Security-Token für 2-Faktor-Authentifizierung im Vergleich

Wer die Wahl hat, hat die Qual: Security-Token zur Identifizierung von Benutzern am Arbeitsplatz-PC gibt es inzwischen wie Sand am Meer. Wir haben einige Token untersucht und möchten Ihnen eine kleine Entscheidungshilfe geben.

Chemnitz, 21.10.2021

 

Mittlerweile ist es sowohl im privaten als auch geschäftlichen Alltag fast überall bekannt: Eine 2-Faktor-Authentifizierung (2FA) bei der Anmeldung am PC oder diversen Anwendungen schützt Ihr Benutzerkonto vor Missbrauch und Identitätsdiebstahl, selbst wenn im schlimmsten Falle Benutzername und Passwort bereits ausspioniert wurden.

Eine 2-Faktor-Authentifizierung zeichnet sich – wie der Name schon sagt – durch den Einsatz von zwei Faktoren bei der Anmeldung aus: Etwas, das man weiß (PIN) und etwas, das man hat (Token). Entsprechende Security-Token zur Identifizierung von Benutzern am Arbeitsplatz-PC gibt es inzwischen viele. Generell unterscheidet man zwischen kontaktlosen und kontaktbehafteten Speichermedien. Die kontaktlosen Medien gibt es meist in Chipkarten- und Schlüsselanhängerform. Je nach Token-Typ können Sie außerdem für Schließsysteme oder beispielsweise das Bezahlen in der Kantine verwendet werden.

Wir haben einige Security-Token untersucht und möchten Ihnen eine kleine Entscheidungshilfe geben:

MIFARE DESFire

MIFARE DESFire EV1, EV2 und EV3 sind die von uns am häufigsten genutzten kontaktlosen Speichermedien. Es gibt sie in Kartenform oder als Schlüsselanhänger. Die Integration in bestehende Umgebungen ist meist simpel und erfordert nur in den seltensten Fällen weitere technische Unterstützung. Außerdem können bereits vorhandene Speichermedien für Schließanlagen o.ä. für die Umsetzung der 2-Faktor-Authentifizierung meist direkt verwendet werden. Das spart Kosten für Neuanschaffungen. Die Preise für Lesegeräte und Token sind verhältnismäßig günstig. Einziger Nachteil: Je nach Typ steht nur ein geringer Speicher zur Verfügung. Hier sollte also im Vorfeld klar definiert werden, wofür der Token eingesetzt werden soll und wie viele Benutzerprofile ggf. abgespeichert werden müssen.

LEGIC Advant

LEGIC Advant bietet ebenfalls alle Vorzüge kontaktloser Speichermedien. Allerdings ist die Integration in bestehende Umgebungen oft umständlicher als bei MIFARE DESFire. Dazu kommt ggf. organisatorischer Aufwand zur Vorbereitung der Karten vor der ersten Nutzung. Der Preis der Token an sich ist ähnlich günstig wie bei MIFARE DESFire, allerdings sind die Lesegeräte deutlich teurer.

MARX CrypToken

Hierbei handelt es sich um eine echte Smartcard, die zusammen mit einem Lesegerät im Gehäuse eines USB-Dongles auftritt. Der große Vorteil zeichnet sich darin ab, dass der Token wie ein USB-Stick mit dem Rechner verbunden wird und kein Kabel zwischen Lesegerät und PC hängt – was besonders das mobile Arbeiten mit Laptops sehr viel komfortabler macht. Preislich lohnt sich diese Lösung vor allem, wenn die Anzahl der Anwender ähnlich der Anzahl der verwendeten Arbeitsplätze ist. Nutzen mehrere User abwechselnd denselben Arbeitsplatz, ist eine kontaktlose Lösung oft günstiger.

YubiKey

Der YubiKey ist ein Sicherheitsschlüssel für die Zwei und Multi-Faktor-Authentifizierung, der den Zugang zu einer beliebigen Anzahl von IT-Systemen und Online-Diensten sichert. Der Schlüssel ist äußerst kompakt, robust und so konzipiert, dass er jederzeit an Ihrem Schlüsselbund aufbewahrt werden kann. Der YubiKey wird in Schweden (oder den USA) hergestellt und ist in einer Vielzahl von Größen und Formen erhältlich, so dass er an vielen Geräten (Desktop/Mobile) über USB oder NFC funktioniert. Unterstützt werden neben den Protokollen FIDO U2F und FIDO2/WebAuthn, SmartCard (PIV), OATH (TOTP/HOTP) und OpenPGP. Kleiner Nachteil ist, dass der YubiKey nur teilweise kompatibel zu Schließanlagen und Zeiterfassungssystemen ist. Außerdem wird der Public-Key-Kryptografiestandard PKCS # 11 nur eingeschränkt unterstützt.

