Sicherheitstipps 08.06.2020, 09:29 Uhr

So funktionieren FIDO und FIDO2/WebAuthn

Hat das Passwort als Sicherheitsmerkmal ausgedient? Mit FIDO (U2F) und FIDO2/WebAuthn sind bereits vielversprechende Technologien im Einsatz. Wir erklären, wie diese funktionieren und wie Sie diese am besten verwenden.
Der Schutz unserer Geräte und der damit zusammenhängenden Konten wird immer wichtiger
(Quelle: geralt/Pixabay )
Der Schutz unserer Geräte und der damit zusammenhängenden Konten wird immer wichtiger, je mehr wir unsere täglichen persönlichen oder beruflichen Aufgaben via Internet abwickeln. Ein hoher Grad an Sicherheit macht aber den Umgang mit den vielen Onlinediensten umständlich.

Unsicher und kompliziert

Für jeden Dienst ein anderes Passwort zu verwenden, ist zwar wichtig. Damit es aber nicht zu schnell erraten werden kann, muss ein Kennwort möglichst kompliziert sein. Sobald ein Angreifer in einen Onlineshop einbricht und sofern die Passwörter dort vielleicht sogar im Klartext gespeichert sind, nützt das beste Passwort nichts. Auch Phishing ist eine Gefahr für Passwörter. Damit versuchen Kriminelle, arglose Nutzer auf gefälschte Webseiten zu locken und ihnen die Zugangsdaten abzuluchsen. Ein reines Login mit Benutzernamen und Passwort mag für Webforen sicher genug sein. Für Onlineshops, E-Banking und Ihre Krankenkasse reicht das aber nicht – und ebenso wenig für Ihren Google- oder Microsoft-Account. Denn in solchen Accounts steckt Ihr ganzes Leben drin: persönliche Fotos, Dokumente, Mails, Kontakte etc.

Sicherer, aber kompliziert

Darum werden besonders wichtige Onlinekonten meist mit einer weiteren Massnahme abgesichert: der Zwei-Faktor-Authentifizierung (2FA). Bei dieser geht es darum, auf einem separaten Kanal oder Gerät einen Einmal-Code anzuzeigen, den man beim Einloggen zusätzlich zu Benutzernamen und Passwort eingeben muss. Der zweite Kanal kann eine SMS auf dem Smartphone sein, eine Mobile-ID oder eine Authenticator-App. Damit reicht es fürs Login nicht mehr, bloss den Nutzernamen und das zugehörige Passwort eines Dienstes zu kennen. Jemand kommt mit Ihren Anmeldedaten nur in eins Ihrer Konten rein, wenn er zusätzlich die Kontrolle über diesen zweiten Kanal hat (zum Beispiel das zugehörige Handy). Das ist zwar schon eine erhebliche Steigerung der Sicherheit, bleibt aber dennoch ziemlich kompliziert.

Sicher ohne Passwort?

Obiges ist relativ umständlich, denn es erfordert weiterhin, dass man für jeden Dienst ein separates Passwort erzeugt und all die Passwörter sowie den Zweitkanal immer griffbereit hat. Klar – es gibt Passwortverwaltungen, die Ihnen einen Teil der Arbeit abnehmen. Aber auch die müssen gepflegt werden und auch bei diesen ist das Entlocken des zugehörigen Passworts oft etwas umständlich.
Es müsste doch etwas geben, das sowohl sicher als auch einfach ist. Und genau da setzt der FIDO- bzw. FIDO2-Standard an. Die Abkürzung FIDO steht für «Fast IDentity Online». Dies ist ein Authentifizierungsstandard, der eine vereinfachte Anmeldung bei Geräten und Webdiensten ermöglicht – ohne auf eine hohe Sicherheitsstufe verzichten zu müssen (siehe Box «wichtige Begriffe»).

Sie kennen FIDO schon

Vielleicht nutzen Sie einen FIDO-Standard bereits für Ihre Windows-Anmeldung, ohne sich dessen bewusst zu sein. Die Funktion «Windows Hello» von Windows 10 erlaubt das Anmelden auf dem Computer anhand der Gesichtserkennung, eines Fingerabdrucks oder einer PIN. Diese Anmeldeelemente werden nirgendwohin via Web übertragen, sondern dienen einzig auf dem lokalen Gerät zur Identifikation des Nutzers. Dabei werden die erforderlichen Schlüssel im TPM-Chip (Trusted Platform Module) des Computers verwahrt. Angenommen, Sie loggen sich mittels Windows Hello am Windows-10-PC mit Ihrem Microsoft-Konto und einer PIN ein. Bekäme nun ein Angreifer diese PIN in die Finger, könnte er sich an seinem eigenen PC trotzdem nicht bei Ihrem Microsoft-Konto anmelden. Er müsste genau Ihren PC ebenfalls in seinen Besitz bekommen. Und das entspricht bereits dem FIDO-Standard. Auch das neue Login der PostFinance mittels Fingerabdruck- oder Face-ID-Authentifizierung basiert auf FIDO.
Beim ursprünglichen FIDO-/U2F-Standard ist nebst dem Benutzernamen und den Daten im TPM-Chip noch mindestens ein weiteres Anmeldeelement erforderlich, etwa ein Passwort. Bei der Weiterentwicklung FIDO2 ist das zwar durchaus ebenfalls möglich und meistens sogar sinnvoll, aber bei manchen Diensten nicht mehr unbedingt Pflicht: Im einfachsten Fall reicht dereinst die Eingabe des Benutzernamens oder der Mailadresse, anschliessend wählen Sie die Registriermethode mit dem Sicherheitsschlüssel, verwenden den eingebauten TPM-Chip oder stöpseln Ihren separaten Schlüssel ein und berühren dann den Sensor. Dieser Sensor scannt nicht etwa den Fingerabdruck, sondern stellt nur sicher, dass der Inhaber des Schlüssels gerade auch wirklich am PC sitzt.


Das könnte Sie auch interessieren