Definition FIDO2-Standard

Was ist FIDO2?

| Autor / Redakteur: Stefan Luber / Peter Schmitz

Der FIDO2-Standard soll eine starke Authentifizierungslösung im WWW realisieren.
Der FIDO2-Standard soll eine starke Authentifizierungslösung im WWW realisieren. (Bild: gemeinfrei / Pixabay)

FIDO2 ist ein gemeinsames Projekt der FIDO-Allianz und des W3C und ermöglicht die starke passwortlose Mehrfaktor-Authentifizierung. Das Verfahren basiert auf den Grundlagen der asymmetrischen Verschlüsselung und nutzt Zweitfaktoren wie biometrische Merkmale, Hardware-Keys, Smart-Cards oder TPM-Module zur Anmeldung an einem Webservice. Einige Browser, Betriebssysteme und Webdienste sind bereits mit FIDO2 kompatibel und unterstützen das Verfahren.

Bei FIDO2 handelt es sich um ein Verfahren zur Online-Authentifizierung ohne Notwendigkeit von Passwörtern. Das Verfahren ist aus der Zusammenarbeit der nichtkommerziellen FIDO-Allianz (FIDO = Fast IDentity Online) und dem World Wide Web Consortium (W3C) entstanden. Die Authentifizierungslösung bietet eine starke passwortlose Mehrfaktor-Authentifizierung und nutzt Zweitfaktoren wie biometrische Merkmale, Hardware-Keys, Smart-Cards oder TPM-Module (Trusted Platform Module). Die kryptographische Grundlage des Challenge-Response-Verfahrens bildet die asymmetrische Verschlüsselung mit ihren privaten und öffentlichen Schlüsseln.

Das FIDO2-Protokoll kombiniert das Client to Authenticator Protocol (CTAP) der FIDO-Allianz und die WebAuthn-API des W3C und lässt sich beispielsweise in Browser integrieren. CTAP wurde aus einer früheren Arbeit der FIDO-Allianz, dem U2F-Standard, abgeleitet. CTAP und WebAuthn bilden ein Authentifizierungsprotokoll für eingebettete oder externe Authentifikatoren und vertrauenswürdige Gegenstellen. Zwischen der vertrauenswürdigen Gegenstelle und dem Authentifizierer kann ein Webbrowser mit WebAuthn-Client als Vermittler agieren. Obwohl es sich bei FIDO2 um einen noch jungen Standard handelt, sind einige Browser wie Edge, Chrome oder Firefox, Betriebssysteme wie Android oder Windows 10 und Webdienste wie Office 365 bereits mit FIDO2 kompatibel und unterstützen das Verfahren zur passwortlosen Anmeldung. Ziel des Verfahrens ist es, die Anmeldung im Vergleich zur passwortbasierten Authentifizierung sicherer und gleichzeitig einfacher zu machen. Zudem sollen in den Geräten vorhandene Möglichkeiten wie Fingerabdruckleser oder integrierte TPM-Module für die Anmeldung als sichere Zweitfaktoren nutzbar werden.

FIDO2 bringt den passwortfreien Login

Offener Standard für starke Authentifizierung

FIDO2 bringt den passwortfreien Login

16.10.18 - Für viele Anwender findet ein wichtiger Teil des Lebens im Web statt, von Kommunikation über Bank- und Finanzgeschäfte, bis zum Online-Einkauf. Die sichere Anmeldung an Online-Diensten ist dabei unerlässlich um die digitalen Identitäten der Nutzer zu schützen. Dem stehen jedes Jahr größere Zahlen an gestohlenen Benutzerdaten entgegen, die zeigen, dass Benutzername und Passwort keine Zukunft mehr haben. lesen

Die grundsätzliche Funktionsweise von FIDO2

Aus Sicht des Anwenders arbeitet FIDO2 transparent. Es handelt sich um ein Challenge-Response-Verfahren für die Mehrfaktor-Authentifizierung (MFA), das asymmetrische Verschlüsselungsverfahren und Faktoren wie biometrische Merkmale, Hardware-Token, Smart-Cards, eingebettete Sicherheitselemente oder TPM-Module nutzt. Eine Anmeldung bei einem Webdienst über einen Browser kann folgendermaßen ablaufen:

