Security-Token für 2-Faktor-Authentifizierung im Vergleich

Wer die Wahl hat, hat die Qual: Security-Token zur Identifizierung von Benutzern am Arbeitsplatz-PC gibt es inzwischen wie Sand am Meer. Wir haben einige Token untersucht und möchten Ihnen eine kleine Entscheidungshilfe geben.

Chemnitz, 21.10.2021

 

Mittlerweile ist es sowohl im privaten als auch geschäftlichen Alltag fast überall bekannt: Eine 2-Faktor-Authentifizierung (2FA) bei der Anmeldung am PC oder diversen Anwendungen schützt Ihr Benutzerkonto vor Missbrauch und Identitätsdiebstahl, selbst wenn im schlimmsten Falle Benutzername und Passwort bereits ausspioniert wurden.

Eine 2-Faktor-Authentifizierung zeichnet sich – wie der Name schon sagt – durch den Einsatz von zwei Faktoren bei der Anmeldung aus: Etwas, das man weiß (PIN) und etwas, das man hat (Token). Entsprechende Security-Token zur Identifizierung von Benutzern am Arbeitsplatz-PC gibt es inzwischen viele. Generell unterscheidet man zwischen kontaktlosen und kontaktbehafteten Speichermedien. Die kontaktlosen Medien gibt es meist in Chipkarten- und Schlüsselanhängerform. Je nach Token-Typ können Sie außerdem für Schließsysteme oder beispielsweise das Bezahlen in der Kantine verwendet werden.

Wir haben einige Security-Token untersucht und möchten Ihnen eine kleine Entscheidungshilfe geben:

Mifare DESFire

Mifare DESFire EV1, EV2 und EV3 sind die von uns am häufigsten genutzten kontaktlosen Speichermedien. Es gibt sie in Kartenform oder als Schlüsselanhänger. Die Integration in bestehende Umgebungen ist meist simpel und erfordert nur in den seltensten Fällen weitere technische Unterstützung. Außerdem können bereits vorhandene Speichermedien für Schließanlagen o.ä. für die Umsetzung der 2-Faktor-Authentifizierung meist direkt verwendet werden. Das spart Kosten für Neuanschaffungen. Die Preise für Lesegeräte und Token sind verhältnismäßig günstig. Einziger Nachteil: Je nach Typ steht nur ein geringer Speicher zur Verfügung. Hier sollte also im Vorfeld klar definiert werden, wofür der Token eingesetzt werden soll und wie viele Benutzerprofile ggf. abgespeichert werden müssen.

LEGIC Advant

LEGIC Advant bietet ebenfalls alle Vorzüge kontaktloser Speichermedien. Allerdings ist die Integration in bestehende Umgebungen oft umständlicher als bei Mifare DESFire. Dazu kommt ggf. organisatorischer Aufwand zur Vorbereitung der Karten vor der ersten Nutzung. Der Preis der Token an sich ist ähnlich günstig wie bei Mifare DESFire, allerdings sind die Lesegeräte deutlich teurer.

MARX CrypToken

Hierbei handelt es sich um eine echte Smartcard, die zusammen mit einem Lesegerät im Gehäuse eines USB-Dongles auftritt. Der große Vorteil zeichnet sich darin ab, dass der Token wie ein USB-Stick mit dem Rechner verbunden wird und kein Kabel zwischen Lesegerät und PC hängt – was besonders das mobile Arbeiten mit Laptops sehr viel komfortabler macht. Preislich lohnt sich diese Lösung vor allem, wenn die Anzahl der Anwender ähnlich der Anzahl der verwendeten Arbeitsplätze ist. Nutzen mehrere User abwechselnd denselben Arbeitsplatz, ist eine kontaktlose Lösung oft günstiger.

YubiKey

Der YubiKey ist ein Sicherheitsschlüssel für die Zwei und Multi-Faktor-Authentifizierung, der den Zugang zu einer beliebigen Anzahl von IT-Systemen und Online-Diensten sichert. Der Schlüssel ist äußerst kompakt, robust und so konzipiert, dass er jederzeit an Ihrem Schlüsselbund aufbewahrt werden kann. Der YubiKey wird in Schweden (oder den USA) hergestellt und ist in einer Vielzahl von Größen und Formen erhältlich, so dass er an vielen Geräten (Desktop/Mobile) über USB oder NFC funktioniert. Unterstützt werden neben den Protokollen FIDO U2F und FIDO2/WebAuthn, SmartCard (PIV), OATH (TOTP/HOTP) und OpenPGP. Kleiner Nachteil ist, dass der YubiKey nur teilweise kompatibel zu Schließanlagen und Zeiterfassungssystemen ist. Außerdem wird der Public-Key-Kryptografiestandard PKCS # 11 nur eingeschränkt unterstützt.

