YubiKey: Wie er im Vergleich zu anderen Sicherheitsschlüsseln funktioniert

Was ist ein YubiKey?

Ein YubiKey ist ein von Yubico hergestellter Hardware-Sicherheitsschlüssel. Dieses physische Gerät bietet Multi-Faktor-Authentifizierung, indem es kryptografische Nachweise der Benutzeridentität erzeugt. Im Gegensatz zu softwarebasierten Authentifikatoren, die anfällig für Malware-Extraktion sind, speichert der YubiKey geheime Schlüssel in manipulationssicherer Hardware, die nicht kopiert oder extrahiert werden kann. 

Physisches Design und Formfaktoren

YubiKeys sind in mehreren physischen Ausführungen erhältlich, um unterschiedlichen Anschlussbedürfnissen gerecht zu werden. Das Standardmodell mit USB-A misst ca. 18 mm x 45 mm und ist dafür ausgelegt, dauerhaft im Laptop-Port zu verbleiben. USB-C-Varianten unterstützen moderne Geräte, während der YubiKey 5Ci über zwei Anschlüsse für Lightning und USB-C verfügt. NFC-fähige Modelle ermöglichen drahtlose Authentifizierung mit kompatiblen Smartphones. Das Gerät enthält keine Batterie – es bezieht Strom direkt vom Host-Gerät. Die meisten Modelle verfügen über ein goldenes Kontaktfeld oder eine Taste, die eine physische Berührung zur Aktivierung erfordert, um die Anwesenheit des Benutzers während der Authentifizierung sicherzustellen.

 

Die Authentifizierung erfordert eine physische Interaktion mit dem Gerät. In den meisten Fällen berühren Sie das goldene Kontaktfeld, wodurch ein kapazitiver Stromkreis geschlossen wird, der die Anwesenheit eines Menschen bestätigt. Dies verhindert, dass Malware im Hintergrund stillschweigend authentifiziert. Die YubiKey Bio-Serie ergänzt dies um eine Fingerabdruckverifikation und schafft so einen echten Multi-Faktor-Ansatz, der etwas, das Sie besitzen (das Gerät), mit etwas, das Sie sind (Ihr biometrisches Merkmal), kombiniert. Der PIN-Schutz bietet eine weitere Sicherheitsebene – bestimmte Vorgänge erfordern die Eingabe eines Zahlencodes, bevor das Gerät auf Authentifizierungsanforderungen reagiert.

YubiKey-Authentifizierungsprotokolle und Standards

YubiKeys unterstützen eine Vielzahl von Authentifizierungsstandards, die darauf ausgelegt sind, Passwörter zu eliminieren, Phishing zu verhindern und die Login-Sicherheit zu verbessern. Hier ist eine Übersicht über die wichtigsten unterstützten Protokolle:

• FIDO2 & WebAuthn (Passwortlose Authentifizierung). FIDO2 ist der führende Standard für passwortloses Einloggen. In Kombination mit einem FIDO2-kompatiblen Dienst erzeugt ein YubiKey ein eindeutiges Anmeldekennzeichen, das an eine bestimmte Domain gebunden ist – wodurch Phishing-Angriffe wirkungslos werden. Keine Passwörter erforderlich; nur der physische Schlüssel und die Anwesenheit des Benutzers. Unterstützt von Google, Microsoft, Facebook, GitHub und anderen.
  

• FIDO U2F (Universal Second Factor). U2F ergänzt passwortbasierte Logins durch einen physischen zweiten Faktor. Nach Eingabe des Passworts tippen Sie den YubiKey an, um zu bestätigen. Das Gerät überprüft die Identität der Webseite und blockiert Phishing-Versuche. U2F funktioniert nativ in modernen Browsern ohne zusätzliche Treiber und bleibt weit verbreitet unterstützt.
  

• OATH (TOTP/HOTP Einmalpasswörter). Der YubiKey kann bis zu 32 OATH-Anmeldedaten speichern und funktioniert wie eine hardwarebasierte Authenticator-App. TOTP-Codes werden alle 30 Sekunden aktualisiert; HOTP-Codes werden manuell erzeugt. Der Zugriff erfolgt über die Yubico Authenticator-App, die eine sicherere Speicherung als mobile Apps bietet.
  

• PIV Smartcard-Funktionalität. YubiKeys unterstützen Personal Identity Verification (PIV) für unternehmensgerechte Smartcard-Anmeldungen. Das Gerät speichert X.509-Zertifikate für Netzwerk- authentifizierung, E-Mail-Signierung und Verschlüsselung. Kompatibel mit Windows-Domänenanmeldungen und macOS FileVault-Verschlüsselung.
  

• OpenPGP-Unterstützung. Der YubiKey fungiert als sicheres Hardware-Token für OpenPGP-Vorgänge – Signierung, Verschlüsselung und Authentifizierung. Schlüssel können direkt auf dem Gerät erzeugt oder importiert werden. Der private Schlüssel verlässt nie die Hardware, was sichere E-Mail- und Code-Signierung ermöglicht.
  

• Yubico OTP & Statische Passwörter. Yubico OTP erzeugt 44-stellige Einmalpasswörter mithilfe eines integrierten Geheimnisses und Zählers, die von Yubico-Servern verifiziert werden. Im Modus für statische Passwörter kann ein festes Passwort für Systeme ohne moderne Authentifizierungsoptionen gespeichert werden. Beide Modi emulieren Tastatureingaben.
  

