Developer BlogIT Security
61

FIDO2 – Ist die passwortlose Zukunft schon da?

Oliver Kullik Oliver Kullik
2 MIN LESEDAUER
0 KOMMENTARE
IN POCKET SPEICHERN
07.01.2024

Vor etwas mehr als einem Jahr haben Google, Apple & Co. dem traditionellen Passwort mittels FIDO2 den Kampf angesagt. Doch was hat sich seitdem getan und wie entwickelt sich die Passwortablösung weiter?

 

 

 

FIDO2 ist ein Authentifizierungsstandard und wird von der FIDO Alliance entwickelt. Dieser soll eine sichere und nutzerfreundliche Alternative zu traditionellen Passwörtern bieten. FIDO2 basiert auf öffentlicher Schlüsselkryptografie und ermöglicht es Benutzern, sich ohne Passwort bei Online-Diensten anzumelden. Dies geschieht mithilfe von Smartphones, Sicherheitstoken oder biometrischen Daten.

Die FIDO2-Spezifikationen bestehen aus zwei Hauptkomponenten: dem Web Authentication (WebAuthn)-Standard des World Wide Web Consortium (W3C) und dem Client-to-Authenticator Protocol (CTAP) der FIDO Alliance. WebAuthn ermöglicht es Webanwendungen, FIDO-basierte Authentifizierung zu ihren Plattformen hinzuzufügen. CTAP hingegen regelt die Kommunikation zwischen Geräten (wie Smartphones oder Sicherheitstoken) und dem Authentifizierungsserver.

 

Welche Vorteile bietet FIDO2?

Die FIDO2-Authentifizierung bietet die folgenden Vorteile gegenüber einer Passwort-Authentifizierung:

  • Sicherheit: FIDO2-Login-Daten sind für jede Website einzigartig. Sie verlassen nie das Gerät des Benutzers und werden nicht auf einem Server gespeichert. Dadurch werden Risiken wie Phishing, Passwortdiebstahl und Replay-Angriffe eliminiert.
  • Bequemlichkeit: Benutzer verwenden einfache, integrierte Methoden wie Fingerabdruckleser oder Kameras auf ihren Geräten, um sich an einem Dienst anzumelden.
  • Datenschutz: Da FIDO-Kryptoschlüssel für jede Internetseite einzigartig sind, können sie nicht verwendet werden, um Benutzer über verschiedene Seiten hinweg zu verfolgen. Biometrische Daten verlassen nie das Gerät des Benutzers.
  • Skalierbarkeit: Websites können FIDO2 durch einen einfachen JavaScript-API-Aufruf aktivieren. Aktuell unterstützen alle gängigen Browser wie Chrome, Firefox oder Edge den Standard.

 

Wie integriere ich FIDO2 in meine Anwendungen?

Entwickler, die eine FIDO2-Authentifizierung in ihre Anwendungen integrieren möchten, finden Ressourcen und Anleitungen zur Implementierung auf der Website der FIDO Alliance und können zertifizierte Lösungen und Bibliotheken nutzen. Konkrete Implementierungsbeispiele und Open-Source-Projekte findet man in GitHub-Repositories, wie beispielsweise das LINE FIDO2 Server-Projekt, das eine offiziell von der FIDO Alliance zertifizierte WebAuthn-Serverimplementierung und beispielhafte Relying-Party-Anwendungen enthält.

 

Der aktuelle Stand

Google bietet mittlerweile für alle seine Konten eine passwortlose Authentifizierung mittels Passkeys an. Bei einer Anmeldung mit dem Passwort und der 2Faktor-Authentifizierung wird dem Benutzer seit Mai 2023 die Umstellung auf Passkeys empfohlen. Zum einen um die Anmeldung zu vereinfachen, zum anderen um die Nutzung der Passkeys zu forcieren und diese bekannter zu machen:

 

 

Alternativ können Benutzer die Umstellung jederzeit auch selbst vornehmen. Dazu sind die folgenden vier Schritte notwendig:

Darüber hinaus hat Google im August 2023 eine sicherheitstechnisch verbesserte FIDO2-Implementierung vorgestellt, die mehr Sicherheit bei Angriffen von Quantencomputern bieten soll und sich damit gut für die Zukunft gerüstet zeigt.

Auch bei WhatsApp kann die Anmeldung seit Ende 2023 auf den passwortlosen Standard umgestellt werden. Bei Apple wird der Standard seit iOS Version 16 unterstützt und auch Microsoft setzt zunehmend auf die neue passwortlose Anmeldung an Windows 10- und 11-Betriebssystemen.

Alle Voraussetzungen sind erfüllt und die passwortlose Zukunft steht in den Startlöchern. Aktuell fehlt es nur noch an der bereiten Masse, die diesen neuen Standard auch einsetzt.

 

https://fidoalliance.org/

https://github.com/line/line-fido2-server

https://www.golem.de/news/google-macht-s-gut-und-danke-fuer-den-phish-2305-173919.html

https://www.heise.de/hintergrund/Bestandsaufnahme-Passwort-Nachfolger-Passkeys-9048722.html 

https://blog.google/intl/de-de/unternehmen/technologie/passkeys-101/

https://security.googleblog.com/2023/08/toward-quantum-resilient-security-keys.html

https://www.golem.de/news/kryptografie-google-schuetzt-passwortlose-logins-vor-quantencomputern-2308-176932.html

https://www.golem.de/news/meta-whatsapp-fuehrt-passkey-login-ein-2310-178548.html

Zurück zur Übersicht

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

*Pflichtfelder

*