Virtuelle Security-Token

Auch diese Lösung zeichnet sich durch die kontaktlose Verbindung zwischen Token und PC aus. Die Entsperrung des Rechners erfolgt per PIN oder hinterlegten biometrischen Methoden direkt über das Mobilgerät. Der unschlagbare Vorteil: Die virtuellen Security-Token werden einfach über eine App auf ein Smartphone geladen, d.h. es ist keine zusätzliche Hardware wie physische Karte oder Lesegerät nötig. Das schont die Umwelt und den Geldbeutel. Das Sperren des Rechners passiert meist ebenfalls automatisch beim Entfernen des Smartphones vom PC.*

*Die genannten Sperr- und Entsperrmethoden sind abhängig vom App-Anbieter. Das oben genannte Beispiel bezieht sich auf die SmartToken App von digitronic® in Verbindung mit der 2-Faktor-Authentifizierungslösung SmartLogon™ von digitronic®

Die folgende Übersicht fasst noch einmal die entscheidenden Faktoren zusammen:

MIFARE DESFire EV1/EV2/EV3LEGIC Advant
MARX CrypToken
YubiKey 5 NFC
Virtuelle Security Token
Beschreibung
Kontaktloses Speichermedium (Karte oder Schlüsselanhänger)
Kontaktloses Speichermedium (Karte oder Schlüsselanhänger)
USB-Dongle
USB-SicherheitsschlüsselAndroid-/iOS-Gerät
Verbindung zum Client
RFID-Kartenleser
Legic-fähiger RFID-Kartenleser
USB
USB / NFC
Netzwerk
benötigte Software von Drittanbietern
Ggf. Treiber für Kartenleser
Keine
Middleware, Treiber
Keine
Keine
Kompatibilität zu Schließanlagen / Zeiterfassung
Ja
Ja
Nein
Teilweise
Nein
Unterstützung von Zertifikaten
Nein
Nein
Ja
FIDO / SmartCard (PIV) / OpenPGP
Nein
Konnektivität zu mehreren Clients gleichzeitig
Über RDP
Keine
Über RDP
Über RDP
Drahtlos
Weitere Vorteile
Preis

Kein Leser benötigt, daher für Laptops besonders geeignet
Multi-Protokoll, IP68, Produktion in Schweden & USA
Drahtlose Verbindung, keine weitere Hardware nötig, günstig und umweltfreundlich
Nachteile
Je nach Typ geringer Speicher
Preis, teils komplizierte Integration in bestehende Umgebungen, geringer Speicher
Preis
PKCS # 11 wird nur eingeschränkt unterstützt
Stabile Netzwerkverbindung erforderlich

Kontaktlose Speichermedien sorgen für doppelte Sicherheit

Zusammenfassend kann man sagen: Die Umsetzung einer 2-Faktor-Authentifizierungslösung (2FA) in Verbindung mit einem kontaktlosen Speichermedium als Token ist im Allgemeinen eine äußerst sichere und bequeme Variante, die sich problemlos in ein bestehendes Umfeld integrieren lässt. Mit einer Chipkarte oder einem Schlüsselanhänger kann der Anwender zum Beispiel die Schließanlage und Zeiterfassung bedienen, in der Kantine zahlen und sich am PC oder einem verschlüsselten Share anmelden. Gerade in Kombination mit Schließanlagen spielen diese Medien ihre Stärken aus: Der Mitarbeiter muss zur Öffnung von Türen seinen Token mitnehmen und sperrt damit automatisch seinen Rechner. So werden unautorisierte Zugriffe zuverlässig verhindert. Außerdem eignet sich diese kontaktlose Variante der Security-Token besonders für Umgebungen mit hohen hygienischen Anforderungen, wie etwa Krankenhäuser oder Labore.

Fazit: Worauf kommt es bei der Wahl des richtigen Security-Token an?

Wie bei den meisten Dingen im Leben kommt es auch bei der Wahl des Security-Token auf das richtige Aufwand-Nutzen-Verhältnis an. Werden die Token eher für Laptops oder für feste Arbeitsplatz-PCs benötigt? Müssen sich mehrere Anwender an ein und demselben PC anmelden (beispielsweise sogenannte „Kiosk-PCs“) oder hat jeder User sein eigenes Endgerät? Wechseln die Mitarbeiter häufig die Arbeitsplätze? Bestehen spezielle Hygienevorschriften wie etwa in Reinräumen oder Laboren? Das sind nur einige der Fragen, die Sie sich im Vorfeld stellen müssen. Sind bereits Token für Schließsysteme, Zeiterfassungssysteme o.ä. vorhanden, können diese auf Kompatibilität mit einer 2FA-Software geprüft werden. Hier ist u.a. der noch verfügbare Speicher auf dem Token entscheidend.

Anker

Gern unterstützen wir Sie bei der Auswahl des richtigen Token und stehen Ihnen mit Rat und Tat bei der Umsetzung Ihres 2FA-Projektes zur Seite. Einige der oben genannten Token können Sie auch ganz unverbindlich für 30 Tage testen – zusammen mit unserer 2-Faktor-Authentifizierungslösung SmartLogon™. Sprechen Sie uns einfach an.

Jetzt Anfrage stellen:

Newsletteranmeldung
+ =
Foto Benjamin Prskawetz

Benjamin Prskawetz
Vertrieb & Technischer
Kundenbetreuer
+49 371 81539-213
vertrieb@digitronic.net

Benjamin Prskawetz
Vertrieb & Technischer
Kundenbetreuer
+49 371 81539-213
vertrieb@digitronic.net

Diese Artikel könnten Sie interessieren: