Quelloffener Security-Token: Google stellt OpenSK vor

(Foto: Shutterstock)
Nur auf die Kombination aus Login-Namen und Passwort zu setzen, ist aus sicherheitstechnischer Sicht suboptimal, um die eigenen digitalen Konten vor dem Zugriff durch Dritte zu schützen. Neben Apps zur Zwei-Faktor-Authentifizierung haben sich auch Hardware-Token nach dem U2F- beziehungsweise dem Fido2-Standard als eine Möglichkeit zur sichereren Identifikation und Authentifizierung von Nutzerinnen und Nutzern etabliert. Mit OpenSK hat Google jetzt eine Open-Source-Implementation der Software eines solchen Security-Tokens vorgestellt.
OpenSK wurde in Rust geschrieben und läuft auf dem quelloffenen Mikrocontroller-Betriebssystem TockOS. Die Token-Software unterstützt die Standards Fido U2F und Fido2. Der Quellcode steht unter der freien Apache-2.0-Lizenz und findet sich auf GitHub. Als Referenzplattform für die Implementation hat sich Google für einen Dongle von Nordic Semiconductor entscheiden, da der über einen Kryptoprozessor verfügt und mit USB, Bluetooth und NFC alle im Fido2-Standard genannten Transportprotokolle unterstützt. Die Pläne für eine Hülle zur Herstellung mit einem 3D-Drucker gibt es auf Thingiverse.
Quelloffene Hard- und Software: Es gibt Alternativen zum Google-Dongle
Google ist beileibe nicht der erste Anbieter, der einen quelloffenen Security-Token entwickelt hat. Das Berliner Unternehmen Nitrokey bietet ebenfalls einen Fido2- und Fido-U2F-kompatiblen Token – bei dem ist neben der Software auch die eigentliche Hardware Open Source und kann auf GitHub eingesehen werden. Hergestellt werden die Token in Deutschland. Eine weitere Alternative, die auf quelloffene Hard- und Software setzt, ist der Security-Token von Solokeys. Der wiederum wird in Italien produziert.