[Beratung] Hardware-Security-Keys (FIDO2/WebAuthn) – sinnvoll? Erfahrungen/Empfehlungen (USB-C + NFC, iPhone 12, Windows 11)

[Maximum_1616]

Ausgangslage
Ich möchte von SMS/TOTP-Apps auf phishing-resistente Anmeldung mit Security Keys umsteigen (FIDO2/WebAuthn, Public-Key-Krypto, Origin-Binding).


Umfeld

• Desktop: Windows 11, USB-C und USB-A vorhanden
• Smartphone: iPhone 12 → NFC ist wichtig
• Dienste: Google, Microsoft, GitHub, Passwortmanager, evtl. Apple-ID (Apple verlangt zwei registrierte Keys)

Ziele

• Höchste praktische Sicherheit (phishing-resistent)
• Alltagstauglich (NFC am iPhone, USB-C am PC)
• Langfristige Verfügbarkeit/Support

Anforderungen

• Formfaktor: bevorzugt USB-C + NFC (ggf. Adapter auf USB-A)
• Protokolle: FIDO2/WebAuthn (U2F kompatibel); optional PIV/OpenPGP nett, aber kein Muss
• Robust: Metall-/Verbundgehäuse, Schlüsselbund-tauglich
• Verfügbarkeit in AT/DE, fairer Preis

Kandidaten (erste Auswahl)

• YubiKey 5C NFC (USB-C + NFC, Multi-Protokoll, sehr robust)
• Google Titan USB-C/NFC (FIDO2-Fokus, schlanker Funktionsumfang)
• Nitrokey 3C NFC (EU-Anbieter, FIDO2 + optional OpenPGP)
• SoloKeys Solo 2 (Open-Source-Nähe; je nach Modell mit/ohne NFC)

Fragen an euch (Praxis/Erfahrungen):

1. Merkt ihr im Alltag einen klaren Sicherheits- und Komfortgewinn gegenüber Authenticator-Apps?
2. Kompatibilität: Browser (Chrome/Edge/Firefox), Windows Hello/Passkey-Flow; iOS + NFC zuverlässig?
3. Haltbarkeit: Schlüsselbund-Einsatz, Wasser/Waschgang-Fehler, abgebrochene Stecker?
4. Modellwahl: Welche Keys laufen bei euch am reibungslosesten (Treiber, Firmware, Tools)?
5. Passkeys: Mix aus Hardware-Keys + geräte-synchronisierten Passkeys (iCloud/Google) – bewährt sich das als Redundanz?
6. Recovery/Verlust: Vorgehen bei verlorenem Key? Welche Fallbacks (zweiter Hardware-Key, Recovery-Codes) nutzt ihr?
7. Kauf in AT/DE: Händler-Tipps (seriös, schnell lieferbar) willkommen.

Mein bisheriger Plan

• Zwei Keys kaufen (Alltag + Backup im Safe)
• Beide bei allen Diensten registrieren, PIN setzen
• Recovery-Codes sicher ablegen
• Zusätzlich Passkeys am iPhone/Windows als alternative Anmeldeoption aktivieren

Budget

• Flexibel; Qualität/Support vor Preis. Konkrete Preis-Leistungs-Tipps nehme ich gern mit.

Danke für eure Erfahrungen und konkrete Empfehlungen!

 

[madmax2010]

• YubiKey 5C NFC (USB-C + NFC, Multi-Protokoll, sehr robust)
• Google Titan USB-C/NFC (FIDO2-Fokus, schlanker Funktionsumfang)
• Nitrokey 3C NFC (EU-Anbieter, FIDO2 + optional OpenPGP)

Ich habe ein paar Yubikeys, einen Nitrokey und 2 Titan Keys.
Fast alle als Werbegeschenk bekommen.
USB-C Sieht eigentlich vor aus einem Stück gestanzt zu werden.Yubikeys,wie hier der 5c haben jedoch leider gefaltetes blech. Verbiegt sich leicht und ist erheblich weniger haltbar als gestanzt. e.g.:

Am Titan und Nitro habe ich nichts zu meckern. Sie funktionieren gut

 

[Maximum_1616]

@madmax2010

Wo bekommt man sowas bitte als Werbegeschenk?? Mega cool.

ok, welchen der 2 würdest du eher empfehlen?? und man kann sie schon mehrfach nutzen? oder soll ich für jede Anwendung bzw konto einen anderen verwenden? kann man das zusätzlich auch mit 2FA aus authenticatoren oder sms verbinden?

