FIDO2
FIDO2 (Fast IDentity Online 2) ist ein übergreifender Begriff für die neuesten Standards der FIDO-Allianz und des W3C, die für eine passwortfreie Authentifizierungslösung im Web stehen. FIDO2 ist also ein Web-Standard für sichere, passwortlose Anmeldung.
Inhaltsverzeichnis
Was ist FIDO2?
Bei den FIDO2-Standards handelt es sich um den Web-Authentifizierungsstandard (WebAuthn) des World Wide Web Consortiums (W3C) und das entsprechende Client-to-Authenticator-Protokoll (CTAP) der FIDO-Allianz. Mit diesen Komponenten können sich die Nutzer bei Webdiensten passwortfrei registrieren und einloggen.
Der FIDO2-Standard existiert seit März 2019 und wird zusammen mit dem World Wide Web Consortium (W3C) sowie den Unternehmen wie Google, Apple, Microsoft, Facebook, Amazon, Paypal, Visa und Mastercard weiterentwickelt und implementiert.
FIDO2 findet bereits Anwendung in Windows 10, Android, macOS (ab Mojave) und Google Chrome, Mozilla Firefox, Microsoft Edge und Apple Safari. Ausserdem unterstützen Dienste wie Twitter, Dropbox, Google und Amazon den FIDO2 Standard.
Die wichtigsten Eigenschaften von FIDO2 sind:
- Die kryptographischen FIDO2-Anmeldedaten sind auf jeder Website einmalig, bleiben auf dem Gerät des Nutzers und werden nie auf einem Server gespeichert. Dadurch können Nutzer die mit Phishing, Passwortdiebstahl und Replay-Angriffen verbundenen Risiken ausschliessen.
- Die Nutzer melden sich mit integrierten Methoden wie Fingerabdruckleser oder Kamera auf ihren Geräten oder durch die Verwendung von benutzerfreundlichen FIDO-Sicherheitsschlüsseln an.
- Da die FIDO-Schlüssel für jede Internetseite einmalig sind, können sie nicht dazu verwendet werden, Nutzer über verschiedene Websites hinweg zu verfolgen. Die verwendeten biometrischen Daten der Nutzer bleiben nur auf ihren Geräten.
- Websites können FIDO2 durch einen einfachen JavaScript-API-Call aktivieren, der von Webbrowsern und Betriebssystemen unterstützt wird.
Wie funktioniert FIDO2?
Bei FIDO2 handelt es sich um ein Challenge-Response-Verfahren, welches asymmetrische Verschlüsselungsmethoden und Faktoren wie biometrische Daten, Hardware-Token, integrierte Sicherheitselemente, TPM-Module (Trusted Module Platforms) oder Smart Cards verwenden. Die Anmeldung bei einem Webdienst kann via Browser wie folgt erfolgen:
Die FIDO-Protokolle verwenden standardmässige kryptographische Methoden mit öffentlichem Schlüssel, um eine stärkere Authentifizierung zu ermöglichen. Während der Registrierung bei einem Webdienst erstellt das Client-Gerät des Benutzers ein neues Schlüsselpaar. Es verfügt über einen privaten Schlüssel und registriert den öffentlichen Schlüssel. Die Authentifizierung erfolgt durch das Client-Gerät, das den Besitz des privaten Schlüssels für den Dienst durch das Signieren einer Challenge nachweist. Die privaten Schlüssel des Client-Geräts können erst verwendet werden, nachdem sie vom Benutzer lokal auf dem Gerät entsperrt wurden. Die lokale Entsperrung erfolgt durch das Swipen, die Eingabe einer PIN, das Sprechen in ein Mikrofon, das Einsetzen eines Geräts des zweiten Faktors oder das Drücken einer Taste.
FIDO-Registrierung
- Der Benutzer erhält die Aufforderung, einen FIDO-Authentifikator zu wählen, welcher den Richtlinien des Webdienstes entspricht.
- Der Benutzer entsperrt den FIDO-Authentifikator mit Hilfe eines Fingerabdruck-Lesegeräts, einer PIN, einer Taste auf einem Zweit-Faktor-Gerät oder mit einer anderen Methode.
- Das Gerät des Benutzers generiert ein neues öffentlich-privates Schlüsselpaar, das für das lokale Gerät, den Webdienst und das Benutzerkonto einmalig ist.
- Der öffentliche Schlüssel wird an den Webdienst gesendet und mit dem Konto des Benutzers verknüpft. Der private Schlüssel und alle Informationen über die lokale Authentifizierungsmethode (wie biometrische Daten usw.) bleiben nur auf dem lokalen Gerät.
FIDO-Login
- Der Webdienst fordert den Benutzer auf, sich mit einem zuvor registrierten Gerät anzumelden, das den Richtlinien des Webdienstes entspricht.
- Der Benutzer entsperrt den FIDO-Authentifikator mit der gleichen Methode wie bei der Registrierung.
- Das Gerät verwendet die vom Webdienst bereitgestellte Kontokennung des Benutzers, um den richtigen Schlüssel auszuwählen und die Challenge des Webdienstes zu signieren.
- Das Client-Gerät sendet die signierte Challenge an den Webdienst zurück, der sie mit dem gespeicherten öffentlichen Schlüssel verifiziert und den Benutzer anschliessend einloggt.
Wer unterstützt FIDO2?
FIDO2 wird derzeit von den Betriebssystemen wie Windows 10 und Android sowie in den Webbrowsern Google Chrome, Mozilla Firefox, Microsoft Edge und Apple Safari unterstützt.
FIDO2 für Windows-10-PCs
Die Funktion „Windows Hello“ von Windows 10 erlaubt das Einloggen auf dem Computer anhand eines Fingerabdrucks, der Gesichtserkennung oder einer PIN. Diese Methoden dienen zur Identifikation des Nutzers und werden nur auf dem lokalen Gerät verarbeitet. Die erforderlichen Schlüssel werden im TPM-Chip des Rechners verwahrt.
FIDO2 für Android-Geräte
Ab Version 7.0 unterstützt das Betriebssystem Android den FIDO-Standard. Anfang 2019 wurde Android für FIDO2 zertifiziert.
FIDO2 für iOS-Geräte
Mit iOS 14 und iPadOS 14 erweitert Apple die Unterstützung des FIDO2-Standards. iPhones, iPads und iPods werden künftig als Sicherheitsschlüssel zur Authentifizierung an FIDO2-fähigen Webdiensten dienen.
FIDO2 für macOS
macOS unterstützt den FIDO2-Standard seit der Betriebssystemversion Mojave im Webbrowser Safari 13.
Zero Sign On von MobileIron
Bemerkenswert ist die Zero-Sign-On-Technologie von MobileIron. Das Anmeldeverfahren ist passwortfrei und erfolgt auf Basis des Unified-Endpoint-Management-System (UEM). Mobile Geräte fungieren dabei als Benutzer-IDs und primärer Faktor für die Authentifizierung.
Über die FIDO-Allianz
Die FIDO-Allianz (Fast IDentity Online) wurde im Juli 2012 mit dem Ziel gegründet, starke und passwortfreie Authentifizierungstechnologien zu entwickeln. Die FIDO-Authentifizierung ist stärker, privater und bei der Authentifizierung gegenüber Webdiensten einfacher zu verwenden.
Quellen
Passwordless authentication options for Azure Active Directory