Facebook Login mit zusätzlichem Sicherheitsschlüssel absichern

Vor einiger Zeit habe ich bereits über den Yubikey berichtet. Jetzt hat endlich Facebook den dahinter steckenden Sicherheitsstandard implementiert. Somit lässt sich der Facebook Login mit einem zusätzlichem Stück Hardware absichern. Somit wird zum Login auf fremden (!) Rechnern ein Passwort und der USB-Sicherheitsschlüssel benötigt.

Zuvor ließ sich der Login auch mit einer zweistufigen Authentifizierung absichern, welche jedoch nicht sicher gegen sogenannte man-in-the-middle Angriffe ist. Bei diesem Angriff schaltet sich ein Trojaner zwischen den Benutzer und die Webseite. Das neu implementierte U2F (Universal Second Factor) ist dagegen geschützt.

Technische Vorraussetzungen

Es wird ein physischer Sicherheitsschlüssel benötigt, der das FIDO U2F Protokoll unterstützt. Diese Sticks sehen aus wie kleine USB Sticks. Sie fangen ab ca. 5€ an. Die teureren Modelle bieten noch ein paar andere Funktionen.


Weiterhin wird ein aktueller Chrome Browser benötigt, da dieser bereits die entsprechende Schnittstelle integriert hat. Wer nicht den Chrome Browser benutzt, benötigt ein Plugin für seinen jeweiligen Browser.

Kompatible Sicherheitssticks werden zur Zeit von der Firma Yubico unter dem Namen Yubikey vertrieben. Das Titelbild zeigt meinen Yubikey NEO. Wesentlich günstiger bieten die Firmen HYPERSECU  oder Nitrokey eigene Schlüssel an.

Absichern des Facebook Logins mit U2F

Um das neue Verfahren für den Login bei Facebook zu aktivieren, wird wie folgt vorgegangen:

Als erstes werden die Einstellungen geöffnet und links die Kategorie Sicherheit gewählt.

Nun taucht unter Anmeldebestätigungen die neue Option Sicherheitsschlüssel auf:

Ein Klick auf Schlüssel hinzufügen öffnet folgenden Dialog:

Ein weiterer Klick auf den Button Schlüssel hinzufügen startet die Prozedur. Es können übrigens mehrere Schlüssel pro Account verwendet werden und ein Schlüssel kann auf beliebig vielen Webseiten verwendet werden. Leider ist die Auswahl der Webseiten zur Zeit eher gering.

Nun wird der Sicherheitsschlüssel in einen USB Port gesteckt und die goldene Fläche berührt. Je nach Modell kann es sich auch um einen Knopf handeln, der gedrückt werden muss.

Im Hintergrund wird nun über ein spezielles kryptographisches Verfahren ein digitaler Schlüssel erstellt. Das sollte sehr schnell gehen.

Nach Abschluss wird der User aufgefordert sein Facebook-Passwort erneut einzugeben.

Für den Fall dass man im Besitz mehrerer Schlüssel ist, wird ein Name für den jeweiligen Schlüssel vergeben. Sollte ein Schlüssel verloren gehen, kann dieser einfach gelöscht werden. Ab dann ist er für den Finder/Dieb unbrauchbar.

Nach Abschluss wird der Erfolg mit folgender Meldung bestätigt.

Ab jetzt muss der Schlüssel zum Login auf fremden Rechnern verwendet werden. Auf den eigenen Rechnern lässt sich weiterhin ein Cookie setzen. Somit muss der Sicherheitsschlüssel zu hause nicht bei jedem Login herausgeholt werden.


Die herkömmliche zweistufige Authentifizierung kann übrigens parallel verwendet werden. Beim Login kann man sich dann jedes mal für ein Verfahren entscheiden. Fido U2F vietet aber erhebliche Sicherheitsvorteile gegenüber den anderen Verfahren. Wobei eine SMS TAN natürlich auch ziemlich ischer ist. Aber ist gibt Angriffe, die funktionieren.