Was ist FIDO2?

FIDO2 besteht aus zwei Protokollen: Web Authentication (WebAuthn) und Client to Authenticator Protocol 2 (CTAP2). Im Zusammenspiel ermöglichen diese Protokolle Benutzern, sich bei einer Website oder Anwendung anzumelden, ohne herkömmliche Passwörter verwenden zu müssen.

Anstelle von Passwörtern verwendet die FIDO2-Authentifizierung dieselben Methoden, mit denen Menschen ein Gerät wie ein Smartphone oder einen Laptop entsperren. FIDO2-Benutzer können sich mit Gesichtserkennung, einem Fingerabdruckleser oder durch Eingabe einer PIN authentifizieren. Sie können auch einen physischen Hardware-Token verwenden, der als FIDO2-Sicherheitsschlüssel bezeichnet wird.

Weil FIDO2 auf Kryptografie mit öffentlichen Schlüsseln basiert, bietet es eine sicherere Authentifizierungsmethode als Passwörter, auf die Angreifer häufig abzielen. Der IBM® X-Force Threat Intelligence Index berichtet, dass fast ein Drittel aller Cyberangriffe mit der Übernahme gültiger Benutzerkonten verbunden sind.

Durch den Verzicht auf Passwörter mindert FIDO2 viele Cybersicherheitsrisiken wie Phishing, Man-in-the-Middle-Angriffe und Kontoübernahmen. Außerdem bietet es eine komfortablere Benutzererfahrung, da Sie sich keine Passwörter merken, diese regelmäßig ändern oder sich mit Zurücksetzen und Wiederherstellungsprozessen befassen müssen.

Die FIDO2-Authentifizierung verwendet öffentliche Schlüsselkryptografie, um ein eindeutiges kryptografisches Schlüsselpaar zu generieren, das als „Passkey“ bezeichnet wird und mit dem Konto eines Benutzers verknüpft ist. Das Schlüsselpaar besteht aus einem öffentlichen Schlüssel, der beim Service-Anbieter verbleibt, und einem privaten Schlüssel, der sich auf dem Gerät des Benutzers befindet.

Wenn sich der Benutzer bei seinem Konto anmeldet, sendet der Service-Anbieter eine Herausforderung, in der Regel eine zufällige Zeichenkette, an das Gerät des Benutzers. Das Gerät fordert den Benutzer auf, sich durch Eingabe einer PIN oder durch Verwendung einer biometrischen Authentifizierung zu authentifizieren.

Wenn sich der Benutzer erfolgreich authentifiziert, verwendet das Gerät den privaten Schlüssel, um die Herausforderung zu signieren und an den Service-Anbieter zurückzusenden. Der Dienstanbieter verwendet den öffentlichen Schlüssel, um zu überprüfen, ob der richtige private Schlüssel verwendet wurde, und gewährt dem Nutzer gegebenenfalls Zugang zu seinem Konto.

Ein auf einem Gerät gespeicherte Passkey kann verwendet werden, um sich bei einem Dienst auf einem anderen Gerät anzumelden. Wenn ein Benutzer beispielsweise auf seinem Mobilgerät einen Passkey für sein E-Mail-Konto einrichtet, kann er sich auf einem Laptop trotzdem bei seinem E-Mail-Konto anmelden. Der Benutzer muss die Authentifizierungsaufforderung auf dem registrierten Mobilgerät abschließen.

FIDO2 unterstützt ebenfalls die Verwendung von Sicherheitsschlüsseln, wie zum Beispiel einer YubiKey oder Google Titan, als Authentifizierungsmethode.

Sicherheitsschlüssel, auch „Hardware-Token“ genannt, sind kleine physische Geräte, die Authentifizierungsinformationen direkt an einen Dienst übertragen. Sie können über Bluetooth, Nahfeldkommunikation (NFC) oder einen USB-Anschluss verbunden werden. Benutzer können anstelle von biometrischen Daten oder einer PIN einen FIDO2-Sicherheitsschlüssel verwenden, um sich zu authentifizieren und eine Abfrage zu signieren.

Da der private Schlüssel auf dem Gerät des Benutzers gespeichert wird und es niemals verlässt, wird die Möglichkeit einer Sicherheitsverletzung minimiert. Hacker können es nicht stehlen, indem sie in eine Datenbank einbrechen oder die Kommunikation abfangen. Der öffentliche Schlüssel, der sich beim Dienstanbieter befindet, enthält keine vertraulichen Informationen und ist für Hacker von geringem Nutzen.

