YubiKey: Hardware-Sicherheitsschlüssel für Kryptografie und MFA
Ein kleiner Metallstreifen, den man mit dem Finger antippt, hat etwas geschafft, was keinem Passwort je gelungen ist: Er hat Kontoübernahmen bei einem der am häufigsten angegriffenen Unternehmen der Welt gestoppt. Nachdem Google über 85.000 Mitarbeitern einen YubiKey ausgehändigt hatte, sank die Zahl der erfolgreich gehackten Mitarbeiterkonten auf null und ist seit Anfang 2017 unverändert. Genau das ist der entscheidende Vorteil eines Hardware-Sicherheitsschlüssels. Er ist kein Virenschutz und speichert auch keine Kryptowährung. Er ist ein physisches Objekt, das Ihre Identität beweist und nahezu unmöglich zu manipulieren ist.
Dieser Leitfaden erklärt, was ein YubiKey ist, wie er funktioniert, warum er SMS und Authentifizierungs -Apps überlegen ist und wie man ihn benutzt, um die Krypto-Konten zu sichern, die Diebe zuerst ins Visier nehmen.
Was ein YubiKey ist und warum er wichtig ist
Stellen Sie sich einen YubiKey wie einen Hausschlüssel für Ihre Konten vor – nur dass dieser nicht kopiert werden kann. Es handelt sich um einen kleinen Hardware-Sicherheitsschlüssel von Yubico, dem schwedisch-amerikanischen Unternehmen, das diese Schlüssel seit 2007 herstellt. Er benötigt weder Batterie noch Display. Er ist lediglich ein kleines Stück Kunststoff und Metall in der Größe eines USB-Sticks, das in einen USB-Anschluss gesteckt wird oder per NFC mit Ihrem Smartphone verbunden wird. Die goldene Scheibe wird mit dem Finger gedrückt.
Der Trick liegt in dieser Fingerspitze. Ein Passwort ist etwas, das man weiß, und alles, was man weiß, kann gestohlen, weitergegeben oder erraten werden – oft alles drei gleichzeitig. Ein YubiKey hingegen ist etwas, das man besitzt, und man kann ein physisches Objekt nicht einfach aus der Tasche eines anderen stehlen. Daher dient er als zweiter Faktor für die Zwei-Faktor-Authentifizierung – und zwar ein hartnäckiger. Er speichert weder Ihre Münzen noch Ihre Dateien. Beim Login beantwortet er nur eine einzige Frage und schweigt dann: Ist der tatsächliche Besitzer gerade hier? Tippen Sie, und Sie sind drin. Tippen Sie nicht, und der Login bricht auf dem Bildschirm ab, egal wie perfekt das gestohlene Passwort auch ausgesehen haben mag.
Wie ein YubiKey Phishing verhindert
Das Raffinierte daran ist nicht die Hardware. Es ist eine domänengebundene Signatur, die eine gefälschte Website niemals aus dem Gerät extrahieren kann.
Ein Geheimnis, das niemals verschwindet
Registrieren Sie einen YubiKey bei einem Dienst, und dieser generiert im Hintergrund ein neues Schlüsselpaar – einen öffentlichen und einen privaten Schlüssel – mithilfe von Public-Key-Kryptografie. Der private Schlüssel wird in einen Sicherheitschip eingebrannt und kann nicht wiederhergestellt werden. Weder über USB, noch während Sie das Gerät in der Hand halten, noch sonst jemals. Nur der öffentliche Schlüssel wird an den Server gesendet. Danach erfolgt jede Anmeldung per Anfrage und Antwort: Die Website sendet eine zufällige Authentifizierungsanforderung, der Schlüssel signiert diese mit dem privaten Schlüssel, der für niemanden lesbar ist, und der Server überprüft diese Signatur anhand des gespeicherten öffentlichen Schlüssels. Dies ist der FIDO2- und WebAuthn-Standard, der auf dem älteren U2F-Standard basiert und den Grund dafür liefert, dass Ihre Anmeldeinformationen nicht vom Gerät ausgelesen werden können.
