FIDO2 ist zwar seit einigen Jahren im Markt und die Anzahl der Produkte, die den Einsatz ermöglichen wächst kontinuierlich. Dennoch gibt es noch immer offene Fragen und Missverständnisse. Airlock gibt Antworten darauf und bringt Licht ins Dunkel.
Wenn es um die Online-Authentifizierung geht, werden nach wie vor Passwörter verwendet. Es gibt eine Vielzahl von Zwei-Faktor-Authentifizierungstechnologien (2FA), die versuchen, die Unsicherheit von Passwörtern auszugleichen. Dennoch ist auch 2FA noch nicht weit verbreitet. Darüber hinaus bleibt eine der verbreitetsten Passwort-Diebstahltechniken, das Phishing – von den meisten 2FA-Technologien immer noch ungelöst.
Die Fido-Alliance hat sich zum Ziel gesetzt, das Passwortproblem ein für alle Mal zu lösen, indem sie die starke Online-Authentifizierung vereinfacht und standardisiert. Ihr neuester Standard, genannt FIDO2, hat die Unterstützung der meisten führenden Unternehmen der Tech-Industrie gewonnen und die Nachfrage nach der Integration der FIDO2-Authentifizierung in Online-Dienste steigt seitdem stetig an.
Hintergrund zu FIDO2
Der FIDO2-Standard besteht aus der WebAuthn-Spezifikation des World Wide Web Consortiums (W3C) und dem Client to Authenticator-Protocol (CTAP). Ersteres ist eine Javascript-API, die zum Zeitpunkt der Erstellung dieses Beitrags von allen wichtigen und modernen Browsern unterstützt wird. Letzteres spezifiziert, wie ein Client (z. B. ein Browser) mit einem FIDO-Authentifikator, der über verschiedene Kanäle wie USB, NFC und Bluetooth kommunizieren kann.
Um die Online-Authentifizierung zu verstärken, basieren FIDO2-Credentials auf Public-Key-Kryptografie. Diese Berechtigungsnachweise werden entweder in externen Hardware-Tokens wie USB/NFC-Schlüsseln gespeichert, die als externe (oder Roaming-) Authentifikatoren bezeichnet werden, oder sie können intern im Gerät des Benutzers gespeichert werden, in so genannten Plattform-Authentifikatoren. Letztere haben den Vorteil, dass der Benutzer kein externes Gerät ständig mit sich führen muss. Der private Schlüssel, der für die Authentifizierung benötigt wird, ist sicher gespeichert, entweder auf dem Hardware-Token oder in einem sicheren Speicher auf dem Benutzergerät, wie einem TPM, dass nur nach einer biometrischen Prüfung (z. B. einem Fingerabdruck-Scan) zugänglich ist.
Der Anmeldeprozess
Angenommen ein Benutzer meldet sich bei einem Online-Dienst mit einem bestehenden Benutzername und Passwort-Anmeldemechanismus an. Der Betreiber des Online-Dienstes integriert die FIDO2-Authentifizierungsmethode als zweiten Faktor. Nach dem üblichen Login kann der Benutzer seine kryptografischen Anmeldedaten registrieren. Dies ist entweder durch Einstecken eines externen Hardware-Tokens oder durch Erstellen und Speichern der Credentials auf seinem Gerät möglich. Dieser Vorgang ist für den Benutzer weder kompliziert noch zeitaufwendig zu bewerkstelligen. Nach dieser ersten Registrierung und nach jedem erfolgreichen Anmeldeversuch mit Benutzername und Passwort wird der Benutzer aufgefordert, denselben Hardware-Token einzulegen (oder den privaten Schlüssel aus dem sicheren Speicher des Geräts zu lesen). Durch diesen Mechanismus wird sichergestellt, dass der sich anmeldende Benutzer auch im Besitz des richtigen privaten Schlüssels ist.
Noch besser ist, dass die FIDO2-Authentifizierung auch als Stand-alone-Lösung verwendet werden kann, wodurch Passwörter gänzlich entfallen und die Authentifizierung – so wie von der FIDO-Alliance erdacht – passwortlos wird.
Fazit
FIDO2 ist ein offener Authentifizierungsstandard, der versucht, das Online-Authentifizierungserlebnis der Benutzer zu harmonisieren und zu vereinfachen, während gleichzeitig ein hohes Maß an Sicherheit gewährleistet wird. Dies wird durch die Verwendung von Credentials gewährleistet, die auf Public-Key-Kryptographie basieren. Da die FIDO-Credentials für jeden Online-Dienst einmalig erstellt werden und nur im Kontext dieses bestimmten Dienstes verwendet werden können, kann FIDO zudem Phishing-Angriffe verhindern.
Darüber hinaus steht die Benutzerfreundlichkeit im Mittelpunkt von FIDO2. Für Entwickler und Betreiber von Online-Diensten kann die FIDO2-Authentifizierung über die WebAuthn-APIs in jede Webanwendung integriert werden. Die Benutzerfreundlichkeit kommt auch dem Endanwender zu Gute, denn die Registrierung von FIDO-Tokens bei Online-Diensten und deren Verwendung zur Authentifizierung erfolgt mit sehr einfachen und leicht nachvollziehbaren Schritten.
Von Nikolaos Karapanos, Co-Gründer & CTO bei Futurae und Daniel Estermann, Produktmarketing Manager bei Airlock einer Security Innovation der Ergon Informatik AG
#Airlock