Grundsätzlich ist das WebAuthn-Protokoll für die Kommunikation zwischen Server und Browser und das CTAP-Protokoll für die Kommunikation zwischen Browser und Authenticator zuständig. Zunächst sendet der Webdienst eine Challenge an den Browser des Clients, der sich anmelden möchte. Der Browser leitet die Challenge an den Authenticator weiter. Der Authenticator fragt Wissen des Benutzers, biometrische Merkmale oder andere Faktoren ab und erzeugt im Erfolgsfall eine digitale Signatur der Challenge. Diese gibt er an den Browser zurück. Der Browser überträgt die signierte Challenge an den Webdienst. Der Webdienst überprüft die Signatur und authentifiziert bei erfolgreicher Prüfung den Client. Die vom Authenticator verwendeten Faktoren wie PIN, Wissen oder biometrische Merkmale verlassen während des kompletten Authentifizierungsvorgangs das lokale Endgerät nicht.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Ping hat seine Plattform renoviert

Schneller in die Multi Cloud

Ping hat seine Plattform renoviert

Ping Identity hat seine Ping-Plattform Intelligent Identity überarbeitet. Sie bietet nun unter anderem einen verbesserten Support für DevOps, automatisierte Multi-Cloud-Integration sowie spezielle Szenarien für die sichere Benutzerauthentifizierung, die das Verwenden von Passwörtern überflüssig machen sollen. lesen

Der Yubikey wird biometrisch

Sichere passwortlose Anmeldung

Der Yubikey wird biometrisch

Anlässlich der Microsoft Ignite hatte Yubico seinen ersten Yubikey mit integrierter biometrischer Authentifizierung vorgestellt. Der Yubikey Bio soll den Komfort der biometrischen Anmeldung mit den zusätzlichen Vorteilen der Sicherheit, Zuverlässigkeit und Langlebigkeit eines klassischen Yubikey vereinen. lesen

Wie WebAuthn das Internet schützen kann

Sichere, passwortfreie Authentifizierung

Wie WebAuthn das Internet schützen kann

Vor kurzem hat das World Wide Web Consortium (W3C) einen neuen Standard für sichere Web-Authentifizierung verabschiedet: WebAuthn. WebAuthn ist der erste globale Standard für Web-Authentifizierung und auf dem besten Weg, von allen Plattformen und Browsern unterstützt zu werden. Dies ist ein Meilenstein in der Geschichte der Internetsicherheit. lesen

Was ist WebAuthn?

Definition WebAuthn

Was ist WebAuthn?

WebAuthn ermöglicht die Authentifizierung von Benutzern ohne ein Passwort. Es handelt sich um einen W3C-Standard, der auf Public-Key-Verfahren und der Nutzung von Faktoren wie biometrischen Merkmalen, Hardware-Token oder Smartphones basiert. Zahlreiche Browser, Betriebssysteme und Internetanwendungen unterstützen das Verfahren bereits. lesen

W3C macht WebAuthn zum Standard

Passwortlose Anmeldung

W3C macht WebAuthn zum Standard

WebAuthn, die Web-Authentication-Komponente von FIDO2 ist jetzt ein offizieller Web-Standard des W3C. Der neue Standard soll Anwendern eine einfachere und stärkere Authentifizierung ohne Passwörter ermöglichen. Webservices und Unternehmen sollten jetzt auf WebAuthn umsteigen, um anfällige Passwörter auszumustern und den Webnutzern zu helfen, ihre Online-Sicherheit zu erhöhen, meint Jeff Jaffe, CEO des W3C. lesen

FIDO2 bringt den passwortfreien Login

Offener Standard für starke Authentifizierung

FIDO2 bringt den passwortfreien Login

Für viele Anwender findet ein wichtiger Teil des Lebens im Web statt, von Kommunikation über Bank- und Finanzgeschäfte, bis zum Online-Einkauf. Die sichere Anmeldung an Online-Diensten ist dabei unerlässlich um die digitalen Identitäten der Nutzer zu schützen. Dem stehen jedes Jahr größere Zahlen an gestohlenen Benutzerdaten entgegen, die zeigen, dass Benutzername und Passwort keine Zukunft mehr haben. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46298877 / Definitionen)