Virtuelle Security-Token

Auch diese Lösung zeichnet sich durch die kontaktlose Verbindung zwischen Token und PC aus. Die Entsperrung des Rechners erfolgt per PIN oder hinterlegten biometrischen Methoden direkt über das Mobilgerät. Der unschlagbare Vorteil: Die virtuellen Security-Token werden einfach über eine App auf ein Smartphone geladen, d.h. es ist keine zusätzliche Hardware wie physische Karte oder Lesegerät nötig. Das schont die Umwelt und den Geldbeutel. Das Sperren des Rechners passiert meist ebenfalls automatisch beim Entfernen des Smartphones vom PC.*

*Die genannten Sperr- und Entsperrmethoden sind abhängig vom App-Anbieter. Das oben genannte Beispiel bezieht sich auf die SmartToken App von digitronic® in Verbindung mit der 2-Faktor-Authentifizierungslösung SmartLogon™ von digitronic®

Die folgende Übersicht fasst noch einmal die entscheidenden Faktoren zusammen:

Mifare DESFire EV1/EV2/EV3

LEGIC Advant

MARX CrypToken

YubiKey 5 NFC

Virtuelle Security Token

Beschreibung

Kontaktloses Speichermedium (Karte oder Schlüsselanhänger)

Kontaktloses Speichermedium (Karte oder Schlüsselanhänger)

USB-Dongle

USB-
Sicherheits-
schlüssel

Android-/iOS-Gerät

Verbindung zum Client

RFID-Kartenleser

Legic-fähiger RFID-Kartenleser

USB

USB / NFC

Netzwerk

benötigte Software von Drittanbietern

Ggf. Treiber für Kartenleser

Keine

Middleware, Treiber

Keine

Keine

Kompatibilität zu Schließanlagen / Zeiterfassung

Ja

Ja

Nein

Teilweise

Nein

Unterstützung von Zertifikaten

Nein

Nein

Ja

FIDO / SmartCard (PIV) / OpenPGP

Nein

Konnektivität zu mehreren Clients gleichzeitig

Über RDP

Keine

Über RDP

Über RDP

Drahtlos

Weitere Vorteile

Preis

Kein Leser benötigt, daher für Laptops besonders geeignet

Multi-Protokoll, IP68, Produktion in Schweden & USA

Drahtlose Verbindung, keine weitere Hardware nötig, günstig und umweltfreundlich

Nachteile

Je nach Typ geringer Speicher

Preis, teils komplizierte Integration in bestehende Umgebungen, geringer Speicher

Preis

PKCS # 11 wird nur eingeschränkt unterstützt

Stabile Netzwerk-
verbindung erforderlich

Kontaktlose Speichermedien sorgen für doppelte Sicherheit

Zusammenfassend kann man sagen: Die Umsetzung einer 2-Faktor-Authentifizierungslösung (2FA) in Verbindung mit einem kontaktlosen Speichermedium als Token ist im Allgemeinen eine äußerst sichere und bequeme Variante, die sich problemlos in ein bestehendes Umfeld integrieren lässt. Mit einer Chipkarte oder einem Schlüsselanhänger kann der Anwender zum Beispiel die Schließanlage und Zeiterfassung bedienen, in der Kantine zahlen und sich am PC oder einem verschlüsselten Share anmelden. Gerade in Kombination mit Schließanlagen spielen diese Medien ihre Stärken aus: Der Mitarbeiter muss zur Öffnung von Türen seinen Token mitnehmen und sperrt damit automatisch seinen Rechner. So werden unautorisierte Zugriffe zuverlässig verhindert. Außerdem eignet sich diese kontaktlose Variante der Security-Token besonders für Umgebungen mit hohen hygienischen Anforderungen, wie etwa Krankenhäuser oder Labore.

Fazit: Worauf kommt es bei der Wahl des richtigen Security-Token an?

Wie bei den meisten Dingen im Leben kommt es auch bei der Wahl des Security-Token auf das richtige Aufwand-Nutzen-Verhältnis an. Werden die Token eher für Laptops oder für feste Arbeitsplatz-PCs benötigt? Müssen sich mehrere Anwender an ein und demselben PC anmelden (beispielsweise sogenannte „Kiosk-PCs“) oder hat jeder User sein eigenes Endgerät? Wechseln die Mitarbeiter häufig die Arbeitsplätze? Bestehen spezielle Hygienevorschriften wie etwa in Reinräumen oder Laboren? Das sind nur einige der Fragen, die Sie sich im Vorfeld stellen müssen. Sind bereits Token für Schließsysteme, Zeiterfassungssysteme o.ä. vorhanden, können diese auf Kompatibilität mit einer 2FA-Software geprüft werden. Hier ist u.a. der noch verfügbare Speicher auf dem Token entscheidend.

Anker

Gern unterstützen wir Sie bei der Auswahl des richtigen Token und stehen Ihnen mit Rat und Tat bei der Umsetzung Ihres 2FA-Projektes zur Seite. Einige der oben genannten Token können Sie auch ganz unverbindlich für 30 Tage testen – zusammen mit unserer 2-Faktor-Authentifizierungslösung SmartLogon™. Sprechen Sie uns einfach an.

Jetzt Anfrage stellen:

Newsletteranmeldung
+ =
Foto Katrin Hecker

Katrin Hecker
Leiterin Vertrieb
IT-Security
+49 371 81539-246
kh@digitronic.net

Katrin Hecker
Leiterin Vertrieb
IT-Security
+49 371 81539-246
vertrieb@digitronic.net

Foto Benjamin Prskawetz

Benjamin Prskawetz
Technischer
Kundenbetreuer
+49 371 81539-281
bp@digitronic.net

Benjamin Prskawetz
Technischer
Kundenbetreuer
+49 371 81539-281
bp@digitronic.net

Diese Artikel könnten Sie interessieren: