Die FIDO-Protokolle: Sicherheit im Wandel der Zeit

Standardisierte Sicherheitsprotokolle sind wichtiger denn je. Erfahren Sie, wie Technologien wie FIDO U2F, UAF und FIDO2 sichere, passwortfreie Logins schafft.

Jan 6, 2022 - 4 Min.

Im Jahr 1966 erfand die Krankenschwester Marie Van Brittan Brown das wohl erste Sicherheitssystem der Welt. Gemeinsam mit ihrem Mann, der als Stromer arbeitete, entwickelte sie eine ausgeklügelte Vorrichtung aus Türspionen, Mikrofonen, einer Kamera und einem Verstellschieber. So konnte sie vor dem Öffnen ihrer Haustüre erkennen, wer Einlass begehrte. Und wenn sie sich von einem Besucher bedroht fühlte, konnte sie über den eingebauten Alarmknopf die Polizei alarmieren. Ihre Erfindung wurde 1969 patentiert und fand in 32 weiteren Patenten Erwähnung. Sie gilt als Vorläufer der Überwachungskamera.

Heute sind Sicherheitssysteme viel komplexer und stärker automatisiert. Vor allem aber schützen sie nicht nur unser Zuhause. Denn einige unserer wichtigsten Besitztümer befinden sich gar nicht mehr in Gebäuden, die man abschliessen oder verriegeln könnte. Stattdessen befinden sie sich in Datenbanken, auf Festplatten oder in der Cloud. Diese Verteilung unserer persönlichen Daten verlangt einen viel umfassenderen und ausgeklügelteren Sicherheitsstandard als Schloss und Schlüssel.

Einiges ist jedoch geblieben: Es ist so wichtig wie eh und je, den Zugang auf befugte Personen zu beschränken. Auch benötigen wir weiterhin einen Schlüssel, um Zugriff zu bekommen. Und ein Alarm- und Warnsystem bei Einbruchsversuchen ist ebenfalls wichtig. 

Passwörter sind nicht perfekt

Jahrelang haben wir uns auf die Kombination aus Benutzernamen und Passwörtern verlassen, um den Zugriff auf Daten und Rechnersysteme zu beschränken. Doch diese Methode ist inzwischen ähnlich veraltet wie die Erfindung von Van Brittan Brown. Sie ermöglicht zwar einen grundlegenden Schutz, hat sich jedoch auch als aufwändig und im Vergleich zu automatisierten Verfahren zu kompliziert erwiesen. Zudem bietet sie zu viel Angriffsfläche für Fehler und ein zu hohes Frustrationspotenzial. Denn wenn man einmal sein Passwort vergisst, muss man es erst umständlich zurücksetzen, bevor man auf seine Benutzerkonten zugreifen, im Internet etwas einkaufen oder Geld überweisen kann. 

Das hat dazu geführt, dass viele Nutzer faul und nachlässig geworden sind. Sie verwenden viel zu einfache Passwörter, die problemlos entschlüsselt werden können. Sie verwenden dieselben Passwörter bei verschiedenen Anbietern, so dass im Falle einer Sicherheitslücke all ihre Benutzerkonten anfällig für Hackerangriffe sind. 

Es hat zwar einige Zeit gedauert, doch inzwischen haben auch die Dienstanbieter erkannt, dass ihr Geschäft, ihre Vermögenswerte und ihre Reputation auf dem Spiel stehen. Deshalb braucht es ein ausgereiftes Verifizierungs- und Authentifizierungssystem, will man die Sicherheit sowohl der Nutzer als auch der internen Systeme gewährleisten.

Die FIDO-Allianz

Die Erkenntnis, dass Passwörter möglicherweise etwas veraltet sind, ist keineswegs neu. Bereits 2009 erwogen die Vordenker der FIDO-Allianz biometrische Faktoren als Mittel zur Authentifizierung. Im Jahr 2012 wurde dann die FIDO-Allianz ins Leben gerufen. In den letzten zehn Jahren ist die Allianz weiter gewachsen und zählt inzwischen einige der wichtigsten Akteure der Tech-Branche sowie Regierungsbehörden aus verschiedenen Ländern zu ihren Mitgliedern. Gemeinsam werden neue Lösungen entwickelt, um unsere Abhängigkeit von Passwörtern zu beenden und dazu offene, skalierbare und interoperable Ansätze zu entwickeln. 

