Die Benachrichtigung traf um 2:47 Uhr morgens auf meinem Handy ein: "Sie haben 4.800 $ gesendet an..." Ich hatte nichts gesendet. Jemand war in meinem PayPal, in meinem Netzwerk, und bewegte sich schnell. Ich kappte jede Verbindung in meinem Haus: Router, Modem, alles offline. Die Überweisung wurde markiert und rückgängig gemacht. Ich hatte Glück.
Was folgte, war eine der unproduktivsten Wochen meines Lebens. Ich baute mein gesamtes Netzwerk ab, installierte Betriebssysteme auf jedem Gerät neu und durchkämmte jedes Konto, das ich besaß. Ich habe die Sicherheitsprotokolle, um es zu beweisen. Aber Beweise verhindern nicht, dass es wieder passiert. Das war das letzte Mal, dass ich SMS für die Zwei-Faktor-Authentifizierung vertraute.
Das war vor etwa einem Jahr. Und rückblickend glaube ich nicht, dass sie nur hinter meinem PayPal her waren. Angesichts der Projekte, an denen ich damals beteiligt war, vermute ich, dass sie nach etwas Wertvollerem suchten: geistiges Eigentum. Code. Forschung. Zugang zu Systemen, die weit mehr wert sind als ein paar tausend Dollar. Ihr Bankkonto enthält vielleicht Ihre Ersparnisse, aber Ihre Arbeitsgeräte enthalten Ideen, und Ideen können für den richtigen Käufer ein Vermögen wert sein.
Sie haben es wahrscheinlich selbst bemerkt: Google, Apple, Microsoft und Dutzende anderer Dienste haben angefangen zu fragen, ob Sie einen Passkey einrichten oder einen Sicherheitsschlüssel verwenden möchten. Das ist kein Gimmick. Das ist die Branche, die anerkennt, was Sicherheitsprofis seit Jahren wissen: Hardware-Authentifizierung ist der Goldstandard. Wenn Big Tech Sie zu etwas drängt, liegt das normalerweise daran, dass sie es leid sind, mit den Folgen umzugehen, wenn Sie gehackt werden. Diesmal haben sie recht. Sagen Sie ja.
Was ist ein Hardware-Sicherheitsschlüssel?
Ein Hardware-Sicherheitsschlüssel ist ein physisches Gerät, das kryptographische Authentifizierungscodes generiert. Wenn Sie ihn einstecken oder an Ihr Telefon halten, beweist er, dass Sie Sie sind, auf eine Weise, die nicht gefälscht, abgefangen oder für Phishing genutzt werden kann. Es ist die sicherste Form der Zwei-Faktor-Authentifizierung, die normalen Menschen zur Verfügung steht.
Die Technologie dahinter heißt FIDO2 (Fast Identity Online). Wenn Sie einen Sicherheitsschlüssel bei einem Dienst registrieren, generiert der Schlüssel ein einzigartiges kryptographisches Schlüsselpaar nur für diesen Dienst. Der öffentliche Schlüssel geht an den Dienst, der private Schlüssel verlässt das Gerät nie. Wenn Sie sich anmelden, sendet der Dienst eine Herausforderung, Ihr Schlüssel signiert sie mit Ihrem privaten Schlüssel, und diese Signatur beweist, dass Sie den physischen Schlüssel besitzen. Keine Codes zum Eintippen. Keine Push-Benachrichtigungen zum Genehmigen. Einfach antippen und fertig.
Warum Hardware Software übertrifft
Authentifizierungs-Apps wie Google Authenticator oder Authy sind solide. Sie sind weit besser als SMS. Aber sie haben Schwächen. Ihr Telefon kann durch Malware kompromittiert werden. Ihre Backup-Codes des Authenticators können gestohlen werden. Raffinierte Angreifer haben Echtzeit-Phishing-Angriffe entwickelt, die Ihre Einmalcodes weiterleiten, bevor sie ablaufen. Eine Studie von Google ergab, dass Sicherheitsschlüssel 100 % der automatisierten Bot-Angriffe, 100 % der Massen-Phishing-Angriffe und 100 % der gezielten Angriffe blockierten. Keine andere Authentifizierungsmethode kam dem nahe.
"Nachdem Google Sicherheitsschlüssel für alle über 85.000 Mitarbeiter vorgeschrieben hatte, meldete das Unternehmen null erfolgreiche Kontoübernahmen bei arbeitsbezogenen Konten. Null. Das ist es, was physische Authentifizierung bewirken kann."
Welchen Schlüssel sollten Sie kaufen?
