icon

Was ist FIDO2 und wie funktioniert es? Vorteile und Nachteile der passwortlosen Authentifizierung

Wie Sie ein vergessenes Passwort auf Facebook wiederherstellen können?

 

Das Einloggen auf einer Website oder in einem Dienst mit der traditionellen Kombination aus Benutzername und Passwort ist heutzutage nicht mehr der beste oder sicherste Weg. Mit der zunehmenden technologischen Raffinesse der Cyberkriminellen müssen auch die Methoden zum Schutz von Daten weiterentwickelt werden. Hier können neue Authentifizierungsstandards wie FIDO2 ein nützliches Werkzeug im Kampf gegen diese Probleme sein.

Aber was ist die passwortlose Authentifizierung mit FIDO2 und welche Authentifizierungswerkzeuge werden anstelle von Passwörtern verwendet? Wie funktionieren überhaupt FIDO2-Sicherheitsschlüssel? Diese und viele andere wesentliche Fragen zu diesem Standard der passwortlosen Authentifizierung werden in diesem ausführlichen Überblick beantwortet. Lesen Sie weiter, um alles über das FIDO2-Protokoll zu erfahren.

Inhaltsverzeichnis

Was ist FIDO2? Der neue Standard für passwortlose Authentifizierung

Wie funktioniert FIDO2?

FIDO2 vs. FIDO U2F - Was ist der Unterschied?

Vor- und Nachteile von FIDO2

Anwendungsfälle von FIDO2

Erste Schritte mit der FIDO2-Authentifizierung

Was ist FIDO2? Der neue Standard für passwortlose Authentifizierung

FIDO steht für Fast Identity Online. Mit einer angefügten Zwei am Ende basiert dieses Akronym auf früheren Arbeiten der FIDO Alliance, insbesondere in Bezug auf die Entwicklung des Universal Second Factor (U2F) Authentifizierungsstandards. 

Die FIDO Alliance wurde im Juli 2012 von PayPal, Lenovo, Nok Nok Labs, Validity Sensors, Infineon und Agnitio gegründet. Das Ziel dieser Allianz war es, die Abhängigkeit von traditionellen Passwörtern zu verringern und die Funktionsweise der Identitätsauthentifizierung zu verbessern. 

FIDO ist der dritte Standard, der aus der FIDO Alliance hervorgeht, nach dem FIDO Universal Second Factor (U2F) und dem FIDO Universal Authentication Framework (UAF).

Das Hauptziel von FIDO2 ist die Eliminierung der Verwendung von Passwörtern über das Internet. Es wurde entwickelt, um offene und Lizenzgebühren-freie Standards für sichere, passwortlose Authentifizierung über das Internet einzuführen. 

Der FIDO2-Authentifizierungsprozess eliminiert die traditionellen Bedrohungen, die mit der Verwendung von Anmeldename und Passwort einhergehen, und ersetzt diese durch den FIDO2-Login-Standard. Auf diese Weise schützt er vor gängigen Online-Angriffen wie Phishing und Man-in-the-Middle-Angriffen.

Im Mai 2022 kündigten Apple, Google und Microsoft ihre Unterstützung für den neuen Satz von Standards für passwortlose Authentifizierung an. Von den Anbietern allgemein als "Passkeys" bezeichnet, erregte dieses neue Schema der "multi-device FIDO credentials" erhebliche Aufmerksamkeit, da die Anmeldeinformationen einen Geräteverlust überleben konnten.

Ein Passkey ist im Wesentlichen dasselbe wie ein FIDO-Schlüssel, da der Passkey generiert wird, sobald der Benutzer seine Identität überprüft hat. Diese Passkeys bestehen aus einem öffentlichen und privaten Schlüsselpaar mit Ende-zu-Ende-Verschlüsselung, die die Anmeldeinformationen sichert, wenn sie über verschiedene Geräte synchronisiert werden.

Wie funktioniert FIDO2?

Das FIDO2-Protokoll verwendet Public-Key-Kryptographie, um ein sicheres und bequemes Authentifizierungssystem zu gewährleisten. Der FIDO2-Standard verwendet ein privates und öffentliches Passkey, um die Identität jedes Benutzers zu validieren. Um FIDO2-Authentifizierung zu nutzen, müssen Sie sich bei FIDO2-unterstützten Diensten anmelden. 

