Die FIDO-Alliance hat Erweiterungen für zwei der zentralen FIDO-Protokolle für die passwortlose Authentifizierung vorgestellt. Die neuen Funktionen des Client-To-Authenticator-Protocol (CTAP) v2.1 und von WebAuthn-Level 2 – zusammengefasst unter FIDO2 – vereinfachen die Implementierung passwortloser Verfahren in Unternehmen und in komplexen Anwendungen erheblich, erlauben sichere E-Commerce-Transaktionen in Pop-up-Fenstern und machen Anmeldeprozesse komfortabler für die Benutzer. Die Erweiterungen kommen zu einem günstigen Zeitpunkt, da die Nachfrage nach dem FIDO-Standard und ihre Akzeptanz bei Unternehmen und Nutzern aufgrund der Pandemie und dem Arbeiten im Homeoffice weltweit zunehmen. Der Standard wird inzwischen von mehr als vier Milliarden Endgeräten sowie allen großen Browsern und Betriebssystemen unterstützt.
Unternehmen können Zugänge einfacher verwalten
Die CTAP- und WebAuthn-Protokolle wurden um Funktionen erweitert, mittels denen Unternehmen spezifische Benutzeridentitätsdaten während des Registrierungsprozesses einfacher ergänzen können. Für die Administratoren wird es einfacher, die FIDO-Authentifikatoren der Mitarbeiter zu verwalten. Sie können damit Authentifikatoren schon vor der Registrierung sicher mit einem Konto verknüpfen, die Nutzung nachverfolgen sowie Berechtigungsnachweise, PINs und die biometrische Registrierung der Anwender verwalten.
Sichere E-Commerce-Transaktionen: Erstmalig können Online-Händler ihren Kunden aufgrund der neuen Unterstützung für Cross-origin iFrame anbieten, webbasierte E-Commerce-Transaktionen innerhalb von Pop-up-Fenstern eines Browsers abzuschließen. Wegen des Risikos von Man-in-the–Middle– oder Man-in-the-Browser-Angriffen war das in früheren FIDO-Versionen nicht möglich. Die neuen Standards bieten ein sehr sicheres, verschlüsseltes Verfahren für diese Transaktionen, ohne dass Daten aus den verschiedenen Domains (Anbieter, Bankkonto des Benutzers, Kreditkartenaussteller…) preisgegeben werden.
Komfortzuwachs für Benutzer: Mit FIDO2 bieten Unternehmen den Benutzern mehr Komfort bei den Authentifizierungsprozessen. In der neuen Version können die Benutzer mehrere Fingerabdrücke und andere biometrische Merkmale hinterlegen. Unterstützung für Binary-Large-Objects ermöglicht es ihnen, Objekte wie Zertifikate zu speichern, die für andere Authentifizierungsszenarien wie verschlüsselte SSH-Verbindungen erforderlich sein können. Verbesserungen bei den hinterlegten Anmeldeinformationen ermöglichen passwortlose Workflows zur erneuten Anmeldung. Der Authentifizierungsdialog findet vorhandene Zugangsdaten, wendet sie automatisch an und fragt nach der Bestätigung durch den Benutzer.
Weiterhin können Benutzer die Anmeldeinformationen auf ihrem Authentifikator unabhängig von der Relying Party mit irgendeiner Form der Benutzerverifizierung schützen. Plattform-Authentifikatoren und andere, bei denen diese Funktion aktiviert ist, führen immer eine Benutzerverifizierung durch. Einige Zertifizierungsprogramme wie US FIPS 140-3 untersagen es dem Authentifikator, Signiervorgänge ohne Authentifizierung durchzuführen.
#FIDOAlliance