Yubikey: Neue Firmware unterstützt bis zu 100 Passkeys auf FIDO-Sticks
Yubikey kündigt eine verbesserte Firmware-Version für neue FIDO2-Sicherheitsschlüssel an. Der Platz für Passkeys wächst auf 100 Stück an.
(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)
Die FIDO2-Sicherheitsschlüssel von Yubikey kommen mit dem jetzt angekündigten Firmware-Stand 5.7 in den Genuss von Speicherplatz für mehr Passkeys. Die zugehörige App Yubico Authenticator ist in Version 7 an die neuen Funktionen angepasst.
Die neue Firmware wird es für die FIDO2-Sticks der YubiKey-5-, Security-Key- und Security-Key-Enterprise Edition-Baureihen geben. Vor allem verbesserte Sicherheitsfunktionen verspricht Hersteller Yubico. Etwa die PIN-Complexity-Funktion sei verbessert, die Attestierung für das Enterprise-Umfeld sowie der Speicherplatz für Passkey-Zugangsdaten erweitert.
YubiKey-Firmware-Update: Bessere Sicherheitsfunktionen
Insbesondere Organisationen hat Yubico im Blick, die damit Passwordless-First und moderne Authentifizierung umsetzen und so die Phishing-Resistenz der Nutzer und Nutzerinnen fördern können. Das sei mit Hinblick auf die derzeitigen Cyberbedrohungen eine Problemlösung.
FIDO2-Sicherheitsschlüssel geben in der Regel die Authentifikation erst nach einer PIN-Eingabe frei. Mit der erweiterten "PIN Complexity"-Funktion unterbinden FIDO-Sticks mit der neuen Firmware die Nutzung zu einfacher PINs wie "111111". Diese Funktion bewirbt etwa Hersteller Token2 auch für den FIDO2-Stick T2F2-PIN+ Release2.
Organisationen können sich eigens programmierte YubiKeys bestellen, die eine Enterprise-Attestierung besitzen. Die YubiKeys mit Firmware 5.7 unterstützen das Client-to-Authenticator-Protocol 2.1 (CTAP), das FIDO2-Erweiterungen wie erzwungene PIN-Wechsel oder minimale PIN-Länge mitbringt.
Zudem stechen der erweiterte Passkey-Speicher, der das Ablegen von 100 "FIDO2 Discoverable Credentials" (=Passkeys) erlaubt – bislang war bei YubiKeys bei 25 Schluss –, sowie das Ablegen von 24 PIV-Zertifikaten (Personal Identity Verification of Federal Employees and Contractors, etwa in den USA relevant). Weiter passen noch 64 Zwei-Faktor-Seeds nach Initiative for Open Authentication (OATH) und zwei OTP-Seeds auf den Stick mit der neuen Firmware – ergibt insgesamt Platz für 190 Zugangsdaten. Als Ausnahme unterstützt die Security-Keys-Baureihe keine PIV-Zertifkate, OATH- und OTP-Credentials.
Mehr Platz für Passkeys bietet Google mit dem Titan-Sicherheitsschlüssel, wobei die bis zu 250 Passkeys sich jedoch nicht verwalten, sondern gegebenenfalls lediglich in einem Rutsch mit einem Werksreset löschen lassen, oder der bereits erwähnte T2F2-PIN+ R2-Stick, der 300 Passkeys aufnimmt.
Yubico Authenticator 7
Die Authenticator-App Yubico Authenticator ist in Version 7 erschienen. Sie unterstützt die zum Teil neuen Features. Sie erlaubt die Nutzung neuer Public-Key-Algorithmen für PIV-Zertifikate und liefert bessere Verwaltungsfunktionen und eine optimierte Bedienoberfläche für den Umgang mit zahlreichen Zugangsdaten. Übersetzungen für Französisch und Japanisch sind hinzugekommen, außerdem weitere nicht näher genannte Sprachen aus der Community.
Die App ist für die großen Desktop-Plattformen sowie Android verfügbar. Die erweiterten Funktionen für iOS sollen mit der kommenden Version der iOS-App kommen. Yubico hebt hervor, dass die Authenticator-App mit Hardwareunterstützung die Risiken durch Angreifer aus dem Netz gegen Software-Authenticator deutlich reduziere. Die Zugangsdaten (Seeds) verbleiben sicher in der Hardware.
Das ist jedoch kein Alleinstellungsmerkmal: Für den Token2-Stick liefert die zugehörige Companion-App für Android, iOS und Windows diese Funktionen. Zudem gibt es dafür auch ein Kommandozeilen-Tool mit zusätzlicher GUI für Linux, macOS und Windows.
Firmware-Update, aber kein Update möglich
Wer glaubt, dass eine neue Firmware bedeutet, dass sich bisher genutzte YubiKeys damit ausstatten lassen, irrt leider. Die FIDO2-Sicherheitsschlüssel nutzen eine Hardware-Sicherung der eingesetzten Mikrocontroller, die die Firmware auf Schreibschutz-Modus setzt. Sie lässt sich aus Sicherheitsgründen nicht aktualisieren.
YubiKey-FIDO2-Sticks von Yubico mit dem Firmware-Stand 5.7 sollen ab Ende Mai erhältlich sein. Wer sichergehen möchte, in den Genuss der neuen Funktionen zu kommen, sollte vorerst daher beim Hersteller direkt bestellen – in den üblichen Vertriebskanälen dürften noch die Sticks mit älterer Firmware kursieren und als Erstes abverkauft werden.
(dmk)