Wie sieht dies in der Praxis aus? Hier ein schnelles Beispiel für FIDO2, das veranschaulicht, wie das FIDO2-Protokoll funktioniert:

  1. Wenn der Benutzer versucht, sich bei einer App mit FIDO2 einzuloggen, sendet der FIDO2-Server über WebAuthn eine Herausforderung an den FIDO-Client, die diesen auffordert, die Daten mit dem privaten FIDO2-Schlüssel zu signieren.
  2. Der Benutzer verwendet dann die zuvor eingerichtete Authentifizierungsmethode, um diese Anfrage zu beantworten. Während dieses Prozesses wird die Domain des FIDO2-Servers überprüft, um sicherzustellen, dass es sich um die richtige handelt, die auch während der Registrierung verwendet wurde. Dieser zusätzliche Schritt der FIDO2-Implementierung gewährleistet einen starken Schutz vor Phishing.
  3. Der FIDO-Client erhält dann den privaten FIDO-Schlüssel vom Authenticator. Dies kann entweder über einen FIDO-Passkey, einen physischen Sicherheitsschlüssel oder eine mobile App erfolgen.
  4. Der FIDO-Client signiert dann die Herausforderung, um ihre Gültigkeit zu beweisen, und der Benutzer erhält Zugang zur Plattform oder zum Dienst.

Während sich die größten Plattformen der Welt wie Apple, Google und Microsoft für FIDO einsetzen, sind sie nicht die einzige treibende Kraft hinter der FIDO Alliance und arbeiten mit Hunderten von Unternehmen auf der ganzen Welt zusammen, um eine einfachere und stärkere Authentifizierung Wirklichkeit werden zu lassen.

Um sich für kennwortlose Anmeldungen einzurichten, müssen Sie einige Einrichtungsschritte durchlaufen:

  • Sie müssen das entsprechende Registrierungsformular ausfüllen und einen FIDO2-Authentifizierer wählen (entweder ein FIDO2-Gerät oder ein vertrauenswürdiges Plattformmodul).
  • Der Dienst generiert einen FIDO2-Authentifizierungsschlüsselpaar.
  • Ihr FIDO2-Authentifizierer sendet den öffentlichen Schlüssel an den Dienst, während der private Schlüssel, der sensible Informationen enthält, auf Ihrem Gerät verbleibt.

FIDO-Authentifizierungsablauf

FIDO-Authentifizierungsablauf

Sobald der sichere Kommunikationspfad aktiviert ist, werden die Einrichtungsdetails dauerhaft gespeichert, um spätere Anmeldungen zu ermöglichen. Was besonders wichtig für diesen sicheren Web-Login-Prozess ist: Es werden keine Geheimnisse mit den Servern ausgetauscht. Die entscheidende Information, Ihr FIDO2-Sicherheitsschlüssel, bleibt immer auf Ihrem Gerät.

Natürlich ist es auch wichtig zu bedenken, dass diese FIDO-Passkeys nur ein Schritt im Prozess sind, nicht die ultimative Lösung. Organisationen sollten berücksichtigen, dass FIDO noch immer in der Entwicklung ist und es wichtig ist, sich über zukünftige Änderungen und Anpassungen auf dem Laufenden zu halten.

FIDO2-Authentifizierungsanwendungsbeispiele

Wie wirkt sich FIDO2 auf das Gesamterlebnis des Benutzers durch reale Beispiele aus? Noch wichtiger für den durchschnittlichen Benutzer: In welcher Form kann es in Ihren Alltag integriert werden? Werfen wir einen genaueren Blick darauf, wie Sie die kennwortlose FIDO2-Anmeldung in verschiedenen Formen implementieren können:

1. Plattformauthentifizierer

Diese Art von Authentifizierern ist normalerweise nicht vom Clientgerät entfernt, da sie bereits in das Gerät integriert sind. Mit anderen Worten, es ist kein externes Gerät am Authentifizierungsprozess beteiligt. Dies macht sie sehr praktisch für wiederholte Authentifizierungen.

Plattformauthentifizierung von FIDO

Beispiel für Plattformauthentifizierung

2. Cross-Plattform-Authentifizierer.

Auch als roamingfähige Authentifizierer bekannt, handelt es sich hierbei um externe Geräteserver, die entfernt werden können und auf verschiedenen Geräten verwendet werden können. Mit der Cross-Plattform-Authentifizierung können ein externes Bluetooth-/NFC-Gerät oder ein physischer Sicherheitsschlüssel wie der Hideez Key als Authentifizierer verwendet werden. Der Hauptvorteil von Cross-Plattform-Authentifizierern besteht darin, den Authentifizierungsprozess auf neuen Geräten zu vereinfachen.

FIDO2 Cross-Plattform-Authentifizierung

Beispiel für Cross-Plattform-Authentifizierung

FIDO2 vs. U2F - Was ist der Unterschied?

