Blogpost vom 10. Juli 2023

Mit FIDO2 ins passwortfreie Zeitalter

Banner FIDO2 Authentifizierung auf mehreren Geräten

Passwörter sind so alt wie die Menschheit. Von Parolen, um im Feld Freund und Feind zu unterscheiden über das Losungswort am Stadttor bis hin zur Formel „Sesam öffne dich!“ waren Passwörter nie nur Türöffner und Faustpfand persönlicher Sicherheit, sondern immer auch Anlass zu Spionage, Folter und Verrat. Darüber hinaus sind sie bis heute schwer zu merken und relativ leicht zu kompromittieren.  Selbst wenn wir Passwortmanager benutzen und auch sonst alle Regeln eines sicheren Passworts beherzigen: Es ist einfach zu kompliziert und noch immer zu verwundbar, um wirklich zukunftstauglich zu sein.

Es ist also an der Zeit, eine neue, passwortfreie Zukunft einzuläuten. Diese schickt auch schon erste Boten voraus: Von biometrischen Merkmalen wie Fingerabdrücken oder Fotos über Einmalcodes per Mail oder SMS bis hin zu Authentifcator-Apps: Sie alle bieten schon jetzt mehr Sicherheit als ein Passwortes je könnte.

FIDO2: Fast IDentity Online 2

FIDO2 ist ein relativ junger Authentifizierungsstandard, der ebenfalls das Passwort überwindet und nach dem kryptographischen Prinzip der asymmetrischen Verschlüsselung funktioniert: Bei der initialen Registrierung auf einer Webplattform (Online-Shop, Streamingdienst, Social Media usw.) wird ein Schlüsselpaar erstellt – bestehend aus einem privaten und einem öffentlichen Schlüssel.

Während der private Schlüssel (Private Key) nur dem persönlichen FIDO2-Gerät bekannt ist, wird der öffentliche Schlüssel (Public Key) in der Datenbank der Webplattform hinterlegt. Bei einem Login sendet die Plattform eine so genannte Challenge an das FIDO2-Gerät, wo sie mithilfe des privaten Schlüssels signiert wird. Es folgt dann eine Ergebnisprüfung anhand des Public Keys auf der Webplattform.

Das FIDO2-Gerät kann entweder ein PIN/TAN-Gerät, ein Fingerabdrucksensor oder eine Zwei-Faktor-Hardware (FIDO2-Token) sein. Außerdem können die Betriebssysteme Windows 10 und Android auch als Token dienen, also auch das Smartphone.

So oder so, wichtig ist: Mit FIDO2 werden weder Daten transferiert noch auf einem Server gespeichert. Damit beginnt ein neues Zeitalter in Sachen Login-Sicherheit, weil sämtliche bisher bekannten Angriffsmethoden schachmatt gesetzt sind:

Daniel Weber

Softwareentwicklung

Jule Witte

Jule Witte

Presse & Kommunikation
presse@micromata.de

  • Login-Phishing: Durch FIDO2 entfallen statische Logins. Ein gestohlener FIDO-Login funktioniert nur einmalig und kann nicht wie sonst von einem Angreifer missbräuchlich verwendet werden.
  • Man-in-the-Middle-Attacken: Kryptografische Verfahren verhindern die Manipulation des Logins wie z. B. einen Man-in-the-Middle-Angriff.
  • Brute-Force-Attacken: Wo es kein Passwort gibt, kann es auch nicht durch massenhaftes Durchtesten aller Möglichkeiten erraten werden.

Weitere Vorteile gegenüber anderen Methoden

•  Im Gegensatz zu biometrischen Verfahren verlangt FIDO2 seinen Nutzer:innen keine Preisgabe persönlicher Merkmale ab (es sei denn, man wählt den Fingerabdrucksensor).

•  Im Gegensatz zur klassischen Zwei- oder Multi-Faktor-Authentifizierung werden mit FIDO2 keine Codes mehr durchs Netz geschickt.

•  FIDO2 prüft und stellt sicher, dass man sich wirklich auf der echten Webplattform befindet, bevor man sich authentifiziert, und nicht etwa auf einer gefälschten Kopie.

Logo Banner FIDO2 Mobile
Grafik passwortfreie Authentifizierung

Mehr Sicherheit plus mehr Komfort

Früher waren Komfort und Sicherheit fast schon Gegensätze. Wer es schnell und einfach wollte, hat notgedrungen Kompromisse bei der Sicherheit machen müssen. Das krasseste Beispiel dafür ist wohl das leicht zu merkende aber ebenso leicht zu erratende Passwort, oder fast noch schlimmer: ein einziges Passwort für alle genutzten Online-Dienste.

Wer im Gegenteil besonders sicher gehen wollte, hat es sich auch selbst schwer machen müssen: von langen komplexen Passwörtern über lange TAN-Listen bis hin zu Multi-Faktor-Authentifizierungsmethoden. In Sachen Sicherheit war mehr einfach mehr FIDO2 macht Schluss damit. Es verbindet Komfort und Sicherheit und läutet damit ein neues Zeitalter der digitalen Authentifizierung ein.

Noch nicht ganz am Ziel

Obwohl FIDO2 nicht mehr in den Kinderschuhen steckt, ist es für viele noch vergleichsweise neu. Heißt, es ist Stand heute nicht ganz leicht in bestehende On-Premise- oder Legacy-Software integrierbar, zum Beispiel aufgrund veralteter Browser-Komponenten. Auch ist das Verfahren zur Implementierung und Anwendung ist in jedem Browser anders, ein einheitlicher Standard fehlt bisher.

Natürlich gibt es das Ganze auch in der Cloud, hier ist dann von Fall zu Fall zu prüfen, ob etwa die Bezahlmodelle oder die Datenschutzregeln zum betreffenden Unternehmen passen.

Die FIDO Alliance mit Sitz in Kalifornien macht es sich zur Aufgabe, FIDO2 voranzubringen. Dazu zählt eine wachsende FIDO Community ebenso wie die sukzessive Weiterentwicklung der Technologie.

Logo Banner FIDO2

Fazit

„FIDO2 ist ein echter Meilenstein im Kampf gegen Phishing“, so Daniel Weber, Softwareentwickler bei Micromata und FIDO2-Experte. „Die breite Unterstützung von Hardware basierter Login-Technologie ist definitiv ein Paradigmenwechsel auf dem Gebiet der Passwortsicherheit. Für den unwahrscheinlichen aber möglichen Fall, dass ein FIDO-Device auch verloren gehen kann, müssen gleichwohl noch kreative Lösungen gefunden werden.“