FIDO 2.0 – die passwortfreie Authentisierung

von Sascha Joossam in Web Sicherheit

Sei es auf Webseiten oder Portale: Das Anmelden mit Benutzername und Password ist aus unterschiedlichen Gründen weder zeitgemäss noch sicher. Mit der Zunahme der Digitalisierung stossen wir alle an das gleiche Problem: Wie soll man alle Zugangsdaten zu den Online-Diensten effizient und sicher verwalten, unter Berücksichtigung der wichtigsten Sicherheitsvorgaben? Eine kennwortlose Authentisierung mit FIDO 2.0 bringt die Lösung.

 

Unzählige Online-Dienste führen zu unzähligen Passwörtern – die Ausgangslage

Die stetige Zunahme der Digitalisierung führt zur Nutzung von unzähligen Online-Diensten. Sehr aktive Internet-Nutzer müssen unter Umständen über 100 verschiedene Passwörter verwalten. Trotz Verwendung von einzigartigen und robusten Passwörtern (siehe dazu auch «Passwort generieren für die Sicherheit der digitalen Identität») sowie die Ablage dieser in einem Passwortmanager: Das Pflegen der Passwörter birgt reale Sicherheitsrisiken.

Eine kennwortlose Authentisierung verspricht eine Erhöhung der Sicherheit und gleichzeitig auch der Benutzerfreundlichkeit. Dabei wird anstatt des Passwortes auf kryptografische Schlüssel gesetzt, welche auf Hardware-Tokens oder Plattform-Sicherheits-Chips erzeugt und gespeichert werden. Für den Endbenutzer reduziert sich dabei der Interaktions- und Verwaltungsaufwand.

 

FIDO 2.0 als Passwordless Lösung

Der Sicherheitsstandard FIDO2 stützt sich auf eine 2FA-Lösung, die auf Verwendung von Sicherheitsschlüsseln (FIDO2-Schlüssel) und Token (Authentifizierungstoken) basiert. Dank der Integration des W3C WebAuthn-Standards erlaubt dieses Verfahren nicht nur verschlüsselte und anonyme Verbindungen, sondern auch Verbindungen ohne Passwörter.

Mit FIDO2- erreicht man so eine passwortlose Lösung für die Web-Authentifizierung, ohne dabei die Sicherheit zu reduzieren. Basierend auf den freien und offenen Standards der Fast-Identity-Online Alliance und dem World Wide Web Konsortium (W3C) wird eine 2FA-Lösung ermöglicht, welche das reine Passwort-Login durch sichere und schnelle Login-Erlebnisse auf Websites und Apps ersetzt. Zudem kann FIDO2 Authentisierung ebenfalls als Standalone Lösung eingesetzt werden und so «Passwordless» genutzt werden.

Nach FIDO Universal Second Factor (FIDO U2F) und FIDO Universal Authentication Framework (FIDO UAF) ist FIDO2 bereits der dritte Standard, der aus der Arbeit des Bündnisses hervorgegangen ist.

 

Wie funktioniert FIDO2 ?

Nutzer von FIDO2 werden mittels eines Geräts ihres Vertrauens legitimiert auf einen gewünschten Service zuzugreifen. FIDO2 nutzt dazu das CTAP (Client to Authenticator Protocol), welches Browser und Plattformen eine sichere Verbindung ermöglicht, sei es via USB, NFC oder Bluetooth. Der Standard nutzt dazu die asymmetrische «public/private Key» Kryptographie, bei welcher ein Schlüsselpaar zur Anwendung kommt, um eine sichere Authentisierung zu garantieren.

Das Verfahren für die Konfiguration eines sicheren Kommunikationswegs zwischen dem Client und den jeweiligen Webdiensten ist wie folgt:

  1. Der Benutzer registriert sich beim Online-Dienst und erzeugt auf dem verwendeten Gerät ein neues Schlüsselpaar, bestehend aus einem privaten Schlüssel und einem öffentlichen FIDO2 Schlüssel.
  2. Während der Private Key nur auf dem Gerät auf Client-Seite gespeichert ist, wird der Public Key in der Schlüsseldatenbank des Web-Service registriert.
  3. Nachträgliche Authentifizierungen sind jetzt nur noch durch den Nachweis des privaten Schlüssels möglich, der immer durch eine Benutzeraktion entsperrt werden muss.

 

Welche Vorteile bietet FIDO2?

Dank der verwendeten Kryptographie gilt FIDO2 als sehr sicher und zuverlässiger als passwortbasierte Verfahren zur Authentisierung. Folgende Vorteile bietet die FIDO 2.0 Technologie:

  • Erhöhte Sicherheit dank starker Authentifizierungsfaktoren mit biometrischer Authentifizierung
  • Benutzerfreundlichkeit & bequeme Authentisierung für den End-User mit Single Sign-on
  • Anmeldedaten verbleiben auf dem Benutzergerät
  • Funktioniert mit den herkömmlichen Geräten
  • Widerstandsfähigkeit gegen Phishing-Angriffe
  • Senkung der Sicherheitskosten, keine Passwortverwaltung mehr nötig und Zeitersparnis für die IT Abteilung.
  • Als offener Standard kann das Verfahren einfach in eigene Produkte implementiert werden

 

FIDO2: Das ideale Authentisierungsverfahren, ganz ohne Passwort

Als Schlussfolgerung kann festgehalten werden, dass der FIDO2-Standard einen einfachen und sicheren Anmeldeprozess ermöglicht, um Webdienste ohne Passwort zu nutzen. FIDO2 wird von fast allen gängigen Browser und Webanwendungen unterstützt und eliminiert passwortbasierte Authentisierung. Web-Dienst können einfacher, aber auf sichere Art und Weise die Authentifizierungsprozesse einbinden, da die Implementation des Standards relativ einfach ist.

Das Versprechen einer kennwortlosen Authentisierung ist es die Sicherheit und gleichzeitig auch die Benutzerfreundlichkeit zu erhöhen. Erfahren Sie mehr dazu im neuen Whitepaper.

Download Whitepaper

 

 

Haben Sie Fragen zu FIDO 2.0?

Sie möchten in Ihrem Unternehmen die Anmeldeverfahren vereinfachen? Bei United Security Providers bieten wir ein breites Portfolio zum Thema Authentisierung, die Ihnen helfen, die IT-Security in Ihrem Unternehmen zu erhöhen. Nehmen Sie noch heute Kontakt mit uns auf und erfahren Sie mehr zu den Vorzügen von United Security Providers als Cyber Security Spezialist aus der Schweiz.

KONTAKT

 

 

Vorheriger Artikel
Nächster Artikel