Der Marktführer ist Yubico, und das aus gutem Grund. Ihre YubiKey-Linie ist robust, breit unterstützt und in verschiedenen Formfaktoren erhältlich. So wählen Sie aus:
YubiKey 5 Serie
Das ist meine Empfehlung für die meisten Menschen. Der YubiKey 5 NFC ist der Sweet Spot: Er hat USB-A, unterstützt NFC für Mobilgeräte und bewältigt alle Protokolle, die Ihnen begegnen werden. Für etwa 50 $ ist er eine Investition, die potenziell alles schützt, was Sie besitzen. Wenn Ihr Computer nur USB-C-Anschlüsse hat, nehmen Sie stattdessen den YubiKey 5C NFC.
Wo kaufen
YubiKey 5 NFC (USB-A) — Yubico.com | Amazon
YubiKey 5C NFC (USB-C) — Yubico.com | Amazon
Ich empfehle den Kauf direkt bei Yubico, um die Echtheit zu gewährleisten. Amazon-Links werden der Bequemlichkeit halber bereitgestellt.
Kaufen Sie mindestens zwei
Das ist entscheidend. Sicherheitsschlüssel haben keine Backups. Wenn Sie Ihren einzigen Schlüssel verlieren, verlieren Sie den Zugang. Kaufen Sie zwei Schlüssel, registrieren Sie beide bei jedem Dienst, behalten Sie einen an Ihrem Schlüsselbund und den anderen an einem sicheren Ort zu Hause. Manche Menschen bewahren einen dritten in einem Bankschließfach auf. Denken Sie daran wie an einen Ersatzschlüssel für Ihr Haus.
Mein Setup
Ich trage einen YubiKey 5 NFC an meinem Schlüsselbund. Ich habe einen Backup-YubiKey 5C NFC in meinem Tresor zu Hause. Beide sind bei jedem wichtigen Dienst registriert. Gesamtinvestition: etwa 100 $. Seelenfrieden: unbezahlbar.
Einrichtung Ihres Sicherheitsschlüssels auf dem Mac
Apple hat die Einrichtung von Hardware-Schlüsseln unter macOS unkompliziert gemacht. So fangen Sie an:
Für Ihr Apple-Konto
Apple hat die Unterstützung für Sicherheitsschlüssel in iOS 16.3 und macOS 13.2 hinzugefügt. Gehen Sie zu Systemeinstellungen, klicken Sie oben auf Ihre Apple-ID, wählen Sie Anmeldung und Sicherheit und finden Sie Sicherheitsschlüssel. Klicken Sie auf Hinzufügen und folgen Sie den Anweisungen. Sie müssen Ihren Schlüssel einstecken und antippen, wenn Sie dazu aufgefordert werden. Apple verlangt, dass Sie mindestens zwei Schlüssel registrieren, was ein kluges Design ist.
Einmal eingerichtet, erfordert jede Anmeldung bei Ihrem Apple-Konto auf einem neuen Gerät einen Ihrer physischen Schlüssel. Keine sechsstelligen Codes mehr. Keine "Diesem Gerät vertrauen"-Popups mehr, die Angreifer ausnutzen können.
Für Mac-Anmeldung
Sie können Ihren YubiKey auch verwenden, um sich bei Ihrem Mac selbst anzumelden. Dies erfordert die Einrichtung der Smartcard-Authentifizierung oder die Verwendung der PIV-Funktionalität (Personal Identity Verification) von YubiKey. Yubico stellt ein Tool namens YubiKey Manager bereit, das bei der Konfiguration hilft. Der Prozess beinhaltet die Generierung eines Zertifikats auf dem Schlüssel und die Konfiguration von macOS, um ihn für die Anmeldung zu akzeptieren.
Einrichtung Ihres Sicherheitsschlüssels unter Windows
Windows hat ausgezeichnete Unterstützung für Sicherheitsschlüssel, aber es gibt einen wichtigen Vorbehalt, den Sie vor dem Kauf kennen sollten.
Windows Pro vs. Windows Home
Wenn Sie Ihren Sicherheitsschlüssel verwenden möchten, um sich bei Windows selbst anzumelden, nicht nur bei Websites, benötigen Sie Windows 10 Pro oder Windows 11 Pro. Die Home-Editionen unterstützen Sicherheitsschlüssel für die Website-Authentifizierung über Ihren Browser, aber die vollständige Windows Hello-Integration, die Ihnen erlaubt, den Schlüssel für die Windows-Anmeldung zu verwenden, erfordert Pro- oder Enterprise-Editionen. Das liegt daran, dass die zugrunde liegende Technologie auf Azure AD und Domain-Join-Funktionen basiert, die Microsoft für Business-Editionen reserviert.
