FIDO2 & Passkeys: Die Passwortlose Zukunft hat begonnen

Passwörter sind in unserer Welt ein notwendiges Übel: Sie sind einerseits eine der wichtigsten Schutzmaßnahmen für unsere Online-Identitäten, jedoch auch oft kompliziert und schwer zu merken. Alternativ verwenden deshalb (viel zu) viele Menschen schwache oder leicht zu erratende Passwörter, was Cyberkriminellen Tür und Tor öffnet. Was wäre also, wenn wir uns nie wieder an ein Passwort erinnern müssten und trotzdem unsere persönlichen und geschäftlichen Daten vor unbefugtem Zugriff schützen könnten?

Genau daran arbeiten die großen Tech-Riesen seit ein paar Jahren und haben mit FIDO2 eine Lösung entwickelt. In unserem heutigen Blogartikel möchten wir einen Einblick in die Zukunft der passwortlosen Logins geben, in diesem Zusammenhang erklären, was FIDO2 ist und wie es dazu beitragen kann, die Online-Sicherheit zu verbessern. Abschließend wollen wir darüber informieren, was jetzt auf Unternehmen mit Passekeys zukommt und worauf sie sich einstellen sollten.

Was ist FIDO2?

FIDO2 steht für „Fast Identity Online 2“ und handelt sich um einen offenen Authentifizierungsstandard, der entwickelt wurde, um das traditionelle Passwort-System zu ersetzen oder zu ergänzen. FIDO2 ist ein gemeinsames Projekt des W3C (World Wide Web Consortium) und der „FIDO Alliance“, einer gemeinnützigen Organisation, die sich aus verschiedenen Technologieunternehmen zusammensetzt. Zu den Mitgliedern dieser 2012 gegründeten Allianz gehören Größen wie Microsoft, Google, Apple, PayPal, Intel und viele andere.

Der Hauptzweck von FIDO2 ist es, eine sicherere und benutzerfreundlichere Methode der Authentifizierung für Online-Dienste bereitzustellen. Anstatt sich auf Passwörter zu verlassen, verwendet FIDO2 eine Kombination aus biometrischen Merkmalen wie Fingerabdrücken oder Gesichtserkennung, hardwarebasierten Sicherheitsschlüsseln, Smart-Cards oder TPM-Module (Trusted Platform Module), um Benutzer zu verifizieren. Dies macht es wesentlich schwieriger für Angreifer, Zugriff auf Benutzerkonten zu erlangen, da sie physischen Zugang zu den Sicherheitsschlüsseln oder den biometrischen Merkmalen des Benutzers benötigen. Wer sich übrigens für biometrische Verfahren zur Authentifizierung interessiert, dem empfehlen wir unseren Blogartikel Biometrische Daten und Sicherheit.

Vorläufer FIDO U2F

Schon vor Gründung der FIDO Alliance haben im Jahr 2011 die Unternehmen Yubico und Google die Initiative ergriffen, um den offenen Authentifizierungsstandard FIDO Universal Second Factor (FIDO U2F) zu entwickeln. Dieser innovative Ansatz basiert auf der Verschlüsselung mit öffentlichen Schlüsseln und der Verwendung von Hardwaresicherheits-Tokens. Anstatt sich auf ein komplexes Passwort zu verlassen, um ein Konto zu schützen, verwendet FIDO U2F ein physisches Sicherheitselement, wie zum Beispiel einen USB-Token, der in Verbindung mit einem Endgerät verwendet wird.

Die Idee hinter FIDO U2F ist einfach, aber wirkungsvoll: Statt sich auf das Wissen (ein Passwort) allein zu verlassen, kombiniert es Wissen mit einem physischen Objekt (ein Token). Dies macht es für Angreifende erheblich schwieriger, auf fremde Nutzerkonto zuzugreifen. Das bedeutet doppelte Sicherheit: Selbst wenn jemand Ihr Passwort kennt, benötigt er oder sie immer noch Ihr physisches Token, um sich anzumelden.

Die Weiterentwicklung dieses Ansatzes führte zur Entwicklung von FIDO2, sozusagen einer erweiterten Version von FIDO U2F. FIDO2 erweitert die Idee der passwortlosen Authentifizierung, indem es webbasierten Diensten und Anwendungen ermöglicht, auf eine sichere Art und Weise auf biometrische Daten und physische Tokens zuzugreifen.

Die technische Grundlage von FIDO2

FIDO2 besteht aus den beiden Hauptkomponenten WebAuthn und CTAP2. WebAuthn steht für Web Authentication und ist das Web-API von FIDO2, das es webbasierten Anwendungen ermöglicht, die Passwortauthentifizierung zu ersetzen. WebAuthn ermöglicht es Benutzern, sich sicher über biometrische Daten oder physische Tokens wie USB-Sicherheitsschlüssel anzumelden. CTAP2 (kurz für Client-to-Authenticator-Protocol) ist das Protokoll, das die Kommunikation zwischen dem Benutzergerät (z. B. Laptop oder Smartphone) und dem Authentifizierungsgerät (z. B. einem Fingerabdruckscanner oder einem Sicherheitsschlüssel) ermöglicht. Es stellt sicher, dass die Authentifizierung sicher und zuverlässig abläuft.