Warum Phishing nicht funktionieren kann
Nun zum entscheidenden Teil, der Phishing-Angriffe tatsächlich verhindert. Im selben Vorgang übermittelt der Browser dem Schlüssel die aktuelle Domain. Der YubiKey vergleicht diese mit der Domain der Website, auf der er sich ursprünglich registriert hat. Bei einer gefälschten Webseite stimmt die Domain nicht, daher verweigert der Schlüssel die Signatur. Sie können sich von der gefälschten Webseite täuschen lassen – die Hardware jedoch nicht, und auf die Hardware kommt es an. Fügt man noch den physischen Kontakt hinzu, der die Anwesenheit eines Menschen bestätigt, erhält man das, was Sicherheitsbehörden als phishingresistente Authentifizierung bezeichnen. Ein Passwort lässt sich in ein gefälschtes Eingabefeld eingeben. Eine domänengebundene Signatur hingegen nicht.
OTP, Smartcard und Passkeys
Ein YubiKey der Spitzenklasse beherrscht mehrere Sprachen. Er kann ein Yubico-Einmalpasswort generieren – ein 44-stelliges Monstrum neben den sechsstelligen Codes, die eine App anzeigt. Er unterstützt auch zeitbasierte Einmalpasswörter (TOTP), denselben Standard, den Ihre Authentifizierungs-App verwendet. Er dient als Smartcard für Unternehmens- und Behörden-Logins. Und er speichert Passkeys für die vollständig passwortlose Authentifizierung, bei der der Schlüssel der Login selbst ist und nicht nur eine Sicherungskopie. Letzteres gewinnt rasant an Bedeutung: Laut der FIDO Alliance akzeptieren bereits fast die Hälfte der 100 meistbesuchten Websites Passkeys.
| Protokoll | Was es tut | Ersetzt |
|---|---|---|
| FIDO2 / WebAuthn | Phishing-resistente Anmeldedaten und Passwörter | Passwörter und schwache Zwei-Faktor-Authentifizierung |
| U2F | Ursprungsgebundener zweiter Faktor | SMS- und App-Codes |
| Yubico OTP | 44-stelliges Einmalpasswort | Kurze Authentifizierungscodes |
| TOTP / EID | Zeitbasierte Codes, die auf dem Schlüssel gespeichert sind | Eine separate Authentifizierungs-App |
| Smartcard (PIV) | Zertifikatsbasierte Anmeldung | Anmeldungen für Firmenausweise |
Warum ein YubiKey SMS und Authentifizierungs-Apps übertrifft
Alle anderen gängigen zweiten Faktoren lassen sich in Echtzeit an eine gefälschte Website übermitteln. Ein YubiKey kann dies nicht, und genau diese Sicherheitslücke ist der Grund für den Diebstahl von Kryptowährungen.
SMS ist das schwächste Glied
Ein per SMS versendeter Code mag zwar praktisch erscheinen, ist aber die schlechteste gängige Option. Der Code wird an Ihre Telefonnummer gesendet, und Ihre Telefonnummer kann gestohlen werden. Bei einem SIM-Swap bringt ein Angreifer Ihren Mobilfunkanbieter dazu, Ihre Nummer auf seine SIM-Karte zu übertragen und fängt dann Ihre Codes direkt ab. Dies ist kein seltener Ausnahmefall. Die Zahl der SIM-Swap-Betrügereien in Großbritannien stieg 2024 um über 1.055 %. Aus diesem Grund erkennen CISA und das FBI SMS überhaupt nicht als phishingresistente Zwei-Faktor-Authentifizierung an. Für ein Konto mit Guthaben ist es ein Fehler, SMS zu vertrauen, und genau diese Schwäche macht einen Hardware-Schlüssel für Kryptowährungsbesitzer wichtiger als für fast alle anderen.
Selbst Authentifizierungs-Apps weisen eine Phishing-Lücke auf.
Authentifizierungs-Apps sind ein großer Fortschritt gegenüber SMS und gelten neben einem SMS-Code als starke Zwei-Faktor-Authentifizierung, weisen aber eine Schwachstelle auf. Jede Form der Multi-Faktor-Authentifizierung (MFA) ist empfehlenswert; Microsoft hat festgestellt, dass sie 99,9 % der automatisierten Angriffe blockiert. Dennoch entscheidet die Art der Authentifizierung darüber, ob ein menschlicher Phishing-Angreifer durchkommt. Der von einer App angezeigte sechsstellige Code ist lediglich eine Zahl, und eine Zahl kann in ein gefälschtes Eingabefeld eingegeben werden. Eine moderne Phishing-Seite fragt nach Ihrem Code und leitet ihn innerhalb von 30 Sekunden an den echten Dienst weiter. Ein YubiKey schließt diese Sicherheitslücke, da seine Signatur an die echte Domain gebunden ist und nicht auf eine andere Domain übertragen werden kann. Das ist keine Theorie. Es ist der Grund, warum Googles 85.000 Mitarbeiter keine Phishing-Angriffe mehr erleiden, seit Hardware-Schlüssel alle anderen Authentifizierungsmethoden ersetzt haben.
