Mit dem FIDO2-Standard wird es Nutzern ermöglicht, ihre eigenen Geräte (Smartphones oder Laptops mit biometrischen Merkmalen, USB-Sicherheitsschlüssel usw.) zu verwenden, um sich bei Online-Diensten zu authentifizieren, sowohl in mobilen als auch in Desktop-Umgebungen.

FIDO ist das Akronym für Fast Identity Online. Es handelt sich um einen Standard, der von der FIDO Alliance gefördert wird, einem Konsortium aus Technologie-, Finanz- und Regierungsunternehmen. Dieses Konsortium wurde mit dem Ziel gegründet, die Verwendung von Passwörtern auf Websites und in Anwendungen abzuschaffen und die Authentifizierungsprozesse zu verbessern.

FIDO2 ist die Weiterentwicklung von FIDO und ermöglicht die Authentifizierung auch in Webumgebungen.

FIDO2-Spezifikation Protokolle

Die FIDO2-Spezifikation ist in zwei verschiedene Protokolle unterteilt:

• Das W3C WebAuthn Protokoll, welches die Kommunikation zwischen dem Browser (User Agent) und dem FIDO2 Server (Relying Party) definiert.
• Das FIDO Alliance CTAP (Client-to-Authenticator Protocol), das die Kommunikation zwischen dem Browser (User Agent) und dem Gerät, das den Benutzer authentifiziert (Authenticator), definiert:

Wofür wird FIDO2 verwendet?

Mit FIDO2 können wir die biometrischen Daten, die wir auf unserem Computer oder Mobilgerät gespeichert haben (Fingerabdruckleser, Touch ID, FACE ID, ein externes Token usw.), für den Zugriff auf eine beliebige Website oder Anwendung verwenden.

Die Authentifizierung würde lokal auf einem zuvor registrierten Gerät erfolgen, wobei die Biometrie als zweiter Faktor eines Zwei-Faktoren-Authentifizierungsverfahrens verwendet würde. Kurz gesagt, es würde das Leben des Nutzers erleichtern, da er sich seinen Benutzernamen und sein Passwort nicht mehr merken muss.

Auf diese Weise wird die Sicherheit des Prozesses erhöht und der Nutzer hat einen besser nutzbaren Zugangsmechanismus zur Plattform.

Wie funktioniert FIDO2?

Auf einer hohen Ebene gibt es zwei Hauptabläufe oder Operationen in FIDO2:

Registrierungsvorgang in FIDO2

Der Nutzer registriert sich bei einem Online-Dienst und erzeugt ein neues Schlüsselpaar auf dem Gerät, das aus einem privaten und einem öffentlichen FIDO2-Schlüssel besteht.

Während der private Schlüssel auf dem Gerät gespeichert wird und nur auf der Client-Seite bekannt ist, wird der öffentliche Schlüssel in der Schlüsseldatenbank des Webdienstes gespeichert.

Die Ablaufschritte sind:

1. Der Benutzer meldet sich mit seinem Smartphone oder Laptop bei der Webplattform des Unternehmens an und authentifiziert sich mit den herkömmlichen Anmeldedaten (Benutzername/Passwort), um seine Identität nachzuweisen.
2. In einem beliebigen Bereich der Website (Benutzerprofil, Konfiguration usw.) finden wir die Option, die biometrische Anmeldung von diesem Gerät aus zu aktivieren.
3. Wenn Sie diese Option wählen, werden kryptografische Schlüssel ausgetauscht, die es ermöglichen, dass dasselbe Gerät später zur Authentifizierung des Benutzers verwendet wird.

