S
sicherheit.ai
KI-Sicherheit & Cybersecurity
_
Authentifizierung

Hardware-Sicherheitsschlüssel

Physisches Gerät, das als zweiter Authentifizierungsfaktor dient und kryptografisch sichere Anmeldungen ohne Phishing-Risiko ermöglicht.

🧒
Einfach erklärt
Für jeden verständlich — ohne Vorkenntnisse

Ein kleiner USB-Stick (wie ein Hausschlüssel) der bestätigt dass du wirklich du bist — nicht durch Tippen eines Codes, sondern durch kryptografische Magie. Phisher können ihn nicht kopieren oder abfangen. Selbst wenn du auf eine Fake-Webseite hereinfällst, funktioniert der Schlüssel dort nicht.

Ausführliche Erklärung

Hardware-Sicherheitsschlüssel (YubiKey, Google Titan, FIDO2-Sticks) implementieren das FIDO2/WebAuthn-Protokoll für phishing-resistente Authentifizierung. Prinzip: Statt eines OTP-Codes wird eine kryptografische Challenge vom Server signiert — der private Schlüssel verlässt nie das Gerät. Einsatzmöglichkeiten: FIDO2 (passwortlos), U2F (zweiter Faktor), PIV (Zertifikate), GPG. Besondere Eigenschaft: Sind unphishbar — selbst auf Phishing-Seiten würden sie keinen gültigen Response generieren, da die Domain-Prüfung im Protokoll eingebaut ist.

>Wie funktioniert das?

1

Registrierung: Browser generiert ein Schlüsselpaar, privater Schlüssel wird im Hardware-Token gespeichert (unvexportierbar), öffentlicher Schlüssel beim Server

2

Login: Server sendet eine zufällige Challenge

3

Nutzer bestätigt mit Touch/PIN auf dem Hardware-Token

4

Token signiert die Challenge mit dem privaten Schlüssel

5

Server verifiziert Signatur mit dem gespeicherten öffentlichen Schlüssel

6

Phishing-Seiten erhalten keinen gültigen Response da die Origin (Domain) in die Challenge eingebaut ist.

?Häufig gestellte Fragen
Antwort

Hochrisikonutzer: IT-Administratoren, Journalisten, Politiker, Aktivisten und alle die besonders attraktive Targets für Spear-Phishing sind — aber auch jeder der maximale Sicherheit will.

Antwort

U2F (Universal 2nd Factor) ist der ältere Standard für zweiten Faktor mit Passwort. FIDO2/WebAuthn ermöglicht vollständig passwortlose Authentifizierung mit dem Hardware-Schlüssel allein.

Antwort

Weil der private Schlüssel das Gerät nie verlässt — er ist Hardware-geschützt und nicht extrahierbar. Selbst wenn der Computer kompromittiert ist, kann der Schlüssel nicht gestohlen werden.

Antwort

Weil die Domain der Seite kryptografisch in die Challenge eingebaut wird — der Schlüssel antwortet nur auf Challenges von der Domain für die er registriert wurde. Fake-Domains bekommen ungültige Antworten.

Antwort

Backup-Schlüssel registrieren (immer mindestens zwei besitzen), Wiederherstellungscodes sicher aufbewahren, sofortiges Deregistrieren des verlorenen Schlüssels und Überprüfung ob der Schlüssel schon genutzt wurde.

Quick Facts
KategorieAuthentifizierung
Verwandte Begriffe5
← Zurück zum Glossar
Alle Begriffe im Glossar
APTBrute-Force-AngriffBotnetCVECredential StuffingDDoSEDRFirewallHoneypotIDSKI-Angriff (Adversarial AI)Lateral MovementLLM-SicherheitMalwareMFANetzwerksegmentierungOSINTPasskeysPatch ManagementPhishingPrompt InjectionRansomwareSIEMSocial EngineeringSQL-InjectionThreat IntelligenceTTPWAFXDRZero-DayZero TrustXSSCSRFMitMSupply-Chain-AngriffSpear-PhishingVishingSmishingWatering-Hole-AngriffDrive-by-DownloadInsider-BedrohungTyposquattingClickjackingDNS-SpoofingSession-HijackingBECCryptojackingSIM-SwappingSOCPentestThreat HuntingRed TeamBlue TeamDevSecOpsSecurity Awareness TrainingVulnerability ManagementSASTDAST3-2-1 Backup-StrategieCyber-VersicherungNIS2DSGVOISO/IEC 27001BSI IT-GrundschutzNIST CSFKRITIS — Kritische InfrastrukturenPCI-DSSCRATISAX — Automotive InformationssicherheitBCMMeldepflicht bei DatenpannenAdversarial Machine LearningModel PoisoningDeepfakeKI-HalluzinationLLM-JailbreakFederated LearningShadow AITrojanerComputerwurmSpywareRootkitKeyloggerFileless MalwareBackdoorInfostealerWiperwareAdwareOAuth 2.0SAMLSSOPAMIAMRBACPasswort-ManagerBiometrische AuthentifizierungHardware-SicherheitsschlüsselVPNDMZVLANPort-ScanningBGP-HijackingIPSNACTLSSSHHTTPS — HyperText Transfer Protocol SecureSPF, DKIM & DMARC — E-Mail-AuthentifizierungIPsec — Internet Protocol SecurityAPI-SicherheitDNSSEC