Foto: optimarc - shutterstock.com
Passwörter sind die Achillesferse der sicheren Internet-Kommunikation - denn sie können abgefangen, ausgespäht oder im schlimmsten Fall durch schlichtes Ausprobieren ausgehebelt werden. Angesichts der Vielzahl an Passwortabfragen, mit denen Softwarenutzer täglich konfrontiert sind, vernachlässigen viele von ihnen grundlegende Regeln zur Mindestlänge ihrer Passwörter und tragen so - ob aus Unwissenheit oder Bequemlichkeit - zur Gefährdung ihrer Benutzerkonten bei. Aus Sicht von Security-Experten spricht vieles dafür, Passwörter durch eine Mehrfaktor-Authentifizierung zu ergänzen und sie im Idealfall ganz abzuschaffen. Auf dem Weg in eine passwortfreie Zukunft bilden die Industriestandards FIDO und FIDO2 wichtige Meilensteine.
FIDO - kurz für Fast Identity Online - ist ein offener und lizenzfreier Industriestandard für die sichere, schnelle und einfache Authentisierung im Internet. Entwickelt wurde er von der nichtkommerziellen FIDO-Allianz, der hunderte Unternehmen aus aller Welt angehören. Der FIDO-Standard, mittlerweile zu FIDO2 weiterentwickelt, verschafft Unternehmen die Möglichkeit, in ihren Produkten eine hardwaregestützte Authentisierung wie Fingerabdruck- oder Gesichtserkennung einzusetzen. Nutzer können sich so unkompliziert bei Online-Services anmelden, ohne sich Passwörter merken zu müssen. FIDO2 ist nach FIDO Universal Second Factor (FIDO U2F) und FIDO Universal Authentication Framework (FIDO UAF) bereits der dritte Standard, der aus der Arbeit der Allianz hervorgegangen ist.
FIDO2 - WebAuthn meets CTAP
Gestohlene oder durch Brute-Force-Attacken erratene Passwörter sind nach wie vor Hauptangriffsfläche für Hacker. FIDO2 wurde geschaffen, um diese Sicherheitslücke zu schließen. Der Standard umfasst:
Die Spezifikation der internationalen Standardisierungsorganisation für das World Wide Web, des World Wide Web Consortiums (W3C), für die Web-Authentifizierung (WebAuthn). WebAuthn bildet als Programmierschnittstelle die Grundlage für die sichere Online-Authentifizierung. Webanwendungen und Websites, die WebAuthn nutzen, ermöglichen es Nutzern, sich mithilfe eines Public-Key-Verfahrens zu authentifizieren. Bei der Entwicklung von WebAuthn arbeitete die FIDO-Allianz eng mit dem W3C zusammen. Die Mitgliedsunternehmen der FIDO-Allianz reichten die Spezifikationen 2015 beim W3C zur formalen Standardisierung ein. Im Anschluss arbeiteten sie innerhalb des W3C an der Fertigstellung der API. Im März 2019 wurde WebAuthn schließlich offiziell als W3C-Webstandard anerkannt. Den Erfolg der Standardisierung zeigt ein Blick auf die Zahl der weltweit installierten Browser, die WebAuthn bereits unterstützen: Derzeit sind es laut eines CanIUse-Reports breits 95 Prozent.
Das Kommunikationsprotokoll Client to Authenticator Protocol (CTAP) der FIDO Alliance. Das Kommunikationsprotokoll sorgt für den sicheren Datenaustausch zwischen der im Webbrowser laufenden WebAuthn-Anwendung und einem zur Authentifizierung genutzten Gerät - etwa ein über USB, NFC oder BLE verbundenes Hardware-Token. Solche Hardware-Token, wie sie von Herstellern wie YubiKey, Nitrokey oder SoloKeys angeboten werden, unterstützen meist mehrere Sicherheitsprotokolle wie OTP, FIDO und CCID. Diese können sowohl unabhängig voneinander als auch miteinander kombiniert eingesetzt werden. Das Vergießen der Gehäuse und die Verwendung von Kryptoprozessoren verhindern physische Manipulationen und ein Auslesen des Speicherinhalts der Token.
Hardware-Token bieten damit ein hohes Sicherheitsniveau, da die auf dem Sicherheitsschlüssel gespeicherten Anmeldedaten nicht ohne Weiteres erraten oder für mehrere Benutzerkonten verwendet werden können. Darüber hinaus gewährleisten sie Schutz vor Phishing-Versuchen.
CTAP liegt mittlerweile in der Version CTAP2 vor, die zusätzlich zu älteren Security-Tokens - heute unter CTAP1 subsummiert - auch die passwortfreie sowie die Multi-Faktor-Authentifizierung unterstützt, wie sie üblicherweise mit aktuellen Smartphones umgesetzt werden kann (Login über FaceID, Fingerabdruck und Ähnliches)
Das FIDO2-Verfahren vereint mehrere entscheidende Vorteile: An vorderster Stelle steht dabei der Verzicht auf Passwörter, durch den Nutzer von einer lästigen und fehleranfälligen Pflicht befreit werden. Zudem sind die verschlüsselten FIDO2-Anmeldedaten für jede Website einzigartig, verlassen nie das Gerät des Benutzers und werden auch zu keinem Zeitpunkt auf einem Server gespeichert.
