennung und PINs werden in einer passwortlosen Welt nebeneinander bestehen

FIDO und WebAuthn wird uns bald unsere komplizierten Passwörter vergessen lassen und sie durch physische FIDO-Authentifikatoren mit starken Public-Key-Verschlüsselungsverfahren ersetzen. Diese Geräte werden den ersten starken Faktor darstellen (was man hat), der mit einem PIN (was man weiß) und mit biometrischen Informationen (was man ist) kombiniert werden kann.

Aber auch wenn biometrische Informationen oftmals sehr praktisch sind, ist nicht gesagt, dass statische Bilder wie zum Beispiel ein Fingerabdruck wirklich sicherer als ein PIN sind. Yubico wird im Verlauf dieses Jahres den YubiKey Bio lancieren, der sowohl Fingerabdruck als auch PIN unterstützt. Das Produkt wird ein flaches, robustes Design und verbesserte Sicherheitsfunktionen haben, die sich nach dem heute auf dem Markt Möglichen richten. 

Zum Thema Lieferketten

Yubico-Produkte werden in den USA und in Schweden hergestellt. Wir haben diese Entscheidung bewusst getroffen, weil wir die Integrität unserer Produkte sicherstellen möchten. FIDO bescheinigt nur die Interoperabilität, legt aber derzeit weder Sicherheitsrichtlinien fest noch führt es Sicherheitsprüfungen durch. Aus diesem Grund ist es Aufgabe der Benutzer und Dienstleister, sich für einen vertrauenswürdigen Anbieter zu entscheiden. 

Authentifizierung entwickelt sich weiter

Der YubiKey wurde mit Blick auf die Zukunft entwickelt. Um einen nahtlosen Übergang von heute auf morgen zu gewährleisten, haben wir sowohl alte als auch moderne Sicherheitsprotokolle auf einem einzigen Gerät vereint. 
Der YubiKey unterstützt statische Passwörter, One-Time Passwords (OTP), PIV (Smart Card), OpenPGP, FIDO U2F und FIDO2, damit ein Authentifikator über ein breites Spektrum an Systemen, Diensten und Anwendungen hinweg arbeiten kann. 

Das neue YubiEnterprise-Abonnementmodell von Yubico ermöglicht es Unternehmen, einen Teil ihrer YubiKeys zu aktualisieren, wenn neue Modelle und Funktionen eingeführt werden.

Folgen Sie unserem Ansatz, um das Internet für alle sicherer zu machen

Aufgrund des wachsenden Markts an FIDO-Authentifikatoren wollen unsere Kunden wissen, welche Möglichkeiten sie in Betracht ziehen sollten. In der Regel raten wir dazu, FIDO2- und WebAuthn-unterstützte Systeme einzusetzen und viele der verfügbaren Authentifikatoren auszuprobieren, um dann anhand der Rückmeldungen von Nutzern und Anwendungsstatistiken die Entscheidungsfindung zu erleichtern. Mit offenen Standards sind Dienstleister und Nutzer nicht an einen Anbieter oder eine Entwurfsvariante gebunden, sondern können sich ganz im Sinne der Marktentwicklung entscheiden. 

In der Zwischenzeit werden wir von Yubico uns weiterentwickeln, offene Standards voranbringen und uns auf unsere Kunden fokussieren, um Marktanteile zu sichern und langfristiges Vertrauen zu gewinnen.