FIDO2 in der Praxis

Microsoft ist mit der Implementierung von FIDO2 schon recht weit. Loggen Sie sich zum Beispiel mit Ihrem Microsoft-Konto unter der Adresse accounts.microsoft.com ein. Oben klicken Sie auf Sicherheit und benutzen weiter unten die rechte Kachel Weitere Sicherheitsoptionen, Bild 3.

Wir wollen unsere zwei YubiKeys hinzufügen. Unter Windows Hello und Sicherheitsschlüssel finden Sie die beiden Punkte Sicherheitsschlüssel einrichten sowie Windows Hello einrichten. Hier können Sie Windows Hello konfigurieren und Ihre Sicherheitsschlüssel erfassen. Es ist empfohlen, für jeden Dienst mindestens zwei Schlüssel zu hinterlegen; natürlich können Sie jeden YubiKey für haufenweise Dienste verwenden. Zwei Schlüssel für die wichtigsten Dienste sind empfohlen, denn so haben Sie noch einen in Reserve, falls der andere mal im Büro liegen bleibt oder verloren geht. Unter dem Punkt Anmeldemethoden verwalten können Sie einen verlorenen Schlüssel entfernen oder einen neuen Schlüssel hinzufügen, Bild 4.

Das Einloggen per FIDO2 ist bequem, sofern man das richtige Gerät (den eigenen Laptop, das Smartphone oder den separaten FIDO2-Key) immer dabei hat. Aber das ist vielleicht nicht immer der Fall. Darum empfehlen wir, bei jedem Dienst auch noch eine zweite Anmeldemöglichkeit einzurichten. Dazu empfiehlt sich ein richtig starkes Passwort mit Zwei-Faktor-Authentifizierung (2FA). So können Sie sich für alltägliche Logins auf Ihren Schlüssel verlassen und sich trotzdem per Passwort und 2FA einloggen, sollte der Schlüssel gerade nicht zur Hand sein. So fragt beispielsweise Microsoft nach dem Passwort. Aber Sie können unterhalb auf Mit Sicherheitsschlüssel anmelden klicken und den Schlüssel einstöpseln, Bild 5.

In vielen Diensten, die diese Art von Registrierung anbieten, gibts auch die Möglichkeit, einen Wiederherstellungs-Code zu sichern – oder gleich mehrere davon. Drucken Sie diese aus oder hinterlegen Sie diese in einer gut gesicherten Passwortdatei. Der Vorteil: Sie können sich im Verlustfall wieder bei Ihren Konten einloggen und den verlorenen Schlüssel aus diesen entfernen.

Auch Google ist in Sachen FIDO2 schon auf gutem Weg. Loggen Sie sich auf der Google-Seite mit Ihrem Google-Konto ein und surfen Sie zur Internetadresse myaccount.google.com/signinoptions/two-step-verification. Scrollen Sie ein Stück herunter. Da finden Sie übrigens auch schon die vorhin erwähnten Back-up-Codes, die Sie zum Wiederherstellen Ihres Kontos verwenden können, Bild 6.

Es schadet nichts, mal auf Codes anzeigen zu klicken, diese Codes auszudrucken und an einem sicheren Ort abzulegen. Dieser sichere Ort ist aber auf keinen Fall Ihr Smartphone, sondern ein Ordner in Ihrem Büroschrank oder ein Tresor.

Unten finden Sie den Bereich Sicherheitsschlüssel. Benutzen Sie Sicherheitsschlüssel hinzufügen. Dank FIDO2 kann ein neueres Smartphone selbst schon ein Sicherheitsschlüssel sein, den Sie für die Anmeldung an anderen Computern in Ihr Google-Konto benutzen könnten. Wenn dieses aber nicht dabei ist oder Sie gerne eine Reservevariante einrichten wollen, können Sie auch einen speziellen FIDO2-Schlüssel wie zum Beispiel einen YubiKey verwenden, der je nach Ausstattung via USB, Bluetooth, Lightning oder NFC benutzt werden kann. Wählen Sie aus, welche Sorte Hardware-Schlüssel Sie hinterlegen möchten, Bild 7.

Wir greifen hier zu USB oder Bluetooth. Stellen Sie sicher, dass Sie Ihren Schlüssel griffbereit haben, und klicken Sie im nächsten Fenster auf Weiter. Stöpseln Sie den Schlüssel an und folgen Sie den Anweisungen; die bestehen meist nur darin, kurz auf den YubiKey-Sensor zu tippen. Fertig! Da wir empfehlen, zwei Schlüssel zu registrieren, sollten Sie die Schlüssel physisch kennzeichnen, zum Beispiel mit einer Beschriftung. Übernehmen Sie diese auch in den Namen des Schlüssels. So wissen Sie eines Tages, welchen dieser Schlüssel Sie verloren haben, und können damit den richtigen wieder aus dem Konto entfernen. Sie können hier die Schlüssel anschauen und bearbeiten, Bild 8.

Sie können auch den integrierten Schlüssel/Chip Ihres Smartphones hinzufügen. Das bietet sich für Android-Nutzer ohnehin an. Aktivieren Sie hierzu auf beiden Geräten die Standortdienste und Bluetooth, dann klappt das Hinterlegen mit wenigen Klicks. Aufgepasst: Das geht nur via Google Chrome.