Authentisieren, authentifizieren und autorisieren: FIDO2
Im letzten Teil unserer Serie „Authentisieren, authentifizieren & autorisieren“ stellen wir Ihnen mit FIDO2 eine Alternative zum konventionellen Passwort-Log-in vor. Auf Zwei- oder Mehr-Faktor-Authentifizierung setzend, werden Sicherheitsschlüssel sowie Hardware-Tokens für den Login-Vorgang verwendet. Im heutigen Blogbeitrag klären wir zunächst, was FIDO2 konkret ist und wie die passwortlose Anmeldung funktioniert, um dann auf die Vor- und Nachteile der Methode einzugehen. Zudem blicken wir auf interessante Zukunftsperspektiven des neuen Sicherheitsstandards.
FIDO2: Sicherheitsstandard für verschlüsselte, anonyme Log-ins
Mit dem Sicherheitsstandard FIDO2 – einem Verfahren, welches auf Mehr-Faktor-Authentifizierung setzt – gelingen verschlüsselte, anonyme und passwortfreie Log-ins. Die Spezifikation FIDO2 stammt von der non-kommerziellen FIDO-Allianz (Fast Identity Online), deren Gründende es sich zum Ziel gesetzt haben, offene, lizenzfreie Standards für Web-Authentifizierungen zu entwickeln. Die FIDO-Allianz zeichnet sich – neben FIDO2 – auch für die Standards FIDO Universal Authentication Framework (FIDO UAF) und FIDO Universal Second Faktor (FIDO U2F) verantwortlich.
Im Jahr 2012 ins Leben gerufen, gründeten seinerzeit PayPal, Nok Nok Labs, Infineon, Lenovo, Validity Sensors sowie Agnitio die FIDO-Allianz. 2013 gesellten sich Yubico, Google und NXP dazu; heute gehören der FIDO-Allianz hunderte Unternehmen aus der ganzen Welt an. Um die Standards zu etablieren, ging man im Laufe der Jahre diverse Kooperationen ein, darunter mit Microsoft und Samsung. Die Führungsriege setzt sich derzeit aus Sam Srinivas, Präsident der FIDO-Allianz und bei Google beschäftigt, Sean Estrada, Vize-Präsident und bei Amazon beschäftigt, und weiteren zusammen.
In enger Zusammenarbeit mit dem World Wide Web Consortium (W3C) wurde der Standard WebAuthn mit dem Client to Authenticator Protocol (CTAP) kombiniert. Im Verbund von Protokoll und Standard ist mit FIDO2 eine Authentifizierung möglich, bei der sich Nutzende mit verschiedenen Faktoren (Biometrie, PINs, die FIDO-Keys oder Mobilgeräten) bei vertrauenswürdigen FIDO2-Servern (WebAuthn-Gegenstellen) ausweisen. Diese Gegenstellen gehören üblicherweise zu einem Web-Dienst oder einer -App.
Die Funktionsweise von FIDO2
Die herkömmliche Nutzer-Passwort-Anmeldung wird mit FIDO2 kryptografisch durch FIDO2-Schlüssel, außerdem durch FIDO2-Token ergänzt. Auch eine Authentifizierung gänzlich ohne Passworteingabe ist möglich. Da FIDO2 ein offener Standard ist, lässt sich das Verfahren recht simpel in Soft- und Hardware implementieren.
Um den Wegfall von Passwörtern zu fördern, ist es zunächst notwendig, einen sicheren Kommunikationsweg zwischen Browser (Client) und dem jeweiligen Webservice zu registrieren. Dabei werden die schon kurz erwähnten FIDO2-Keys generiert und verifiziert. Somit kann das Anmeldeverfahren verschlüsselt werden. Nutzende, die sich bei einem Online-Service, der FIDO2 nutzt, registrieren, erzeugen dabei auf dem genutzten Gerät ein Schlüsselpaar: einen privaten sowie einen öffentlichen FIDO2-Key.
Der private Schlüssel bleibt auf dem Gerät der Registrierung gespeichert – er ist ausschließlich clientseitig bekannt. Der öffentliche Schlüssel hingegen wird in der Schlüsseldatenbank des Webservices registriert. Möchten sich Nutzende nun authentifizieren, gelingt dies ausschließlich dann, wenn der private Schlüssel nachgewiesen werden kann. Für diesen Nachweis stehen verschiedene Verfahren zur Verfügung: PINs können eingegeben, Buttons gedrückt werden, Spracheingaben sind möglich oder eine Mehr-Faktor-Hardware wie der FIDO2-Token denkbar. Immer mehr Betriebssysteme – darunter Android in aktuellen Versionen sowie Windows ab Version 10 – sind in der Lage, ebenfalls als Sicherheitstoken zu fungieren.