Angenommen, ein Benutzer möchte sich mit der FIDO-Authentifizierung bei seinem E-Mail-Konto anmelden. Der Prozess zum Erstellen eines Passkeys und zur Authentifizierung damit würde wie folgt aussehen:

1. In den Kontoeinstellungen wählt der Benutzer „Passkey“ als Authentifizierungsmethode aus.
   
   
2. Der Benutzer wählt das Gerät aus, auf dem er den Passkey erstellen möchte. Dieses Gerät ist in der Regel das Gerät, das sie derzeit verwenden, es kann jedoch auch ein anderes Gerät sein, das sie besitzen.
   
   
3. Das ausgewählte Gerät fordert den Benutzer auf, sich mithilfe biometrischer Daten, einer PIN oder eines Sicherheitsschlüssels zu authentifizieren.
   
   
4. Das Gerät des Benutzers erstellt ein kryptografisches Schlüsselpaar. Der öffentliche Schlüssel wird an den E-Mail-Anbieter gesendet und der private Schlüssel wird auf dem Gerät gespeichert.
   
   
5. Wenn sich der Benutzer das nächste Mal anmeldet, sendet der E-Mail-Anbieter eine Challange an das Gerät des Benutzers.
   
   
6. Der Benutzer beantwortet die Abfrage durch Authentifizierung mittels biometrischer Daten, einer PIN oder eines Sicherheitsschlüssels.
   
   
7. Das Gerät sendet die authentifizierte Abfrage an den E-Mail-Anbieter zurück, der sie mithilfe des öffentlichen Schlüssels verifiziert.
   
   
8. Dem Benutzer wird Zugriff auf das E-Mail-Konto gewährt.

FIDO2 unterstützt zwei Arten von Passkeys: synchronisierte Passkeys und gerätegebundene Passkeys.

Synchronisierte Passkeys können auf mehreren Geräten verwendet werden, was die Benutzerfreundlichkeit erhöht. Zugangsdatenmanager wie Apple Passwords, Windows Hello und Google Password Manager können synchronisierte Passkeys speichern und sie Benutzern auf jedem Gerät zur Verfügung stellen.

Zum Beispiel kann sich ein Benutzer für einen Hauptschlüssel auf einem Smartphone registrieren, um auf eine Bankanwendung zuzugreifen. Derselbe Hauptschlüssel ist über den Credential Manager verfügbar, wenn sich der Benutzer mit seinem Laptop oder Tablet bei der Anwendung anmeldet.

Diese Art von Passkey ist an ein einzelnes Gerät gebunden und bietet die höchste Sicherheit.

Der Zugriff auf gerätegebundene Passkeys erfolgt in der Regel über einen physischen Sicherheitsschlüssel, der mit einem bestimmten Gerät verbunden ist. Der Hauptschlüssel kann das Gerät nicht verlassen, sodass er weniger anfällig für unbefugten Zugriff ist.

Gerätegebundene Passkeys werden häufig verwendet, um auf hochsensible Informationen wie Finanzdaten, geistiges Eigentum von Unternehmen oder vertrauliche Regierungsmaterialien zuzugreifen.

Im Jahr 2013 gründete eine Gruppe von Technologieunternehmen die FIDO Alliance. Das Ziel des Unternehmens war es, die weltweite Abhängigkeit von passwortbasierter Authentifizierung zu reduzieren.

Ein Jahr später führte die Allianz den FIDO 1.0-Standard ein, der aus zwei Protokollen bestand: Universal Authentication Framework (UAF) und Universal Second Factor (U2F). Der neue Standard legte den Grundstein für die passwortlose Authentifizierung, war jedoch in seinem Anwendungsbereich begrenzt.

Beispielsweise konzentrierte sich FIDO 1.0 in erster Linie darauf, einen zweiten Faktor für die passwortbasierte Authentifizierung bereitzustellen, anstatt Passwörter vollständig zu eliminieren. Außerdem fehlte es an einer Standardisierung, die eine einfache Übernahme in verschiedene Plattformen, Anwendungen und Webbrowser ermöglicht hätte.

Die FIDO Alliance hat diese Einschränkungen mit der Veröffentlichung der beiden neuen Protokolle von FIDO2 – Client to Authenticator Protocol 2 (CTAP2) und Web Authentication (WebAuthn) – im Jahr 2018 beheben können.

CTAP2 bietet eine Ein-Faktor-Authentifizierung ohne Passwort. WebAuthn vereinfacht die Einführung von FIDO durch eine standardisierte browserbasierte Anwendungsprogrammierschnittstelle (API). Diese erweiterte Funktionalität hat dazu beigetragen, dass FIDO2 zu einem weit verbreiteten Authentifizierungsstandard für Websites, Anwendungen und Online-Dienste wurde.

