Was ist FIDO-Authentifizierung (Fast Identity Online)?

Passkeys werden auf dem Gerät des Benutzers gespeichert, z. B. auf einem Smartphone. Sie ermöglichen es dem Benutzer, sich auf einer Website oder in einer Anwendung mit denselben Methoden anzumelden, die er zum Freischalten seines Geräts verwendet, z. B. durch Gesichtserkennung, Fingerabdruckscanning oder Eingabe einer PIN.

Der IBM X-Force Threat Intelligence Index berichtet, dass der Diebstahl von Anmeldedaten die häufigste Auswirkung ist, mit der Opfer von Sicherheitsverletzungen konfrontiert sind. Bedrohungsakteure nutzen Phishing-Angriffe und Infostealing-Malware, um diese Zugangsdaten zu erbeuten, die sie im Dark Web verkaufen oder zur Vergrößerung ihrer Reichweite in einem Netzwerk nutzen können. Fast ein Drittel der Cyberangriffe beinhaltet die Entführung gültiger Benutzerkonten.

Die FIDO-Authentifizierung trägt dazu bei, die Bedrohungen der Cybersicherheit zu minimieren, die durch den Diebstahl von Anmeldeinformationen und die Entführung von Konten entstehen. Passkeys können nicht so einfach gestohlen werden wie Passwörter. Um in ein durch einen Passkey gesichertes Konto einzudringen, muss sich ein Angreifer Zugang zum Gerät des Benutzers verschaffen und erfolgreich seine PIN eingeben oder die biometrische Sicherheit umgehen.

Die FIDO Alliance ist ein Konsortium von Regierungen, Unternehmen und Technologieunternehmen, darunter IBM, Apple, Amazon, Microsoft, PayPal und viele andere. Die Gruppe entwickelt und pflegt FIDO-Authentifizierungsstandards mit dem Ziel, die Abhängigkeit von Passwörtern zu reduzieren.

Die FIDO Alliance veröffentlichte 2014 das erste FIDO-Protokoll, FIDO 1.0. Das neueste Protokoll, FIDO2, wurde in Zusammenarbeit mit dem World Wide Web Consortium entwickelt und 2018 veröffentlicht.

Heute nutzen Millionen von Menschen die FIDO-Authentifizierung, um sich bei Websites und Anwendungen anzumelden. Das FIDO2-Protokoll wird von führenden Webbrowsern, Single Sign-On (SSO) Systemen, Identity und Access Management (IAM) -Lösungen, Webservern und Betriebssystemen wie iOS, MacOS, Android und Windows unterstützt.

Die FIDO-Authentifizierung verwendet Public-Key-Kryptografie (PKC), um ein eindeutiges kryptografisches Schlüsselpaar zu generieren, das dem Konto eines Benutzers zugeordnet ist. Dieses Schlüsselpaar, ein sogenannter „Passkey“, besteht aus einem öffentlichen Schlüssel, der beim Service-Anbieter verbleibt, und einem privaten Schlüssel, der sich auf dem Gerät des Benutzers befindet.

Wenn sich der Benutzer bei seinem Konto anmeldet, sendet der Service-Anbieter eine Herausforderung, in der Regel eine zufällige Zeichenkette, an das Gerät des Benutzers. Das Gerät fordert den Benutzer auf, sich durch eine PIN oder eine biometrische Authentifizierung zu authentifizieren.

Wenn sich der Benutzer erfolgreich authentifiziert, verwendet das Gerät den privaten Schlüssel, um die Herausforderung zu signieren und an den Service-Anbieter zurückzusenden. Der Dienstanbieter verwendet den öffentlichen Schlüssel, um zu überprüfen, ob der richtige private Schlüssel verwendet wurde, und gewährt dem Nutzer gegebenenfalls Zugang zu seinem Konto.

Ein auf einem Gerät gespeicherte Passkey kann verwendet werden, um sich bei einem Dienst auf einem anderen Gerät anzumelden. Wenn ein Benutzer beispielsweise auf seinem Mobilgerät einen Passkey für sein E-Mail-Konto einrichtet, kann er sich auf einem Laptop trotzdem bei diesem Konto anmelden. Der Benutzer muss die Authentifizierungsaufforderung auf dem registrierten Mobilgerät abschließen.