• Challenge-Response-Authentifizierung. In diesem Modus sendet der Host eine Herausforderung, und der YubiKey antwortet mithilfe von HMAC-SHA1 mit einem gespeicherten Geheimnis. Ideal für Offline-Szenarien wie Festplattenverschlüsselung und Passwortmanager-Zugriff (z. B. KeePassXC), bei denen nur der Schlüssel die Daten entsperren kann.

YubiKey-Modelle und Serienvergleich

Beste YubiKey-Alternativen für den Unternehmenseinsatz

Hardware-Sicherheitsschlüssel werden oft nur danach verglichen, ob sie FIDO2 unterstützen. Für den Einsatz in Unternehmen reicht das nicht aus. Die praktischen Unterschiede liegen meist in (1) wie gut der Schlüssel in arbeitsplatzorientierte Workflows (gemeinsame PCs, schnelles Sperren/Entsperren) passt, (2) ob hybride Umgebungen unterstützt werden, in denen passwortlose Verfahren schrittweise eingeführt werden, während Systeme mit Passwort/OTP weiterhin bestehen, und (3) ob der Anbieter neben FIDO2 auch PKI-/Smartcard-Szenarien abdeckt.

1. Hideez Keys — FIDO2, schnelles Sperren/Entsperren und Passwortverwaltung

Hideez Key ist nicht nur ein FIDO-Sicherheitsschlüssel, sondern Teil eines Zugriffsworkflows für Arbeitsplätze mit automatischer Sperrung und Entsperrung basierend auf Nähe. In gemeinsam genutzten Arbeitsumgebungen liegt der Vorteil darin, dass die Sicherheit nicht nur beim Login greift: Die Sitzung kann automatisch gesperrt werden, wenn sich der Benutzer vom Arbeitsplatz entfernt, wodurch das Risiko durch unbeaufsichtigte Sitzungen reduziert wird. 

Ein weiterer Vorteil ist die Unterstützung hybrider Bereitstellungen: passwortlose Authentifizierung, wo möglich, bei gleichzeitigem Zugang zu Altsystemen, die Passwort-Login und OTP erfordern. Hideez vermarktet dies als Kombination von passwortloser Authentifizierung mit Passwort-/OTP-Nutzung innerhalb derselben Nutzererfahrung (z. B. Passwortverwaltung und OTP-Funktionen neben moderner Authentifizierung).

2. Thales SafeNet eToken Fusion — kombinierter FIDO2- und PKI-Token 

Thales positioniert den eToken Fusion als ein einzelnes Gerät, das FIDO-Authentifizierung und PKI-Anwendungsfälle kombiniert. Diese Tokenklasse ist typischerweise für Unternehmen relevant, die sowohl FIDO2/WebAuthn für phishing-resistenten Zugriff auf Webdienste als auch zertifikatsbasierte Authentifizierung (oft PIV-kompatible Workflows) für Windows-Logins, VPNs, Signaturen und andere PKI-basierte Kontrollen benötigen.

eToken Fusion wird häufig als Alternative in Betracht gezogen, wenn Unternehmen Wert auf Kompatibilität mit dem IAM-Ökosystem von Thales und auf Beschaffungs-/Compliance-Anforderungen legen, während gleichzeitig FIDO und PKI in einem einzigen Token benötigt werden.

3. Token2 — FIDO2-orientiertes Gerät mit OTP-Unterstützung 

Token2 vertreibt FIDO2-Sicherheitsschlüssel und bietet auch Modelle an, die FIDO2/U2F mit TOTP-Funktionalität kombinieren. Dies wird häufig verwendet, wenn ein Unternehmen phishing-resistente Authentifizierung breit einführen möchte, aber weiterhin bestimmte Anwendungen unterstützen muss, die OTP benötigen. Die Produktkategorien und einzelnen SKUs von Token2 beschreiben diese kombinierten Funktionen.

Token2 wird häufig in Betracht gezogen, wenn Kosten und Verfügbarkeit eine wichtige Rolle spielen und wenn kombinierte FIDO2- + TOTP-Modelle Reibungen in Übergangsphasen reduzieren können. Voraussetzung ist dabei die Standardisierung auf bestimmte SKUs und Firmware-Versionen, um Support-Unterschiede zu vermeiden.

In der Praxis hängt die „richtige“ Wahl des Sicherheitsschlüssels weniger vom Markennamen ab, sondern davon, wie gut er in Ihre gesamte Authentifizierungslandschaft passt: moderne FIDO2-orientierte Anwendungen, Altsysteme mit Passwort- und OTP-Anforderungen sowie Arbeitsplatzmuster, die ein echtes betriebliches Risiko darstellen. 

Wenn Sie diese Fähigkeiten als einheitliches, zusammenhängendes System bewerten möchten, ist das Hideez Workforce Identity-System dafür ausgelegt: Es bietet passwortlose Authentifizierung und gleichzeitig kontrollierten Zugang über Passwörter und OTPs für Altsysteme, integriert sich mit FIDO2-zertifizierten Schlüsseln (einschließlich YubiKey, Thales, Token2 und anderen) und unterstützt mobile Authentifizierung über die Hideez-App. 

Es geht auch über Web- und App-Zugänge hinaus, indem es Nähe-basierte Zugänge zu Computern ermöglicht – mit schnellem Entsperren und sicherem, automatischem Sperren an gemeinsam genutzten Arbeitsplätzen. Um zu sehen, wie diese Workflows in Ihrer spezifischen Umgebung aussehen, buchen Sie eine Demo und erfahren Sie mehr über unser vollständiges Funktionsangebot.