Was ist eigentlich FIDO2?

Anmeldungen über Nutzername und Passwort sind oft nicht nutzerfreundlich oder sicher. FIDO2 schafft mehr Sicherheit, komplett ohne Passwörter.

Passwörter sind seit Jahren die Schwachstelle der digitalen Sicherheit – sie werden vergessen, wiederverwendet oder durch Phishing gestohlen. Lösungsvarianten dafür gibt es auf dem Markt viele, wie z. B. unsere Multi-Faktor-Authentifizierung SmartLogon™. Ein weiterer Weg der sicheren Anmeldung kann sogar passwortfrei über den FIDO2-Standard umgesetzt werden. Im Folgenden erläutern wir, wie das funktionieren kann, welche Vor- und Nachteile es bei der Methode gibt und wo der Unterschied zu PassKeys besteht.

Was ist FIDO2?

FIDO2 steht für „Fast IDentity Online 2“ und ist eine Weiterentwicklung des FIDO-Standards, der 2018 veröffentlicht wurde. Er kombiniert das Client to Authenticator Protocol (CTAP) mit der Web-Authentifizierungs-API (WebAuthn). Somit soll ein sicherer und passwortfreier Standard für die Industrie zur Anmeldung via Zwei-Faktor-Authentifizierung etabliert werden.

Der Sicherheitsstandard wurde von der FIDO-Allianz ins Leben gerufen, die seit 2012 besteht. Bereits zu Beginn waren unter den sechs Gründungsmitgliedern wichtige Global Player: Agnitio, Infineon, Lenovo, Nok Nok Labs, PayPal und Validity Sensors. Mittlerweile sind der Organisation über 150 Mitglieder beigetreten, darunter auch staatliche Institutionen wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) oder die Taiwanische Verwaltung für die digitale Wirtschaft, moda.

Was ist das Ziel von FIDO2?

Das Hauptziel der FIDO-Allianz ist die Ablösung handelsüblicher Passwörter bzw. etablierter Multi-Faktor-Authentifizierung (Einmalpasswort, Push-Benachrichtigung, SMS-Verifizierung) durch die passwortlose Anmeldung etwa durch Biometrie oder Hardware-Token.

Warum ist FIDO so wichtig?

Auch wenn Passwörter initial für den Schutz von Ressourcen zuständig sind, sind sie als Methode zur Absicherung sehr anfällig:

Komplexität

Geht man nach den Empfehlungen des BSI, enthält ein Passwort Minimum acht Zeichen und vier verschiedenen Zeichenarten (Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen). Das macht es schwerer zu knacken und bietet Schutz vor Angriffen wie Brute-Force oder Phishing. In der Praxis setzen viele Menschen es jedoch nicht um, da es schwer zu merken ist, Bequemlichkeit überwiegt und Risiken oft unterschätzt werden.

Häufigkeit

Komplexe Passwörter sind oft schwer zu merken, doch die Herausforderung wächst mit der Vielzahl an Log-ins, die wir täglich nutzen. Aus praktischen Gründen greifen viele Menschen deshalb auf dieselben Passwörter zurück. Das ist riskant, denn ein einziges Datenleck kann Hackern ermöglichen, auf zahlreiche weitere Konten zuzugreifen – eine Einladung für Angriffe wie Credential-Stuffing.

Angriffe

Durch täuschend echte, gefälschte Webseiten werden Nutzer oft dazu verleitet, ihre Zugangsdaten einzugeben, was Passwörter besonders anfällig für Phishing macht. Die Angreifer können diese Informationen anschließend nutzen, um unberechtigt auf Konten zuzugreifen. Solche Angriffe sind effektiv, weil sie nicht die technischen Systeme angreifen, sondern die Gutgläubigkeit der Nutzer ausnutzen.

FIDO2 löst dieses Problem, indem für den Anmeldeprozess keine Passwörter verwendet, die abgefangen werden können oder einfach zu erraten sind.

Wie funktioniert FIDO?

Passwortlos sicher anmelden klingt erstmal konträr, wie also funktioniert eine sichere Authentifizierung komplett ohne Passwort?

Zunächst beruht das Anmeldeverfahren mit FIDO2 auf einem asymmetrischen Kryptosystem. Das bedeutet, dass für die Authentifizierung anstelle von Passwort und Nutzername der Austausch eines Schlüsselpaares stattfindet, ohne sensible Daten preiszugeben. Dieses Schlüsselpaar besteht aus zwei Teilen: Ein öffentlicher Schlüssel, der auf dem System (z. B. Betriebssysteme, Browser, Onlinedienste) hinterlegt ist sowie ein privater Schlüssel, der verschlüsselt auf dem Endgerät gespeichert wird und dieses nie verlässt. Der Anmeldeprozess läuft dann wie folgt ab:

1

Challenge

Für den Log-In sendet der FIDO2-Server eine Herausforderung (Challenge), die vom privaten Schlüssel erledigt bzw. unterschrieben werden muss.

2

Aktion

Damit der private Schlüssel das auslösen kann, muss eine Aktion am Endgerät durchgeführt werden, z. B. die Präsentation eines Fingerabdrucks oder das Scannen von Gesichtsbiometrie.

3

Überprüfung

Hat der private Schlüssel seine Signatur dem Server mitgeteilt, überprüft der Server diese nun mit dem öffentlichen Schlüssel auf Authentizität. Stimmt alles überein, erfolgt der Log-In vollkommen passwortlos.

Wo besteht der Unterschied zu PassKeys?

