Was ist FIDO Authentifizierung?

Nick Smith | | 4 Minuten lesen
Authentifizierung e-ID FIDO

Beim Begriff FIDO, der für Fast IDentity Online steht, handelt es sich um eine Reihe von Authentifizierungsstandards, die darauf abzielen, den Benutzeranmeldeprozess für Online-Dienste zu stärken. Die Standards werden von der FIDO-Allianz entwickelt und fördern schnellere, sicherere Authentifizierungsprozesse mit dem übergeordneten Ziel, passwortbasierte Anmeldungen ganz zu eliminieren.

Was versteht man unter FIDO? Sichere Zwei-Faktor- und Multi-Faktor-Authentifizierung zum Schutz der Identität von Benutzern im Internet

Die ersten FIDO-Standards wurden im Jahr 2014 veröffentlicht. Zu den Mitgliedern der FIDO-Allianz gehörten damals Google, PayPal, NXP und Infineon. Im Laufe der Jahre kamen weitere Mitglieder dazu: Apple, Amazon, ARM, Intel, MasterCard, Microsoft, Samsung und Visa, um nur einige zu nennen.

In diesem Beitrag

Wie funktioniert die FIDO-Authentifizierung?

FIDO untermauert seine Sicherheit mithilfe des asymmetrischen Kryptosystems. Wenn sich ein Benutzer bei einem Online-Dienst wie einer Website oder einer Webanwendung registriert, generiert das FIDO-Gerät des Benutzers ein neues Schlüsselpaar. Der öffentliche Schlüssel wird mit dem Online-Dienst geteilt, während der private Schlüssel im Gerät sicher aufbewahrt und nie offengelegt wird. Bei nachfolgenden Logins stellt der Online-Dienst eine Challenge, die das FIDO-Gerät intern mit dem privaten Schlüssel signiert. Die Signatur wird dann an den Online-Dienst zurückgesendet, wo sie mit dem gespeicherten öffentlichen Schlüssel überprüft werden kann.

Entscheidend ist, dass das Gerät den Signiervorgang erst durchführt, nachdem der Benutzer seine Anwesenheit bestätigt hat. Dies ist auf vielerlei Art möglich, einschließlich des Drückens auf die Berührungsfläche auf dem Gerät oder des Scannens ihres Fingerabdrucks (im Falle eines biometrischen Schlüssels). Mit dieser Anforderung soll verhindert werden, dass Malware einen angeschlossenen FIDO-Schlüssel ohne Wissen des Benutzers verwendet. Indem der Benutzer aufgefordert wird, eine Aktion auszuführen, versichert er, dass er anwesend ist und die Authentifizierung fortsetzen möchte. Dies wird als „Erkennung der Benutzeranwesenheit“ bezeichnet.

FIDO 1.0 (U2F und UAF)

Die erste Generation an FIDO-Spezifikationen beschrieb zwei Protokolle: Universal 2nd Factor (U2F) und Universal Authentication Framework (UAF).

FIDO U2F

FIDO U2F beschreibt die "Zwei-Faktor-Erfahrung". Hier verfügt der Benutzer über ein separates, FIDO-konformes Gerät wie einen USB-Sicherheitsschlüssel, den er neben seinem Passwort zur Anmeldung verwenden muss. Diese ergänzende Methode der Authentifizierung mindert Phishing-Angriffe, indem sie den Benutzer dazu verpflichtet, zusätzlich zu dem, was er kennt, nämlich sein Passwort, etwas zu präsentieren, das er hat, nämlich den FIDO-Sicherheitsschlüssel. Dies nennt man eine Zwei-Faktor-Authentifizierung (2FA), die auf einem separaten dedizierten Hardware-Gerät basiert.

U2F definierte das Client-seitige Protokoll, das zur Kommunikation mit dem FIDO-Sicherheitsschlüssel namens „Client to Authenticator Protocol (CTAP)“ verwendet wird. Dieses Protokoll wurde für den Betrieb über USB, Nahfeldkommunikation (NFC) oder Bluetooth entwickelt.

FIDO UAF

FIDO UAF hingegen wurde entwickelt, um ein passwortloses Erlebnis zu bieten. Bei UAF registriert der Benutzer sein UAF-fähiges Gerät (z. B. sein Smartphone) bei einem Online-Dienst und wählt eine lokale Authentifizierungsmethode aus, die von diesem Gerät unterstützt wird, in erster Linie ein biometrisches Verfahren wie Fingerabdruck- oder Gesichtserkennung. Der Benutzer kann dann zukünftig von diesem Gerät aus auf den Online-Dienst zugreifen und sich lokal bei diesem Gerät authentifizieren, ohne dass ein Passwort eingegeben werden muss.

FIDO2 (WebAuthn und CTAP2)

Während FIDO 1.0 im Grunde genommen zwei getrennte Protokolle hatte, sollen mit FIDO 2.0 (oder einfach FIDO2) Funktionen von U2F und UAF kombiniert und eine stärkere Authentifizierung ermöglicht werden. Dies geschieht durch globale Standardisierung durch das World Wide Web Consortium (W3C) und die Integration in konforme Webbrowser wie Chrome, Firefox und Microsoft Edge.

FIDO2 besteht aus zwei Teilen:

  • Eine JavaScript-API, die vom W3C standardisiert wird und als Web-Authentifizierung oder WebAuthn bezeichnet wird. Diese API ist in W3C-konformen Webbrowsern implementiert, damit Webanwendungen die FIDO-Authentifikatoren direkt nutzen können.
  • CTAP2 – eine erweiterte Version des Client-to-Authenticator-Protokolls.

Durch die einfache, saubere Integration in Online-Dienste soll die FIDO2-Authentifizierung für Benutzer einfach gemacht werden, um eine starke Authentifizierung allgegenwärtig zu machen und schließlich die traditionelle, passwortbasierte Anmeldung vollständig zu beseitigen.