Unternehmen, die die FIDO-Protokolle anwenden, erhalten einen erprobten und bewährten Standard, der auf einem asymmetrischen Kryptosystem beruht. Nutzer, die sich bei einem Onlinedienst anmelden oder ein Benutzerkonto bei einem Anbieter erstellen, der der FIDO-Allianz angehört, profitieren somit von einer einheitlichen Sicherheitsmethode.

Doch wie funktionieren diese FIDO-Protokolle überhaupt?

Die FIDO-Protokolle

Nehmen wir einmal an, Sie möchten ein Nutzerkonto erstellen oder sich bei einem Onlinedienst anmelden, der FIDO-Protokolle für Authentifizierung und Identitätsprüfung verwendet. Dann werden im Anmeldeverfahren – etwa an PC oder Handy – zwei Schlüssel erstellt, von denen einer öffentlich und einer privat ist. Der öffentliche Schlüssel wird automatisch beim jeweiligen Dienstanbieter erfasst, wohingegen der private Schlüssel sicher auf Ihrem Gerät gespeichert wird. Ab jetzt werden Sie bei jedem Anmeldeversuch, jeder Transaktion und jedem Datenaustausch mit dem jeweiligen Dienst, der Plattform, der Internetseite etc. anhand Ihres öffentlichen Schlüssels authentifiziert, indem Ihre Inhaberschaft des privaten Schlüssels überprüft wird. 

Seitdem es öffentliche und private Schlüssel gibt, erfolgen die Ver- und Entschlüsselung von Daten und die Bestätigung der Schlüsselinhaberschaft ohne Zutun der Nutzer. Damit wird das schwächste Glied in der Sicherheitskette umgangen. Denn das sind Sie. Wie bereits erwähnt, sind viele Nutzer bei dem Thema Sicherheit nachlässig. Und da das Passworterfordernis entfällt, entfällt auch das Risiko durch schwache oder mehrfach verwendete Passwörter. 

Derzeit werden drei verschiedene FIDO-Protokolle verwendet:

  • FIDO Universal Second Factor (FIDO U2F)
  • FIDO Universal Authentication Framework (FIDO UAF)
  • FIDO2

FIDO U2F

Bei diesem frühen FIDO-Protokoll basiert die Verifizierung auf einem tatsächlichen physischen Schlüssel (etwa einem YubiKey). Dieser wird in Ihren Computer oder Ihr Mobilgerät eingesteckt (oder lediglich aufgelegt, sofern Ihr Gerät NFC-kompatibel ist). Fordert der jeweilige Dienst eine Unterschrift als Identitätsnachweis an, liefert der Schlüssel die erforderliche Authentifizierung. So entsteht ein zweiter Authentifizierungsschritt (2FA, Zwei-Faktor-Authentifizierung), der die Sicherheit der Benutzername-Passwort-Kombination erhöht. 

FIDO UAF

Die FIDO-Allianz strebt zudem passwortfreie Anmeldeverfahren an. Mit FIDO UAF können Nutzer einzelne Geräte bei Onlinediensten registrieren (und dabei öffentliche und private Schlüssel generieren) und anschliessend die Multi-Faktor-Authentifizierung verwenden. Dabei werden meist biometrische Merkmale wie Fingerabdrücke oder Gesichtsscans, aber auch PINs und ähnliches als Identitätsnachweis verwendet. So entfällt der physische Schlüssel, während zugleich ein hohes Mass an Sicherheit gewährleistet wird, da das Verfahren auf einem asymmetrische Kryptosystem beruht.

