FIDO2 hat zum Ziel, die Authentifizierung im Internet einfacher, sicherer und standardisierter zu machen. Aktuell sind die Anmeldemöglichkeiten mit FIDO2 noch relativ spärlich gesät.
Das Kürzel FIDO steht für «Fast IDentity Online» und wird von der FIDO-Allianz entwickelt. Zur Allianz gehören neben den Softwaregiganten wie Apple, Microsoft, Facebook, Amazon und Google, auch andere bekannte Firmen wie Visa, Master Card und Lenovo. FIDO2 setzt sich aus vier verschiedenen Spezifikationen zusammen: FIDO Universal Authentication Framework (FIDO UAF), FIDO Universal Second Factor (FIDO U2F), Client to Authenticator Protocols (CTAP) sowie dem vom w3c Konsortium entwickelten Web Authentication (WebAuthn).
Funktionsweise:
Herzstück von FIDO2 ist das Hardware Token. Solche Tokens können über USB, Bluetooth oder NFC kommunizieren. Solche Tokens sind bereits ab rund 20 Franken erhältlich. Günstiger geht es, wenn man im zum Beispiel im Besitz eines einigermassen aktuellen Windows 10 Computers oder eines Android oder iPhones ist. Diese Geräte haben oftmals ein Trusted Plattform Module mit an Bord, mit welchem ein virtuelles Token erzeugt werden kann. Für virtuelle wie auch Hardware Tokens gilt, dass diese nicht kopiert, respektive geklont werden können. Um bei einem Verlust oder Defekts des Tokens nicht vor einem virtuellen Scherbenhaufen zu stehen, sind dementsprechende vorbeugende Massnahmen, wie zum Beispiel eine zweite Authentifizierung über ein anders Token einzurichten. Die nicht Klonbarkeit hat dafür den Vorteil, dass ein Token nicht mittels Trojaner gestohlen werden kann. Um die Sicherheit bei einem physischen Diebstahl zu erhöhen können die Tokens zudem zusätzlich noch mit einem Pin oder wenn die nötigen technischen Voraussetzungen gegeben sind, mittels Fingerabdrucks oder Gesichtserkennung gesichert werden. Es ist ausserdem auch möglich die Tokens als zweiten Faktor einzurichten.
Neben dem Token ist auch der Einsatz eines WebAuthn fähigen Browsers sowie ein CTAP fähiges Betriebssystem Voraussetzung. Die meisten Browser und Betriebssysteme unterstützen das schon und die Restlichen werden sicher in naher Zukunft nachziehen müssen.
Hinterher hinken allerdings noch die Webseiten Betreiber. Hier wird es wohl noch einige Zeit dauern bis grossflächig mit FIDO2 authentifiziert werden kann.
Fazit:
FIDO2 kann vieles einhalten was es verspricht. Es ist einfach einzusetzen, sicher und funktioniert auf vielen unterschiedlichen Geräten. Einziger Makel ist der Defekt oder Verlusts des Tokens. Hier ist der Einsatz von Passwortmanagern definitiv weniger kompliziert, da ein Backup der Passwortdatenbank einfach erstellt (und auch gemacht werden sollte) und auf dem neuen Gerät die Datenbank wieder mit Masterpasswort wieder geöffnet werden kann. Allerdings sind Passwortmanager nicht gegen Trojaner gefeit.
Quellen:
https://www.heise.de/select/ct/2019/22/1571743995528045
https://www.heise.de/ct/artikel/Passwortloses-Anmelden-dank-FIDO2-4494951.html
https://fidoalliance.org/specifications/
https://fidoalliance.org/key-differentiators/
https://fidoalliance.org/members/