Wenn Sie Windows Home verwenden und diese Funktionalität möchten, können Sie für etwa 100 $ upgraden. Oder Sie können Ihren Sicherheitsschlüssel weiterhin für Webdienste verwenden und ein starkes Passwort sowie eine Windows Hello-PIN für die Windows-Anmeldung nutzen. Nicht ideal, aber immer noch eine massive Verbesserung gegenüber SMS-Codes.
Für Microsoft-Konto
Gehen Sie zu account.microsoft.com und melden Sie sich an. Navigieren Sie zu Sicherheit, dann Erweiterte Sicherheitsoptionen, finden Sie den Abschnitt Möglichkeiten zum Nachweis Ihrer Identität und wählen Sie Neue Anmeldemethode hinzufügen. Wählen Sie Sicherheitsschlüssel, dann wählen Sie USB-Gerät oder NFC-Gerät basierend auf Ihrem Schlüsseltyp. Stecken Sie den Schlüssel ein, erstellen Sie eine PIN für den Schlüssel, wenn Sie dazu aufgefordert werden, und tippen Sie ihn an, um die Registrierung abzuschließen.
Für Microsoft 365-Unternehmenskonten hängt der Prozess von der Azure AD-Konfiguration Ihrer Organisation ab. Ihre IT-Abteilung muss möglicherweise die Sicherheitsschlüssel-Authentifizierung aktivieren. Wenn Sie die IT-Abteilung sind, sollten Sie die Microsoft-Dokumentation zu den FIDO2-Sicherheitsschlüssel-Richtlinieneinstellungen in Azure AD lesen.
Dienste, die Hardware-Schlüssel unterstützen
Das Schöne an Hardware-Sicherheitsschlüsseln ist, wie universell sie geworden sind. Hier ist eine Handvoll der Dienste, die ich mit meinen gesichert habe, aber das kratzt kaum an der Oberfläche:
Google war eines der ersten großen Unternehmen, das Hardware-Schlüssel unterstützte. In den Sicherheitseinstellungen Ihres Google-Kontos suchen Sie nach Bestätigung in zwei Schritten und fügen einen Sicherheitsschlüssel hinzu. Google bietet sogar ein erweitertes Schutzprogramm für Hochrisiko-Nutzer (Journalisten, Aktivisten, Führungskräfte), das Sicherheitsschlüssel erfordert und zusätzlichen Schutz bietet.
GitHub
Für Entwickler ist GitHub oft der Schlüssel zum Königreich. Ihr Code, Ihre Anmeldedaten, Ihre Deployment-Pipelines. Gehen Sie zu Einstellungen, Passwort und Authentifizierung und fügen Sie einen Sicherheitsschlüssel unter Zwei-Faktor-Methoden hinzu. GitHub unterstützt die Verwendung Ihres Sicherheitsschlüssels als primäre Authentifizierungsmethode, nicht nur als zweiten Faktor.
Cloudflare
Wenn Sie Websites über Cloudflare verwalten, ist die Sicherung dieses Kontos kritisch. Angreifer, die Ihr Cloudflare-Konto kompromittieren, können Ihren Traffic überall hin umleiten. In Ihrem Cloudflare-Dashboard gehen Sie zu Mein Profil, Authentifizierung und fügen einen Hardware-Sicherheitsschlüssel hinzu.
Stripe
Ihr Zahlungsabwicklungs-Dashboard ist eines der sensibelsten Konten, die Sie haben. Stripe unterstützt Hardware-Schlüssel in Ihren Kontoeinstellungen unter dem Abschnitt Sicherheit. Da Stripe Geld verarbeitet, sollte dies einer der ersten Dienste sein, die Sie absichern.
Slack
Geschäftskommunikation enthält sensible Informationen. Slack unterstützt Sicherheitsschlüssel in den Workspace-Einstellungen unter Authentifizierung. Wenn Sie ein Workspace-Administrator sind, können Sie Sicherheitsschlüssel für alle Mitglieder vorschreiben.
Vercel
Wenn Sie Webanwendungen über Vercel deployen, schützt die Absicherung dieses Kontos Ihre Produktionsinfrastruktur. Vercel unterstützt Hardware-Schlüssel in Ihren Konto-Sicherheitseinstellungen.