Der Authentifizierungsprozess in FIDO2

Nachfolgende Authentifizierungen sind nur möglich, wenn der private Schlüssel bereitgestellt wird, der durch eine Benutzeraktion freigeschaltet werden muss:

1. Der nicht authentifizierte Benutzer besucht die Unternehmenswebsite über einen mobilen oder Desktop-Browser und wird auf die Anmeldeseite weitergeleitet.
2. Auf der Anmeldeseite haben Sie zusätzlich zur herkömmlichen Option Benutzername/Passwort die Möglichkeit, sich mit dem lokalen biometrischen Authentifizierungsmechanismus des Geräts anzumelden.
3. Wenn der Benutzer/das Gerät zuvor registriert wurde, findet ein Austausch von kryptografischen Schlüsseln zwischen dem Server und dem Browser statt. Dieser Austausch ermöglicht die Authentifizierung des Benutzers über den lokalen Mechanismus Ihrer Wahl (TouchID oder FaceID auf einem iPhone, TouchID auf einem Mac, Fingerabdruck, Gesichts- oder Iris-Sensoren auf einem Android-Gerät usw.).

Out-of-band-Authentifizierung in FIDO2

Es besteht auch die Möglichkeit, eine Out-of-Band-Authentifizierung durchzuführen. Der Nutzer erhält die Authentifizierungsanfrage über einen SMS-Link an die Telefonnummer, mit der er sich registriert und die Authentifizierung auf dem mobilen Gerät selbst abgeschlossen hat.

Auf diese Weise können OTP-Nachrichten, die in der Finanzbranche als zweiter Authentifizierungsfaktor verwendet werden, durch sichere Nachrichten ersetzt werden, die den Benutzer zur Authentifizierung über die biometrischen Daten seines eigenen Geräts auffordern.

Vorteile der Verwendung des FIDO2-Standards

Die wichtigsten Vorteile der Verwendung des FIDO2-Standards sind:

• Sicherheit: FIDO2 verschlüsselt die Anmeldung standardmäßig mit einem Schlüsselpaar (privat und öffentlich), das nur mit dem registrierten Gerät entschlüsselt werden kann. Die kryptografischen Anmeldedaten sind für jede Website einzigartig. Außerdem verlassen sie nie das Gerät des Benutzers und werden nicht auf einem Server gespeichert. Dieses Sicherheitsmodell verhindert das Risiko von Phishing, Passwortdiebstahl oder Replay-Angriffen.
• Bequemlichkeit: Die Nutzer entsperren ihre kryptografischen Anmeldeinformationen mit den in ihren Geräten eingebauten Sicherheitsmethoden (Fingerabdrucksensoren, Gesichtserkennung usw.), USB-Schlüsseln, Bluetooth-Armbändern usw.
• Datenschutz: Die kryptografischen Schlüssel sind für jede Website eindeutig, sodass sie nicht verwendet werden können, um den Nutzer zwischen verschiedenen Websites zu verfolgen. Weiterhin verlassen die biometrischen Daten niemals das Gerät des Nutzers. Damit werden Probleme gelöst, die sich aus der zentralen Speicherung biometrischer Fingerabdrücke von Nutzern ergeben könnten.
• Skalierbarkeit: Das dezentralisierte Authentifizierungsmodell ermöglicht eine hohe Skalierbarkeit. Webanwendungen führen die Authentifizierung über eine standardisierte Javascript-API durch, die von den meisten modernen Browsern unterstützt wird.

Nachteile bei der Verwendung von FIDO2

Natürlich hat der FIDO2-Standard, wie jede andere Sicherheitsmethode auf der Welt, auch gewisse Nachteile.

Diese Nachteile sind kein Beinbruch, aber Sie sollten sich dessen bewusst sein, wenn Sie die passwortlose Anmeldung mit FIDO2 als Sicherheitspraktik einführen möchten.

Vor allem erfordert dieser Standard einen zusätzlichen Sicherheitsschritt im Vergleich zu herkömmlichen Passwort-Anmeldestandards, wenn Sie ihn als reguläre Komponente der Zwei-Faktor-Authentifizierung verwenden. Deswegen ist ein solches System nicht besonders praktisch, wenn Sie sich mehrmals täglich bei mehreren FIDO2-fähigen Websites anmelden. Da diese Authentifizierungsmethode noch nicht sehr weiterarbeitet ist, gibt es derzeit noch nicht viele Websites, die FIDO2 unterstützen, obwohl die Zahl der FIDO-fähigen Plattformen und Browser ständig wächst.

Autor: Ron Wieland – deDATA GmbH & Co. KG

Vielen Dank, dass Sie den Artikel bis zu Ende gelesen haben 🙂