Tja, das Lieferkettenproblem hat man eigentlich mit jeder Hardware, die man erwirbt. Wer weiß schon bis auf den Chip genau, was man im Rechner hat. Und mehr noch, ob der Chip auch genau die Schaltkreise enthält die er soll und nicht noch ein paar, die da nicht hingehören.
Klar, hier handelt es sich um ziemlich sensitive Geräte, da sollte man auch noch höhere Maßstäbe anlegen. Insofern ist die Kritik berechtigt.
Das haben sie jetzt nicht im Artikel gesagt, aber man könnte es zwischen den Zeilen lesen: Sie haben nur OpenSource Tokens geprüft. Haben die propritären Anbieter hier einen Vorteil?
Meiner Meinung nach sicher nicht, da die noch weniger transparent sind. Bei Opensource Hardware könnte man wenigstens an die Schaltung und die verbauten Bauteile kommen. Ein propritärer Hersteller wird das nicht freiwillig rausrücken und so oft ändern wie es ihm gefällt.
Die anderen Lücken sind natürlich schon peinlich für Firmen, die vorgeben hier ein sicheres Open Source Produkt anzubieten.
In den Zusammenhang fand ich es interessant, das Heise in der C`t mal einige Artikel zu diesen Tokens geschrieben und damit quasi indirekt ihren EInsatz beworben hat (
www.heise.de/select/ct/2019/22/1571743995528045). Und sie sogar selbst vertreibt:
shop.heise.de/technik/technik-gadgets/security-token/
Wenn man dann diese Tokens, wie bei Heise im referenzierten Artikel geschehen, auch als Ersatz für die Passwortauthentifikation verwendet... Herzlichen Glückwunsch.
Liebe Grüße,
Klaren
