Wenn es um die Online-Authentifizierung geht, werden nach wie vor Passwörter verwendet. Es gibt eine Vielzahl von Zwei-Faktor-Authentifizierungstechnologien (2FA), die versuchen, die Unsicherheit von Passwörtern auszugleichen. Dennoch ist 2FA noch nicht weit verbreitet. Darüber hinaus bleibt eine der verbreitetsten Passwort-Diebstahltechniken, das Phishing, von den meisten 2FA-Technologien immer noch ungelöst.
Die Fido Alliance hat sich zum Ziel gesetzt, das Passwortproblem ein für alle Mal zu lösen, indem sie die starke Online-Authentifizierung vereinfacht und standardisiert. Ihr neuester Standard, genannt FIDO2, hat die Unterstützung der meisten führenden Unternehmen der Tech-Industrie gewonnen und die Nachfrage nach der Integration der FIDO2-Authentifizierung in Online-Dienste steigt seitdem stetig an.
Wie funktioniert FIDO2?
Der FIDO2-Standard besteht aus der WebAuthn-Spezifikation des World Wide Web Consortiums (W3C) und dem Client to Authenticator Protocol (CTAP). Ersteres ist eine JavaScript-API, die zum Zeitpunkt der Erstellung dieses Beitrags von allen wichtigen und modernen Browsern unterstützt wird. Letzteres spezifiziert, wie ein Client (z. B. ein Browser) mit einem FIDO-Authentifikator über verschiedene Kanäle wie USB, NFC und Bluetooth kommunizieren kann.
Um die Online-Authentifizierung zu verstärken, basieren FIDO2-Credentials auf Public-Key-Kryptografie. Diese Berechtigungsnachweise werden entweder in externen Hardware-Tokens wie USB/NFC-Schlüsseln gespeichert, die als externe (oder Roaming-) Authentifikatoren bezeichnet werden, oder sie können intern im Gerät des Benutzers gespeichert werden, in so genannten Plattform-Authentifikatoren. Letztere haben den Vorteil, dass der Benutzer kein externes Gerät ständig mit sich führen muss. Der private Schlüssel, der für die Authentifizierung benötigt wird, ist sicher gespeichert, entweder auf dem Hardware-Token oder in einem sicheren Speicher auf dem Benutzergerät, wie z. B. einem TPM, das nur nach einer biometrischen Prüfung (z. B. einem Fingerabdruck-Scan) zugänglich ist.
Wie funktioniert der Anmeldeprozess mit FIDO2?
Nehmen wir einen Online-Dienst mit einem bestehenden Benutzername/Passwort-Anmeldemechanismus an. Der Betreiber des Online-Dienstes integriert die FIDO2-Authentifizierungsmethode als zweiten Faktor. Nach dem üblichen Login kann der Benutzer seine kryptografischen Anmeldedaten registrieren. Dies ist entweder durch Einstecken eines externen Hardware-Tokens oder durch Erstellen und Speichern der Credentials auf seinem Gerät möglich. Dieser Vorgang ist für den Benutzer weder kompliziert noch zeitaufwendig zu bewerkstelligen. Nach dieser ersten Registrierung und nach jedem erfolgreichen Anmeldeversuch mit Benutzername und Passwort wird der Benutzer aufgefordert, denselben Hardware-Token einzulegen (oder den privaten Schlüssel aus dem sicheren Speicher des Geräts zu lesen). Durch diesen Mechanismus wird sichergestellt, dass der sich anmeldende Benutzer auch im Besitz des richtigen privaten Schlüssels ist.
Noch besser ist, dass die FIDO2-Authentifizierung auch als Stand-Alone-Lösung verwendet werden kann, wodurch Passwörter gänzlich entfallen und die Authentifizierung passwortlos wird.
Was zeichnet FIDO2 aus?
FIDO2 ist ein offener Authentifizierungsstandard, der versucht, das Online-Authentifizierungserlebnis der Benutzer zu harmonisieren und zu vereinfachen, während gleichzeitig ein hohes Maß an Sicherheit gewährleistet wird. Dies wird durch die Verwendung von Credentials gewährleistet, die auf Public-Key-Kryptographie basieren. Da die FIDO-Credentials für jeden Online-Dienst einmalig erstellt werden und nur im Kontext dieses bestimmten Dienstes verwendet werden können, kann FIDO zudem Phishing-Angriffe verhindern.
Auch die Benutzerfreundlichkeit steht im Mittelpunkt von FIDO2. Für Entwickler und Betreiber von Online-Diensten kann die FIDO2-Authentifizierung über die WebAuthn-APIs in jede Webanwendung integriert werden. Die Benutzerfreundlichkeit kommt auch dem Endanwender zu Gute, denn die Registrierung von FIDO-Tokens bei Online-Diensten und deren Verwendung zur Authentifizierung erfolgt mit sehr einfachen und leicht nachvollziehbaren Schritten.
Ein Mehrwert für Ihr Unternehmen?
Da Airlock FIDO-Token als Teil seines IAM Angebots unterstützt, helfen wir Ihnen gerne dabei, den besten Weg zur Integration und Nutzung für Ihre spezifischen Anwendungsfälle zu finden. Wie wir oft sagen, liegt der Teufel im Detail: Aktivierung, Widerruf, Migration. Die Zusammenarbeit mit Airlock hilft Ihnen und Ihrem Team, diese Probleme zu lösen. Schreiben Sie uns eine Nachricht an info@airlock.com und erwähnen Sie ausdrücklich Ihr Interesse an der Nutzung der FIDO2-Technologie, und wir werden sicherstellen, dass wir Ihr Unternehmen bestmöglich unterstützen können.
Dies ist ein Gastbeitrag von Futurae.
Blognews direkt in Ihr Postfach
Der Airlock Newsletter informiert Sie laufend über neue Blogartikel.