Security

Spezial-USB-Sticks sichern den Windows-Login

Arne Arnold arbeitet seit über 15 Jahren bei der PC-WELT als Redakteur in den Bereichen Software und Internet. Sein Schwerpunkt liegt auf dem Thema Sicherheit für Endanwender bei PC und Mobil-Geräten.
Für die verschlüsselte Datenspeicherung, das sichere Anmelden an Windows und die Verwaltung von Passwörtern gibt es spezielle USB-Sticks. Wie Sie diese Modelle als USB-Wächter für mehr Sicherheit nutzen, erfahren Sie hier.
Diese USB-Sticks greifen in Punkto Sicherheit unter die Arme.
Diese USB-Sticks greifen in Punkto Sicherheit unter die Arme.
Foto: Integral

In Unternehmen mit hoher Sicherheitsstufe sind sie schon lange üblich: sogenannte Hardware-Token, also Hardware-Sticks für den USB-Anschluss. Nur wer den Stick besitzt, kann sich am zugehörigen PC anmelden oder auf bestimmte Dateien zugreifen. Wir stellen fünf Hardware-Sticks vor, die auch für Privatanwender in Frage kommen.

Solche fertige Sicherheits-Sticks haben gegenüber selbst gemachten USB-Sticks mit Tools aus dem Internet einen großen Vorteil: Sie arbeiten mit einem Kryptochip, in dem ein wichtiger Teil der Verschlüsselungstechnik steckt. Das macht die Sticks gegenüber einer reinen Softwareverschlüsselung zum einen deutlich schneller, zum anderen sind die geschützten Dateien zumindest in manchen Fällen schwerer zu knacken.

Für dieses Plus an Geschwindigkeit und Sicherheit zahlt man bei fertigen Sticks allerdings auch den höheren Preis.

Sicherheit für USB-Sticks: Was Sie wissen müssen

Phrase-Lock: Passworte perfekt geschützt dank Stick und Handy

Der kleine USB-Stick Phrase-Lock ist zwar mit knapp 50 Euro nicht gerade günstig, dafür bekommen Sie aber ein besonders gut geschütztes System für die Passwortverwaltung und für einfache Log-ins am PC. Die Log-in-Daten für Ihre Webdienste, aber auch für viele andere Log-ins am PC, etwa die Anmeldung in Ihr Windows-Benutzerkonto, speichern Sie auf Ihrem Smartphone in der Phrase-Lock-App. Verschlüsselt werden die Daten mit einem Key, der auf dem USB-Stick gespeichert ist. Das Smartphone verbindet sich per Bluetooth mit dem Stick, wenn dieser am PC angesteckt ist. Die Log-in-Daten aus der App lassen sich per Fingerwisch in den geöffneten Internetbrowser am PC übergeben. Im Test funktionierte das reibungslos. Nur das einmalige Eingeben der Log-ins finden wir etwas umständlich. Zur Sicherheits-App gehört auch ein Passwortgenerator, der komplexe Passworte automatisch generieren kann.

Haben Sie den Sicherheitsschlüssel in Ihrem Google-Konto aktiviert, müssen Sie ihn für eine Anmeldung bei einem Google-Dienst, etwa Gmail oder Google Kalender, in den USB-Anschluss des Rechners stecken.
Haben Sie den Sicherheitsschlüssel in Ihrem Google-Konto aktiviert, müssen Sie ihn für eine Anmeldung bei einem Google-Dienst, etwa Gmail oder Google Kalender, in den USB-Anschluss des Rechners stecken.

So geht's: Nach dem Start der App müssen Sie diese mit Ihrem USB-Key verbinden. Dazu scannen Sie mit der App den QR-Code, der in der Produktverpackung enthalten ist. Die Verbindung von Smartphone und USB-Stick läuft über Bluetooth, das entsprechend auf Ihrem Handy aktiviert sein muss. Der PC benötigt kein Bluetooth, da die nötige Hardware bereits im Phrase-Lock-Stick integriert ist.

