Was ist ein physischer Sicherheitsschlüssel?
Ein physischer Sicherheitsschlüssel ist ein kleines Hardware-Gerät, das üblicherweise am Schlüsselbund getragen wird. Er wird zur Identitätsprüfung beim Login entweder in einen USB-Port gesteckt oder an ein NFC-fähiges Smartphone gehalten. Er ist die greifbarste Form des Hardware-Sicherheitsschlüssels und dient als Zwei-Faktor-Authentifizierungs-Methode, die praktisch immun gegen Phishing, SIM-Swap-Angriffe und andere Remote-Exploits ist. Nach Eingabe des Passworts wird der Schlüssel eingesteckt und sein Knopf gedrückt – oder der Schlüssel ans Smartphone gehalten – und die Authentifizierung ist in Sekunden abgeschlossen.
Physische Sicherheitsschlüssel werden von Organisationen wie Google empfohlen, das ihre unternehmensweite Einführung damit in Verbindung bringt, dass seitdem keine erfolgreichen Phishing-Angriffe gegen die eigenen Mitarbeitenden mehr bekannt wurden.
Im Detail
Verbreitete physische Sicherheitsschlüssel
Die bekannteste Produktlinie ist Yubicos YubiKey-Serie, die in USB-A-, USB-C-, Lightning- und NFC-Varianten erhältlich ist und mehrere Authentifizierungsprotokolle unterstützt: FIDO2/WebAuthn, U2F, OTP und OpenPGP. Googles Titan Security Key ist eine weitere beliebte Option – als USB-C- und NFC-Modell mit FIDO2-Unterstützung. Beide Marken liegen im Preisbereich von 25 bis 55 US-Dollar und sind weit verbreitet erhältlich.
Warum ein physischer Schlüssel SMS-Codes übertrifft
Einmalpasswörter per SMS können durch SIM-Swap-Betrug abgefangen werden, bei dem ein Angreifer den Mobilfunkanbieter dazu bringt, die eigene Telefonnummer auf eine neue SIM-Karte zu übertragen, oder durch SS7-Netzwerk-Exploits. Ein physischer Sicherheitsschlüssel schließt diese Risiken vollständig aus, weil die Authentifizierung den physischen Besitz des Geräts voraussetzt. Zudem verifiziert der Schlüssel die Domain der anfragenden Website und verweigert die Antwort auf Phishing-Sites, die die echte Anmeldeseite imitieren.
Physische Schlüssel für Passkeys
FIDO2-kompatible physische Sicherheitsschlüssel können Passkeys speichern und so als portable, plattformunabhängige Zugangsdaten dienen. Anders als über iCloud-Schlüsselbund oder Google Password Manager synchronisierte Passkeys ist ein Passkey auf einem physischen Schlüssel nicht an ein bestimmtes Geräte-Ökosystem gebunden. Damit sind physische Schlüssel eine ausgezeichnete Lösung für plattformübergreifende Nutzer, die sowohl Apple- als auch Windows/Android-Geräte verwenden.
Physische Schlüssel in Hochsicherheitsumgebungen
Organisationen, die kritische Infrastrukturen, Finanzsysteme oder geheime Daten verwalten, schreiben physische Sicherheitsschlüssel für alle Mitarbeitenden-Logins oft vor. Google berichtete bekanntlich, dass nach dem unternehmensweiten Einsatz von YubiKeys für über 85.000 Mitarbeitende kein einziger erfolgreicher Phishing-Angriff mehr verzeichnet wurde. Behörden, Kryptobörsen und Gesundheitsdienstleister ziehen nach. Die Kosten eines Schlüssels (ca. 25 bis 55 US-Dollar) sind im Vergleich zu den potenziellen Folgekosten eines einzigen kompromittierten Kontos in einer Hochrisikoumgebung vernachlässigbar.
Langlebigkeit und Formfaktor
Physische Sicherheitsschlüssel sind für den täglichen Einsatz konzipiert. Die meisten sind wasserresistent, druckfest und haben weder Batterie noch bewegliche Teile. Schlüsselbundtaugliche Formfaktoren erlauben es, den Schlüssel am Hausschlüssel oder Lanyard zu befestigen. Einige Modelle verfügen über einen Fingerabdruckscanner für biometrische Authentifizierung direkt am Schlüssel – ein dritter Faktor (etwas, das man besitzt, plus etwas, das man ist) ohne Smartphone.
