Titelbild Pixabay bearbeitet by foto-gustav
Identität gegenüber Google Account mit YubiKey Sicherheitsschlüssel
Google nutzt mittlerweile sowohl Passkeys (passwordlos) als auch klassische FIDO-Sicherheitsschlüssel (2FA). Technisch basiert beides auf FIDO2/WebAuthn. Das Sicherheitsniveau (u.a. Phishing-Resistenz) dieser Verfahren ist zwar hoch, aber auch hier bleiben Restrisiken. Wenn zum Beispiel ein Trojaner auf deinem Endgerät sitzt (wie diese Schadsoftware kriminellerweise auch immer dahin gekommen ist) und deine aktuelle Session kapert (Hacker, Bot, Robot klaut Session-Cookie), können sämtliche Sicherheitsmechanismen deines Kontos ausgehebelt, respektive geändert werden. Je nachdem wie gründlich die Hacker vorgehen, landest du bei der Konto-Wiederherstellung im schlimmsten Falle in einer Endlosschleife, wie der aktuelle Fall Klaus Hellmich (Lichtbildidealisten) exemplarisch zeigt.
Begriffe
Zunächst ein paar Begriffe und Abkürzungen
Passkey bei Google: passwordloses Login mit privaten Schlüssel auf Gerät (Smartphone, Hardware-Key, PC, MacBook etc.) oder Passwordmanager plus ggf. Entsperr-Mechanismus (PIN, Fingerabdruck, Face-ID)
Ein Passkey ist ein kryptografisches Schlüsselpaar (privat/öffentlich), das dich bei einem Dienst passwortlos anmeldet.
Der private Schlüssel liegt sicher auf einem Gerät (Smartphone, Rechner, Hardware‑Key), wird mit PIN/Biometrie freigeschaltet und verlässt das Gerät nie; der öffentliche Schlüssel liegt beim Dienst.
Passkeys können „softwaregebunden“ sein (z.B. iCloud‑Schlüsselbund, Password Manager oder „hardwaregebunden“ auf einem FIDO2‑Key/Token gespeichert werden.
Sicherheitsschlüssel (Security Key/Hardware Token) Separater Hardware-Key (zB YubiKey, Titan), der als zweiter Faktor (2FA) oder als Träger eines Passkeys verwendet werden kann.
Er speichert Anmeldedaten nur auf sich selbst, ist nicht cloud‑synchronisiert und erfordert physischen Besitz.
Moderne FIDO2‑Sicherheitsschlüssel können sowohl klassische „non‑discoverable credentials“ (2FA/U2F‑Stil) als auch „discoverable credentials“ speichern, also echte Passkeys direkt auf dem Key.
Google-Konto mit Passkey/Sicherheitsschlüssel einrichten
Unter „Google‑Konto → Sicherheit → Passkeys und Sicherheitsschlüssel“ kannst du sowohl Gerätepaskeys (z.B. iPhone, Mac) als auch FIDO2‑Keys als Passkey hinzufügen.
Ein FIDO2‑Key kann bei Google entweder „nur“ als 2‑Step‑Verification‑Key oder zusätzlich/ersetzend als Passkey für passwortloses Login registriert werden, sofern er FIDO2 unterstützt. Ich zeige hier Anleitungen für beide Methoden:
Schritt für Schritt Anleitung YubiKey 5c Sicherheitsschlüssel einrichten
Ich zeige hier zunächst die Einrichtung eines Yubikey 5c mit zusätzlicher Eingabe des Googel Passwords
Logge dich mit Deiner bisher üblichen Methode (z.B. via Safari) auf deinem Google Konto ein.
Führe ggf. einen Sicherheitscheck (Bild 3) durch, falls der Punkt nicht grün ist.
Prüfe ob die Zwei-Faktor-Authentifizierung (Bild 1) aktiv und grün ist.
a) Navigiere zu Sicherheit und Anmeldung → Passkeys und Sicherheitsschlüssel (Bild 1)
b) wähle + Passkey erstellen: Anderes Gerät verwenden, Sicherheitsschlüssel (Bild 2)
c) YubiKey 5c in den USB-C Port stecken, IPad fragt nach Verwendung als Sicherheitsschlüssel, bestätigen (Bild 11)
d) Aussagefähigen Namen für Den YubiKey vergeben
e) YubiKey an den gegenüberliegenden Kantaktflächen zum registrieren berühren
f) ggf. PIN des YubiKey (Bild 12 und 13) und ggf. dein Google-Password eingeben
g) der registrierte Sicherheitsschlüssel wird nun angezeigt und kann benutzt werden (Bild 10, Bild 11)
Passkey auf deinem Sicherheitsschlüssel (YubiKey) erstellen
Für Google kannst du deinen YubiKey 5C als echten Passkey auf dem Stick einrichten, sodass du dich nur mit Benutzername + YubiKey (+ PIN) anmeldest, ganz ohne Password.
Schritt für Schritt Anleitung YubiKey 5c Passkey einrichten
- Voraussetzungen
a) Computer mit einem kompatiblen Browser, wie Chrome.
b) iPhone oder iPad mit iOS 13.3 und höher und Safari.
c) Hardware-Token mit FIDO2 (wie z.B. YubiKey 5c oder 5c NFC)
d) Auf dem YubiKey muss eine FIDO2‑PIN gesetzt sein
der PIN ist am einfachaten über die neue Hersteller-APP Yubico Authenticator unter dem Menüpunkt Passkey einstellbar (Bild 21). Dabei muss die APP auf einem Mac oder MacBook laufen. Auf dem iPad hat die Hersteller-App „Authenticator“ diese Funktion nicht. - Einstellungen/Vorgehensweise
a) gehe zunächst auf deinen Google Account und melde dich an deinem Google‑Konto an.
b) In der linken Menüleiste auf „Sicherheit und Anmelden“ gehen, dann bei „So melden Sie sich bei Google an“ auf „Passkeys und Sicherheitsschlüssel“ klicken. (Bild 1, wie vor)
c) Ggf. noch einmal dein Google‑Passwort eingeben, um die Sicherheitseinstellungen zu öffnen.
d) Auf „Passkey erstellen“ klicken, dann „Anderes Gerät/Option verwenden“ wählen.
e) In der Auswahl die Option „Sicherheitsschlüssel“ bzw. „USB‑Sicherheitsschlüssel“ auswählen. (Bild 11)
f)Jetzt den YubiKey einstecken (oder per NFC anhalten) und den Dialogen (Bild 12 und 13) folgen:
• Zulassen, dass Google auf den Sicherheitsschlüssel zugreift. (Bild 12)
• FIDO2‑PIN des YubiKey eingeben. (Bild 13)
• Den YubiKey berühren, wenn du dazu aufgefordert wirst.
g) nach erfolgreicher Registrierung wird der Eintrag als Passkey für dein Google‑Konto angezeigt (Bild 2); du kannst ihm einen Namen geben oder ändern (z.B. „YubiKey 5C Gustav oder YubiKey 5C Gustav Backup“).
h) auch in der Yubico Authenticator App (Mac OS) ist der erstelle Passkey sichtbar (Bild 22) - Hinweis:
Wenn du den selben YubiKey früher nur als „Sicherheitsschlüssel“ vor Mai 2023 hinzugefügt hast, kann es nötig sein, den alten Eintrag unter „Sicherheitsschlüssel“ zu entfernen und dann den Passkey wie oben beschrieben neu anzulegen.
Weiterer Text und Bilkder folgen