Die vollständige Liste wächst weiter
Über die oben genannten Dienste hinaus werden Hardware-Schlüssel unterstützt von: Amazon AWS, Microsoft Azure, Dropbox, Facebook, Instagram, Twitter/X, LinkedIn, Coinbase, Kraken, Binance, Bitwarden, 1Password, LastPass, Dashlane, Okta, Duo Security, DocuSign, Salesforce, Atlassian (Jira, Confluence), GitLab, Bitbucket, DigitalOcean, Heroku, Netlify, Fastmail, ProtonMail, Tutanota, Reddit, Discord, Twitch, Nintendo, PlayStation Network, Epic Games, EA und Hunderten mehr.
Schauen Sie im Kompatibilitätskatalog von Yubico nach der vollständigen Liste. Sie ist wirklich beeindruckend.
Die Prioritätsreihenfolge
Beginnen Sie mit diesen in dieser Reihenfolge: Ihre primäre E-Mail (kontrolliert Passwort-Zurücksetzungen für alles), Ihr Passwort-Manager, Ihre Finanzkonten, Ihre Cloud-Dienste. Arbeiten Sie von dort nach außen. Jeder Dienst, den Sie hinzufügen, macht Ihr digitales Leben schwerer zu kompromittieren.
Mobilgeräte: Telefone und Tablets
Ihr Telefon ist oft der Hauptschlüssel zu Ihrem digitalen Leben. Es mit Hardware-Authentifizierung zu sichern ist möglich, obwohl die Erfahrung je nach Plattform variiert.
iPhone und iPad
Mit Ihrem durch Sicherheitsschlüssel gesicherten Apple-Konto (wie oben beschrieben) erben Ihre iOS-Geräte diesen Schutz. Sie können auch NFC-fähige YubiKeys verwenden, indem Sie sie während der Authentifizierung gegen die Oberseite Ihres iPhones halten. Dies funktioniert für Websites in Safari und Apps, die WebAuthn unterstützen.
Android
Android hat robuste Sicherheitsschlüssel-Unterstützung. Viele Android-Geräte können USB-C-Schlüssel direkt verwenden. NFC-Schlüssel funktionieren, indem Sie sie gegen die Rückseite Ihres Telefons halten. Googles eigene Pixel-Telefone arbeiten nahtlos mit YubiKeys sowohl für den Google-Kontoschutz als auch für die Authentifizierung bei Drittanbieter-Diensten.
Die Vor- und Nachteile
Lassen Sie mich ehrlich sein über die Vorteile und Kompromisse beim Umstieg auf Hardware-Sicherheitsschlüssel.
Die Vorteile
Phishing-Immunität: Der Schlüssel reagiert nur auf den legitimen Dienst. Gefälschte Anmeldeseiten funktionieren nicht, weil sie die richtige kryptographische Herausforderung nicht generieren können. Allein das macht Hardware-Schlüssel lohnenswert.
Keine Netzwerkabhängigkeit: Im Gegensatz zu SMS-Codes oder Push-Benachrichtigungen funktioniert Ihr Schlüssel offline. Kein Mobilfunksignal? Kein Problem. Dienstausfall bei Ihrer Authentifizierungs-App? Betrifft Sie nicht.
Geschwindigkeit: Antippen und fertig. Keine sechsstelligen Codes eintippen. Nicht auf SMS warten. Die Authentifizierung dauert etwa eine Sekunde.
Kontowiederherstellung: Viele Dienste erlauben Ihnen, Ihren Sicherheitsschlüssel zur Kontowiederherstellung zu verwenden und dabei potenziell kompromittierte E-Mails oder Telefonnummern zu umgehen.
Die Herausforderungen
Physische Abhängigkeit: Sie brauchen den Schlüssel bei sich. Vergessen Sie ihn zu Hause, und Sie könnten ausgesperrt sein. Deshalb behalte ich einen an meinem Schlüsselbund.
Verlustrisiko: Verlieren Sie alle Ihre Schlüssel ohne Backup-Codes, und Sie könnten vor schwierigen Kontowiederherstellungsprozessen stehen. Manche Dienste verlangen eine Identitätsüberprüfung, die Tage dauert.
Anfänglicher Einrichtungsaufwand: Das Hinzufügen von Schlüsseln zu all Ihren Diensten dauert anfangs einige Stunden. Es ist eine einmalige Investition, aber es ist echte Arbeit.
Kosten: Gute Sicherheitsschlüssel kosten 50 bis 70 $ pro Stück. Zwei zu kaufen bedeutet 100 bis 140 $ im Voraus. Für die meisten Menschen ist das ein kleiner Preis für erheblichen Schutz, aber es ist nicht kostenlos.
Kompatibilitätslücken: Noch nicht jeder Dienst unterstützt Hardware-Schlüssel. Banken sind besonders langsam bei der Einführung, ironischerweise angesichts dessen, was sie schützen. Möglicherweise brauchen Sie für manche Konten weiterhin alternative Authentifizierungsmethoden.
