Was ist FIDO2 und wie funktioniert es? Vorteile und Nachteile der passwortlosen Authentifizierung

Die Anmeldung bei einer Website oder einem Dienst mit der traditionellen Kombination aus Benutzername und Passwort ist nicht mehr die sicherste oder effektivste Methode. Da Cyberkriminelle technologisch immer fortschrittlicher werden, müssen auch die Datenschutzmethoden weiterentwickelt werden. 

Hier kommen neue Authentifizierungsstandards wie FIDO2 ins Spiel, die ein wertvolles Werkzeug zur Bewältigung dieser Sicherheitsherausforderungen sein können. Aber was ist die FIDO2-Authentifizierung und welche Werkzeuge werden anstelle von Passwörtern verwendet? Wie funktionieren FIDO2-Sicherheitsschlüssel eigentlich?

Bei Hideez haben wir in den letzten Jahren Dutzenden von Organisationen geholfen, ein nahtloses passwortloses Login-Erlebnis zu ermöglichen. Als zertifiziertes Mitglied der FIDO-Allianz und Microsoft-anerkannter Anbieter von Sicherheitsschlüsseln bleiben wir an der Spitze der Trends und Fortschritte im Bereich Cybersicherheit. Lassen Sie uns das Thema genauer betrachten!

Was ist FIDO2? Der neue passwortlose Standard

FIDO steht für "Fast Identity Online". Mit der hinzugefügten Ziffer Zwei basiert dieses Akronym auf früheren Arbeiten der FIDO-Allianz, insbesondere bei der Entwicklung des Authentifizierungsstandards Universal 2nd Factor (U2F).

Die FIDO-Allianz wurde im Juli 2012 von PayPal, Lenovo, Nok Nok Labs, Validity Sensors, Infineon und Agnitio gegründet. Ziel dieser Allianz war es, die Abhängigkeit von traditionellen Passwörtern zu verringern und die Funktionsweise der Identitätsauthentifizierung zu verbessern.

FIDO2 ist der dritte Standard, der von der FIDO-Allianz entwickelt wurde, nach dem FIDO Universal Second Factor (U2F) und dem FIDO Universal Authentication Framework (UAF).

Das Hauptziel von FIDO2 ist es, die Verwendung von Passwörtern und traditionellen MFA-Methoden (OTP, Push-Benachrichtigungen, SMS-Verifizierungscodes usw.) zu eliminieren und durch passwortlose Anmeldemethoden zu ersetzen: Fingerabdruck, Gesichtserkennung, Bildschirmsperre oder Hardware-Token. FIDO2-Authentifizierung ist daher benutzerfreundlicher und schützt vor häufigen Online-Angriffen wie Phishing, Spoofing, Keylogging, Brute-Force-Angriffen, MITM und anderen identitätsbasierten Bedrohungen.

Was ist ein FIDO2-Authenticator?

Ein FIDO2-Authenticator ist ein Gerät oder eine Software, die den FIDO2-Standard für passwortloses Login unterstützt. Diese Tools generieren und speichern kryptografische Schlüssel und ermöglichen den Zugang zu Konten ohne Passwörter. Sie gibt es in verschiedenen Formen, die im Allgemeinen in drei Kategorien unterteilt werden:

• Biometrische Authentifizierung (oft als „Passkeys“ bezeichnet): Biometrische Authentifizierung ermöglicht das Login durch Scannen eines Fingerabdrucks oder Gesichts. Es ist eine schnelle, sichere und praktische Option, die auf Mobiltelefonen und vielen modernen Laptops weit verbreitet ist.
• Bildschirmsperre:  Ohne biometrische Sensoren können sich Benutzer mit einem gerätespezifischen PIN oder einer Bildschirmsperre authentifizieren, um auf ihr Konto zuzugreifen. Diese Option ist besonders für Desktops oder ältere Geräte ohne integrierte Biometrie geeignet und bietet dennoch einen sicheren und zugänglichen Authentifizierungsprozess. 
• Physische Sicherheitsschlüssel: Auch bekannt als Hardware-Token oder FIDO2-Schlüssel, sind physische Sicherheitsschlüssel externe Geräte, die passwortloses Login durch Anschluss an Endgeräte über USB, NFC oder Bluetooth ermöglichen. Bekannte Beispiele sind YubiKeys, Hideez Keys und Solokeys. Besitzer von Sicherheitsschlüsseln authentifizieren sich, indem sie den Schlüssel einstecken oder antippen, oft in Kombination mit einer PIN für zusätzlichen Schutz. Einige Schlüssel verfügen sogar über biometrische Sensoren, die die Sicherheit der Hardware-Authentifizierung mit dem Komfort von Biometrie kombinieren.

