Nitrokey und Somu im Test: Zwei Fido-Sticks für alle Fälle

Sie sehen aus wie USB-Sticks mit einer Taste und sollen das Internet per Zwei-Faktor-Authentifizierung und passwortlosem Anmelden sicherer machen: Fido-Sticks. In Kürze werden zwei neue Sticks von Nitrokey und Solokeys erscheinen. Beide setzen konsequent auf freie Software und offene Hardware und bieten damit eine interessante Alternative zu den Closed-Source-Produkten von Google und Yubico. Die Sticks weisen im Test einige Besonderheiten auf. So möchte Solokeys sogar neue Funktionen auf seinen alten und neuen Fido-Sticks per Firmwareupdate einführen. Golem.de konnte vorab Entwicklerversionen der beiden Sticks testen - die uns in der Praxis bereits überzeugen.

Die noch unveröffentlichten Fido-Sticks Somu von Solokeys und der Nitrokey Fido2 unterstützen beide das Fido2-Protokoll und damit Webauthn. Auf Knopfdruck kann eine kryptographisch abgesicherte Zwei-Faktor-Authentifizierung gestartet werden, sofern eine Webseite den entsprechenden Dienst anbietet. Beide Fido-Sticks unterstützen zudem passwortloses Anmelden. Das haben wir mit verschiedenen Webseiten getestet. Doch neben den Gemeinsamkeiten gibt es auch deutliche Unterschiede, dazu gehört etwa der Formfaktor.

Klein, kleiner, Somu

Der fingerkuppengroße Somu von Solokeys verschwindet fast komplett im USB-Schacht. So können ihn die Nutzer nicht mehr vergessen, sondern haben ihn immer mit dabei, wenn sie ihn beispielsweise im USB-Port ihres Laptops verstaut haben. Eine Besonderheit der Solokeys sind die bunten, auswechselbaren Silikonhüllen, die über die Sticks gestülpt werden können. Es gibt sie auch für den kleinen Somu.

Inspiriert wurde Solokeys von Tomu, einem Miniboard, das ebenfalls komplett im USB-Port verschwindet und mit der entsprechenden Software viele Aufgaben übernehmen kann, darunter Fido2/Webauthn. Mit dem Yubikey Nano 5 gibt es auch von Yubico einen Sicherheitsschlüssel, der komplett im USB-Schacht untergebracht wird. Der bietet im Moment zwar mehr Funktionen als der Somu, kostet jedoch mit 50 US-Dollar auch etwas mehr und verwendet weder freie Software noch lässt sich der Stick updaten. Daher musste Yubico bereits mehrfach Sicherheitsschlüssel austauschen, in deren Firmware eine Sicherheitslücke steckte. Auch Google musste bereits die Bluetooth-Variante des Titan-Fido-Sticks zurückrufen.

Anwender oder Entwickler?

Den Somu gibt es - wie dessen großen Bruder Solo, der ungefähr die Größe eines handelsüblichen USB-Sticks besitzt - in zwei Varianten: Hacker und Secure. Bei beiden Varianten kann zwar die Firmware aktualisiert werden, aber bei der Secure-Variante kann nur von Solokeys signierte Firmware aufgespielt werden, sie richtet sich daher vor allem an normale Anwender. Der Somu Hacker hingegen ist vor allem für Entwickler gedacht, die angepasste Firmware auf den Stick spielen wollen.

Letztlich ist der Somu die Micro-Version des Solo, den wir bereits im März gemeinsam mit Fido-Sticks von Google, Yubico und Nitrokey getestet hatten. Sowohl der Somu als auch der Solo sollen per Firmwareupdate neue Funktionen erhalten. Die Entwickler arbeiten an einer OpenPGP- und SSH-Unterstützung für die Fido-Sticks, ähnlich wie sie auch bei den teureren Sicherheitsschlüsseln von Yubico oder Nitrokey angeboten wird. "Die Entwicklung ist schon ziemlich weit fortgeschritten", sagt Nicolas Stalder von Solokeys. Solo- und Somu-Besitzer könnten die Firmware direkt über einen Webauthn-fähigen Browser aktualisieren. Alternativ könne die Software über die Kommandozeile aktualisiert werden sowie über eine Desktop-App, an der Solokeys gerade arbeite, erklärt Stalder.

Nitro goes passwordless

Im Gegensatz zum Somu setzt der Nitrokey auf Altbewährtes: Das Gehäuse unterscheidet sich einzig durch den Aufdruck von den anderen Nitrokeys im Shop. Innen werkelt jedoch neue Technik: Der Nitrokey unterstützt erstmals Fido2 und Webauthn und damit neben einer sicheren Zwei-Faktor-Authentifizierung auch passwortloses Anmelden. Im Unterschied zum Somu, der sich nur kompliziert aus dem USB-Port herausfummeln lässt, ist der Nitrokey - wie die anderen Fido-Sticks im USB-Stick-Format - mobil und haltbar. Neben der offenen Hard- und Software bietet auch der Nitrokey Fido2 die Möglichkeit, die Firmware zu aktualisieren. Das Vorgängermodell Nitrokey U2F hatte diese Funktion nicht und unterstützte nur Fido, nicht Fido2.

Die Firmware soll einfach beim Besuch einer Nitrokey-Webseite mit einer Bestätigung über die Taste auf dem Nitrokey aktualisiert werden können, erklärt Jan Suhr, CEO von Nitrokey. Aus Sicherheitsgründen könnten nur von Nitrokey signierte Updates eingespielt werden. Bei der Firmware des Fido2-Sticks setzt Nitrokey laut Stalder auf die Software von Solokeys, an deren Verbesserung die beiden Projekte gemeinsam arbeiten würden.

Für Nutzer ist es durchaus ratsam, nicht nur einen Fido-Stick mit einem Webdienst zu verwenden, sondern mindestens zwei zu hinterlegen. So sperrt sich der Nutzer im Falle eines Verlustes oder wenn der Fido-Stick kaputtgeht nicht aus dem genutzten Dienst aus. Wir haben bei mehreren Webseiten Prototypen des Somu und des Nitrokeys hinterlegt und getestet, ob wir uns problemlos bei den verschieden Webseiten anmelden können.