Wie funktioniert FIDO2?

Die Funktionsweise von FIDO2 basiert auf dem „Public Key Cryptography“ (öffentlicher Schlüssel-Kryptografie) Prinzip. Ganz vereinfacht erklärt, funktioniert FIDO2 in der Praxis in drei Schritten: Zuerst registriert sich ein/ eine User*in bei einem Online-Dienst, der FIDO2 unterstützt. Während dieses Prozesses erstellt der Dienst ein kryptografisches Schlüsselpaar, bestehend aus einem öffentlichen und einem privaten Schlüssel. Der private Schlüssel wird sicher auf dem Gerät des Anwendenden oder einem hardwarebasierten Sicherheitsschlüssel gespeichert.

Wenn der Benutzer sich dann bei dem Dienst anmelden möchte, wird er aufgefordert, sich zu authentifizieren. Anstatt ein Passwort einzugeben, verwendet der/ die User*in sein biometrisches Merkmal (z. B. Fingerabdruck oder Gesicht) oder den Sicherheitsschlüssel. Der Dienst fordert den oder die Benutzer*in auf, eine kryptografische Signatur mit dem privaten Schlüssel zu erstellen und sendet diese an den Dienst.

Der Dienst überprüft abschließend die Signatur mithilfe des öffentlichen Schlüssels, den er bei der Registrierung erhalten hat. Wenn die Signatur erfolgreich überprüft wird, erhält der oder die Benutzer *in Zugriff auf sein/ ihr Konto.

Webbrowser und Webanwendungen rüsten bereits auf

Die Entwicklung von FIDO2 geht Hand in Hand mit den Bemühungen von Webbrowsern und webbasierten Anwendungen, die Zukunft der passwortfreien Logins zu gestalten. So haben Unternehmen wie Dropbox, Mozilla Firefox, Microsoft Edge und Google Chrome bereits Support für WebAuthn implementiert. Dies bedeutet, dass Anwendende, die FIDO2-fähige Geräte besitzen, in der Lage sind, sich ohne die Eingabe von Passwörtern sicher in ihre Konten einzuloggen. Gleichzeitig bedeutet die Integration von FIDO2 in Webbrowser und Anwendungen auch, dass die Technologie schnell an Bedeutung gewinnt und die Vorteile der passwortlosen Authentifizierung für immer mehr Menschen zugänglich werden.

Apple schafft Passwörter ab

Apple hat bereits einen entscheidenden Schritt in Richtung einer sichereren und benutzerfreundlicheren Online-Authentifizierung unternommen und die „Passwort-Ära“ zu beenden: Mit der Einführung von „Passkeys“ setzt das Unternehmen die Ziele der FIDO Alliance um und dürfte damit die Art und Weise revolutionieren, wie wir uns online authentifizieren.

Die Idee von Passkeys basiert auf einer Kombination aus starker Verschlüsselung und biometrischen Daten, die von den Sensoren in Laptops und mobilen Endgeräten erfasst werden. Im Gegensatz zu herkömmlichen Passwörtern bieten Passkeys damit eine höhere Sicherheit und Benutzerfreundlichkeit.

Einmalige Erstellung und geräteübergreifende Nutzung

Der Prozess der Passkey-Erstellung ist denkbar einfach. Benutzer müssen lediglich einmalig mittels Apples Gesichtserkennung „FaceID“ oder dem Fingerabdruckscanner „TouchID“ auf ihrem Gerät einen digitalen Autorisierungsschlüssel erstellen. Dieser Schlüssel ist ausschließlich für die jeweilige Website oder App gültig, für die er erstellt wurde, was die Sicherheit zusätzlich erhöht.

Mit der Integration der „iCloud Keychain“ wurde Passkeys dann so richtig gut: Der Passkey kann sicher über die iCloud Keychain an andere Geräte eines Anwenders bzw. einer Anwenderin weitergegeben werden. Dies ermöglicht eine geräteübergreifende Autorisierung, ohne dass der oder die User*in eine erneute Anmelde-Prozedur durchlaufen muss. Das bedeutet: Wenn Sie sich beispielsweise auf Ihrem Smartphone für eine Website authentifizieren, steht Ihnen derselbe Passkey auch auf Ihrem Laptop oder Tablet zur Verfügung.