Heute nutzen Millionen von Menschen die FIDO2-Authentifizierung, um sich bei Websites und Apps anzumelden. Der FIDO2-Standard wird von den meisten Benutzergeräten, Webbrowsern, Single-Sign-On-Systemen (SSO),Identity und Access Management (IAM)-Lösungen, Webservern und Betriebssystemen unterstützt, darunter iOS, MacOS, Android und Windows.

2013: Die FIDO Alliance wurde mit dem Ziel gegründet, die Abhängigkeit von passwortbasierter Authentifizierung zu verringern.

2014:  FIDO 1.0 ist veröffentlicht.

2015: FIDO-Standards werden auf der ganzen Welt anerkannt. Die FIDO Alliance wächst auf mehr als 250 Mitglieder, darunter Unternehmen wie Microsoft, Google, PayPal und die Bank of America.

2016: Die FIDO Alliance beginnt mit der Arbeit an FIDO2. Die Gruppe arbeitet mit dem einflussreichen World Wide Web Consortium zusammen, um sicherzustellen, dass der neue Standard von verschiedenen Webbrowsern und Plattformen unterstützt wird.

2018: FIDO2 wird veröffentlicht und erweitert die Funktionen von FIDO 1.0.

2020: FIDO2 wird von allen wichtigen Webbrowsern und Betriebssystemen unterstützt und implementiert, darunter Firefox, Chrome, Edge, Safari, Android, iOS und Windows.

2024: Die FIDO Alliance gibt bekannt, dass mehr als 15 Milliarden Benutzerkonten weltweit die FIDO2-Authentifizierung nutzen können.

Während sowohl FIDO 1.0 als auch FIDO2 eine passwortlose Authentifizierung ermöglichen, erweitert FIDO2 den Anwendungsbereich und die Funktionen des FIDO-Standards erheblich durch eine vollständig passwortlose starke Authentifizierung über mobile Geräte, Desktops oder Sicherheitsschlüssel.

FIDO2 bietet eine benutzerfreundlichere Anmeldung, da bei der Multi-Faktor-Authentifizierung (MFA) keine Passwörter als erster Faktor eingegeben werden müssen. Es bietet außerdem eine standardisierte, webbasierte API für eine einfache Implementierung.

Um den Unterschied zwischen FIDO 1.0 und FIDO2 besser zu verstehen, ist es hilfreich, sich die spezifischen Protokolle anzusehen, die hinter jeder Iteration des Standards stehen. 

FIDO UAF gehörte zu den ersten Protokollen, die von der FIDO Alliance entwickelt wurden. Es bietet die Funktion, sich bei einem Dienst anzumelden, ohne ein Passwort zu verwenden. Anstelle eines Passworts kann sich ein Benutzer direkt von einem Gerät aus authentifizieren, indem er biometrische Daten wie Sprach- oder Gesichtserkennung oder eine PIN verwendet.

Die mangelnde Standardisierung von UAF erschwerte jedoch die Integration und Implementierung in verschiedenen Webbrowsern, Anwendungen und Servern. Diese eingeschränkte Interoperabilität war ein Hindernis für die breite Einführung.

FIDO U2F wurde entwickelt, um eine Zwei-Faktor-Authentifizierung (2FA) für Systeme bereitzustellen, die auf Benutzernamen und Passwörtern basieren. 2FA erfordert einen zweiten Faktor, mit dem der Benutzer seine Identität bestätigen kann. U2F verwendet einen physischen Sicherheit als zweiten Faktor für die Autorisierung. Nach der Veröffentlichung von FIDO2 wurde U2F in „CTAP1“ umbenannt.

Die Abhängigkeit von U2F von physischen Sicherheitsschlüsseln anstelle einer breiteren Palette von Geräten wie Smartphones und Laptops war ein einschränkender Faktor für die Einführung.

WebAuthn erweitert die Funktionen von UAF, indem es eine Web-API bereitstellt, die den vertrauenswürdigen Parteien eine einfache passwortlose Authentifizierung ermöglicht. „Relying parties“ ist der Begriff für Websites und Web-Apps, die FIDO-Authentifizierung verwenden.

WebAuthn bietet auch FIDO-Standards, die festlegen, wie Interaktionen zwischen der Webanwendung, dem Webbrowser und einem Authentifikator wie biometrischen Daten oder einem Sicherheitsschlüssel ablaufen sollen.

CTAP2 definiert, wie ein FIDO-Client wie ein Webbrowser oder ein Betriebssystem mit einem Authenticator kommuniziert. Ein Authenticator ist die Komponente, die die Identität eines Benutzers überprüft. In U2F (oder CTAP1) war der Authentifikator immer ein Sicherheitsschlüssel. CTAP2 fügt zusätzliche Authentifizierungsfaktoren hinzu, die sich auf dem Gerät des Benutzers befinden, wie biometrische Sprach- und Gesichtserkennung, Fingerabdrücke oder eine PIN.