Offener Standard für starke Authentifizierung

FIDO2 bringt den passwortfreien Login

| Autor / Redakteur: Tommaso De Orchi / Peter Schmitz

Der offene FIDO2-Standard soll den Wunsch nach starker Authentifizierung und einer passwortfreien Zukunft endlich Wirklichkeit werden lassen.
Der offene FIDO2-Standard soll den Wunsch nach starker Authentifizierung und einer passwortfreien Zukunft endlich Wirklichkeit werden lassen. (Bild: Yubico)

Für viele Anwender findet ein wichtiger Teil des Lebens im Web statt, von Kommunikation über Bank- und Finanzgeschäfte, bis zum Online-Einkauf. Die sichere Anmeldung an Online-Diensten ist dabei unerlässlich um die digitalen Identitäten der Nutzer zu schützen. Dem stehen jedes Jahr größere Zahlen an gestohlenen Benutzerdaten entgegen, die zeigen, dass Benutzername und Passwort keine Zukunft mehr haben.

Datenschutz und Datenzugriff werden immer wichtiger. Einfache Schutzmechanismen, wie die Eingabe von Nutzernamen und Passwort, reichen nicht mehr aus, um Daten vor unbefugtem Zugriff zu schützen. Aus diesem Grund haben Yubico und Google 2011 gemeinsam den offenen Authentifizierungsstandard FIDO Universal Second Factor (FIDO U2F) entwickelt und 2013 ihren Beitrag zur FIDO Alliance geleistet. Die FIDO Alliance ist eine gemeinnützige Vereinigung, die sich aus verschiedenen Unternehmen zusammensetzt, deren Ziel die Entwicklung und Aufrechterhaltung international gültiger Standards zur Authentifizierung im Internet ist.

Der Standard FIDO U2F definiert eine neue Methode der sicheren, nutzerfreundlichen Zwei-Faktor-Authentifizierung, die auf Verschlüsselung mit öffentlichen Schlüsseln und der Nutzung von Hardwaresicherheits-Tokens basiert. Ein zentrales Datenschutz-Feature des U2F-Standards ist die Anonymität des Nutzers. Auf dem Gerät werden beispielsweise keine personenbezogenen Informationen gespeichert, und der vom U2F-Hardware-Token authentifizierte Dienst kann nicht zurückverfolgen, bei welchem anderen Dienst das Gerät noch registriert ist - es gibt keine Pre-Shared-Secrets zwischen Diensten. Darüber hinaus bietet U2F die stärkste Abwehr gegen Man-in-the-Middle- und Phishing-Angriffe.

Starke Authentifizierung so einfach wie das Internet

Fünf Fragen an Phil Dunkelberger zur FIDO Alliance und Nok Nok Labs

Starke Authentifizierung so einfach wie das Internet

06.03.14 - Man stelle sich vor, das Internet würde nicht auf offenen Standards und Protokollen wie TCP/IP basieren, sondern jede Firma würde ihr eigenes Süppchen kochen. Man hätte ungefähr den Stand, den die IT-Industrie derzeit beim Thema „strong authentication“ hat. lesen

Der Account-Login-Prozess beginnt bei U2F mit der Eingabe von Nutzernamen und Passwort. Nur wenn beide Elemente korrekt sind, kommt der zweite Faktor - in diesem Fall ein Sicherheitsschlüssel - zum Einsatz, um für eine besonders starke Authentifizierungsebene zu sorgen. Selbst wenn ein Nutzername und ein Passwort kompromittiert sind, bleibt der Account geschützt, da der physische Zugriff auf den Sicherheitsschlüssel eines Nutzers erforderlich ist. Und an den kommen Remote-Hacker unmöglich heran.

