Kontaktieren Sie uns
Partner Login
Kontaktieren Sie uns
Partner Login

Was ist FIDO und wie funktioniert es?

Die FIDO-Authentifizierung stützt sich auf Standard-Public-Key-Kryptographie, um eine Passwortanmeldung zu umgehen. Es gibt drei FIDO-Protokolle, von denen das neueste biometrische Daten integriert, um diese anspruchsvolle Aufgabe zu meistern.

FIDO-Alliance-tagline

FIDO (Fast Identity Online)

Mit wachsender Erkenntnis, dass Passwörter als Mittel zur Gewährleistung von Sicherheit unwirksam und veraltet sind, beschloss die 2013 gegründete FIDO-Allianz (Fast Identity Online), an einer neuen Lösung zu arbeiten. Unterstützt von den Big Five des Technologiesektors (MAMAA) wurde FIDO – ein offener, standardisierter Satz von Authentifizierungsprotokollen – mit dem Ziel entwickelt, Passwörter abzuschaffen. Seitdem gibt es drei wichtige FIDO-Standards: FIDO UAF, FIDO U2F und FIDO 2 (WebAuthN/CTAP2).

Bei der FIDO-Authentifizierung werden anstelle von Passwörtern Standard-Verschlüsselungstechniken mit öffentlichen Schlüsseln verwendet, um einen sichereren Authentifizierungsprozess zu ermöglichen. Dieser Ansatz bietet einen robusteren Schutz gegen Phishing-Angriffe und andere Versuche der Verletzung der Datensicherheit.

Vorteile von FIDO

  • Höhere Sicherheit: FIDO verwendet kryptografische Methoden zur Authentifizierung, die es Angreifern wesentlich schwerer machen, Benutzerkonten zu kompromittieren.
  • Anwenderfreundlichkeit: FIDO macht die Eingabe von Passwörtern überflüssig, so dass sich die Benutzer mit einer einfachen Berührung oder Geste anmelden können.
  • Interoperabilität: Die FIDO-Standards sind geräte- und plattformunabhängig und ermöglichen so eine nahtlose Authentifizierung über eine Vielzahl von Geräten und Diensten.
  • Bessere Benutzererfahrung: FIDO bietet ein bequemeres und benutzerfreundlicheres Authentifizierungserlebnis im Vergleich zu herkömmlichen Methoden wie Passwörtern.
  • Höhere Akzeptanz: Mit FIDO können Organisationen die Sicherheit ihrer Systeme verbessern und gleichzeitig eine bessere Benutzererfahrung bieten, was zu einer höheren Akzeptanz und Nutzung führt.

Wie funktioniert FIDO?

FIDO stützt sich auf Standard-Public-Key-Kryptographie, um die Passwortauthentifizierung zu ersetzen. Bei der Registrierung bei einem Online-Dienst erstellt das Benutzergerät (Mobiltelefon, Tablet usw.) ein sogenanntes Schlüsselpaar. Das Gerät selbst speichert den privaten Schlüssel, während der öffentliche Schlüssel bei dem jeweiligen Online-Dienst registriert wird.

Während des Registrierungsprozesses wählen die Benutzer die Authentifizierungsmethode entsprechend den technischen Möglichkeiten ihrer Geräte aus. Zu den Optionen gehören z. B. Fingerabdruck-Scan, Stimmerkennung, Gesichtserkennung oder PIN. Diese biometrischen Identifikatoren werden sicher auf dem Gerät des Benutzers gespeichert und niemals weitergegeben. In der Folge ist die Authentifizierung ein nahtloser Prozess. Das Benutzergerät weist den Besitz des privaten Schlüssels durch das Signieren einer Sicherheitsabfrage („Challenge“) nach. Der private Schlüssel wird durch die vom Benutzer ausgewählte Methode entsperrt, z. B. Fingerabdruck-Scan, Gesichtserkennung usw.

Die FIDO-Protokolle wurden unter Berücksichtigung des Benutzerdatenschutzes entwickelt. Sie geben keine Informationen über den Benutzer preis, die von Online-Diensten verwertet werden können, um das Verhalten und die Bewegungsmuster von Benutzern über verschiedene Dienste hinweg zu verfolgen.

Welche Arten von FIDO-Standards/-Protokollen gibt es?

Wie bereits erwähnt, hat die FIDO-Allianz seit 2013 drei Standards entwickelt, von denen jeder – abhängig von der Umsetzung – bestimmte Vor- und Nachteile hat. Im Folgenden schauen wir uns die verschiedenen Protokolle genauer an.

Universal Second Factor (U2F)

Anstatt das Passwort vollständig zu ersetzen, arbeitet das FIDO U2F-Protokoll nebenher, indem es die Benutzer auffordert, zwei Faktoren zur Verifizierung ihrer Identitäten anzugeben:

  • Etwas, das sie wissen: z. B. einen Benutzernamen und ein Passwort
  • Etwas, das sie besitzen: z. B. einen registrierten Anhänger oder Sicherheitsschlüssel (z. B. YubiKeys), die auch als U2F-Authentifizierungstoken bekannt sind. Für die Authentifizierung können die Benutzer auf USB-, NFC- (Nahfeldkommunikation) oder Bluetooth-Technologie zurückgreifen.

