Startschuss in eine passwortlose Zukunft
FIDO2-Standard im Überblick
Ein großer Teil des Lebens spielt sich in der virtuellen Welt ab. Das hat zur Folge, dass wichtige Daten auf dem Computer oder im Web hinterlegt sind. Anwender schützen die genutzten Accounts dabei meist mit einer Kombination aus Benutzername und Passwort. Die zahlreichen Angriffe der Vergangenheit zeigen jedoch, dass das keine ausreichende Sicherheit bietet. Die FIDO-Allianz liefert mit ihrem FIDO2-Standard eine starke Authentifizierungslösung – doch deren Nutzung ist für Unternehmen mit einigen Voraussetzungen verbunden.
Für Mitarbeiter gehört es zum Arbeitsalltag, eine Vielzahl von Unternehmensapplikationen und -systemen zu nutzen. Dabei reicht das Anwendungsgebiet von Cloud-Diensten über E-Mail-Konten bis hin zu Web-Interfaces. Hierbei ist in den meisten Fällen die Registrierung und Anmeldung über eine Ein-Faktor-Authentifizierung, namentlich über Benutzername und Passwort, erforderlich. Dass dies keinen ausreichenden Schutz vor Datenklau bietet, zeigt auch die im Internet publik gewordene Leak Collection #1 bis #5, in der eine Veröffentlichung von 2,2 Milliarden E-Mail-Adressen samt Passwörtern gehackter Nutzer-Accounts erfolgte. Ob das nun an besonders gewieften Hackern oder aber auch an sehr schwachen und mehrfach verwendeten Passwörtern liegt, das Ergebnis bleibt das gleiche: Diebstahl und Missbrauch sensibler Unternehmensdaten, persönlicher Informationen oder auch Bankdaten.
Die FIDO-Allianz, ein Interessenverbund renommierter Unternehmen vor allem aus der IT-Branche, will mit ihrer Authentifizierungslösung im Web, FIDO2, dieses Sicherheitsrisiko eliminieren, indem sie die passwortlose Anmeldung ermöglichen. Der Einsatz von FIDO2 kann entweder unterstützend, das heißt zusätzlich zum Passwort, als zweiter Faktor erfolgen, oder das Passwort gänzlich ersetzen.
Passwörter als Sicherheitsrisiko
Passwörter sind nicht nur unsicher, sondern auch überaus lästig. Die Mehrheit der Internetnutzer besucht täglich eine hohe Anzahl an Websites beziehungsweise Apps, die eine Anmeldung via Passwort erfordern. Sich ein spezifisches Passwort für jede genutzte Plattform auszudenken und vor allem sich dieses zu merken, stellt für die meisten Menschen eine Herausforderung dar. Besonders wenn man bedenkt, dass die Passwörter zusätzlich noch den Sicherheitsanforderungen entsprechen müssen, also mindestens acht Zeichen, Groß- und Kleinschreibung, Ziffern sowie ausgewählte Sonderzeichen enthalten. Dies hat zur Folge, dass Anwender meist ein und dasselbe Passwort für unterschiedliche Applikationen nutzen. Zudem notieren sie die Passwörter häufig und bewahren diese an unsicheren Orten auf.
Besonders prekär: Selbst wenn Mitarbeiter äußerst sichere Passwörter verwenden, ist das bei Weitem kein Garant für eine starke Authentifizierung und den Schutz vor Cyberattacken. Denn die Qualität vieler Hacker-Angriffe hat in den vergangenen Jahren rasant zugenommen.
Dessen ist sich die IT-Branche bewusst und hat in den vergangenen Jahren den einen oder anderen Versuch unternommen, die Authentifizierung mit Passwörtern sicherer zu gestalten. Eine dieser Methoden ist das One Time Password (OTP) per SMS, welches allerdings nicht die Gefahr von Man-In-The-Middle-Angriffen (MITM) eliminiert. Auf einem viel höheren Sicherheitsniveau setzt FIDO2 an.
FIDO2 als Vorreiter
Das Akronym FIDO steht für Fast Identity Online und bezeichnet ein Verfahren der FIDO-Allianz. Der im Jahre 2012 gegründete Bund verfolgt das Ziel, offene und lizenzfreie Standards für die sichere, weltweite Authentifizierung zu entwickeln. Gründungsmitglieder waren PayPal, Lenovo, Nok Nok Labs, Validity Sensors, Infineon und Agnitio. Im Laufe der Zeit schlossen sich immer mehr Unternehmen der Allianz an, darunter Giganten wie Google, Microsoft und Samsung.