FIDO unterstützt auch die Verwendung von Sicherheitsschlüsseln, auch „Hardware-Token“ genannt, als Authentifizierungsmethode. FIDO-Sicherheitsschlüssel sind kleine, dedizierte physische Geräte, die Schlüsselpaare erstellen und Herausforderungen validieren können. Sie verbinden sich mit anderen Geräten über Bluetooth, NFC-Protokolle (Near Field Communication) oder einen USB-Anschluss. Ein FIDO-Sicherheitsschlüssel kann im Authentifizierungsprozess an die Stelle biometrischer Daten oder einer PIN treten: Der Besitz des Schlüssels authentifiziert den Benutzer.

Da der private Schlüssel auf dem Gerät des Benutzers gespeichert wird und es niemals verlässt, wird die Möglichkeit einer Sicherheitsverletzung minimiert. Hacker können es nicht stehlen, indem sie in eine Datenbank einbrechen oder die Kommunikation abfangen. Der öffentliche Schlüssel, der sich beim Dienstanbieter befindet, enthält keine vertraulichen Informationen und ist für Hacker von geringem Nutzen.

Um die FIDO-Authentifizierung für ein E-Mail-Konto einzurichten, kann ein Benutzer die folgenden Schritte ausführen:

1. In den Kontoeinstellungen wählt der Benutzer „Passkey“ als Authentifizierungsmethode aus.
   
   
2. Der Benutzer wählt das Gerät aus, auf dem er den Passkey erstellen möchte. Die meisten Systeme erstellen standardmäßig einen Passkey auf dem gerade verwendeten Gerät, aber Benutzer haben oft die Möglichkeit, ein anderes Gerät auszuwählen, das sie besitzen.
     
3. Das ausgewählte Gerät fordert den Benutzer auf, sich mittels biometrischer Daten oder einer PIN zu authentifizieren.
   
   
4. Das Gerät des Benutzers erstellt ein kryptografisches Schlüsselpaar. Der öffentliche Schlüssel wird an den E-Mail-Anbieter gesendet und der private Schlüssel wird auf dem Gerät gespeichert.
   
   
5. Wenn sich der Benutzer das nächste Mal anmeldet, sendet der E-Mail-Anbieter eine Challange an das Gerät des Benutzers.
   
   
6. Der Benutzer authentifiziert sich daraufhin mit biometrischen Daten oder einer PIN.
   
   
7. Das Gerät sendet die signierte Abfrage an den E-Mail-Anbieter zurück, der sie mit dem öffentlichen Schlüssel zur Verfizierung.
   
   
8. Dem Benutzer wird Zugriff auf das E-Mail-Konto gewährt.

FIDO unterstützt zwei Arten von Passkeys: synchronisierte Passkeys und gerätegebundene Passkeys.

Synchronisierte Passkeys können auf mehreren Geräten verwendet werden, was die Benutzerfreundlichkeit erhöht. Zugangsdatenmanager wie Apple Passwords, Windows Hello und Google Password Manager können synchronisierte Passkeys speichern und sie Benutzern auf jedem Gerät zur Verfügung stellen.

Zum Beispiel kann sich ein Benutzer für einen Hauptschlüssel auf einem Smartphone registrieren, um auf eine Bankanwendung zuzugreifen. Derselbe Hauptschlüssel ist über den Credential Manager verfügbar, wenn sich der Benutzer mit seinem Laptop oder Tablet bei der Anwendung anmeldet.

Diese Art von Passkey ist an ein einzelnes Gerät gebunden und bietet die höchste Sicherheit.

Der Zugriff auf gerätegebundene Passkeys erfolgt in der Regel über einen physischen Sicherheitsschlüssel, der mit einem bestimmten Gerät verbunden ist. Der Hauptschlüssel kann das Gerät nicht verlassen, sodass er weniger anfällig für unbefugten Zugriff ist.

Gerätegebundene Passkeys werden häufig verwendet, um auf hochsensible Informationen wie Finanzdaten, geistiges Eigentum von Unternehmen oder vertrauliche Regierungsmaterialien zuzugreifen.

