Wie FIDO sichere Logins mit und ohne Passwort ermöglicht

22.06.2022

Die Mehrheit der sicheren Login-Prozesse beruht auf langen Passwörtern und 2-Faktor-Authentisierung. FIDO verspricht mehr Komfort bei gleicher oder höherer Sicherheit. Dadurch könnte sich die Art und Weise, wie sich Nutzer bei Systemen anmelden, grundlegend verändern. Wir erläutern, was es damit auf sich hat.

Die Idee hinter FIDO

FIDO steht für Fast IDentity Online. Die FIDO Alliance wurde 2009 von PayPal, Lenovo, Nok Nok Labs, Validity Sensors, Infineon und Agnitio als nicht kommerzielle Organisation gegründet. Sie fördert Entwicklung und Verbreitung neuer Standards zur weltweiten Authentifizierung im Internet.

Heute zählt die Organisation mehr als 200 Mitglieder, die Unternehmen, Finanzdienstleister, Forschungseinrichtungen und Regierungsbehörden umfassen, darunter Apple, Google, Microsoft und das BSI (Bundesamt für Sicherheit in der Informationstechnik).

Ihren Fokus hat die Allianz mittlerweile auf den Webstandard FIDO2 gerichtet, der sichere Logins ohne Passwort ermöglicht.

Zielgruppe

Bisher hat die FIDO Allianz ihren Fokus vorrangig auf Nutzer gerichtet, die besonders sensible Daten verwalten und zugleich vermehrt im Fadenkreuz von Angreifern stehen. Dieser Zielgruppe gehören beispielsweise Journalisten, Wahlkampfhelfer und Whistleblower an. Grundsätzlich können jedoch alle Internetnutzer von Anmeldefahren mit erhöhter Sicherheit profitieren.

Anmeldeprozesse mit FIDO

Zentrales Element beim Login mittels FIDO ist das Credential. Dahinter verbirgt sich ein Schlüsselpaar, das aus einem öffentlichen Schlüssel und einem privaten Schlüssel besteht.
Im Rahmen der Authentisierung wird der öffentliche Schlüssel an das System übermittelt und übernimmt vereinfacht ausgedrückt die Rolle eines Schlosses. Bei der anschließenden Authentifizierung wird geprüft, ob der private Schlüssel das Schloss öffnet. Sofern dies der Fall ist, kann die Autorisierung erfolgen und der Login ist geglückt.

Entscheidend bei dieser Art von Anmeldevorgang ist, dass beim Betreiber des Systems (z.B. einem Webservice) kein Passwort oder andere Schlüsseldaten hinterlegt sind. Stattdessen prüft das System lediglich, ob das Credential passt. Das Credential wird von einem Authentifikator generiert, wie z.B. einem USB-Token (Nitrokey, Google Titan Security Key, Yubico …) oder einem Smartphone.

Gründe für die Authentifikation mit FIDO

Insbesondere bei Verwendung starker Passwörter gilt die klassische Form des Logins (Benutzername + Passwort, ggf. in Verbindung mit der 2-Faktor-Authentisierung) als sicher. Die Frage, weshalb stattdessen auf FIDO gesetzt werden soll, ist daher berechtigt. Doch es gibt gute Gründe, die für FIDO sprechen.

  • Schutz vor Hackern: Immer wieder gelingt Hackern die Erbeutung von Zugangsdaten. Dies ist ein ernsthaftes Risiko, selbst wenn die Daten keine Passwörter, sondern nur deren Hashwerte umfassen. FIDO Daten können nicht gehackt werden, weil sie dem Service-Anbieter / Serverbetreiber nicht vorliegen.
  • Kein Abfangen von Daten: Bei bestimmten Angriffen werden Zugangsdaten in Echtzeit angefangen. Vor allem mTans, die für das Online-Banking via SMS versendet werden, stehen im Fokus vieler Angreifer. Bei FIDO ist dieses Risiko geringer.
  • Kein Merken langer Passwörter: Lange und zugleich komplexe Passwörter bieten eine hohe Sicherheit. Jedoch sind sie schwer zu merken, was immer wieder zu Problemen führt.

Kritiker könnten nun argumentieren, dass ein FIDO Authentifikator ebenso gestohlen werden kann. Jedoch greifen Cyberkriminelle überwiegend aus der Ferne an, weshalb dieses Risiko im Vergleich deutlich geringer ist. Darüber hinaus muss der Authentifikator nicht zwangsläufig ein USB-Token oder Smartphone sein. Ebenso kann eine Authentisierung über biometrische Daten, wie z.B. Iris oder Fingerabdruck, erfolgen.

Passwortlose Authentisierung mit FIDO2

Trotz seiner Vorteile und starker Mitglieder in der FIDO Alliance, ließ der große Durchbruch bisher auf sich warten. Deshalb hat die Alliance ihren Fokus auf FIDO2 verlagert. Dieser Standard bildet die Grundlage für einen sicheren Login ohne Passwort. Das Einloggen ohne Passworteingabe verspricht mehrere Vorteile:

  • Keine Nutzung identischer Passwörter: Leider neigen Nutzer dazu, bei verschiedenen Diensten / Plattformen dieselben Passwörter zu verwenden. Sollte solch ein Passwort gehackt werden, ist auch die Sicherheit anderer Accounts gefährdet.
  • Anmelden ohne Hinterlassen von Anmeldedaten: Beim Login auf fremden Systemen, z.B. auf Workstations beim Kunden oder gar im Internetcafe, könnten Anmeldedaten im Hintergrund aufgezeichnet werden.
  • Mehr Komfort: Da bei FIDO2 kein Passwort benötigt wird, genügt es bereits, sich den Benutzernamen zu merken.

Der passwortlose FIDO2 Login basiert auf einem simplen Prinzip. Zunächst erfolgt die Eingabe des Benutzernamens, anschließend wird Authorisierung mit dem Authentificator (z.B. einem FIDO2 Stick via USB oder NFC) abgeschlossen. Im Vergleich zum traditionellen FIDO Login ist dies wegen der fehlenden 2-Faktor-Authentisierung zwar etwas unsicherer, jedoch wurde diese Einbuße von der FIDO Allianz bewusst in Kauf genommen. Im Vordergrund steht der schnelle Login, der nicht nur Business-Nutzer, sondern auch Verbraucher überzeugen soll.

In Zukunft mehr Sicherheit?

Weder FIDO noch FIDO2 konnten sich bislang auf breiter Ebene etablieren. Trotzdem sind die Standards nicht zu unterschätzen, beide bieten große Chancen. FIDO ist für Unternehmen interessant, vor allem wenn diese ihre sensiblen Daten noch besser absichern möchten. FIDO2 bietet wiederum Verbrauchern enorme Vorteile – und das nicht nur beim Komfort, sondern auch um die Nutzung identischer Passwörter auf verschiedenen Plattformen zu unterbinden.

Entscheidend ist in beiden Fällen, dass sich potenzielle Nutzer mit den Möglichkeiten befassen. Insbesondere Datenschutzbeauftragte, Informationssicherheitsbeauftragte und Führungskräfte in IT-Abteilungen sollten nicht voreilig abwinken. Die bloße Auseinandersetzung könnte zu neuen Ansätzen führen, die mehr Datensicherheit und ein höheres Datenschutzniveau versprechen.