Passwortloser Login mit einem Hardwaretoken

Vor einiger Zeit zeigten wir, wie der passwortlose Login mit einem Passkey in einem Passwortmanager funktioniert: 1/4: Was sind Passkeys. Nun schauen wir uns an, wie der Login mit einem Hardwaretoken funktioniert.

Analog zum Passkey in einem Passwortmanager wird auch bei einem Hardwaretoken ein Private-Key und ein Public-Key generiert. Dabei wird der Private-Key sicher im Hardwaretoken gespeichert und ist nur dort vorhanden.

Vereinfacht gesagt wird beim Login ein Authentication-Challenge mit Hilfe des Private-Keys signiert und an den Server gesendet. Der Server prüft mit Hilfe des Public-Keys diese Signatur.

Für den Login mit einem Hardwaretoken gelten die gleichen Vorteile wie für einen Passkey in einem Passwortmanager:

• passwortlos
• phishing-resistent
• starke Kryptografie
• Standardisiert FIDO2
• Breite Browserunterstützung

Beispiel: Einfacher Login mit Hardwaretoken

Dies passiert alles im Hintergrund, ohne dass der Benutzer viel davon mitbekommt. Der genaue Ablauf für den Benutzer ist im Video ersichtlich.

Im Beispiel im Video wird auf eine Benutzeridentifikation verzichtet. Es gibt Hardwaretokens, welche einen Fingerabdruck-Sensor haben und so die Benutzeridentifikation machen. Hat das Hardwaretoken keinen solchen Sensor wird auf einen Pin, welcher der Benutzer vorgängig konfigurieren kann, zurückgegriffen.

Mobile Geräte

Um Hardwaretokens mit mobilen Geräten verwenden zu können, unterstützen viele Tokens NFC (Near Field Communication) für die drahtlose Kommunikation mit dem Smartphone. Wird das Hardwaretoken mit NFC verwendet, muss das Token sehr nahe (innerhalb weniger Zentimeter) am Smartphone sein.

Diebstahl des Hardwaretokens

Es ist wichtig, dass das Hardwaretoken mit einem PIN oder Passwort geschützt ist. Ohne Passwort können die Daten auf dem Hardwaretoken nicht gelesen werden. Ein extrahieren der Daten ohne Passwort ist nicht oder nur sehr schwer möglich (Bsp. Bug in der Hardware oder Firmware des Hardwaretokens). Ist das Hardwaretoken mit einem Passwort geschützt, ist es für den Dieb unbrauchbar. Dennoch gilt es als Benutzer online die Passkeys beim jeweiligen Account zu löschen.

Verlust des Hardwaretokens

Für die auf dem Hardwaretoken gespeicherten Privaten-Schlüssel gibt es kein Backup. Geht das Hardwaretoken verloren, gibt es keine Möglichkeit die dort gespeicherten Daten wieder zu erhalten. In einem solchen Fall kann man sich auch nicht mehr beim jeweiligen Account einloggen. Dann muss via Recovery-Option eine neue Authentifizierungsmethode erstellt werden. Je nach Dienst funktioniert dies anders.