Die FIDO-Protokolle haben sich seit der Einführung von FIDO 1.0 im Jahr 2014 weiterentwickelt und verbessert. Die Funktionalität der in FIDO 1.0 eingeführten Protokolle ist in die neueren Protokolle der FIDO2-Authentifizierung integriert.

FIDO UAF gehörte zu den ersten Protokollen, die von der FIDO Alliance entwickelt wurden. Es bietet die Funktion, sich bei einem Dienst anzumelden, ohne ein Passwort zu verwenden. Mit UAF kann sich ein Benutzer direkt von einem Gerät aus authentifizieren, indem er biometrische Daten wie Gesichtserkennung oder eine PIN verwendet.

U2F wurde entwickelt, um eine Zwei-Faktor-Authentifizierung (2FA) für Systeme bereitzustellen, die auf Benutzernamen und Passwörtern basieren. 2FA-Methoden erfordern einen zweiten Faktor, mit dem der Benutzer seine Identität bestätigen kann. U2F verwendet einen physischen Sicherheit als zweiten Faktor.

Nach der Veröffentlichung von FIDO2 wurde U2F in „CTAP1“ umbenannt.

FIDO2 führte zwei neue Protokolle ein, die Reichweite und Funktionen der früheren Protokolle erweitern.

WebAuthn verbessert die Funktionen von UAF, indem es eine Web-Anwendungsprogrammierschnittstelle (Web-API) bereitstellt, die vertrauenden Parteien die passwortlose Authentifizierung zur Verfügung stellt. „Relying Partys“ ist der Begriff für Websites und Web-Apps, die FIDO-Authentifizierung verwenden.

Zusätzlich zur API bietet WebAuthn auch FIDO-Standards, die definieren, wie Interaktionen zwischen der Anwendung, dem Webbrowser und einem Authentifikator wie einem Sicherheitsschlüssel ablaufen sollen.

CTAP2 definiert, wie ein FIDO-Client wie ein Webbrowser oder ein Betriebssystem mit einem Authenticator kommuniziert. Ein Authenticator ist die Komponente, die die Identität eines Benutzers überprüft.

In U2F (oder CTAP1) war der Authentifikator immer ein Sicherheitsschlüssel. CTAP2 bietet Unterstützung für zusätzliche Authentifikatoren, die sich auf dem Gerät des Benutzers befinden, wie z. B. Sprach- und Gesichtserkennung, Fingerabdrücke oder eine PIN.

FIDO-Passkeys bieten eine schnellere, einfachere und sicherere Methode zur Benutzeranmeldung. Für E-Commerce-Websites und große globale Dienstleister kann FIDO die Customer Experience verbessern und die Notwendigkeit einer Kontowiederherstellung aufgrund verlorener oder vergessener Zugangsdaten reduzieren.

Unternehmen verwenden die FIDO-Authentifizierung, um Mitarbeitern, Lieferanten, Auftragnehmern und anderen Stakeholdern schnellen Zugriff auf Ressourcen zu gewähren. Im Vergleich zur Passwortauthentifizierung können FIDO-Passschlüssel überragende Sicherheit und Benutzerfreundlichkeit bieten.

FIDO wird häufig zur Authentifizierung von Kunden in E-Commerce-Umgebungen verwendet, beispielsweise zur Bestätigung von Zahlungen über mobile Apps. Sie kann auch verwendet werden, um die Identität eines Karteninhabers zu verifizieren, bevor eine Transaktion zugelassen wird.

FIDO verarbeitet keine Zahlungen, stellt aber sicher, dass Personen berechtigt sind, Transaktionen durchzuführen, wodurch Betrug verringert werden kann.

Einige Regierungsbehörden nutzen die FIDO-Authentifizierung mittlerweile für Aktivitäten wie die Bearbeitung von Steuererklärungen und die Verifizierung von Anwendungen für öffentliche Vorteile. Der login.gov-Dienst, der Bürgern einen zentralen Zugangspunkt für eine Vielzahl von US-Bundesbehörden bietet, verwendet beispielsweise die FIDO2-Authentifizierung.