"Die Unbequemlichkeit, einen Sicherheitsschlüssel zu tragen, ist nichts im Vergleich zur Unbequemlichkeit eines Identitätsdiebstahls. Ich habe die Nachwirkungen gesehen. Es dauert Monate, sich zu erholen, wenn man es überhaupt vollständig schafft."
Ihn zu Ihrer universellen Identität machen
Hier werden Hardware-Sicherheitsschlüssel wirklich mächtig: Sie können zu Ihrer einzigen, vereinheitlichten digitalen Identität über alles werden, was Sie tun.
Ihr YubiKey ist nicht nur ein zweiter Faktor. Moderne Implementierungen erlauben Ihnen, ihn als Ihre primäre Authentifizierung zu verwenden. Dienste wie GitHub unterstützen jetzt passwortlose Anmeldung mit Sicherheitsschlüsseln. Microsoft treibt Passkeys voran, die im Wesentlichen Sicherheitsschlüssel-Technologie sind, die in Geräte eingebaut ist, aber auch auf dedizierten Hardware-Schlüsseln leben kann. Apples iCloud-Schlüsselbund kann Passkeys synchronisieren, aber ein Hardware-Schlüssel gibt Ihnen etwas, das außerhalb jedes einzelnen Ökosystems existiert.
Ich habe meinen Sicherheitsschlüssel so eingerichtet, dass er überall registriert ist, wo es zählt: mein persönliches Apple-Ökosystem, mein Microsoft-Arbeitskonto, meine Entwicklungswerkzeuge (GitHub, Vercel, Cloudflare), meine Finanzdienste (Stripe, meine Banken, die es unterstützen), meine Kommunikation (Slack, E-Mail). Ein physisches Token, totale Kontrolle.
Heute anfangen
Bereit, Ihre Sicherheit zu verbessern? Hier ist Ihr Aktionsplan:
Schritt 1: Kaufen Sie zwei YubiKey 5 NFC (oder 5C NFC, wenn Sie USB-C brauchen). Budget: etwa 100 $ insgesamt.
Schritt 2: Beginnen Sie mit Ihrem primären E-Mail-Konto. Das ist der Hauptschlüssel, der die Passwort-Zurücksetzungen für alles andere kontrolliert.
Schritt 3: Fügen Sie als Nächstes Ihren Passwort-Manager hinzu. Wenn Sie 1Password, LastPass, Bitwarden oder Dashlane verwenden, unterstützen alle Hardware-Schlüssel.
Schritt 4: Arbeiten Sie Ihre kritischen Konten durch: Finanzdienste, Cloud-Plattformen, Entwicklungswerkzeuge, Kommunikationsdienste.
Schritt 5: Registrieren Sie beide Schlüssel bei jedem Dienst. Behalten Sie einen bei sich, bewahren Sie den anderen sicher als Backup auf.
Schritt 6: Speichern Sie alle Backup-Codes, die Dienste bereitstellen. Bewahren Sie sie offline auf, idealerweise ausgedruckt oder an einem sicheren Ort getrennt von Ihren Schlüsseln.
Brauchen Sie Hilfe bei der Einrichtung?
Wenn Sie im Raum Mobile, Alabama sind, biete ich Technologieberatung über Greek-Fire Services an. Ich kann Sie durch den gesamten Einrichtungsprozess führen und Ihnen helfen, Ihr digitales Leben abzusichern.
Das Fazit
Hardware-Sicherheitsschlüssel repräsentieren den aktuellen Goldstandard zum Schutz Ihrer digitalen Identität. Sie sind nicht perfekt. Sie erfordern eine kleine Anfangsinvestition und eine gewisse Anpassung Ihres Workflows. Aber sie bieten etwas, das nichts anderes kann: physischen, überprüfbaren Beweis, dass Sie und nur Sie auf Ihre Konten zugreifen.
In einer Welt, in der Datenschutzverletzungen wöchentliche Nachrichten sind, in der SIM-Swapping-Angriffe immer häufiger werden und in der unser gesamtes finanzielles und berufliches Leben in der Cloud existiert, ist ein 50-Dollar-Hardware-Gerät, das an Ihren Schlüsselbund passt, eine bemerkenswert gute Versicherung.
Ich habe diese Lektion um 2:47 Uhr morgens gelernt, als ich zusah, wie jemand versuchte, meine Konten in Echtzeit zu leeren. Das müssen Sie nicht. Betrachten Sie dies als Ihre Gelegenheit, den schweren Weg zu überspringen.