Was sind Passkeys und wie unterscheiden sie sich von FIDO-Authentifikatoren?

Im Mai 2022 gaben Apple, Google und Microsoft eine bahnbrechende Ankündigung bekannt: Sie würden die FIDO2-Authentifizierung unter einem neuen Namen, "Passkeys", auf ihren Plattformen unterstützen. Durch die Zusammenführung aller FIDO2-Authentifizierungsformen wollen sie passwortlose Logins sowohl für Einzelpersonen als auch Unternehmen zugänglicher und nahtloser machen.

Sind Passkeys also nur FIDO2-Authentifikatoren mit neuem Namen? Nicht ganz. Passkeys teilen dieselbe Grundstruktur wie FIDO2-Authentifikatoren, unterscheiden sich jedoch in einem entscheidenden Punkt. Während die traditionellen FIDO2-Spezifikationen vorschreiben, dass der private Schlüssel nie Ihr Gerät verlässt, können Passkeys auf zwei verschiedene Arten funktionieren:

• Synchronisierte Passkeys: Sie verwenden Cloud-Speicher (wie iCloud, Google Password Manager oder Microsoft Authenticator), um Anmeldedaten nahtlos auf allen Geräten des Benutzers zu synchronisieren. Das bedeutet, dass Sie nicht mehr von Ihren Konten ausgeschlossen werden, wenn Sie den Zugriff auf ein Gerät verlieren. Synchronisierte Passkeys bieten starke Sicherheit bei einfacher geräteübergreifender Nutzung.
• Gerätegebundene Passkeys: Diese bleiben an ein bestimmtes physisches Gerät gebunden, wie z. B. einen physischen Sicherheitsschlüssel oder ein Mobiltelefon. Diese Passkeys halten sich an die strengsten Sicherheitsprinzipien und gewährleisten, dass Ihre Anmeldedaten auf keinem anderen Gerät funktionieren. Dies macht sie ideal für Organisationen mit strengen Sicherheitsrichtlinien.

Der Übergang zu einem plattform- und geräteübergreifenden Modell hat die FIDO2-Authentifizierung sowohl für den persönlichen als auch geschäftlichen Einsatz praktikabel gemacht. Passwortlose Werkzeuge werden jedoch von Einzelpersonen und Unternehmen unterschiedlich genutzt, hauptsächlich aufgrund von Unterschieden in Skalierung, Benutzerverwaltung und regulatorischen Anforderungen.

FIDO-Plattform-/Browserunterstützung der FIDO-Allianz

Wie funktioniert FIDO2?

Das FIDO2-Protokoll basiert auf Public-Key-Kryptografie, um sichere, passwortfreie Authentifizierung zu ermöglichen. Durch den Austausch von privaten und öffentlichen Schlüsseln wird die Identität jedes Benutzers validiert, ohne sensible Informationen preiszugeben.

Hier ist ein einfaches Beispiel, wie der passwortlose Authentifizierungsprozess von FIDO2 funktioniert:

1. Wenn ein Benutzer ein FIDO2-Login bei einem Webdienst initiiert, sendet der FIDO2-Server eine Challenge. Diese Herausforderung erfordert, dass der Benutzer sie mit seinem privaten FIDO2-Schlüssel signiert.
2. Der Benutzer führt dann eine Aktion mit seinem FIDO2-Authenticator aus, den er zuvor eingerichtet hat. Dies kann bedeuten, einen Fingerabdruckleser zu berühren, einen Sicherheitsschlüssel zu tippen oder eine PIN einzugeben. Der Authenticator sendet eine Antwort zurück an den Server mit den signierten privaten Schlüsseldaten.
3. Schließlich überprüft der Server diese Signatur mit dem öffentlichen Schlüssel, den er während der Einrichtung registriert hat. Wenn alles korrekt ist, erhält der Benutzer Zugriff auf sein Konto – ganz ohne Passwort!