Nachdem wir verstanden haben, wie die FIDO2-Authentifizierung funktioniert, ist es auch nützlich, einen Vergleich zwischen FIDO2 und FIDO U2F anzustellen, um den Unterschied zu bestimmen. Der wesentlichste Unterschied zwischen den beiden besteht darin, dass Ersteres entwickelt wurde, um alle Authentifizierungen kennwortlos zu gestalten. Im Gegensatz dazu wurde FIDO U2F entworfen, um als zweiter Faktor für Kennwörter zu dienen.

FIDO2 und U2F Websites und Dienste

Um dies weiter auszuführen: Mit der Veröffentlichung von FIDO2 wurde U2F effektiv in FIDO2 integriert. Es wurde als CTAP1 neu bezeichnet, um als starker zweiter Faktor für die Benutzeranmeldung zu dienen. CTAP1 ermöglicht die Verwendung bestehender U2F-Geräte als Authentifizierungsclients auf FIDO2-fähigen Systemen.

Darüber hinaus wurde mit der Veröffentlichung von FIDO2 CTAP2 zusammen mit WebAuthn zum neuen Standard. Ein moderner Authentifizierer, der CTAP2 verwendet, wird ebenfalls als FIDO2-Authentifizierung bezeichnet. Gleichzeitig ist ein FIDO2-Authentifizierer, der auch CTAP1 enthält, rückwärtskompatibel mit der Standard-U2F-Authentifizierung.

Vorteile und Nachteile von FIDO2

Vorteile von FIDO2

Der größte Vorteil der FIDO2-Authentifizierung besteht darin, dass sie ein viel kleineres Angriffsfenster für Cyberkriminelle schafft. Um auf Ihre sensiblen privaten Daten zuzugreifen, benötigen Angreifer einen FIDO2-Authentifikator, der sich in Form Ihres Geräts oder Ihrer biometrischen Daten immer physisch an Ihrer Seite befindet.

Wenn Sie mehrere von FIDO2 unterstützte Websites nutzen, genießen Sie einen weiteren Vorteil in Form einer optimierten Benutzererfahrung, da Sie sich nicht für jedes Ihrer Konten mehrere Anmeldedaten und Passwörter merken müssen. Der FIDO2 U2F-Sicherheitsschlüssel funktioniert auf allen unterstützten Plattformen und bietet maximale Sicherheit und Benutzerkomfort.

Nachteile von FIDO2

Natürlich hat der FIDO2-Standard wie jede andere Sicherheitsmethode auf der Welt bestimmte Nachteile. Diese Nachteile sind zwar keine Dealbreaker, aber etwas, das Sie beachten sollten, wenn Sie die kennwortlose FIDO2-Anmeldung als Sicherheitspraxis implementieren möchten.

Am bemerkenswertesten ist, dass dieser Standard im Vergleich zu traditionellen Passwort-Login-Standards einen zusätzlichen Sicherheitsschritt erfordert, wenn Sie ihn als regelmäßigen Bestandteil der Zwei-Faktor-Authentifizierung verwenden. In diesem Sinne ist ein solches System nicht das praktischste, wenn Sie sich mehrmals täglich bei mehreren FIDO2-fähigen Sicherheitsschlüsseln anmelden.

Zusätzlich dazu, dass diese Authentifizierungsmethode noch nicht weit verbreitet ist, gibt es derzeit nicht viele FIDO2-unterstützte Sicherheitsschlüssel, obwohl die Anzahl der FIDO-fähigen Plattformen und Browser ständig wächst. Zum Beispiel können Sie die kennwortlose Anmeldung bei Facebook, Twitter, Google, Dropbox, GitHub und mehr als 300 anderen Diensten aktivieren, die FIDO2 oder FIDO U2F unterstützen.

FIDO2 Unterstützte Browser

FIDO Plattform-/Browser-Unterstützung von der FIDO Alliance

Starten mit FIDO2-Authentifizierung

Cyberangriffe haben gezeigt, dass der menschliche Risikofaktor ein wesentlicher Aspekt von Cybersicherheitsverletzungen ist. Mit der Implementierung von FIDO2 und der kennwortlosen Authentifizierung wird der menschliche Risikofaktor eliminiert, was zu einer viel sichereren Benutzererfahrung führt. Die FIDO2-Implementierung passt perfekt in ein Sicherheitsrahmenwerk ohne Vertrauen. Abgesehen davon, dass es robust ist und den strengsten Sicherheitsrichtlinien entspricht, bietet es eine bequeme Benutzererfahrung.