Mit FIDO2 präsentiert der Interessenverbund, nach FIDO Universal Second Factor (FIDO U2F) und FIDO Universal Authentication Framework (FIDO UAF), bereits seinen dritten Standard. Die Authentifizierung über FIDO2 ermöglicht eine sichere (passwortlose) Anmeldung durch ein Public-Key-Verfahren. Dabei kann je nach Plattform der Login entweder über biometrische Merkmale, durch das Antippen eines Buttons oder mit Hilfe eines Hardware-Tokens, wie etwa dem YubiKey, erfolgen.
Für die Entwicklung von FIDO2 hat sich die FIDO-Allianz mit dem World-Wide-Web-Consortium (W3C) zusammengeschlossen. Der FIDO2-Standard setzt sich dementsprechend aus dem W3C-Web-Authentication-Standard, kurz WebAuthn, und dem FIDO-Client-to-Authenticator-Protocol 2, kurz CTAP2, zusammen. Das Verfahren unterscheidet dabei zwischen externen und internen Authentifikatoren. Bei den externen Authentifikatoren handelt es sich um Token, wie FIDO Security Keys, Smartphones oder Wearables. Diese arbeiten wahlweise via USB, NFC oder Bluetooth. Die interne Authentifikation benötigt keine zusätzliche Hardware. Denn hier ist die Software selbst der Sicherheitsschlüssel und nutzt den Krypto-Chip des PCs oder Smartphones für die Anmeldung. Der Anwender muss sich lediglich durch biometrische Merkmale, wie etwa den Fingerabdruck, Gesichts-Scan etc. authentifizieren. Zu den Betriebssystemen, die selbst als FIDO2-Sicherheitsschlüssel funktionieren, zählen Windows 10 und Android. Auch bekannte Webbrowser wie Mozilla Firefox, Chrome und Microsoft Edge unterstützen FIDO2. Nach Eingang des Requests leiten die Browser alle Informationen über das sichere CTAP2 an den entsprechenden Authentifikator weiter – das kann ein interner Plattform-Authentifikator oder ein externes Gerät sein.
In einem zweiten Schritt regelt WebAuthn die Verbindung zwischen dem Nutzersystem und der besuchten Website. Dieser Vorgang verwendet einen Public Key, während der Private Key entweder im Token oder direkt im Nutzersystem zum Einsatz kommt. FIDO2 nutzt also eine lokale Authentisierung anstelle von Shared Secrets und verhindert damit MITM-Angriffe ebenso wie Phishing.
Theoretisch einwandfrei – praktisch ausbaufähig
Das Verfahren klingt zunächst äußerst vielversprechend. FIDO2 ermöglicht, entweder das Passwort komplett zu ersetzt oder einen zusätzlichen zweiten Faktor zu schaffen. Beides stärkt den Anmeldeprozess und schützt vor Datendiebstahl. Zusätzlich ist das Verfahren für den Anwender sehr komfortabel, da er sich keine Passwörter merken muss.
Ein Defizit von FIDO2 sticht jedoch hervor. So unterstützen derzeit zwar einige namhafte Anbieter wie Microsoft mit Windows 10, Azure und Microsoft 365 (ehemals Office 365) sowie Android, Firefox, Chrome und neuerdings auch Apple den Standard, die meisten jedoch erst ab einer bestimmten Version der Anwendung. Das hat zur Folge, dass Unternehmen gegebenenfalls ihre Anwendungen erneuern müssen. Doch auch die Durchführung notwendiger Updates garantiert nicht zwangsläufig die uneingeschränkte Nutzung des FIDO2-Authentifizierungsverfahrens. Denn manche Internet-Dienste haben das W3C-standardisierte Verfahren WebAuthn noch nicht umgesetzt und unterstützen eine FIDO2-Anmeldung somit nicht.
Fazit
Der FIDO2-Standard, die gemeinsame Lösung der FIDO-Allianz und W3C, präsentiert sich vielversprechend. Er ist überaus benutzerfreundlich und bietet gleichzeitig starken Schutz vor Cyberattacken. Dank des Public-Key-Verschlüsselungsverfahrens können Hacker sensible Daten nicht mehr abfangen und auch Phishing-Angriffe sind chancenlos.
Die Unterstützung von FIDO2 ist bereits in den Lösungen einiger IT-Größen implementiert – so beispielsweise in den YubiKeys von Yubico, dem Herstellerpartner des Value-Added-Distributors sysob. Und die Nachfrage auf Anwenderseite wächst rasant. Es ist deshalb davon auszugehen, dass künftig mehr und mehr Anwendungen FIDO2-kompatibel sein werden. Dieser Paradigmenwechsel weg vom klassischen Passwort wird einen gewissen Anpassungsaufwand bei Legacy-Systemen mit sich bringen, aber dadurch auch das Niveau der IT-Sicherheit auf ein völlig neues Level heben.
Markus Senbert ist Channel Manager bei sysob, www.sysob.com.
Lesen Sie mehr zum Thema
