Nitrokey
Quelloffene Hardware-Sicherheitsschlüssel-Reihe vom Berliner Anbieter Nitrokey, mit Modellen vom rein FIDO2-fähigen Nitrokey Passkey bis zum Nitrokey 3, der PIV-Smartcard, OpenPGP und TOTP ergänzt.
Private Alternativen zu SMS codes, Authenticator apps, geprüft nach unseren öffentlichen Kriterien.
Quelloffene Hardware-Sicherheitsschlüssel-Reihe vom Berliner Anbieter Nitrokey, mit Modellen vom rein FIDO2-fähigen Nitrokey Passkey bis zum Nitrokey 3, der PIV-Smartcard, OpenPGP und TOTP ergänzt.
Voll ausgestatteter Hardware-Sicherheitsschlüssel von Yubico mit Unterstützung für FIDO2/WebAuthn, TOTP/HOTP, Smartcard (PIV) und OpenPGP in mehreren Bauformen, darunter die Varianten USB-A, USB-C und NFC.
Yubicos Einsteiger-Hardware-Sicherheitsschlüssel mit FIDO2/WebAuthn-Unterstützung zu einem niedrigeren Preis, erhältlich in den Varianten USB-A und USB-C, mit NFC bei ausgewählten Modellen.
Keine Treffer für diese Filter.
| Tool | Protocols | Based in | Cost |
|---|---|---|---|
| | FIDO2 + OpenPGP | Germany | Paid |
| | FIDO2 + OpenPGP | Sweden | Paid |
| | FIDO2 only | Sweden | Paid |
Ein Hardware-Sicherheitsschlüssel ist ein kleines Gerät, das in USB gesteckt oder per NFC angetippt wird, um zu beweisen, dass wirklich du dich anmeldest. Er ist der stärkste verfügbare zweite Faktor, denn das Geheimnis verlässt den Schlüssel nie, und er lässt sich nicht so per Phishing abgreifen wie ein getippter Code. Für die Konten, deren Verlust am meisten wehtäte, E-Mail und dein Passwortmanager zuerst, verwandelt ein Schlüssel ein gestohlenes Passwort in eine Sackgasse.
Ein Code aus einer App oder per SMS ist nur so sicher wie die Seite, in die du ihn tippst. Eine überzeugende gefälschte Login-Seite fragt dein Passwort und deinen Code zusammen ab, leitet dann beide in Echtzeit an die echte Seite weiter und spaziert direkt in dein Konto, und keine Vorsicht erkennt jeden Klon. Ein Sicherheitsschlüssel schließt diese Lücke prinzipbedingt. Bei der Einrichtung bindet er sich an die echte Webadresse, und beim Anmelden prüft er diese Adresse kryptografisch, bevor er antwortet, sodass er auf einer Hochstapler-Seite still bleibt. Diese eine Eigenschaft stoppt die häufigsten Kontoübernahmen, weshalb ein Schlüssel ein echter Sprung nach vorn gegenüber einer Authenticator-App ist und nicht nur eine andere Geschmacksrichtung davon.
Jeder Schlüssel hier wird an unseren öffentlichen Aufnahmekriterien gemessen. Wir verlangen Unterstützung für die offenen Standards FIDO2 und WebAuthn, sodass du in ein Protokoll investierst und nicht in einen einzelnen Anbieter, und wir bevorzugen Schlüssel, deren Firmware und Werkzeuge offen zur Prüfung liegen. Wir achten auf die angebotene Bandbreite an Anschlüssen, denn ein Schlüssel, den du nicht in deine Geräte stecken kannst, ist nutzlos, und auf die Zusatzfunktionen, die manche Schlüssel über den Login hinaus bieten. Wir listen nur einen Schlüssel, den wir an unserem eigenen Schlüsselbund tragen würden, und wir vermerken klar, wohin jeder passt.
Beginne mit dem Standard: Unterstützung für FIDO2 und WebAuthn ist nicht verhandelbar, denn genau das liefert die Phishing-Resistenz. Passe dann die Anschlüsse an deine Hardware an, ob USB-C, USB-A, NFC oder Lightning, und bevorzuge einen Schlüssel, der ein Handy ebenso abdeckt wie einen Laptop. Entscheide, ob du einen reinen Login-Schlüssel willst oder einen, der auch TOTP-, Smartcard- oder OpenPGP-Aufgaben übernimmt, denn Nitrokey und der YubiKey 5 tragen diese Extras, während ein einfacher Schlüssel die Sache schlicht und günstiger hält. Plane vor allem, zwei zu kaufen, denn der Ersatz ist Teil der Spezifikation, kein optionales Zubehör.
Für die meisten Konten ist eine Authenticator-App bereits eine große Verbesserung gegenüber SMS-Codes, also ist ein Schlüssel nicht zwingend nötig. Der Grund, einen zu ergänzen, sind die wenigen Konten, die alles andere schützen, dein primäres E-Mail-Konto und dein Passwortmanager, wo ein per Phishing abgegriffener Code eine Katastrophe wäre. Bei diesen ist die Adressprüfung des Schlüssels die kleinen Kosten und die Gewohnheit wert, ihn dabeizuhaben. Ein vernünftiger Mittelweg ist ein Schlüssel für deine zwei oder drei sensibelsten Logins und eine App für den Rest, was den Boden überall anhebt, ohne für jede Seite einen Schlüssel zu kaufen.
Registriere den Schlüssel bei deinen wichtigen Konten, E-Mail zuerst, indem du in den Einstellungen jeder Seite die Option Sicherheitsschlüssel wählst und den Schlüssel bei Aufforderung berührst. Registriere dann deinen zweiten Schlüssel auf dieselbe Weise und bewahre ihn getrennt auf, einen am Schlüsselbund und den anderen zu Hause oder in einem Tresor. Halte auch deine Authenticator-App weiter angemeldet als Rückfallebene für Seiten, die Schlüssel noch nicht unterstützen. Von da an werden deine Logins zugleich einfacher, ein Antippen statt einen Code zu tippen, und weit schwerer zu stehlen. Um das Konto abzurunden, gibt ein Passwortmanager jedem Login ein starkes, einzigartiges Passwort, das der Schlüssel bewacht.