Datum: | Sicherheit

Ob Bank- und Finanzgeschäfte, Shopping oder die Kommunikation mit Freunden und Familie: Im Zeitalter von Computer, Smartphone & Co. findet ein wichtiger Teil des Lebens online statt. Dabei spielen vor allem die sichere Anmeldung bei den Web-Diensten und Schutz der Privatsphäre eine wichtige Rolle. Das die Eingabe von Benutzername und Passwort dafür nicht mehr ausreichen, zeigt allerdings die zunehmende Zahl an gestohlene Benutzerdaten. Der neue Authentifizierungsstandard FIDO2 ermöglicht bereits heute eine sichere Anmeldung ohne Passwort. In diesem Beitrag erklären wir Ihnen, wie das neue Login-Verfahren funktioniert und welche Vor- und Nachteile es hat.

Was ist FIDO2?

FIDO2 („Fast Identity Online 2“) ist ein neuer Internet-Standard und die passwortlose Weiterentwicklung von FIDO U2F. Er soll und mittel- bis langfristig die traditionelle Passwort-Eingabe überflüssig machen.

Was sind Authenticatoren, Sicherheitsschlüssel und Token?

Alle drei Begriffe sind Synonyme für den FIDO2-Stick. Dabei handelt es sich um das Gerät, mit dem Sie sich gegenüber der Dienste authentifizieren. Es hat meistens den Formfaktor eines USB-Sticks oder Schlüsselanhängers.

Wo wird FIDO2 in der Praxis bereits eingesetzt?

Den Login ohne Passwort nutzen aktuell schon Microsoft.com und die daran angeschlossenen Dienste (z.B. Outlook.com, Office 365 und OneDrive) sowie Windows Hello. Voraussetzung dafür ist allerdings, dass Sie den Edge-Browser nutzen. Viele weitere Dienste erlauben FIDO2 zudem bereits als zweiten Faktor.

1. So funktioniert die Authentifizierung mit FIDO2

FIDO2 basiert auf dem Client to Authenticator Protocol (CTAP) und dem W3C-Standard WebAuthnm, die im Zusammenschluss eine Verifizierung mit Hilfe von kryptografischen (z.B. PIN oder Biometrie) oder externen Authenticatoren ermöglichen. Dabei kann es sich beispielsweise um USB-Sticks, Wearables und sogar mobile Geräte wie Smartphones oder Tablets handeln.

Smartwatch als externer FIDO2 Authenticator

Auch Wearables, wie beispielsweise eine Smartwatch, lassen sich als externe Authenticatoren verwenden.

WebAuthn ermöglicht die Freischaltung der FIDO-Authentifizierung über eine Standard-Web-API (in JavaScript), die auch in verschiedenen Betriebssystemen und Browsern implementiert ist. CTAP erlaubt den unterschiedlichen FIDO2-Tokens die Interaktion mit dem jeweiligen Browser und überdies als Authenticator aufzutreten. Dazu müssen allerdings sowohl der verwendete Browser als auch die Tokens in der Lage sein, über CTAP zu kommunizieren.

Gut zu wissen: Unter Windows 10 und Android ab Version 7 funktioniert die FIDO2-Authentifizierung sogar ohne zusätzliche Hardware, da diese Betriebssysteme selbst als (virtuelle) Authenticatoren agieren können. Unter macOS klappt es ausschließlich in Kombination mit Google Chrome. In der aktuellen Beta-Version von iOS 13.3 beherrscht aber mittlerweile auch Safari den neuen Anmeldestandard.

Mit dem FIDO2-Schlüssel weisen Sie sich bei einer vertrauenswürdigen WebAuthn-Gegenstelle (dem sogenannten FIDO2-Server) aus, die in der Regel zu einer Webseite oder einer Web-Applikation gehört. Abhängig von der Implementierung des Dienstes, stehen dafür zwei verschiedene Optionen zur Wahl:

Bei der Ein-Faktor-Authentifizierung benötigen Sie lediglich den Authenticator (z.B. den USB-Stick) für den Login, wohingegen Sie bei der Zwei-Faktor-Authentifizierung zusätzlich noch einen PIN-Code oder ein Passwort eingegeben müssen.

Gut zu wissen: Ins Leben gerufen hat FIDO2 die nichtkommerzielle FIDO-Allianz, die 2012 von Lenovo, PayPal, Infineon, Nok Nok Labs, Validity Sensors und Agnitio gegründet wurde. Ein Jahr später stießen außerdem Google, NXP und Yubico hinzu. Ziel des Interessenverbundes ist die Entwicklung offener und lizenzfreier Industriestandards für die weltweite Authentifizierung im Internet.