Bei dem ganzen Verfahren ist die WebAuthn-API für das Kommunizieren zwischen Server und Client zuständig. Das CTAP-Protokoll hingegen übernimmt die Kommunikation zwischen Client und Authenticator. Faktoren, die der Authenticator verwendet – seien es PINs, biometrische Merkmale oder Wissen – verlassen das lokale Endgerät während des gesamten Authentifizierungsvorgangs nicht.
Vor- und Nachteile der passwortlosen Anmeldung mit FIDO2
Verglichen mit konventionellen Nutzer-Passwort-Log-in-Verfahren bietet FIDO2 dank Multi-Faktor-Authentifizierung eine deutlich kleinere Angriffsfläche für Cyberkriminelle. Passwörter sind und bleiben eine Achillesferse: mit den richtigen Tools ist es ein Leichtes, sie in Erfahrung zu bringen. Um Zugriff auf ein mit FIDO2-gesichertes Nutzerkonto zu erhalten, müssten Angreifende schon über die weiteren Faktoren verfügen. FIDO2-Tokens lassen sich für unterschiedliche Webservices nutzen – ein weiterer Vorteil, denn so wird es unnötig, weitere Passwörter zu kreieren und sich diese zu merken.
Mit FIDO2 wird ein höheres Sicherheitslevel erreicht: Dank standardmäßig verschlüsseltem Log-in lässt sich der Anmeldevorgang nur mit dem registrierten Gerät entsperren. Gleichzeitig lässt FIDO2 den Nutzerkomfort steigen: Verschiedene Passwörter werden genauso unnötig wie das Eingeben der Passwörter selbst. Es genügt – je nach gewählter Option – ein Klick auf einen Button, das Einstecken des Hardware-Tokens oder eine Spracheingabe.
Phishing – eine der häufigsten Angriffsmethoden derzeit – wird vorgebeugt: selbst wenn Kriminellen in Kenntnis des Passworts gelangen sollten, bleibt ihnen der Zugang zu FIDO2-geschützten Konten aufgrund mehrerer Faktoren verwehrt.
Doch auch das FIDO2-Verfahren bringt Nachteile mit sich: Noch existieren nur wenige Webservices, die FIDO2-Authentifizierungen anbieten – und das ist die Grundvoraussetzung für die Nutzung. Wenn passwortfreie Log-ins möglich sind, so entstehen Kosten für die externen Sicherheitstokens. Das ist insbesondere für Unternehmen relevant, in denen alle Mitarbeitenden separate Sicherheitsschlüssel benötigen.
Wenngleich das Merken des Passworts wegfällt, so setzt diese Authentifizierungsmethode doch zusätzliche Schritte voraus, wenn im Rahmen der Multi-Faktor-Authentifizierung ergänzende Komponenten implementiert werden sollen. Nutzende, die sich mehrmals täglich anmelden müssen, sollten bedenken, dass FIDO2 so nicht zu den effizientesten Log-in-Techniken zählt. Jedoch lassen sich Sicherheitsstufen je nach Bedarf und Anwendung/ Nutzer:in konfigurieren: Als Ein-, Zwei- sowie Multi-Faktor-Authentifizierung (1FA, 2FA und MFA).
FIDO2 steckt noch in den Kinderschuhen
Sie sehen: FIDO2 hat zahlreiche Vorteile – und wenn nicht mehrmals täglich Log-ins mit mehreren Faktoren notwendig sind, gehört auch ein erhöhter Komfort zu diesen Vorteilen. Doch jeder Standard kann nur so gut sein wie die Zahl jener, die ihn anwenden: Eine breitgefächerte Unterstützung ist entscheidend, und diese fehlt noch.
Dennoch: Da in der FIDO-Allianz global führende Unternehmen zusammengefunden haben, ist davon auszugehen, dass sich die Verbreitung schnell erhöhen wird. Mit Intel, Microsoft, Google, Qualcomm oder Samsung finden sich genügend Tech-Giganten, die dabei helfen werden, FIDO2 aus den Kinderschuhen zu bekommen, in denen das Verfahren derzeit noch steckt. So findet sich bereits in den aktuellen Versionen der Betriebssysteme Android, iOS, macOS und Windows Unterstützung für FIDO2, sodass Gerätesensoren wie Fingerabdruckscanner bereits zum Authentifizieren genutzt werden.
Schreibe einen Kommentar