Digital Leader Initiative

Das gefällt uns: Wir halten Phrase-Lock für eine sichere und komfortable Log-in-Verwaltung. Sie ist für Nutzer empfehlenswert, die einen Passwortmanager vor allem für den PC suchen. Der USB-Stick kann am PC verbleiben, während man das Smartphone mit sich trägt. So sind die Passwortdatenbank und der Schlüssel fürs Entschlüsseln unterwegs von einander getrennt. Wer das System auf zwei PCs nutzt, etwa in der Arbeit und zu Hause, kann auch zwei Sticks mit der App verbinden.

Die Passworteingabe funktioniert übrigens auch auf dem Smartphone, auf dem die Phrase-Lock-App installiert ist, allerdings nur, wenn sich der zugehörige USB-Stick in der Nähe befindet und mit Strom versorgt wird, etwa über ein OTG-Kabel am Handy. Das Passwort lässt sich dann per Copy & Paste aus der App in einen Browser bringen. Der Sicherheitsvorteil, den die Trennung von Log-in-Datenbank und USB-Key mit sich bringt, ist dann natürlich nicht mehr gegeben.

Fido U2F Security Key: Log-in-Schutz für Google & Co.

Den Fido-Security Key für das Google-Konto gibt es von verschiedenen Herstellern bereits für unter zehn Euro, beispielsweise bei Amazon. In auffälligem Blau präsentiert sich hier das rund 20 Euro teure Modell von Yubico.
Den Fido-Security Key für das Google-Konto gibt es von verschiedenen Herstellern bereits für unter zehn Euro, beispielsweise bei Amazon. In auffälligem Blau präsentiert sich hier das rund 20 Euro teure Modell von Yubico.

Der Fido U2F Security Key ist bereits für unter 10 Euro erhältlich. Dafür bekommen Sie einen guten zusätzlichen Schutz für Ihr Google-Konto. Bei diesem Schlüssel handelt es sich um einen kleinen Stecker für den USB-Anschluss. Nur wenn der Schlüssel im Rechner oder Notebook steckt, können Sie sich bei Google anmelden. Auf diese Weise lassen sich alle Dienste von Google schützen, die mit einem Log-in versehen sind, etwa Gmail, Kalender, Google Docs oder die Fitnessdaten der Google-App Fit.

So geht's: Damit der besondere Schutz wirken kann, müssen zusätzlich zum Stick zwei Voraussetzungen erfüllt sein: Sie verwenden Google Chrome als Browser, und Sie haben die Zwei- Wege-Authentifizierung in Ihrem Google-Konto aktiviert. Die Zwei-Wege-Authentifizierung für Ihr Google-Konto aktivieren Sie auf https:// accounts.google.com im Punkt "Bei Google anmelden -> Bestätigung in zwei Schritten".

Wenn Sie Google-Dienste auch auf einem Smartphone im Einsatz haben, gilt die aktivierte Zwei-Wege-Authentifizierung dort ebenfalls. Der Sicherheitsschlüssel lässt sich aber nicht auf einem Smartphone oder Tablet mit Android oder iOS nutzen. Deshalb sollten Sie zunächst nur die Zwei-Wege-Authentifizierung per SMS-Code aktivieren.

Melden Sie sich nach der Aktivierung der Zwei- Wege-Authentifizierung mit Ihren Mobilgeräten bei Ihrem Google-Konto an. Setzen Sie den Haken im Feld "Auf diesem Gerät nicht mehr nach Codes fragen". Wenn Sie danach den Sicherheitsschlüssel im Google-Konto aktivieren, betrifft das die Mobilgeräte nicht mehr.

Alternativ können Sie sich auf Geräten ohne USB-Anschluss künftig per SMS-Code anmelden. Loggen Sie sich unter https://accounts.google.com ein. Wählen Sie "Bei Google Anmelden -> Bestätigung in zwei Schritten -> Sicherheitsschlüssel -> Sicherheitsschlüssel hinzufügen". Die Webseite prüft, ob in Ihrem Konto bereits die Zwei-Wege-Authentifizierung eingeschaltet ist. Trifft das zu, können Sie auf "Registrieren" klicken und dann den Sicherheitsschlüssel in einen USB-Anschluss des Rechners stecken. Nach kurzer Zeit meldet die Webseite "Registriert", und Sie können den Vorgang nachfolgend mit einem Klick auf den Button "Fertig" abschließen.

