FIDO2: Killing Password Softly

Inhaltsübersicht:

Authentifikation

Da der FIDO2-Key auf vielen verschiedenen Geräten platziert werden kann, hat er unterschiedliche Namen: Mit Authentifikator, Token oder Sicherheitsschlüssel ist immer das Gerät bzw. die Instanz gemeint, mit dem man sich persönlich gegenüber den Diensten authentifiziert.

Die Authentifikation erfolgt entweder über ein extern angeschlossenes Gerät oder den Zugriff auf den Krypto-Chip der verwendeten Hardware (Secure Element). Grundsätzlich bestehen die folgenden zwei Möglichkeiten der Authentifikation:

  • Authentifikation per Token: Ein externes Gerät wird an Computer, Smartphone oder Tablet angeschlossen. Die Datenübertragung erfolgt via USB-, NFC- oder Bluetooth-Verbindung.
  • Plattform-Authentifikation: Alle kommerziellen Anbieter haben den FIDO2-Standard inzwischen in ihre Systeme integriert. Die Authentifikation wird über das Secure Element oder eine Host Card Emulation vorgenommen.

fido2 02 FIDO2 Authentication: WebAuthn + CTAP Flow

Im Zuge der Registrierung bei einem (teilnehmenden) Web-Dienst wird auf dem verwendeten Authentifikator ein neues Schlüsselpaar erzeugt – bestehend aus einem privaten (Private Key) und einem öffentlichen FIDO2-Schlüssel (Public Key).

Der private Schlüssel wird auf dem Gerät gespeichert und ist nur dem Client bekannt. Der Public Key wird in der Schlüsseldatenbank des Web-Dienstes abgelegt.

Alle folgenden Anmeldungen können nur noch mittels des privaten Schlüssels erfolgen und müssen nutzerseitig immer aktiv entsperrt werden. Hierbei gibt es verschiedene Optionen wie z.B.

  • die Eingabe einer PIN,
  • das Drücken eines Buttons,
  • die Eingabe per Sprachbefehl,
  • das Einstecken einer separaten Hardware (FIDO2-Key).

Die aktuellen OS-Versionen von Microsoft, Apple und Google bieten die Funktion des Sicherheits-Tokens ebenfalls an. Der Vorteil ist klar: Selbst wenn die Log-in-Daten kompromittiert wurden, ist die FIDO2-Anmeldung nur mit dem jeweiligen Hardware-Token oder dem biometrischen Merkmal möglich, welches für die jeweilige Anmeldung hinterlegt wurde.

Fazit

Schon die Einführung der PSD2-Richtlinie fordert vom Nutzer eine Zwei-Faktor-Authentifizierung bei der Anmeldung an einer Banking-App. Mit der Implementierung von FIDO2 weitet sich dieser zweite Authentifikationsschritt auf Betriebssysteme und Browser-Anwendungen aus.