FIDO2

Das neueste FIDO-Protokoll nutzt die breite Verfügbarkeit biometrischer Authentifizierungsverfahren. Meldet sich ein Nutzer bei einem Dienst an, der FIDO2 nutzt, kann er die Inhaberschaft seines privaten Schlüssels mittels Fingerabdruck, Gesichtsscan oder Stimmerkennung nachweisen und so für den Datenzugriff, die Durchführung von Transaktionen etc. autorisiert werden. Das Besondere an FIDO2 ist, dass das eigene Gerät (z. B. Smartphone) als Authentifikator dient. Wenn man sich beispielsweise bei einer Internetseite anmelden will, die FIDO2-Sicherheitsprotokolle nutzt, veranlasst die auf der Seite installierte Web Authentication API (WebAuthn) den Austausch zwischen Website und Authentifikator (also Smartphone, Schlüssel etc.). Der Authentifikator – gegebenenfalls per Fingerabdruck oder Gesichtsscan freigeschaltet – bestätigt dann Ihre Identität und ermöglicht Ihnen den Zugriff auf Dienst, Website oder Plattform.

Die Vorteile von FIDO

Der grösste Vorteil von FIDO ist die nahezu absolute Sicherheit dank Verifizierungsmethoden (wie Einmalpasswörtern, OTP), die nicht abgefangen oder (wie simple oder mehrfach verwendete Passwörter) problemlos entschlüsselt werden können. Doch darüber hinaus bietet FIDO noch weitere Vorzüge. 

  • Unkomplizierter Zugriff: Da keine Passwörter verwendet werden, können sich die Nutzer per Fingerabdruck, Gesichtsscan oder Betätigung eines physischen Authentifikators anmelden. Zudem müssen für die Authentifizierung weder zusätzliche Programme noch mobile Apps installiert werden.
  • Kosteneinsparung: Passwörter verursachen versteckte Kosten. Denn für das Zurücksetzen von Passwörtern müssen mitunter eigens geschulte Kundenbetreuer hinzugezogen werden. Zudem sind die Kosten, die durch Reputationsschäden infolge von Sicherheitslücken verursacht werden, oft unkalkulierbar.
  • Sicherheit vor Ort: Da der private Schlüssel stets auf dem jeweiligen Gerät (also dem physischen Schlüssel oder dem als Authentifikator verwendeten Gerät) verbleibt, wird Hackern keine Angriffsfläche geboten.
  • Starker Verbreitungsgrad und Support: Die FIDO-Protokolle werden von zahlreichen Unternehmen aus verschiedenen Branchen verwendet. Sie eignen sich zudem für alle gängigen Internetbrowser. 

Die Nachteile von FIDO

Wie jedes Sicherheitssystem weist auch FIDO einige Nachteile auf. Der grösste davon ist die Komplexität. Dies gilt vorab für FIDO2, das auf einer ungestörten Kommunikation zwischen Authentifikatoren (privaten Schlüsseln), der angefragten Plattform (z. B. einem Onlinedienst) und dem verwendeten Browser basiert. Zudem sind nicht alle Browser mit sämtlichen Authentifikatoren kompatibel. Und einige ältere iOS-Versionen unterstützen FIDO2 überhaupt nicht. Auf einigen Android-Geräten sind die FIDO2-Protokoll installiert, während Apple auf ein eigenes Sicherheitssystem setzt. Diese Uneinheitlichkeit kann bei den Nutzern Verwirrung und Unzufriedenheit verursachen.

Hinzu kommt noch, dass die Registrierung immer auf ein bestimmtes Gerät beschränkt ist. Für die Sicherheit ist das ein Vorteil. Es verursacht jedoch auch zusätzlichen Aufwand, wenn jedes einzelne Gerät, mit dem man auf einen bestimmten Dienst oder eine Plattform zugreifen will, zunächst registriert werden muss. Dieser zusätzliche Aufwand kann das Nutzererlebnis durchaus beeinträchtigen.

Doch ganz gleich, für welches Sicherheitskonzept sich Ihr Unternehmen letztlich entscheidet: Passwörter allein sind keine Option mehr. Da wir unsere persönlichen Daten zunehmend in der Cloud und in externen Datenbanken speichern, brauchen wir eigenständige und unangreifbare Sicherheitsmechanismen – und keine veralteten Methoden, die die Verantwortung für die Datensicherheit auf die Nutzer abwälzen. Wer sich für FIDO entscheidet, profitiert von einem globalen Standard, der von einigen der bedeutendsten Akteure der Tech-Branche entwickelt wurde, laufend überarbeitet und verbessert wird und an neue Bedrohungen und den technologischen Fortschritt angepasst wird.

 

Was ist FIDO?