| Verfahren | Phishing-resistent | SIM-Wechsel-sicher | Funktioniert offline |
|---|---|---|---|
| SMS-Code | NEIN | NEIN | NEIN |
| Authentifizierungs-App | NEIN | Ja | Ja |
| YubiKey | Ja | Ja | Ja |
Sichern Sie Ihre Kryptowährung mit einem YubiKey
Hier liegt der Vorteil für jeden Krypto-Investor: Ein YubiKey schützt genau die Konten, die bei SIM-Swapping und Wallet-Draining als erstes Ziel sind. Die meisten großen Kryptobörsen unterstützen mittlerweile Hardware-Sicherheitsschlüssel für die Kontosicherheit, und einige ermöglichen die vollständige Anmeldung per FIDO2 oder Passkey, darunter Coinbase , Binance, Gemini, OKX, Bybit, Crypto.com und KuCoin. Kraken und Bitfinex akzeptieren einen Hardware-Schlüssel als zweiten Faktor. Wenn Sie diese Option aktivieren, kann selbst ein Dieb, der Ihr Passwort und Ihre Telefonnummer kennt, ohne den physischen Schlüssel keinen Zugriff auf Ihre Konten erlangen.
Hören Sie nicht bei der Kryptobörse auf. Ihr wichtigstes Konto ist Ihre E-Mail-Adresse – sie dient als Wiederherstellungspfad für alle anderen Konten. Schützen Sie sie daher zuerst. Fügen Sie anschließend einen Schlüssel zu Ihrem Passwortmanager, Ihrer Kryptobörse und allen Wallet-Diensten hinzu, die dies unterstützen. Das Ziel ist einfach: Entfernen Sie alle Logins, die nur von einem Code abhängen, den Betrüger abfangen oder per Phishing manipulieren können. Derselbe Schlüssel sichert dann mit einer einzigen Vorgehensweise Ihre anderen Online-Dienste. Da die Technologie speziell zur Abwehr von Phishing-Angriffen entwickelt wurde, neutralisiert sie genau den Schritt, auf den Wallet-Drainer oder gefälschte Airdrop-Seiten setzen. Über all diese Online-Konten hinweg wird der YubiKey zum einzigen Anmeldeinformationspunkt, den niemand aus der Ferne kopieren kann. Dadurch wird die Tür für SIM-Swapping und Wallet-Drainer stillschweigend verschlossen.
YubiKey-Modelle und wie man sie auswählt
Yubicos Angebot wirkt komplizierter, als die Auswahl tatsächlich ist. Drei Fragen helfen bei der Entscheidung: Welche Anschlüsse haben Ihre Geräte? Benötigen Sie NFC für Ihr Smartphone? Und benötigen Sie einen Fingerabdruckleser?
Für die meisten ist der YubiKey 5 NFC für rund 58 € die beste Wahl. Er unterstützt alle oben genannten Protokolle und bietet USB-A sowie NFC. Sind Ihre Geräte alle USB-C-fähig? Dann ist der YubiKey 5C NFC genau das Richtige – nur in einem anderen Format. Sie möchten weniger ausgeben? Der Security Key für ca. 29 € verzichtet auf die zusätzlichen Funktionen und unterstützt nur FIDO2 und U2F, was für Kryptografie und alltägliche Anmeldungen völlig ausreicht. Bevorzugen Sie einen Fingerabdruck? Die YubiKey Bio-Serie (ca. 98 €) bietet zusätzlich einen biometrischen Sensor für die PIN-freie Nutzung. Außerdem gibt es eine FIPS-konforme Variante für regulierte Arbeitsumgebungen. Egal, für welches Modell Sie sich entscheiden, kaufen Sie am besten gleich zwei. Der zweite dient als Ersatz und wird Ihnen gute Dienste leisten, wenn der erste einmal kaputtgeht.