 

[Tornhoof]

Ich habe diverse yubikeys, diverse solo und nen Titan fliegt auch irgendwo noch rum.

Ich schleppe die Dinger nicht mit, mir sind am Schlüsselbund zwei der alten yubikeys (usb-a) abgebrochen, seitdem bleiben sie vor Ort.

Sind sie besser als totp? Jo, erreichst du eine höhere Sicherheit als passkeys? Unwahrscheinlich. Sind auch nicht wirklich komfortabler als passkeys

Ich nutze die yubikeys nur noch an Stellen wo keine passkeys funktionieren und eine ähnliche Sicherheit notwendig ist oder anderweitig gefordert ist.

 

[BFF]

Mein Sohn verwendet seit einiger Zeit einen YubiKey 5Ci FIPS und einen YubiKey 5C NFC FIPS.

Was er konkret damit absichert kann ich Dir nicht sagen.
Es sind auf jeden Fall sein Windows-Notebook und das MB Air.

 

[Maximum_1616]

hmm, ok

USB-C Sieht eigentlich vor aus einem Stück gestanzt zu werden.Yubikeys,wie hier der 5c haben jedoch leider gefaltetes blech. Verbiegt sich leicht und ist erheblich weniger haltbar als gestanzt. e.g.:

da isses eher net so gut, die andern beiden haben yubikeys 😅, schwer zu entscheiden.

 

[Tornhoof]

Es gibt btw noch Token2, die stellen auch welche her, hab aber keine Erfahrung mit denen

 

[Maximum_1616]

Würde derzeit den Titan bevorzugen, sind alle 3 überall gleich supported?

Ergänzung (11. Oktober 2025)

Es gibt btw noch Token2, die stellen auch welche her, hab aber keine Erfahrung mit denen

Ah stimmt, Token2 hab ich auch schon gesehen, z. B. die mit USB-C und NFC kombiniert.
Wusste aber nicht, ob die qualitativ auf dem Level von Titan oder Nitro liegen.
Scheinen eher auf Microsoft-Accounts und Azure-Umgebungen ausgelegt zu sein, oder?
Falls jemand da praktische Erfahrung hat (Kompatibilität, Haltbarkeit, iPhone-NFC usw.), würd mich das interessieren.

 

[Tornhoof]

Wenn du den Titan für passkeys nutzen willst, musst du da die Limitierungen betrachten, du kannst keine passkeys einzeln löschen. Mechanisch sind sie gefühlt aber die besten

 

[madmax2010]

Mechanisch sind sie gefühlt aber die besten

Definitiv.
Mir ist neulich einer der titan keys am Schlüsselbund im Regen beim über die Straße gehen runter gefallen. Habe es erst auf dem Rückweg bemerkt und durfte die Schlüssel und den key von der Straße einzeln einsammeln.
Der titan hat ein paar risse um den Ring und der Stecker ist gebogen.
Bei yubi, Gerade USB c Varianten, habe ich schon deutlich zu viele abgebrochen (wie bei @Tornhoof) in der Tasche gefunden oder der USB Stecker blieb im Laptop.
Cooles featureset, aber jeder 20 Cent adapter auf Ali ist besser gebaut.

Ergänzung (11. Oktober 2025)

Sind sie besser als totp? Jo, erreichst du eine höhere Sicherheit als passkeys? Unwahrscheinlich. Sind auch nicht wirklich komfortabler als passkeys

Das fasst die ganze Thematik gut zusammen

 

[Maximum_1616]

Hmm, ja wenns nicht sicherer ist bringts nicht viel, schneller bin ich ja auch nicht.

Wenn du den Titan für passkeys nutzen willst, musst du da die Limitierungen betrachten, du kannst keine passkeys einzeln lösche

und das hab ich nicht beachtet.

 

[madmax2010]

Wo bekommt man sowas bitte als Werbegeschenk?? Mega cool.

Konferenzen. Google verteilt eigentlich fast immer welche. Zuletzt auf der Kubecon London;
Sonst mitmachen & mit organisieren bei Open Source Projekten, Workshops u.a
Talks halten gibt auch meist eine coole Überraschung

 

[Maximum_1616]

Konferenzen.

Joa, ok bin nicht wirklich in solchen "Bubbles" bei mir bekommt man eher Feuerzeuge 2gb mist sticks, Rollmaßbänder oder Zollstöcke.