So wählst du richtig
1. Anschlusstyp an deine Geräte anpassen
Wer einen USB-C-Laptop und ein NFC-fähiges Smartphone nutzt, ist mit einem USB-C + NFC-Schlüssel am breitesten aufgestellt. Wer außerdem ältere Geräte mit ausschließlich USB-A-Anschlüssen hat, sollte einen zweiten Schlüssel im USB-A + NFC-Formfaktor anschaffen.
2. Unterstützte Protokolle prüfen
FIDO2/WebAuthn-Unterstützung ist für moderne Sicherheit nicht verhandelbar. Wer zusätzlich zeitbasierte Einmalpasswörter (TOTP), OpenPGP-E-Mail-Verschlüsselung oder SSH-Schlüsselverwaltung benötigt, wählt ein Modell, das diese Protokolle ebenfalls unterstützt – die YubiKey-5-Serie etwa beherrscht alle davon.
3. Immer zwei Schlüssel registrieren
Physische Schlüssel können verloren gehen oder beschädigt werden – deshalb sollten stets mindestens zwei Schlüssel bei jedem Dienst registriert sein. Einen täglich tragen, den anderen an einem sicheren Ort aufbewahren (z. B. Heimtresor oder abgeschlossene Schublade). Diese Zwei-Schlüssel-Strategie verhindert jede Aussperrung.
Ersten Sicherheitsschlüssel einrichten
Die Einrichtung eines physischen Sicherheitsschlüssels ist unkompliziert. Bei einem Dienst mit Hardware-Schlüssel-Unterstützung anmelden (Google, Microsoft, GitHub, Facebook und viele weitere), zu den Sicherheitseinstellungen navigieren und „Sicherheitsschlüssel hinzufügen" auswählen. Der Dienst fordert auf, den Schlüssel einzustecken oder heranzuhalten und seinen Knopf zu drücken – der gesamte Vorgang dauert unter einer Minute je Dienst. Für jeden weiteren Dienst wiederholen und denselben Vorgang mit dem Backup-Schlüssel durchführen. Die meisten Dienste erlauben es, andere Zwei-Faktor-Methoden (z. B. Authenticator-Apps) als Fallback beizubehalten, während man den Übergang gestaltet.
Modellvergleich: YubiKey vs. Titan vs. andere
Die YubiKey-5-Serie unterstützt das breiteste Protokollspektrum (FIDO2, U2F, OTP, PIV, OpenPGP) und ist in den meisten Formfaktoren erhältlich – damit die vielseitigste Option. Googles Titan Security Key fokussiert auf FIDO2 und ist eine solide, schnörkellose Wahl zu günstigerem Preis. Feitian bietet budgetfreundliche FIDO2-Schlüssel für einfache Authentifizierungsanforderungen. Für die meisten Nutzerinnen und Nutzer bietet ein YubiKey 5C NFC die beste Gesamtkombination aus USB-C, NFC und Multi-Protokoll-Unterstützung.
Bekannte Einschränkungen
Physische Sicherheitsschlüssel haben auch Nachteile. Nicht jede Website oder App unterstützt sie, sodass für manche Dienste weiterhin andere Authentifizierungsmethoden nötig bleiben. Der Schlüssel muss beim Login physisch vorhanden sein – vergisst man ihn zu Hause, kann das unpraktisch sein. NFC-Tap funktioniert mit Handyhüllen aus bestimmten Materialien möglicherweise nicht zuverlässig. Und obwohl die Schlüssel robust sind, sind sie nicht unzerstörbar – wiederholtes Fallenlassen auf Beton oder Tauchen in Salzwasser kann sie irgendwann beschädigen. All diese Risiken lassen sich durch die Zwei-Schlüssel-Strategie und mindestens eine aktive Software-Backup-Methode mindern.
Fazit
Ein physischer Sicherheitsschlüssel ist die stärkste Form der Zwei-Faktor-Authentifizierung, die Verbraucher heute nutzen können. Er ist immun gegen Phishing, SIM-Swap-Angriffe und Remote-Exploits, weil er physische Präsenz voraussetzt. Anschlusstyp an die eigenen Geräte anpassen, FIDO2-Unterstützung bestätigen und stets einen Backup-Schlüssel registrieren. Für alle, die sensible Konten verwalten – persönliche Finanzen, Cloud-Infrastruktur oder Social Media –, verwandelt ein physischer Sicherheitsschlüssel die Kontosicherheit von einer ständigen Sorge in ein gelöstes Problem.