2. Welche Vor- und Nachteile hat FIDO2 gegenüber anderen Authentifizierungsmethoden?

Ganz klar: Passwörter stellen per se schon ein immenses Sicherheitsrisiko dar. FIDO2 verschlüsselt den Login standardmäßig mit einem Schlüsselpaar (öffentlich und privat) und im Vergleich zu einer „normalen“ Passwort-Authentifizierung bietet FIDO2 deutlich weniger Angriffsfläche für Hacker. Möchte sich jemand Zugriff auf Ihre Nutzer-Konten verschaffen, müsste er dafür erst einmal in Besitz Ihres Tokens gelangen. Die Entsperrung kann ausschließlich über das registrierte Gerät erfolgen. Sicherheitsrisiken wie Passwort-Diebstähle gehören somit praktisch der Vergangenheit an.

Hacker vor dem PC

FIDO2 bietet kaum Angriffsfläche für Hacker. Möchte sich jemand Zugriff auf Ihre sensiblen Daten verschaffen, müsste er dafür zuerst in den Besitz Ihres Tokens gelangen.

Der FIDO-Token lässt sich außerdem für verschiedenen Webdienste verwenden. Das bedeutet, dass Sie sich nicht mehr zig verschiedene Kennwörter merken müssen, sondern sich einfach per Klick, Spracheingabe oder das Einstecken von Hardware einloggen können. Wie bereits erwähnt, kann die Authentifizierung bei bestimmten Betriebssystemen aber auch ganz ohne externe Hardware erfolgen. Das macht die Anmeldeprozesse nicht nur komfortabler und schneller, sondern spart zugleich auch noch Platz am Schlüsselbund.

Aktuell noch nicht für alle Webservices verfügbar

Trotz aller Vorteil hat FIDO2 aber auch einige Nachteile, die wir hier natürlich nicht unerwähnt lassen möchten. Zum einen bieten aktuell noch recht wenige Webservices die neue Form der Authentifizierung an. Hinzu kommen die Anschaffungskosten für den externen Authenticator, was besonders in Unternehmen, bei denen jeder Mitarbeiter einen eigenen Token benötigt, ganz schnell richtig teuer werden kann.

Ein weiteres Problem: Möchten Sie FIDO2 im Rahmen einer Zwei-Faktor-Authentifizierung implementieren, müssen Sie zusätzlich weiterhin einen PIN-Code oder ein Passwort eingegeben. Wenn Sie sich mehrmals täglich bei verschiedenen Services anmelden müssen, kann das auf die Dauer zu einem sehr mühsamen Unterfangen werden.

3. FIDO2 in der Praxis: Verschiedene Anwendungsbeispiele

Anmelden ohne Passwort

Für das Entsperren von Windows oder Linux benötigen Sie zukünftig nur noch einen Token, den Sie in einen USB-Port Ihres PC einstecken.

FIDO2 steckt derzeit noch in den Kinderschuhen, Experten rechnen aber damit, dass alle Online-Dienste über kurz oder lang den Standard unterstützen. Aktuell bieten bereits Facebook, Twitter, GitHub und BoxCryptor eine Unterstützung für FIDO2. Nutzer der Microsoft-Dienste können sich sogar gänzlich ohne Passwort einloggen. Die Webdienste von Microsoft sind darüber hinaus bisher auch die einzigen, die Webauthn neben der Zwei-Faktor-Authentifizierung auch zum passwortlosen Login anbieten.

Außerdem ist die Authentifizierung damit schon bei Chrome, Edge, Firefox, Windows und Android möglich. Nur Apple schießt, wie üblich, quer und bastelt an einer eigenen Lösung mit dem Namen „Login mit Apple“. Früher oder später wird man sich aber wohl auch hier dem neuen Standard beugen müssen.

So könnte die Arbeit mit FIDO2 zukünftig aussehen

  • Für die Windows-Anmeldung nutzen Sie einen FIDO-Token (z.B. den YubiKey von Yubico), den Sie mit einem USB-Port Ihres PCs verbinden. Durch kurzes Drücken des Touch-Buttons werden Sie angemeldet. Weitere denkbare Szenarien sind das Entsperren von Windows über ein Smartphone oder eine Smartwatch, mit Hilfe eines externen Fingerabdruck-Lesegerätes oder per Gesichtserkennung über die Kamera.
  • Die Anmeldung bei Facebook, Amazon, Google und Co. erfolgt zukünftig per Fingerabdruck auf einem kompatiblen Android-Smartphone.
  • Sie können beispielsweise auch einen Sicherheitsschlüssel mit Ihrem KeePass-Konto verknüpfen. Diesen lässt sich dann einfach mit Hilfe des Keys über Ihr Smartphone entsperren, ohne dass Sie dafür zusätzliche Eingaben vornehmen müssen.

Tipp: Auf der Webseite webauthn.io können Sie sich testweise per Webauthn registrieren und einloggen und so die neue Webauthentifizierung nach W3C-Spezifikation schon einmal im Vorfeld testen.

Eine tiefere Diskussion über FIDO2 finden Sie im folgenden Video:

32 Bewertungen

1 Stern2 Sterne3 Sterne4 Sterne5 Sterne Ø 4,69
FIDO2: So funktioniert das Anmelden ohne Passwort
Loading...

Hinterlasse eine Antwort

(wird nicht veröffentlicht)

Nutzungsrichtlinien beachten