Definition FIDO2-Standard Was ist FIDO2?

Autor / Redakteur: Dipl.-Ing. (FH) Stefan Luber / Peter Schmitz |

FIDO2 ist ein gemeinsames Projekt der FIDO-Allianz und des W3C und ermöglicht die starke passwortlose Mehrfaktor-Authentifizierung. Das Verfahren basiert auf den Grundlagen der asymmetrischen Verschlüsselung und nutzt Zweitfaktoren wie biometrische Merkmale, Hardware-Keys, Smart-Cards oder TPM-Module zur Anmeldung an einem Webservice. Einige Browser, Betriebssysteme und Webdienste sind bereits mit FIDO2 kompatibel und unterstützen das Verfahren.

Anbieter zum Thema

Der FIDO2-Standard soll eine starke Authentifizierungslösung im WWW realisieren.
Der FIDO2-Standard soll eine starke Authentifizierungslösung im WWW realisieren.
(Bild: gemeinfrei / Pixabay )

Bei FIDO2 handelt es sich um ein Verfahren zur Online-Authentifizierung ohne Notwendigkeit von Passwörtern. Das Verfahren ist aus der Zusammenarbeit der nichtkommerziellen FIDO-Allianz (FIDO = Fast IDentity Online) und dem World Wide Web Consortium (W3C) entstanden. Die Authentifizierungslösung bietet eine starke passwortlose Mehrfaktor-Authentifizierung und nutzt Zweitfaktoren wie biometrische Merkmale, Hardware-Keys, Smart-Cards oder TPM-Module (Trusted Platform Module). Die kryptographische Grundlage des Challenge-Response-Verfahrens bildet die asymmetrische Verschlüsselung mit ihren privaten und öffentlichen Schlüsseln.

Das FIDO2-Protokoll kombiniert das Client to Authenticator Protocol (CTAP) der FIDO-Allianz und die WebAuthn-API des W3C und lässt sich beispielsweise in Browser integrieren. CTAP wurde aus einer früheren Arbeit der FIDO-Allianz, dem U2F-Standard, abgeleitet. CTAP und WebAuthn bilden ein Authentifizierungsprotokoll für eingebettete oder externe Authentifikatoren und vertrauenswürdige Gegenstellen. Zwischen der vertrauenswürdigen Gegenstelle und dem Authentifizierer kann ein Webbrowser mit WebAuthn-Client als Vermittler agieren. Obwohl es sich bei FIDO2 um einen noch jungen Standard handelt, sind einige Browser wie Edge, Chrome oder Firefox, Betriebssysteme wie Android oder Windows 10 und Webdienste wie Office 365 bereits mit FIDO2 kompatibel und unterstützen das Verfahren zur passwortlosen Anmeldung. Ziel des Verfahrens ist es, die Anmeldung im Vergleich zur passwortbasierten Authentifizierung sicherer und gleichzeitig einfacher zu machen. Zudem sollen in den Geräten vorhandene Möglichkeiten wie Fingerabdruckleser oder integrierte TPM-Module für die Anmeldung als sichere Zweitfaktoren nutzbar werden.

Die grundsätzliche Funktionsweise von FIDO2

Aus Sicht des Anwenders arbeitet FIDO2 transparent. Es handelt sich um ein Challenge-Response-Verfahren für die Mehrfaktor-Authentifizierung (MFA), das asymmetrische Verschlüsselungsverfahren und Faktoren wie biometrische Merkmale, Hardware-Token, Smart-Cards, eingebettete Sicherheitselemente oder TPM-Module nutzt. Eine Anmeldung bei einem Webdienst über einen Browser kann folgendermaßen ablaufen:

Grundsätzlich ist das WebAuthn-Protokoll für die Kommunikation zwischen Server und Browser und das CTAP-Protokoll für die Kommunikation zwischen Browser und Authenticator zuständig. Zunächst sendet der Webdienst eine Challenge an den Browser des Clients, der sich anmelden möchte. Der Browser leitet die Challenge an den Authenticator weiter. Der Authenticator fragt Wissen des Benutzers, biometrische Merkmale oder andere Faktoren ab und erzeugt im Erfolgsfall eine digitale Signatur der Challenge. Diese gibt er an den Browser zurück. Der Browser überträgt die signierte Challenge an den Webdienst. Der Webdienst überprüft die Signatur und authentifiziert bei erfolgreicher Prüfung den Client. Die vom Authenticator verwendeten Faktoren wie PIN, Wissen oder biometrische Merkmale verlassen während des kompletten Authentifizierungsvorgangs das lokale Endgerät nicht.

(ID:46298877)