Einmal eingerichtet, werden die Anmeldedaten sicher gespeichert, was schnelle, passwortfreie Zugänge bei zukünftigen Logins ermöglicht. Das Beste daran? Es werden keine sensiblen Informationen an den Server übertragen.

Ihre biometrischen Daten verbleiben auf Ihrem persönlichen Gerät und werden niemals an einen Remote-Server gesendet. Der Server erhält lediglich die Bestätigung, dass die Identitätsprüfung erfolgreich war, und Ihre privaten Daten bleiben dort, wo sie hingehören – auf Ihrem Gerät.

FIDO2-Authentifizierungs-Anwendungsfälle

Wie wirkt sich FIDO2 in der Praxis auf das Nutzererlebnis aus? Und wie kann es im Alltag genutzt werden? Hier ein Blick auf mögliche Implementierungsformen von FIDO2 passwortlosem Login:

1. Plattform-Authentifikatoren

Plattform-Authentifikatoren sind in Ihr Gerät integriert und nicht entfernbar, was sie einfach und bequem macht. Der gesamte Authentifizierungsprozess wird auf demselben Gerät durchgeführt, das auch für die Anmeldung verwendet wird.

Ein Beispiel? Das Scannen Ihres Fingerabdrucks mit einem integrierten Fingerabdruckleser auf Ihrem Laptop. Kein externes Gerät erforderlich – ein kurzer Touch und Sie sind eingeloggt.

Beispiel für Plattform-Authentifizierung

2. Geräteübergreifende Authentifikatoren

Auch als Roaming-Authentifikatoren bekannt, sind geräteübergreifende Authentifikatoren externe Geräte, die auf mehreren Geräten funktionieren. Zum Beispiel könnten Sie Ihr Smartphone oder einen physischen Sicherheitsschlüssel wie den Hideez Key verwenden, um sich bei einer Desktop-Anwendung auf Ihrem Computer anzumelden.

Physische Sicherheitsschlüssel werden immer als geräteübergreifend klassifiziert, während Smartphones je nach Verwendung sowohl als interne (Plattform-) als auch externe (geräteübergreifende) Authentifikatoren fungieren können.

Beispiel für Geräteübergreifende Authentifizierung

FIDO2-Vorteile und -Nachteile

Vorteile von FIDO2

FIDO2-Authentifizierung bietet eine Vielzahl von Vorteilen für die moderne Sicherheit. Hier sind einige der wichtigsten Gründe, warum sie immer beliebter wird:

• Hohe Sicherheit: FIDO2 reduziert das Angriffspotenzial für Cyberkriminelle erheblich. Angreifer bräuchten physischen Zugriff auf Ihren FIDO2-Authenticator, der in der Regel bei Ihnen bleibt.
• Zero-Trust-Kompatibilität: Das Zero-Trust-Modell basiert auf der Prämisse „niemals vertrauen, immer verifizieren“ und ist in verteilten Arbeitsumgebungen entscheidend. FIDO2 bietet phishing-resistente Multi-Faktor-Authentifizierung und passt perfekt zu diesem Modell.
• Besseres Nutzererlebnis: Ein nahtloser Ablauf, da Sie sich keine Passwörter für verschiedene Konten merken müssen. Der FIDO2-Sicherheitsschlüssel funktioniert auf allen unterstützten Plattformen und bietet maximale Sicherheit und Benutzerfreundlichkeit.