Von da an werden Sie beim Log-in nach dem Klick auf "Anmelden" nicht mehr nach einem SMS-Code gefragt, sondern nach dem Sicherheitsschlüssel. Für den Fall, dass dieser schon im PC steckt, müssen Sie ihn ab-und wieder anstecken. Nach wenigen Sekunden lädt die Webseite Ihr Google-Konto, und Sie können den Stick abziehen. Wenn Sie sich an einem Gerät ohne USB-Anschluss anmelden oder einen anderen Browser verwenden, müssen Sie ersatzweise einen SMS-Code eingeben. Haben Sie die Verbindung hergestellt, können Sie die App mit Ihren Log-in-Daten füttern. Einmal eingegeben, fügt sie der USB-Stick auf Kommando der App Benutzername und Passwort in Ihren Browser am PC ein.

Sie können sicherheitshalber ein verschlüsseltes Backup aller Log-in-Daten aus der App erstellen. Dafür vergeben Sie zuerst über "Einstellungen -> USB-Key verschlüsseln" ein Passwort für die Log-in-Datenbank. Danach lassen sich die Daten in die Cloud sichern.

Identos ID50 Password-Safe: Praktischer Passwort-Manager

Der Identos ID50 ist ein hardware-verschlüsselter USB-Stick, der sich alle Passwörter merkt – sicher und 128-Bit AES verschlüsselt.
Der Identos ID50 ist ein hardware-verschlüsselter USB-Stick, der sich alle Passwörter merkt – sicher und 128-Bit AES verschlüsselt.
Foto: Identos

Der rund 40 Eure teure USB-Stick Identos ID50 Password-Safe speichert Ihre Log-in-Daten und verschlüsselte sie per Kryptochip mit dem AES-Algorithmus mit 128 Bit (Advanced Encryption Standard). Zusammen mit dem USB-Stick kommen Plug-ins für die Internetbrowser Google Chrome und Mozilla Firefox. Diese Plug-ins übernehmen die Anmeldedaten vom USB-Stick und fügen sie automatisch in die passenden Eingabefelder auf den entsprechenden Websites ein. Die Daten auf dem Stick schützen Sie mit einem vier- bis sechsstelligen PIN-Code. Wird diese PIN vier Mal falsch eingegeben, löscht der Stick automatisch sämtliche gespeicherten Daten. Dieses rigorose Vorgehen soll ein Brute-Force-Angriff abgewehrt werden.

Safe To Go: USB-Sticks mit eingebauter Verschlüsselung

Der USB-Stick Safe To Go überträgt Daten nach dem USB-3.0-Standard. Die rechenaufwendige Ver- und Entschlüsselung mit 256 Bit starkem AES übernimmt die Hardware im Stick. So nutzen Sie das volle Schreib-und Lesetempo des Sticks ohne Zeitverlust aus. Die nötige Software fürs Aufschließen der Dateien befindet sich auf dem Stick und läuft ohne Installation. Den Stick gibt es ab 8 GB Größe für rund 40 Euro.

Die Daten auf diesem USB-Stick sind besonders sicher verschlüsselt. Ihre PIN oder Ihr Passwort geben Sie über eine eingebaute Tastatur ein.
Die Daten auf diesem USB-Stick sind besonders sicher verschlüsselt. Ihre PIN oder Ihr Passwort geben Sie über eine eingebaute Tastatur ein.
Foto: Kingston

Alternative: Der Speicherhersteller Kingston bietet mehrere USB-Sticks mit eingebauter Verschlüsselung an. Als besonders sicher preist der Hersteller das Modell Data Traveler 2000 Encrypted an. Auf dem Stick findet sich eine Tastatur, über die Sie Ihre PIN eingeben. So haben Keylogger auf dem PC keine Chance, das Passwort abzufangen. Dieser Stick ist nicht ganz billig: Für das 32-GB-Modell sind 140 Euro fällig, 64 GB gibt's für rund 170 Euro. (PC-Welt)