Große Technologieunternehmen wie Microsoft, Google und Apple unterstützen bereits FIDO-Sicherheitsoptionen. Obwohl diese Form der sicheren Anmeldung noch relativ neu ist, ist eines sicher: Die kennwortlose Authentifizierung ist die Zukunft.

Für höchste Sicherheits- und Benutzerfreundlichkeitsstandards bietet Hideez ein kennwortloses Authentifizierungssystem für Organisationen an. Es ermöglicht jeder Organisation, einen persönlichen FIDO2-Server einzurichten, der eine kennwortlose Erfahrung für alle Mitarbeiter ohne zusätzliche Kosten ermöglicht. Es kann konfiguriert werden, um mit allen Webdiensten zu arbeiten, auch solchen, die standardmäßig keine FIDO-Protokolle unterstützen.

Jeder Benutzer kann eine bevorzugte Authentifizierungsmethode wählen: entweder Passwortschlüssel (persönliche Geräte), eine mobile App, die ein Smartphone in einen FIDO-Schlüssel verwandelt, oder einen physischen Sicherheitsschlüssel. Darüber hinaus bieten physische Schlüssel zusätzliche Funktionen wie PC-Anmeldung und -Abmeldung basierend auf der Nähe, passwortbasierten Zugriff auf Legacy-Systeme, OTP-Generierung und physischen Zugang zu Gebäuden auf der Grundlage der RFID-Technologie. Das komplexe Design des Hideez Key gewährleistet sowohl Komfort als auch Schutz dank einer einzigartigen Funktionsvielfalt:

  • Passwortbasierter digitaler Zugriff - Diese Funktion des Hideez Key bietet eine großartige Benutzererfahrung überall. Sie können den Schlüssel verwenden, um Ihren Windows 10 PC per Nähe zu sperren oder zu entsperren und neue komplexe Passwörter sowie Einmalpasswörter für die Zwei-Faktor-Authentifizierung zu generieren. Darüber hinaus können Sie bis zu 1.000 Logins und Passwörter von Ihren bestehenden Konten speichern und deren sichere automatische Befüllung sicherstellen. Dies umfasst auch passwortgeschützte lokale Ordner, PDF-, Word-, ZIP-Dateien und alle anderen Dokumente, die Sie sicher aufbewahren möchten.
  • Kennwortloser Zugriff - Das Gerät unterstützt auch FIDO U2F und FIDO2, die beiden offenen Authentifizierungsstandards, die darauf abzielen, die weltweite Überabhängigkeit von Passwörtern zu reduzieren. Das bedeutet, dass der Hideez Key für die kennwortlose Authentifizierung und 2FA auf FIDO-unterstützten Browsern und Plattformen (Google und Microsoft Dienste, Facebook, Twitter, Dropbox, Azure AD usw.) verwendet werden kann, deren Anzahl stetig wächst. Der Hideez Key unterstützt drahtlos die FIDO-Authentifizierung auf Windows 10 und Android 8+ Geräten über Bluetooth Low Energy (BLE) Technologie.  
  • Näherungsabhängige Anmeldung - Ein integrierter Näherungsschutz sperrt Ihren Computer jedes Mal automatisch, wenn Sie sich entfernen. Mit dem Hideez Key können Sie Ihren Windows-Arbeitsplatz automatisch sperren und entsperren, basierend auf der Bluetooth-Stärke zwischen dem Schlüssel und Ihrem PC. Sie können anpassen, wie Sie es sperren möchten, indem Sie bevorzugte Nähe-Schwellenwerte einstellen und die Entsperrmethode wählen.
  • Physischer Zugang - Neben dem digitalen Zugang bietet der Hideez Key auch bequemen physischen Zugang. Ein eingebauter RFID-Tag kann vorkonfiguriert werden, um jede RFID-Türverriegelung in Bürogebäuden, Rechenzentren, Fabriken usw. zu öffnen und somit eine Smartcard zu ersetzen.
  • Verstärkter Schutz - Der Hideez Key bietet einen verbesserten Schutz gegen Phishing, Pharming und alle anderen passwortbezogenen Angriffe. Anders als die meisten anderen Passwort-Manager sendet der Hideez Key keine Anmeldeinformationen in die Cloud oder an Dritte.

Mit dem Hideez Service kann jede Organisation für 6 USD pro Benutzer pro Monat kennwortlos werden. Starten Sie eine kostenlose 30-Tage-Testphase, um zu verstehen, wie es funktioniert, und erleben Sie die Vorteile der kennwortlosen Authentifizierung in Arbeitsumgebungen.

Related Posts