Nachteile von FIDO2

Wie jede Sicherheitsmethode hat auch FIDO2 einige Nachteile. Diese stellen jedoch keine grundlegenden Probleme dar, sondern sollten bedacht werden, wenn Sie FIDO2 implementieren möchten:

• Begrenzte Verbraucherakzeptanz: Obwohl die Akzeptanz von FIDO2 wächst, ist sie noch nicht universell. Viele Websites unterstützen FIDO2 noch nicht, während Unternehmen zunehmend SSO-Lösungen ohne Passwort einführen.
• Herausforderungen für Unternehmen: Synchronisierte Passkeys sind für Organisationen mit hohen Sicherheitsanforderungen möglicherweise ungeeignet. Gerätegebundene Passkeys auf physischen FIDO2-Sicherheitsschlüsseln bieten maximale Sicherheit.

Wie aktiviert man FIDO2-Authentifizierung?

Die FIDO2-Authentifizierung ermöglicht Benutzern, sich sicher ohne Passwörter anzumelden, indem sie auf Public-Private-Key-Paare und starke, phishing-resistente Methoden setzt. Hier ist eine Schritt-für-Schritt-Anleitung zur Aktivierung der FIDO2-Authentifizierung für den persönlichen und geschäftlichen Gebrauch:

Für den persönlichen Gebrauch

Um passwortlose Anmeldungen als Einzelbenutzer einzurichten, folgen Sie diesen Schritten:

1. Überprüfen Sie die Kompatibilität

• Stellen Sie sicher, dass die von Ihnen genutzten Webdienste FIDO2- oder Passkey-basierte Logins unterstützen.
• Beliebte Plattformen wie Google, Microsoft und Apple bieten mittlerweile Passkey-Unterstützung für sichere Logins.

2. Greifen Sie auf die Sicherheitseinstellungen zu

• Rufen Sie die Seite „Sicherheit“ oder „Kontoeinstellungen“ Ihres Kontos auf.
• Suchen Sie nach einer Option wie „Sicherheitsschlüssel“, „Passkey“ oder „Passwortlose Anmeldung“ (die Terminologie variiert je nach Dienst).

3. Registrieren Sie Ihren FIDO2-Authenticator

• Folgen Sie den Anweisungen, um Ihr biometrisches Gerät oder einen physischen Sicherheitsschlüssel zu registrieren.
• Während der Einrichtung erstellt der Dienst ein einzigartiges Public-Private-Key-Paar für Ihr Konto.

4. Genießen Sie nahtlose Logins! Bei zukünftigen Logins nutzen Sie Ihre gewählte FIDO2-Methode anstelle eines Passworts.

Beispiel für das Einrichten von Passkeys in Google Workspace

Für den geschäftlichen Gebrauch

Die Implementierung der FIDO2-Authentifizierung in einer Organisation erfordert eine strategische Planung. So können Sie beginnen:

1. Bewerten Sie den Sicherheitsbedarf

• Definieren Sie Benutzergruppen basierend auf ihren Zugriffsebenen. Beispielsweise können allgemeine Benutzer synchronisierte Passkeys auf persönlichen oder geschäftlichen Geräten verwenden, während privilegierte Benutzer (z. B. Manager oder Führungskräfte) physische Sicherheitsschlüssel für erhöhte Sicherheit benötigen.
• Bewerten Sie die Compliance-Anforderungen und Bedrohungsmodelle Ihrer Organisation, um die geeignete Kombination von FIDO2-Lösungen auszuwählen. In den USA betonen Vorschriften wie HIPAA, PCI DSS und FFIEC starke Authentifizierungsmechanismen, insbesondere in den Bereichen Gesundheitswesen, Finanzen und Regierung. In Europa gibt es ähnliche Regelungen wie die DORA und die NIS2-Richtlinie, um kritische Infrastrukturen vor Cyberbedrohungen zu schützen.