Yubico, Microsoft und andere Mitglieder der FIDO Alliance haben gemeinsam den offenen Standard FIDO2 verfasst, bei dem es sich um eine Weiterentwicklung des FIDO U2F handelt. Sie teilen zwar noch das gleiche Verschlüsselungsmodell mit öffentlichen Schlüsseln - und verfügen deshalb über viele gleiche Datenschutz- und Sicherheitsmerkmale - wie FIDO U2F, doch geht FIDO2 noch einen Schritt weiter und ermöglicht eine völlig passwortfreie Erfahrung. FIDO2 besteht aus einem Web-ABP (WebAuthn) und einem Client- to-Authenticator-Protocol (CTAP2).

Native Integration vereinfacht den Login

Microsoft waren die ersten, die nativen Support für passwortfreie Logins mit FIDO2 anboten. Windows 10 und Azure Active Directory - derzeit als kurze Vorschau für Kunden des Microsoft Technology Adoption Program (TAP) verfügbar - sind die beiden Produkte, die diese Erfahrung bieten. Das heißt, dass Kunden von Azure AD, die Windows 10 nutzen, sich jetzt schnell bei einem Gerät mit gemeinsam genutzten Azure AD anmelden können, ganz ohne Passwort, einfach durch Nutzung eines FIDO2-Sicherheitsschlüssels. Web-basierte Anwendungen und Webbrowser, wie Dropbox, Firefox, Edge und Chrome, haben sich ebenfalls auf die Zukunft der passwortfreien Logins vorbereitet und Support für WebAuthn, das Web-API von FIDO2, eingeführt.

Mit WebAuthn ohne Kennwörter im Web

Mozilla, Firefox, Google und Co mit neuer Authentifizierung

Mit WebAuthn ohne Kennwörter im Web

19.04.18 - Mit dem neuen Web-Standard WebAuthentication soll es in Zukunft möglich sein, sich an Webdiensten ohne Kennwort anzumelden. Die großen Browser-Hersteller unterstützen den neuen Standard. Dadurch sind Anmeldungen in Zukunft auch ohne Kennwörter möglich. lesen

FIDO2 und WebAuthn befinden sich noch in einem frühen Stadium der Akzeptanz, doch gibt es bereits eine Reihe von Diensten und Anwendungen, die den Standard FIDO U2F unterstützen, was wiederum eine solide Grundlage für die künftige Migration in eine passwortfreie Welt schafft. Zu diesen Diensten gehören bekannte Cloud-Speicherdienste, wie Dropbox und Google Drive, sowie Online-Anwendungen, wie Facebook, Twitter, Salesforece und YouTube. Auch gängige Passwort-Manager, wie Dashlane und Keeper Security, unterstützen das FIDO U2F-Protokoll.

Für die Dienste, die den FIDO U2F-Standard für eine starke Authentifizierung aktuell schon unterstützen, ist für einen Übergang zu FIDO2 schon ein gutes Stück getan. Denjenigen, die zusätzlich an Support für die FIDO-Authentifizierungsprotokolle interessiert sind, wird empfohlen, den Support für FIDO 2 und WebAuthn sofort zu integrieren. Dieser Standard bietet höchste Flexibilität, denn er erlaubt durch Einsatz der FIDO U2F-Sicherheits-Tokens sowohl eine Zweifaktor-Authentifizierung als auch eine passwortfreie Authentifizierungserfahrung mithilfe der FIDO2-Sicherheitstokens. Die Wahl der erlaubten Authentifizierungsmethode trifft der Service-Provider.

Der Wunsch nach einer passwortfreien Zukunft

Schon vor den vielen veröffentlichten Datenverstößen waren sich Internet-Nutzer bewusst, dass ihre Daten nicht optimal geschützt waren, wenn der Schutz nur aus einem Passwort bestand. Dieses Bewusstsein verstärkt sich mehr und mehr und trägt so zur wachsenden Akzeptanz der Zwei-Faktor-Authentifizierung bei.

