FIDO und FIDO2 – eine Einführung

15. Mai 2023

FIDO

FIDO, das für Fast Identity Online steht, ist ein offener Standard und eine Reihe von Spezifikationen, die darauf abzielen, sichere und benutzerfreundliche Authentifizierungsmethoden für Online-Dienste und -Anwendungen bereitzustellen. Dabei handelt es sich um eine Branchenallianz grosser Technologieunternehmen, darunter Google, Microsoft und andere.

Das Hauptziel von FIDO besteht darin, die Einschränkungen und Schwachstellen herkömmlicher passwortbasierter Authentifizierungssysteme zu beseitigen. Es führt ein standardisiertes Framework für eine starke Authentifizierung ein, das sowohl sicher als auch bequem für Benutzer ist. Die FIDO-Spezifikationen ermöglichen die Verwendung verschiedener Authentifizierungsmethoden wie Biometrie (Fingerabdruck, Iris-Scan, Gesichtserkennung) und hardwarebasierter Sicherheitsschlüssel zur Überprüfung der Identität eines Benutzers.

Die FIDO-Architektur besteht aus drei Hauptkomponenten:

  • Benutzergeräte: Dies sind die Geräte, mit denen Einzelpersonen sich authentifizieren. Dazu können Smartphones, Tablets, Laptops oder dedizierte Hardware-Sicherheitsschlüssel gehören. Benutzergeräte speichern private Schlüssel sicher und übernehmen den Authentifizierungsprozess.
  • FIDO-Server: Dies sind die Server, die für die Authentifizierung von Benutzern basierend auf den FIDO-Spezifikationen verantwortlich sind. Sie interagieren während des Authentifizierungsprozesses mit den Benutzergeräten und überprüfen die Identität des Benutzers.
  • Onlinedienste: Dies sind die Anwendungen oder Dienste, auf die Benutzer zugreifen möchten. Sie integrieren die FIDO-Spezifikationen und interagieren mit den FIDO-Servern, um Benutzer sicher zu authentifizieren.

Wenn sich ein Benutzer mithilfe von FIDO authentifizieren möchte, umfasst der Prozess normalerweise die folgenden Schritte:

  • Registrierung: Bei der Ersteinrichtung generiert das Gerät des Benutzers ein Paar öffentlicher und privater Schlüssel. Der private Schlüssel wird sicher auf dem Gerät gespeichert, während der öffentliche Schlüssel beim Onlinedienst registriert wird.
  • Authentifizierung: Wenn der Benutzer versucht, auf einen Onlinedienst zuzugreifen, sendet der Dienst eine Herausforderung an das Gerät des Benutzers. Das Gerät verwendet den privaten Schlüssel zum Signieren der Challenge und sendet die signierte Antwort zurück an den Dienst.
  • Verifizierung: Der Onlinedienst verifiziert die signierte Antwort anhand des zuvor registrierten öffentlichen Schlüssels. Bei erfolgreicher Verifizierung erhält der Nutzer Zugriff auf den Dienst.

Der Vorteil von FIDO besteht darin, dass Benutzer sich nicht mehr mehrere Passwörter merken und verwalten müssen und gleichzeitig die Sicherheit erheblich verbessert wird. Da die privaten Schlüssel sicher auf dem Gerät des Benutzers gespeichert werden, hätte der Angreifer selbst bei einer Kompromittierung der Datenbank des Dienstes keinen Zugriff auf die Authentifizierungsdaten des Benutzers.

FIDO hat in der Branche breite Unterstützung und Akzeptanz gefunden, wobei viele Online-Dienste und Plattformen FIDO-basierte Authentifizierungsmethoden implementieren, um die Sicherheit und das Benutzererlebnis zu verbessern.

FIDO2

FIDO2 ist eine Erweiterung der ursprünglichen FIDO-Spezifikationen der FIDO Alliance, insbesondere FIDO UAF (Universal Authentication Framework) und FIDO U2F (Universal Second Factor). FIDO2 baut auf diesen früheren Standards auf, um noch stärkere Authentifizierungsfunktionen und eine umfassendere Kompatibilität zu bieten.

FIDO2 besteht aus zwei Hauptkomponenten:

  • Webauthentifizierung (WebAuthn): WebAuthn ist ein Webstandard, der vom World Wide Web Consortium (W3C) in Zusammenarbeit mit der FIDO Alliance entwickelt wurde. Es ermöglicht Webanwendungen, die FIDO-basierte Authentifizierung direkt in Webbrowser zu integrieren, sodass keine Browser-Plugins oder zusätzliche Software erforderlich sind.

Mit WebAuthn können Benutzer FIDO2-kompatible Geräte wie Hardware-Sicherheitsschlüssel oder integrierte biometrische Sensoren nutzen, um sich bei Webdiensten zu authentifizieren. WebAuthn unterstützt verschiedene Authentifizierungsmethoden, darunter Biometrie, USB-/NFC-Sicherheitsschlüssel und Plattformauthentifizierer (z. B. Fingerabdrucksensoren auf Smartphones).

  • Client-to-Authenticator-Protokoll (CTAP): CTAP ist das Protokoll, das für die Kommunikation zwischen Client-Geräten (z. B. Computern, Smartphones) und Authentifikatoren (z. B. Hardware-Sicherheitsschlüsseln) verwendet wird. CTAP ermöglicht Geräten die Kommunikation mit Authentifikatoren über verschiedene Schnittstellen wie USB, NFC oder Bluetooth.

Durch die Kombination von WebAuthn und CTAP ermöglicht FIDO2 eine passwortlose oder starke Multi-Faktor-Authentifizierung für Online-Dienste. Benutzer können sich mit einem FIDO2-fähigen Gerät authentifizieren, wodurch die Abhängigkeit von herkömmlichen Passwörtern entfällt und ein sichereres und benutzerfreundlicheres Authentifizierungserlebnis geboten wird.

Zu den Vorteilen von FIDO2 gehören:

  • Starke Sicherheit: FIDO2 nutzt Public-Key-Kryptografie und sorgt so für eine sichere und manipulationssichere Authentifizierung. Es schützt vor häufigen Bedrohungen wie Phishing, Replay-Angriffen und Diebstahl von Anmeldedaten.
  • Passwortlose Erfahrung: FIDO2 ermöglicht Benutzern die Authentifizierung ohne Passwörter und reduziert so das Risiko, das mit schwachen oder wiederverwendeten Passwörtern verbunden ist. Benutzer können sich einfach mit ihrem FIDO2-Gerät oder biometrischen Daten authentifizieren.
  • Plattformübergreifende Kompatibilität: FIDO2 ist für den Einsatz auf verschiedenen Plattformen konzipiert, darunter Desktops, Laptops, mobile Geräte und Webbrowser. Diese Interoperabilität ermöglicht konsistentent-Authentifizierungserfahrungen auf verschiedenen Geräten und Plattformen.

FIDO2 hat bei grossen Technologieunternehmen und Plattformen grosse Akzeptanz gefunden und erleichtert Entwicklern die Implementierung sicherer und praktischer Authentifizierungsmethoden. Es stellt einen bedeutenden Fortschritt bei der Verbesserung der Online-Sicherheit dar und verringert gleichzeitig die Abhängigkeit von Passwörtern.


Logo: “FIDO® is a registered trademark of FIDO Alliance, Inc.“