Einrichtung und Nutzung eines YubiKey
Die Einrichtung dauert etwa zehn Minuten pro Konto. Worüber niemand Sie aufklärt, ist die Datensicherung.
Registrieren Ihres Schlüssels
Beginnen Sie auf der offiziellen Einrichtungsseite, wählen Sie einen Dienst aus und öffnen Sie dessen Zwei-Faktor- oder Passkey-Einstellungen. Anschließend können Sie den Schlüssel auf drei Arten konfigurieren: als Sicherheitsschlüssel registrieren, einen Passkey darauf speichern oder ihn in einem Authentifizierungs-App-Feld ablegen. Tippen Sie auf die entsprechende Aufforderung – fertig. Die meisten Nutzer verwenden zwei YubiKeys und mehrere Authentifizierungsoptionen pro Konto, sodass der Verlust eines Geräts nicht zum Aussperren führt. Derselbe Schlüssel funktioniert unter Windows, macOS, Linux, Android und iOS und schützt somit sowohl Ihren Laptop als auch Ihr Smartphone. Richten Sie zuerst Ihre E-Mail-Adresse, dann Ihren Passwort-Manager und schließlich Ihren Exchange-Account ein. Diese drei Dienste decken den Großteil Ihres tatsächlichen Risikos ab.
Der Haken: Datensicherungen und ehrliche Limits
Ein YubiKey ist keine Zauberei, und die damit verbundenen Nachteile sollten bekannt sein. Registriert man einen einzigen Schlüssel und verliert ihn, kann man sich aussperren. Daher sollte man immer einen Ersatzschlüssel registrieren oder die Wiederherstellungscodes sicher aufbewahren. Noch unterstützen nicht alle Dienste Hardware-Schlüssel, die Liste wächst jedoch jährlich. Hinzu kommen die Anschaffungskosten von etwa 58 US-Dollar. Außerdem gab es bei der Hardware Fehler: 2017 wurde eine Sicherheitslücke namens ROCA entdeckt, 2024 ein Problem mit Infineon. Beide erforderten physischen Zugriff und wurden in neueren Firmware-Versionen behoben. Das sind jedoch nur Randnotizen, keine K.O.-Kriterien. Nichts davon wiegt schwerer als das Wichtigste: die Verhinderung von Fernzugriffen auf Konten.
Lohnt sich ein YubiKey für Krypto-Nutzer?
Für jeden, der Kryptowährungen besitzt, ist die Antwort ein klares Ja. Ein YubiKey ist eine einmalige Anschaffung für etwa 58 US-Dollar plus Backup, ohne Abonnement. Vergleicht man das mit einem einzigen SIM-Karten-Tausch oder einer Phishing-Seite, die ein Börsenkonto leer räumt, ist der Schaden deutlich zu verkraften. Ein Passwort und eine Authentifizierungs-App erhöhen die Sicherheit; die Multi-Faktor-Authentifizierung (MFA) mit YubiKey geht weit darüber hinaus, sodass Angreifer aus der Ferne überhaupt nicht mehr an Ihre Daten gelangen können. Wenn Sie auch nur auf einem Ihrer Online-Konten Geld halten, ist dies die günstigste Versicherung, die Sie jemals abschließen werden.
Ein YubiKey verwandelt Ihren Finger in ein Passwort
Wenn man Protokolle und Modellnummern außer Acht lässt, leistet ein YubiKey eine Sache unübertroffen: Er macht den sichersten Teil Ihres Logins zu einem physischen Objekt, das Sie in Händen halten und berühren können. Phishing-Angreifer können Passwörter kopieren und Codes weiterleiten, aber sie können weder einen Schlüssel in Ihrer Tasche kopieren noch Ihre Fingerberührung fälschen. Genau deshalb funktioniert er dort, wo alles andere versagt. Richten Sie diese Woche einen YubiKey für Ihr E-Mail-Konto und Ihr Haupt-Börsenkonto ein und fügen Sie ein Backup hinzu. Die einzig wirkliche Frage ist also die praktische: Welches Konto, auf dem Ihr Geld liegt, schützen Sie heute noch mit einem Code, den ein Fremder per Phishing abfangen könnte?