Damit wird sichergestellt, dass sich Cyberkriminelle weder mit Phishing noch mit gestohlenen Passwörtern oder Replay-Angriffen unberechtigt Zugang verschaffen können. Außerdem werden Login-Daten nicht über das Internet verschickt, sodass Passwort und persönliche Daten nicht von Hackern abgeschöpft werden können. Seit der Einführung von CTAP2 müssen User darüber hinaus nicht mehr zwingend auf spezielle Sicherheits-Tokens zurückgreifen, um sich sicher einzuloggen: Es genügen Geräte, die sie ohnehin täglich im Gebrauch haben, wie etwa Smartphone, Laptop, PC oder Smartwatch.
Lesetipp: Best of Cybercrime - Die verrücktesten Hackerangriffe
FIDO2 erhöht die Sicherheit
Bereits die niedrigste Sicherheitsstufe von FIDO2, die Ein-Faktor-Authentifizierung, ist in den meisten Fällen sicherer als eine reine Passwort-Authentifizierung. Wird für eine Anwendung, die sensible Daten beinhaltet, die höchste Sicherheitsstufe benötigt, kann diese mit der FIDO2-Multifaktor-Authentifizierung (biometrisch oder PIN) gesichert werden. Ein dynamischer Wechsel der Sicherheitsstufe kann je nach Bedarf pro Anwendung/Benutzer konfiguriert werden (1FA, 2FA, MFA). Zusätzlich bietet FIDO2 einen Schutz vor geklonten Authentifikatoren - das Protokoll erkennt den Einsatz entsprechend gefälschter Sicherheitstokens und blockiert den Zugriffsversuch.
Da jeder Standard aber nur so gut ist wie die Zahl derjenigen, die ihn anwenden, ist die breite Unterstützung entscheidend: In der FIDO-Allianz haben sich global führende Unternehmen aus der Tech-Branche zusammengefunden, darunter Intel, Google, Microsoft, die Bank of America, Samsung und Qualcomm. In den Betriebssystemen iOS, Android, Windows und macOS ist die Unterstützung von FIDO2 in den neuesten Versionen bereits gegeben, sodass Gerätesensoren wie Face ID oder Fingerabdruckscanner zur Authentifizierung genutzt werden können.
FIDO2 - was kommt danach?
Dass FIDO2 ein relativ junger Standard ist, zeigt sich auch an den typischen "Kinderkrankheiten": FIDO2 integriert viele Komponenten, an deren Entwicklung zahlreiche Unternehmen und Organisationen arbeiten - seien es Authentifizierungsdienste, Browser, Betriebssysteme, Hardware zur Verarbeitung biometrischer Daten oder Security-Token. Daraus ergibt sich eine riesige Anzahl möglicher Kombinationen von Software und Hardware. Bis sie alle einwandfrei zusammenspielen, werden noch ein paar Jahre vergehen, und die Anbieter müssen in der Zwischenzeit immer wieder nachjustieren.
Ein weiterer grosser Fortschritt bezüglich Benutzerfreundlichkeit bringt die "Passkey"-Initiative, welche von Apple, Google und Microsoft getragen wird. Basierend auf dem FIDO2 / WebAuthN-Standard ermöglicht das Passkey-Konzept die Synchronisation der privaten Schlüssel zwischen Geräten des gleichen Herstellers. In der Praxis bedeutet dies, dass sich ein Benutzer nur einmal mittels FIDO2 / WebAuthN (z.B. auf seinem MacBook) registrieren muss und den generierten Privat-Key anschließend auch auf anderen Geräten (z.B. zweites MacBook, iPad, iPhone, etc.) verwenden kann. Apple unterstützt die Passkey-Funktionalität bereits mit den allerneusten Betriebssystemversionen iOS 16 und MacOS 13, welche im September bzw. Oktober 2022 veröffentlicht wurden. Die Passkey-Unterstützung in den Betriebssystemen vom Mircosoft und Google ist für 2023 angekündigt.
Eine momentan noch bestehende Schwäche ist etwa, dass WebAuthn bis auf Weiteres keine Transaktions-Signaturen unterstützt. Die zukünftigen Spezifikationen werden zwar diskutiert, sind aber noch weit weg davon, in den Standard aufgenommen zu werden. Gerade die Transaktions-Signaturen ermöglichen viele spannende Use-Cases, da kritische Geschäftsvorgänge (z.B. Geldüberweisungen, GDPR Consent, Adressänderungen etc.) damit zusätzlich abgesichert werden können. Als funktionierende Alternative steht die Transaktionsbestätigung nach dem etablierten Standard FIDO-UAF zur Verfügung, welcher gleichzeitig zwei weitere Vorteile mit sich bringt: Zum einen wurde FIDO-UAF primär für den Einsatz im Mobilbereich konzipiert und ermöglicht daher eine sehr benutzerfreundliche Umsetzung des "Phone as a Token"-Prinzips. Zum zweiten haben Hersteller bei der Verwendung von FIDO-UAF eine bessere Kontrolle über die End-to-End-Lösung, da sie auf deutlich weniger Drittkomponenten zurückgreifen müssen. (bw)