 

[Looniversity]

Beim Mitlesen verstehe ich Hardware Keys mehr oder weniger wie einen nicht an ein bestimmtes Gerät gebundenen Passkey, d.h. falls mein Rechner kaputt und das Handy weg ist kann ich mich damit noch an einem bis dato unbekannten Ersatzgerät beim Dienst neu anmelden?

Bliebe für mich noch, zu testen, ob (bzw. welche) Passkeys in meinem KeepassXC Container auch gerätegebunden oder -unabhängig sind. Falls nein brauche ich wohl (privat) keinen Hardware Key, falls doch wäre das aus leidlicher Erfahrung eine Überlegung wert.

Edit: Sieht aus als hätte ich Team Nachtschicht knapp verpasst

 

[EEhh]

Würde derzeit den Titan bevorzugen, sind alle 3 überall gleich supported?

Ergänzung (11. Oktober 2025)

Ah stimmt, Token2 hab ich auch schon gesehen, z. B. die mit USB-C und NFC kombiniert.
Wusste aber nicht, ob die qualitativ auf dem Level von Titan oder Nitro liegen.
Scheinen eher auf Microsoft-Accounts und Azure-Umgebungen ausgelegt zu sein, oder?
Falls jemand da praktische Erfahrung hat (Kompatibilität, Haltbarkeit, iPhone-NFC usw.), würd mich das interessieren.

Sie basieren auf den FIDO-Standards, und diese Standards wurden genau dafür entwickelt, überall unterstützt zu werden. Daher sollte es keine „Orientierung“ in diesem Sinne geben. Ein FIDO2-Schlüssel, der mit Microsoft funktioniert, sollte ebenso problemlos mit Apple, Google usw. kompatibel sein. Token2 ist zudem Level 2 zertifiziert und Open Source. Eine Rezension finden Sie hier: https://www.heise.de/news/Passkeys-...ssel-mit-Platz-fuer-300-Passkeys-9701794.html

 

[xammu]

klaren Sicherheits- und Komfortgewinn gegenüber Authenticator-Apps?

Nein, weil ich immer wenn ich einen Key brauche, der gerade irgendwo anders ist.

Gestern erst wieder mit Google auf Laptop unterwegs gehabt. Google meinte das es mal wieder den Key sehen will. Doof nur das der entsprechende Key 250KM weit weg lag. Zum Glück immer noch Authenticator aktiv.

Während das Telefon mit AEGIS immer dabei ist

Ansonsten 1 Yubikey mit USB-A und NFC, 2 Yubikey Bio, 6 Winkeo-A FIDO2, 1 Google Titan und 2 Solokeys im Einsatz.
Privat und beruflich.

 

[Maximum_1616]

AEGIS

Ist das deiner Meinung nach der beste?

der entsprechende Key 250KM

Hmm, ja, ok, dann lass ichs mal mit dem key

Zum Glück immer noch Authenticator aktiv.

Naja wenn das zusätzlich auch ein is, dann hat man ja eh keinen Sicherheitsfaktor mehr mehr, weil man dann ja durch beides reinkommen könnte.

 

[Oli_P]

Für den Yubikey 5 NFC (mit USB A) hab ich mir extra eine Schutzhülle gekauft. Wird damit geworben, dass der superrobust wäre. Aber bei den USB-Kontakten bin ich dann doch skeptisch. Yubikey in Schützhülle am Schlüsselbund und dann kann der sicher in der Hosentasche transportiert werden. Am Heim-Rechner hab ich einen Yubikey 5 Nano, der steckt immer drin.
Nutze zwar (noch) keine FIDO-Funktionen, nutz die Schlüssel für statische Passwörter und Challenge Response. Die Yubikeys haben mir ein passwortfreies Leben ermöglicht, will ich gar nicht mehr missen. Hatte mir auch Nitrokeys und Solokeys angeschaut, die sind halt Open Source und aus Europa. Aber damit konnte ich nicht machen, wofür ich nun die Yubikeys nutze.

 

[xammu]

Ist das deiner Meinung nach der beste?

Für mich ja. allerdings ohne Sync

 

[Maximum_1616]

Danke euch allen für die ganzen Einschätzungen und Erfahrungsberichte!
Ich merk schon, das Thema ist komplexer als gedacht (und bin kein Spontankäufer) – und so richtig „komfortabler“ scheint’s im Alltag wohl auch nicht zu sein.

Für den Moment lass ich’s mal bleiben und bleib bei Authenticator/Passkeys, vielleicht schau ich mir das irgendwann nochmal an, wenn sich das alles etwas vereinheitlicht hat.
Danke nochmal an alle für die Inputs! 👍