2. Wählen Sie Ihren Lösungsanbieter

• Wählen Sie einen Anbieter, der gut mit Ihren IAM-Systemen (z. B. Microsoft Active Directory, Okta, Ping Identity usw.) integriert ist.
• Suchen Sie nach einem Anbieter, der eine Vielzahl von FIDO2-kompatiblen Methoden unterstützt, einschließlich Biometrie, mobiler Authentifizierung und FIDO2-Schlüsseln. Stellen Sie sicher, dass die Lösung leicht skalierbar ist, wenn Ihr Unternehmen wächst.
• Bewerten Sie die Integrationsmöglichkeiten mit bestehenden Systemen, wie z. B. Legacy-Anwendungen, Workstation-Logins und Remote Desktop Protocol (RDP)-Umgebungen. Erweiterte Funktionen wie adaptive Authentifizierung, Echtzeit-Bedrohungsüberwachung und anpassbare Richtlinien für verschiedene Benutzergruppen können die Sicherheit und Benutzerfreundlichkeit weiter verbessern.

3. Starten Sie ein Pilotprojekt

Arbeiten Sie mit Ihrem Anbieter für passwortlose Authentifizierung zusammen, um ein Pilotprojekt zur Implementierung passwortloser Authentifizierung in ausgewählten Unternehmensanwendungen zu starten. Beginnen Sie mit einer kleinen Gruppe von Benutzern, um die Benutzerfreundlichkeit, die Kompatibilität mit Arbeitsabläufen und die allgemeine Zufriedenheit der Mitarbeiter zu bewerten. Nutzen Sie diese Phase, um Feedback zu sammeln und potenzielle Herausforderungen zu identifizieren, bevor Sie die Lösung unternehmensweit einführen.

Gehen Sie mit Hideez passwortlos

Wenn Sie nicht sicher sind, wo Sie anfangen sollen, ist Hideez hier, um Ihren Weg zur passwortlosen Authentifizierung zu vereinfachen. Mit unserem Basic Identity-Cloud-Portal können Sie kostenloses passwortloses Single Sign-On (SSO) für bis zu 50 Benutzer aktivieren. Diese Lösung ermöglicht es Mitarbeitern, sich bei Webdiensten mit Passkeys anzumelden, die über ihre persönlichen Geräte synchronisiert werden und die eingebauten biometrischen Funktionen nutzen, um nahtlose und sichere Authentifizierung zu gewährleisten. Es ist eine einfache und kostengünstige Möglichkeit, die Vorteile des passwortlosen Arbeitens zu testen, ohne sich auf komplexe Integrationen festzulegen.

Für Organisationen mit anspruchsvolleren Anforderungen bietet Hideez die Enterprise Identity-Lösung an, die für komplexe IT-Umgebungen und einzigartige Authentifizierungsszenarien ausgelegt ist. Unsere Lösungen unterstützen eine breite Palette von FIDO2-kompatiblen Methoden, einschließlich Hardware-Sicherheitsschlüsseln, Biometrie und mobilen Authentifikatoren, und bieten Flexibilität und Anpassungsfähigkeit für unterschiedliche Anwendungsfälle. Ob es um die Sicherung von Logins für Legacy-Systeme, Workstations oder RDP-Umgebungen geht – Hideez bietet umfassende Optionen, die auf Ihre Anforderungen zugeschnitten sind. Mit einer 30-tägigen kostenlosen Testversion können Sie entdecken, wie passwortlose Authentifizierung die Sicherheit verbessert, Benutzerfrustration reduziert und passwortbezogene Risiken eliminiert.

Bereit, die Zukunft der Authentifizierung zu erleben? Buchen Sie noch heute eine Demo und sehen Sie, wie Hideez Ihre Sicherheitsstrategie transformieren kann!

FAQ

1. Was ist FIDO U2F und wie funktioniert es?

FIDO U2F (Universal 2nd Factor) ist ein Sicherheitsstandard, der entwickelt wurde, um die Online-Authentifizierung durch das Hinzufügen eines starken zweiten Faktors zu traditionellen passwortbasierten Logins zu verbessern. Es verwendet einen Hardware-Sicherheitsschlüssel, wie ein USB- oder NFC-Gerät, das für jeden Dienst einen einzigartigen kryptografischen Schlüssel generiert. Benutzer authentifizieren sich, indem sie ihren Schlüssel antippen oder in ihr Gerät einstecken, und erhalten so phishing-resistente Zwei-Faktor-Authentifizierung (2FA). U2F ersetzt keine Passwörter, sondern ergänzt sie, um Logins sicherer zu machen.

