Fast IDentity Online: Wie die FIDO-Allianz Online-Authentifizierung sicherer und einfacher macht

Veröffentlicht am 15.11.2024 von DomainFactory

Die FIDO-Allianz entwickelt Standards, um die Online-Authentifizierung weltweit einfacher und sicherer zu machen. Welche FIDO-Lösungen es gibt und wie sie bestehende Verfahren ergänzen, optimieren und auch ersetzen, beleuchtet dieser Artikel.

Warum die FIDO-Allianz passwortlose Standards zur Online-Authentifizierung entwickelt

Der Name ist Programm: FIDO steht für Fast IDentity Online, und seit ihrer Gründung 2012 treibt die FIDO-Allianz ihre Mission einer modernen und sicheren Online-Authentifizierung voran. Das Bündnis macht sich für Anmeldeverfahren stark, die einfacher, komfortabler und gleichzeitig sicherer sind, weil sie passwortlos funktionieren. Um diesen Ansatz zu verstehen, gilt es zunächst einmal die Schwächen herkömmlicher passwortgeschützter Verfahren nachzuvollziehen:

• Schwache oder mehrfach verwendete Passwörter, die Menschen einsetzen, um sie sich besser merken zu können, sind auch für Hacker leichter zu knacken. Mit automatisierten Tools durchgeführte Brute-Force-Angriffe ermöglichen Angreifern, gängige Passwortkombinationen so lange auszutesten, bis das richtige Passwort gefunden ist.
• Komplexe, einzigartige Passwörter für jeden Dienst sind wesentlich schwerer zu entschlüsseln, aber auch schwerer zu merken und somit unhandlich für den täglichen Gebrauch. Langfristig setzen sich die Anmeldeformen durch, die auch in der Nutzung praktikabler sind.
• Phishing-Nachrichten und Social-Engineering-Strategien können Nutzer erstaunlich kreativ irreführen, um sie zu bewegen, Anmeldedaten gegenüber Cyberkriminellen freiwillig preiszugeben.

Da Passwörter also keine ausreichende Sicherheit bei der Anmeldung garantieren, stellt sich die Frage nach geeigneten Alternativen.

Sichere Faktoren der Online-Authentifizierung: Besitz und Eigenschaft

Bei der Online-Authentifizierung werden drei Faktoren unterschieden, die zum Nachweis der Identität einer Person dienen können: Wissen, das nur sie hat (z. B. das richtige Passwort), der Besitz eines Gegenstandes (beispielsweise eines für den Zugang autorisierten Gerätes, etwa des eigenen Smartphones) oder einzigartige persönliche Eigenschaften, die über biometrische Verfahren abgeglichen werden können (z. B. mittels Fingerabdruck, Stimm- oder Gesichtserkennung). Passwortlose Verfahren – die ohne den problematischen Faktor Wissen auskommen – können entweder im Rahmen der Zwei-Faktor-Authentifizierung ergänzend zum Einsatz kommen, oder sie können Passwortabfragen auch komplett ersetzen.

Sobald zur Authentifizierung im Internet neben Passwörtern weitere Faktoren herangezogen werden, erhöht sich die Sicherheit des Anmeldevorgangs bedeutend. Komplett passwortlose Verfahren haben zudem den Vorteil, dass die Möglichkeit, das Passwort zu hacken, gänzlich entfällt. Zwar sind auch besitzbezogene und biometrische Verfahren potenziell manipulierbar. Allerdings erhöht sich die Komplexität solcher Angriffe auf ein Maß, das sie für die meisten Cyberkriminellen schlichtweg unattraktiv macht.

Eine weltweite Allianz für sichere und offene Standards

Somit führt der Weg zu mehr online Sicherheit zunehmend weg von Passwörtern und hin zu kennwortlosen Verfahren. Als nicht kommerzielle Organisation stellt die FIDO Alliance hierfür offene Standards weltweit lizenz- und kostenfrei bereit. Relevant sind diese Standards auch deswegen geworden, weil sich an dem Bündnis führende globale Technologiekonzerne beteiligen. Mittlerweile gehören über 250 Mitglieder zur Allianz, darunter große Player von Google und Microsoft bis hin zu Apple, Lenovo und PayPal. Dass inzwischen auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) der Allianz beigetreten ist, illustriert das enorme Interesse an verlässlichen Standards der Online-Authentifizierung – auch bei institutionellen Akteuren.

10% Rabatt auf alle DF Produkte

Jetzt 2-Jahre Laufzeit wählen!

Die FIDO-Standards der passwortlosen Online-Anmeldung

Die FIDO-Standards legen den Fokus auf den Faktor Besitz: Sie greifen auf einmalig bei jedem Dienst registrierte Nutzergeräte zurück, um deren Besitzer bei Online-Anmeldungen sicher zu authentifizieren. Grundlage der Standards ist ein Public-Key-Verfahren mit asymmetrischer Verschlüsselung, bei der lokal gespeicherte private Schlüssel während der gesamten Autorisierung geheim bleiben. Das funktioniert so: Will sich ein Client per FIDO-Verfahren bei einem Webdienst anmelden, sendet ihm der Server des Dienstes ein Datenpaket (Challenge genannt). Der jeweilige Client berechnet daraus mit Hilfe seines sicher gespeicherten geheimen Schlüssels (Secret) eine Antwort (Response), die der Server mit Hilfe eines öffentlichen Schlüssels verifizieren kann. Anders als bei traditionellen Zugangsdaten verbleibt das Secret des Clients in der geschützten Umgebung. Keine der für die Zugangsberechtigung relevanten Informationen wird an den öffentlichen Server gesendet oder dort gespeichert. Sie verbleiben ausschließlich im Besitz der nutzenden Person und geschützt vor Hackerangriffen.