Passkeys: Unabhängig von Plattform und Browser

Ein weiterer entscheidender Vorteil von Passkeys ist ihre Unabhängigkeit. Sie sind nicht auf Apples Produkt-Ökosystem beschränkt. Das bedeutet, dass Passkeys auf verschiedenen Endgeräten, Betriebssystemplattformen und Browsern funktionieren. Sie stellen sicher, dass digitale Schlüssel geräteübergreifend sicher geteilt werden und den Nutzern so ohne erneute Anmelde-Prozedur auf allen Geräten zur Verfügung stehen.

Was jetzt auf Unternehmen zukommt

Angesichts der Bedeutung von FIDO2 ist es für Unternehmen an der Zeit, sich mit der innovativen Technologie, die eine benutzerfreundliche Authentifizierung ohne Passwörter möglich macht, vertraut zu machen und zu überlegen, wie sie diese Technologie in ihren Betrieb integrieren können. Die Tatsache, dass führende Unternehmen wie Apple, Google, Microsoft und andere zusammenarbeiten, um FIDO2 zu fördern und zu implementieren, unterstreicht die Aktualität des Themas und fordert Unternehmen zum Handeln auf.

Das allerdings sollte ihnen nicht schwerfallen, denn FIDO2 bietet Unternehmen die Möglichkeit, die Sicherheit ihrer Online-Plattformen und Dienste erheblich zu verbessern und gleichzeitig die Benutzererfahrung zu optimieren.

Zukunftssichere Login-Prozesse für Online-Dienstleister und -Händler

Gerade Online-Dienstleister und -Händler stehen vor der Herausforderung, die Sicherheit ihrer Login-Prozesse kontinuierlich zu verbessern. Dreh- und Angelpunkt sind dabei ausgerechnet Passwörter, denn entweder werden sie von Kunden und Kundinnen häufig vergessen oder sie können von Angreifenden viel zu einfach geknackt werden. Passwortprobleme und Zurücksetzungsanfragen können jedoch einen erheblichen Aufwand für den IT-Support eines Unternehmens bedeuten. Mit FIDO2 kann dieser Aufwand erheblich reduziert werden, da Nutzenden Zugang ohne Passwort ermöglicht wird.In der Folge sinken die Supportkosten und Ressourcen stehen für wichtigere Aufgaben zur Verfügung.

Out-of-the-Box-Integrationen für eine einfache Implementierung

Eine der großen Stärken von FIDO2 ist die Tatsache, dass entsprechende Authentisierungs-Lösungen ohne großen Aufwand in die bestehende Softwarearchitektur integriert werden können. Unternehmen müssen nicht von Grund auf neu entwickeln, um von den Vorteilen von FIDO2 zu profitieren. Stattdessen können sie auf Out-of-the-Box-Integrationen zurückgreifen, die die Implementierung erleichtern und beschleunigen.

Cloudlösungen für Aktualität und Sicherheit

Die meisten Unternehmen setzen ohnehin bereits auf Cloud-Technologien – und Authentisierungs-Lösungen auf FIDO2-Basis bilden da keine Ausnahme. Als Cloudlösungen bieten sie Unternehmen die Gewissheit, dass sie mit der Weiterentwicklung der FIDO-Sicherheitsstandards Schritt halten können, ohne sich um regelmäßige Updates der Authentisierungs-Komponenten kümmern zu müssen – ein entscheidender Faktor, um die Sicherheit der Systeme aufrechtzuerhalten und neue Bedrohungen abzuwehren.

Allerdings wollen wir nicht unerwähnt lassen, dass Unternehmen sicherstellen müssen, dass ihre IT-Infrastruktur und ihre Anwendungen FIDO2 unterstützen. Dies erfordert möglicherweise Investitionen in neue Hardware oder Software.

Fazit: Mit FIDO2 zu mehr Sicherheit bei der Online-Authentifizierung

Der „Fast IDentity Online 2“-Standard markiert einen bedeutenden Meilenstein in der Welt der Online-Authentifizierung. Dieser innovative Ansatz, der auf biometrischen Daten und physischen Tokens basiert, verspricht nicht nur eine erheblich höhere Sicherheit, sondern auch eine erhebliche Verbesserung der Benutzerfreundlichkeit.

Unternehmen sollten FIDO2 in ihre Authentifizierungssysteme integrieren, um ihren Benutzenden eine sichere und benutzerfreundliche Anmeldemethode anzubieten. Wer zusätzlich Schulungen und Sensibilisierungsmaßnahmen durchführt, um seine Mitarbeitenden und Kunden über die Vorteile und Verwendung von FIDO2 aufzuklären, trägt gleichzeitig zur Akzeptanz bei und fördert das Vertrauen in diese Technologie. Um FIDO2 herumkommen wird ohnehin kaum jemand, denn die FIDO-Allianz und andere Organisationen werden voraussichtlich weiterhin an der Verbesserung der FIDO2-Sicherheitsstandards arbeiten.