FIDO- und Tokey-Authentisierung

Die Sicherheit liegt im Prozess

08.04.2014
Von 
Ariane Rüdiger ist freie Autorin und lebt in München.

FIDO-Authentisierung im Detail

Auf den mobilen oder stationären Endgeräten läuft ein FIDO-Client. Will sich ein Anwender bei einem Online-Dienst oder -Shop authentisieren, der FIDO verwendet, registriert der Authentisierungs-Server beim Dienstleister oder Shop-Inhaber die Eingabe des bisherigen Passworts. Er sendet nun die Anfrage an einen FIDO-Server weiter. Dieser FIDO-Server fragt bei dem Endgerät, das der Anwender nutzt, dessen Sicherheitsmerkmale ab.

Der FIDO-Client meldet die sicheren (biometrischen oder Dongle-basierenden) Authentisierungsmethoden, die das Endgerät des Anwenders unterstützt. Je nachdem, ob diese Merkmale den vorher festgelegten Sicherheitsrichtlinien des Servicebetreibers entsprechen, wird das Endgerät zur Authentisierung am Service/Shop zugelassen oder abgewiesen. Verdächtige, unsichere Geräte werden also schon hier von der weiteren Zulassung ausgeschlossen. Erst wenn das Endgerät als ausreichend sicher qualifiziert wurde, tritt der FIDO-Client am Endgerät in Aktion und verlangt vom Anwender, dass er sich, beispielsweise durch das Auflegen des Fingers oder das Aussprechen des Sicherheitskennworts, am Gerät ausweist. Ist diese Authentisierung erfolgreich verlaufen, erzeugt der FIDO-Client im Endgerät ein individuelles Schlüsselpaar, das ausschließlich für diesen Service und das benutzte Gerät gilt, und schickt den öffentlichen Schlüssel an den Authentisierungs-Server des Dienstes.

Der Server erkennt nun den passenden privaten Schlüssel im FIDO-Client des Endgeräts, womit die Kommunikation mit dem Dienst freigeschaltet wird. Will der Anwender sich später noch einmal bei demselben Dienst authentisieren, wird er aufgefordert, sich beispielsweise per Spracherkennung anzumelden. Der Schlüsselabgleich erfolgt dann automatisch. Bei jedem Dienst muss der Anwender dieses Prozedere erneut durchlaufen, wobei der Agent jeweils ein neues Schlüsselpaar erzeugt. Befreit ist er aber vom Passwort-Wust: Er nutzt nur noch das im Gerät vorhandene biometrische oder Dongle-basierende Authentisierungsverfahren für die Anmeldung bei allen Diensten. Server- und Client-Produkte für FIDO werden von der FIDO Alliance zertifiziert, was die Kompatibilität mit dem Standard sichert.