Von der Zwei-Faktor-Authentifizierung bis zur FIDO2

Drei offene Standards hat die FIDO-Allianz zur kennwortlosen Online-Authentifizierung bereits herausgebracht:

• FIDO U2F (Universal Second Factor) ergänzt die passwortbasierte Sicherheit durch den Besitz eines Gerätes (Zwei-Faktor-Authentifizierung) und spezifiziert, wie Hard- und Software dafür genutzt werden kann.
• FIDO UAF (Universal Authentication Framework), wie U2F 2014 veröffentlicht, dient der kennwortlosen Authentifizierung für registrierte Nutzergeräte.
• FIDO2 (2015-2019) verknüpft den W3C-Standard Web Authentication (kurz WebAuthn) für echte passwortlose Authentifizierung bei einem Webdienst mit dem korrespondierenden Client to Authenticator Protocol (CTAP) für die Kommunikation mit dem Gerät. (Rückwirkend wurde dafür U2F zu CTAP1 umbenannt, das Protokoll für die passwortlose Variante heißt CTAP2.) Im Verbund ermöglichen beide Spezifizierungen eine Authentifizierung, bei der Nutzer sich mit diversen kryptografischen (Biometrie, PINs) oder externen Authenticators (mobilen Geräten, FIDO-Keys, Wearables etc.) bei einer vertrauenswürdigen WebAuthn-Gegenstelle auf Webanwendungen ausweisen können.

Wurden die ersten FIDO-Standards noch in Verbindung mit passwortgeschützten Anmeldeverfahren genutzt, weist der FIDO2-Standard bereits in Richtung einer passwortlosen Zukunft, wie sie die neueste FIDO-Entwicklung anstrebt: Passkeys. Passkeys basieren auf FIDO2, erlauben aber die Synchronisierung der bei der Registrierung eines Gerätes erzeugten Authentisierungsdaten (eben der Passkeys) zwischen verschiedenen Diensten, um die Anwendung noch weiter zu vereinfachen. Mehr dazu lesen Sie in unserem Artikel Was Sie über Passkeys wissen sollten

Implementierung der FIDO2-Standards: Hürden und Trends

Momentan stehen der umfänglichen Implementierung dieser neuen Stufe der passwortlosen Authentifizierung noch einige Faktoren entgegen:

• Unternehmen müssen zunächst ihre IT-Infrastruktur anpassen, FIDO2-Authentifizierungsserver integrieren und entsprechende Sicherheitsschlüssel für die Benutzer bereitstellen. Ein Kostenfaktor, der je nach Unternehmensgröße auch zum Ausschlusskriterium werden kann.
• Nicht alle Nutzer möchten auf registrierte Geräte zurückgreifen müssen, um sich auf Webanwendungen anzumelden. Viele könnten darum auch in absehbarer Zeit noch immer passwortgeschützte Lösungen favorisieren.
• Passkeys machen es leichter, ein Gerät mit mehreren Diensten zu nutzen, bedeuten aber in Bezug auf die Sicherheit einen Rückschritt (weil private Schlüssel dann duplizierbar sein müssen, also auch unrechtmäßig dupliziert werden könnten). Viele Endbenutzer wird das nicht stören, manches Unternehmen dagegen schon – es bleibt spannend.

Wie schnell und nachhaltig sich passwortlose Authentifizierungsverfahren durchsetzen, hängt davon ab, ob damit ein zunehmend positives Nutzererlebnis geschaffen werden kann. Je einfacher, komfortabler und sicherer kennwortlose Online-Anmeldungen funktionieren, desto größer wird über kurz oder lang auch die Akzeptanz dieser Technologie sein.

Was die Zukunft bringt: Schrittweise mehr Sicherheit zwischen Plattformen und Geräten

Dank FIDOs Bestreben, gangbare und übertragbare Lösungen für einfachere und sicherere Anmeldeverfahren zu schaffen, entstehen schrittweise Lösungen, die tatsächlich das Nutzererlebnis verbessern können, auch plattformübergreifend.

Seit 2015 unterstützt Microsoft den FIDO-Standard 2.0 im Betriebssystem Windows 10. 2022 setzte auch Apple mit der Einführung von iOS 16, iPadOS 16 und macOS Ventura den erweiterten FIDO-Standard um. Indem passwortlose Verfahren neben der Sicherheit auch die Benutzerfreundlichkeit erhöhen, verändern sie langfristig auch die Erwartungshaltung für moderne Anmeldevorgänge.

Methoden zur passwortlosen Authentifizierung erlauben Nutzern zudem schon heute das mühelose Switchen zwischen Diensten und Plattformen, etwa mittels einer bestehenden Kontoanmeldung. Selbst unterschiedliche Standards wie das OAuth-2.0-Protokoll und WebAuthn können dabei zusammenarbeiten, um eine sichere und benutzerfreundliche Authentifizierung zu ermöglichen, ohne dass Nutzer ihre Anmeldeinformationen erneut preisgeben müssen.

Ähnlich ermutigend könnte auch die künftige Entwicklung aussehen. Wenn Onlinedienstanbieter bestehende Standards und Protokolle weiter harmonisieren, können sie Nutzererlebnisse so gestalten, dass Übergänge zwischen Diensten und Geräten zunehmend vereinfacht werden, ohne dass die Sicherheit darunter leidet.

Titelmotiv: Photo by Towfiqu barbhuiya on Unsplash