Sobald der Sicherheitsschlüssel oder das Token aktiviert wurde (oft durch Drücken einer Taste auf dem Gerät), interagiert der Browser direkt mit dem Gerät, um den Zugang zum Online-Dienst zu ermöglichen.

Universal Authentication Framework (UAF)

Im Gegensatz dazu ermöglicht das FIDO UAF-Protokoll eine passwortfreie Anmeldung und bietet gleichzeitig eine Multi-Faktor-Anmeldeoption (MFA) für zusätzliche Sicherheit.  Ursprünglich wurde das Protokoll mit Blick auf die Authentifikatoren von Mobiltelefonen (Touch ID, Face ID) entwickelt. Dies ist die häufigste Authentifizierungsmethode im Finanzsektor in den Vereinigten Staaten und Europa.

Benutzer, die auf UAF (dt. universelles Rahmenwerk zur Authentifizierung) setzen, benötigen einen Computer, ein Smartphone usw., mit dem sie sich beim Online-Dienst anmelden können. Bei der Registrierung wählen die Benutzer eine Authentifizierungsmethode aus. Je nach Gerät bietet der Diensteanbieter eine Liste möglicher Optionen an, z. B. Gesichts- oder Stimmerkennung, Fingerabdruck-Scan oder eine PIN. Für die MFA-Anmeldung erfordert der Authentifizierungsprozess lediglich mehr als eine dieser Optionen. Sobald ein Benutzer registriert ist, kann er sich nicht mehr mit einem Passwort anmelden.

FIDO2

FIDO2 basiert auf zwei offenen Standards: dem FIDO Client-to-Authenticator-Protokoll (CTAP) und dem bereits erwähnten W3C-Standard WebAuthn (d. h. der Web-Authentifizierungsspezifikation des World Wide Web Consortium – W3C). Zusammen ermöglichen diese Standards die passwortfreie Authentifizierung oder die Zwei-Faktor-Authentifizierung (2FA) und MFA. Sie stützen sich manchmal auch auf eingebettete Authentifikatoren wie biometrische Indikatoren oder Hardware-Authentifikatoren (z. B. Anhänger oder Sicherheitsschlüssel). FIDO2 stützt sich auf folgende Spezifikationen:

  • WebAuthn bietet eine Schnittstelle für das Erstellen und Verwalten von Berechtigungsnachweisen mit öffentlichem Schlüssel, indem es eine Standard-Web-API definiert, die in Plattformen und Browsern integriert ist. WebAuthn ist in der Lage, mit allen CTAP-Authentifikatoren zu kommunizieren.
  • CTAP1 bietet den Benutzern eine 2FA-Erfahrung. Dazu werden Sicherheitsgeräte (NFC-Reader oder Plug-in-Schlüssel/Anhänger) für den Zugriff auf Online-Dienste benötigt.
  • CTAP2 ermöglicht es, den Authentifikator sowohl als ersten als auch als zweiten Authentifizierungsfaktor zu verwenden, wodurch passwortfreie, 2FA- und MFA-Authentifizierung gleichermassen ermöglicht werden.

 

Nevis Produkte für FIDO

FAQ zu FIDO

Wer unterstützt FIDO?

orange-plus orange-minus

FIDO wird von einer breiten Allianz von Unternehmen und Organisationen unterstützt, darunter Google, Microsoft, PayPal, Visa, Mastercard, Samsung und viele andere. Ausserdem gibt es eine FIDO-Allianz, die sich der Förderung und Unterstützung des FIDO-Standards widmet. 

Wo wird FIDO eingesetzt?

orange-plus orange-minus

FIDO wird in verschiedenen Anwendungen eingesetzt, einschliesslich der Authentifizierung bei Online-Diensten, mobilen Anwendungen, Zahlungssystemen und Unternehmensanwendungen. Es wird auch in bestimmten Branchen wie dem Gesundheitswesen, der Bildung und der Regierung eingesetzt.

Ist FIDO sicher?

orange-plus orange-minus

FIDO ist ein sicherer Standard, der auf modernen Verschlüsselungstechnologien basiert. Die Verwendung von biometrischen Daten oder Hardware-Sicherheitsschlüsseln kann die Sicherheit weiter erhöhen, da sie schwerer zu stehlen oder zu kopieren sind als herkömmliche Passwörter.

Weitere Vorteile des FIDO-Authentifizierungsstandards haben wir in folgendem Blog für Sie zusammengefasst.

Welche Authentifizierungsmethoden werden von FIDO2 unterstützt?

orange-plus orange-minus

FIDO2 unterstützt mehrere Authentifizierungsmethoden, darunter biometrische Faktoren wie Fingerabdrücke oder Gesichtserkennung, Sicherheitsschlüssel und Passwörter.