2. FIDO2 vs. U2F – Was ist der Unterschied?

Der wichtigste Unterschied zwischen FIDO2 und FIDO U2F liegt im Anwendungsbereich. FIDO2 wurde entwickelt, um passwortlose Authentifizierung zu ermöglichen und die Notwendigkeit von Passwörtern vollständig zu eliminieren. Im Gegensatz dazu wurde FIDO U2F speziell als zweiter Faktor entwickelt, um passwortbasierte Logins zu stärken und als FIDO 2FA zu fungieren.

Mit der Einführung von FIDO2 wurde U2F in den FIDO2-Rahmen als CTAP1 (Client to Authenticator Protocol 1) integriert. Dadurch können bestehende U2F-Geräte weiterhin als zweiter Faktor in FIDO2-fähigen Systemen verwendet werden, was Abwärtskompatibilität bietet. Websites, die FIDO2 unterstützen, ermöglichen in der Regel passwortlose Logins, aber einige nutzen U2F weiterhin für erweiterte 2FA-Szenarien.

Darüber hinaus hat FIDO2 CTAP2 und WebAuthn als Teil seines modernen Standards eingeführt. CTAP2 ermöglicht fortschrittliche FIDO2-Authentifizierungsfunktionen, einschließlich passwortloser Logins. Geräte mit CTAP2-Unterstützung gelten als FIDO2-Authentifikatoren und bieten bei gleichzeitiger Unterstützung von CTAP1 Abwärtskompatibilität zu U2F.

3. FIDO2 vs. WebAuthn

FIDO2 und WebAuthn sind eng miteinander verbunden, erfüllen jedoch unterschiedliche Zwecke. FIDO2 ist der umfassendere Standard, der sowohl WebAuthn (entwickelt vom W3C) als auch CTAP2 (entwickelt von der FIDO-Allianz) umfasst. WebAuthn ist die webbasierte API, die es Browsern und Servern ermöglicht, mit FIDO2-Authentifikatoren zu kommunizieren, um passwortlose Logins zu ermöglichen. Es ist im Wesentlichen das Protokoll, das FIDO2 für die Online-Authentifizierung über Websites und Anwendungen nutzbar macht. Während WebAuthn die Kommunikation abwickelt, definiert CTAP2, wie Authentifikatoren mit Client-Geräten interagieren.

4. FIDO2 vs. FIDO

FIDO (Fast Identity Online) ist der übergreifende Rahmen und die Allianz, die alle Standards umfasst, einschließlich FIDO U2F, FIDO2 und der Protokolle innerhalb dieser Standards. FIDO2 ist eine Weiterentwicklung des ursprünglichen FIDO-Frameworks, das seine Funktionen erweitert hat, um passwortlose Logins über WebAuthn und CTAP2 zu ermöglichen. Im Gegensatz dazu konzentrierte sich FIDO U2F im ursprünglichen Rahmen ausschließlich darauf, eine sichere Zwei-Faktor-Authentifizierung zu bieten.

5. Welche Websites sind FIDO2-kompatibel?

Eine wachsende Anzahl von Websites und Diensten ist FIDO2-kompatibel, darunter große Technologieplattformen wie Google, Microsoft, Apple und Dropbox. Diese Dienste ermöglichen es Benutzern, FIDO2-kompatible Authentifikatoren wie Hardware-Schlüssel oder biometrische Geräte zu registrieren, um ihre Konten zu sichern. Viele Organisationen integrieren FIDO2 auch intern, um passwortlose Logins für Mitarbeiter zu ermöglichen. Um zu prüfen, ob eine bestimmte Website FIDO2 unterstützt, suchen Sie in den Sicherheitseinstellungen nach Optionen wie „Passwortloses Login“, „FIDO-Schlüssel“ oder „Passkeys“.