Die gängigen Methoden der Zwei-Faktor-Authentifizierung umfassen typischerweise einmalige Codes, die per E-Mail, mobiler App oder SMS versandt werden. Ein Nachteil hierbei ist, dass die Bestätigungscodes relativ leicht abzufangen sind. Mithilfe von Spoofing - d.h. betrügerischerweise die Identität einer anderen Person annehmen - können die Mitteilungen, die den Aktivierungscode enthalten, umgeleitet werden und so in die falschen Hände geraten. Tatsächlich war dies bei SMS in großem Maßstab der Fall.

Aus diesem Grund werden Sicherheitsschlüssel ein immer beliebteres Sicherheitstool in Unternehmen und Privathaushalten. Bei einem Hardwaresicherheits-Authenticator muss das Gerät physisch vorhanden sein, damit Zugriff auf das Gerät oder ein Account gewährt wird. Darüber hinaus bieten Geräte, die mit FIDO U2F und FIDO2 kompatibel sind, das Höchstmaß an Schutz vor Phishing- und Man-in-the-Middle-Angriffen, also vor einigen der gängigsten Methoden, die zur Account-Übernahme eingesetzt werden. Mit dem Versprechen, das gleiche Maß an hardwaregestütztem Schutz zu bieten und Passwörter abzuschaffen, gewinnt FIDO2 bei Unternehmen, Endnutzern und Service-Anbietern schnell an Beliebtheit.

Token für die Multi-Faktor-Authentifizierung (MFA)

Zweiter Faktor zum Schutz digitaler Identitäten

Token für die Multi-Faktor-Authentifizierung (MFA)

09.05.18 - Passwörter sollen unsere digitalen Identitäten sowie unsere Daten schützen. Doch leider sind sie oft die größte Sicherheitsschwachstelle. Für echten Schutz kommt es auf mindestens einen weiteren Faktor an. Moderne Token im Rahmen einer Multi-Faktor-Authentifizierung (MFA) stellen eine solide Lösung dar – und User haben in diesem Bereich heute viele verschiedene Lösungen zur Auswahl. lesen

Fazit

In einer Zeit, in der sich die Online-Sicherheitslage drastisch verschlechtert, wird die Erfindung und Einführung von offenen Authentifizierungsstandards immer wichtiger. 2018 wird es voraussichtlich über 31 Milliarden vernetzter Geräte geben, das heißt, es wird mehr als 31 Milliarden Möglichkeiten für Phishing-Betrug, Man-in-the-middle-Angriffe oder gestohlene Zugangsdaten geben, um Internet-Nutzer und ihre sensiblen Daten zu kompromittieren. Wenn Internet-Konnektivität in dem Maße zunimmt, wie es derzeit der Fall ist, werden Sicherheitslösungen erforderlich, die im gleichen Tempo mitwachsen können - in gleichem Maße, wie es sich in der Automobilindustrie mit dem Sicherheitsgurt verhielt.

Der Sicherheitsgurt wurde allen Autoherstellern zur Nutzung bereitgestellt, und im Gegenzug machte er die Autos für Fahrer wie Beifahrer gleichermaßen sicherer. Der Schutz des Sicherheitsgurts ermöglichte der Automobilindustrie Innovation, Expansion und Wachstum. Ansonsten hätte ein so großes Problem, wie das der hohen Zahl an Verkehrstoten, das Potential einer ganzen Branche zunichtemachen können. Heute gibt es 10-mal mehr Autos auf der Straße, aber eine geringere Anzahl an tödlichen Autounfällen. Offene Authentifizierungsstandards haben die gleichen potentiellen Folgen für das Internet. Die Erstellung von Standards, wie FIDO U2F und FIDO2, sowie deren Bereitstellung für alle Dienste, Anwendungen oder Webbrowser, bedeutet einen umfassenden Vorteil für das Internet, denn es wird zu einem sichereren Platz für jeden einzelnen Nutzer.

Über den Autor: Tommaso De Orchi ist Director of Product and Solutions bei Yubico.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45490509 / Authentifizierung)