FIDO2 und PassKeys verfolgen dasselbe Ziel – sichere, passwortfreie Authentifizierung – aber es gibt einen kleinen Unterschied in ihrer Handhabung:

Während beim Anmeldungsprozess mittels FIDO2 nur genau ein Endgerät genutzt werden kann und der private Schlüssel den Authentikator (das Endgerät) nie verlässt, besteht bei PassKeys die Möglichkeit, mehrere private Schlüssel zu erzeugen und diese auf verschiedenen Endgeräten bzw. einer Cloud zu hinterlegen. Damit bedienen sich PassKeys zwar des FIDO2-Protokolls, erweitern dies aber um einen gewissen Nutzerkomfort, um es praxistauglicher zu machen, gerade für Unternehmen. Das greifen auch Global Player wie Google, Apple oder Microsoft auf und haben ihre Anmeldeprozesse für PassKeys optimiert und bieten dadurch eine nutzerfreundliche Alternative zur standardmäßigen Anmeldung über Nutzername und Passwort.

Authentifizierung mit FIDO2

Authentifizierung mit PassKeys

Wo kommt FIDO2 zur Anwendung?

Mit der wachsenden Mitgliederzahl der FIDO-Allianz wächst auch ihre Verbreitung: U. a. die Betriebssysteme ab Windows 10 und Android unterstützen den Authentifizierungsstandard. Auch die gängigen Webbrowser wie Google Chrome, Mozilla Firefox, Microsoft Edge und Apple Safari haben FIDO2 integriert.

Was sind Vor- und Nachteile von FIDO2?

FIDO2 bietet enorme Sicherheitsvorteile und vereinfacht die Anmeldung, doch die Einführung erfordert passende Hardware und Unterstützung durch Dienste. Wie sehen also Vor- und Nachteile gegenüber gestellt aus?

Vorteile

Sicherheit

Die bei FIDO2 genutzten kryptografischen Schlüsselpaare sorgen dafür, dass sich die Anmeldedaten auf jeder Website unterscheiden, was bei der Nutzung von Passwörtern in der Praxis oft nicht gegeben ist. Darüber hinaus verlassen sie nie das Endgerät des Nutzers und werden auf keinem Server hinterlegt. Somit schützt FIDO2 sehr effektiv vor Passwortdiebstahl (z. B. durch Datenlecks), Phishing und Brute-Force-Angriffen.

Nutzerfreundlichkeit

Anstelle von langen und sicheren Passwörtern, melden sich Nutzer mittlerweile komplett passwortfrei über biometrische Faktoren oder einen Hardware-Token an. Das entlastet die Anwender in der Handhabung und bietet eine sichere, aber einfachere Variante des Log-Ins.

Datenschutz

Für jede Registrierung mit FIDO2 werden durch die asymmetrische Kryptographie auf der Internetseite jeweils ein individuelles Schlüsselpaar erstellt, das nur für diese einzelne Website gültig ist. Das verhindert, dass ein Nutzer über verschiedene Seiten hinweg verfolgt werden kann. Dadurch, dass der private Schlüssel nie das Endgerät verlässt, werden auch nie biometrische Daten, wenn diese zur Anmeldung genutzt werden, übermittelt.

Nachteile

Verbreitung

Auch wenn FIDO2 bei den Global Playern wie Google, Microsoft und Apple auf dem Vormarsch ist, unterstützen noch immer viele Websites den Standard noch nicht und setzen stattdessen auf Single-Sign-On Systeme. Was sich für den Nutzer vermeintlich ähnlich anfühlt, beruht auf komplett unterschiedlichen Techniken und birgt unterschiedliche Sicherheitsrisiken.

Eingeschränkte Offline-Nutzung

Um sich an Webseiten anzumelden, braucht man zwar für das Laden der Seite Internet, der Anmeldeprozess selbst erfolgt bei FIDO2 jedoch lokal, etwa via Fingerabdruck scannen oder einen Hardware-Token. Anders sieht das jedoch bei PassKeys aus: Da diese auf mehreren Geräten zumeist hinterlegt sind und synchronisiert werden müssen, wird immer eine aktive Internetverbindung vorausgesetzt.

Was ist der Unterschied zu FIDO1?

Die ursprüngliche Variante von FIDO bestand aus den zwei Protokollen U2F (universal second factor) und UAF (universal authentication framework). Diese standardisierten Protokolle sollten bereits bestehende Anmeldungen um Zwei- oder Multi-Faktor-Authentifizierung ergänzen. Wie schafft man also den Sprung von mehreren Faktoren zum Nachweis der Identität hin zum passwortlosen Log-In?

Der Fokus wurde schlicht geändert: Mit der Erweiterung zweiter Protokolle, verfolgt FIDO2 einen anderen technischen Ansatz, der oben bereits angerissenen asymmetrischen Kryptografie. Um diese weitreichend verbreiten zu können, benötigte die FIDO-Allianz Unterstützung. Gemeinsam mit dem vom World Wide Web Consortium unterstützten W3C Web Authentication Standard wird der Log-In per Schlüsselpaar-Methode für Web-Anwendungen unterstützt. Um jedoch weiterhin auch eine Mehr-Faktor-Authentifizierung ermöglichen zu können, wurde das ursprüngliche U2F-Protokoll weiterentwickelt zum Client Authenticator Protocol 2 (CTAP2).

Fazit

FIDO2 bietet eine sichere, benutzerfreundliche und zukunftsweisende Alternative zu klassischen Passwörtern. Durch den Einsatz von kryptografischen Schlüsselpaaren schützt es effektiv vor Phishing, Datenlecks und anderen gängigen Angriffen – ohne dass sich der Nutzer komplizierte Passwörter merken muss. Mit der wachsenden Unterstützung durch große Plattformen und der einfachen Handhabung bringt FIDO2 uns einen großen Schritt näher an eine passwortfreie und gleichzeitig sicherere Online-Welt.