FIDO2

FIDO2 ist ein offener Authentifizierungsstandard, der passwortlose Logins durch den Einsatz von kryptografischen Sicherheitsschlüsseln (z.B. Passkeys) oder biometrischen Verfahren ermöglicht.

26. Aug 202512 min Lesezeit

Schaut man sich das Thema Passwörter von der Sicherheitsseite her an, muss man feststellen, dass Passwörter sich eigentlich längst überlebt haben. Denn sie werden wiederverwendet und gerne vergessen, zum Merken auf Haftnotizen geschrieben und auch regelmäßig weitergegeben. Alles Handlungen, die gegen eine sichere Nutzung sprechen würden. Und dennoch sind sie für die meisten Systeme nach wie vor die Standardlösung.

FIDO2 bietet einen Ausweg – nicht durch schrittweise Verbesserungen, sondern durch die vollständige Abschaffung von Passwörtern. Das Verfahren basiert auf Public-Key-Kryptografie, bindet Anmeldedaten an Geräte und stellt sicher, dass keine gemeinsamen Geheimnisse über das Netzwerk übertragen werden. In der Praxis bedeutet dies Phishing-Resistenz, weniger Angriffsflächen und weniger Support-Anfragen wegen “nicht funktionierender Reset-Links”.

Dieser Glossareintrag befasst sich näher damit, wie FIDO2 das Passwort ersetzt – und nicht nur ergänzt. Dabei ist FIDO2 keine Theorie, keine Zukunftstechnologie, sondern eine längst überfällige intelligentere Standardlösung.

Passwortlose Authentifizierung über FIDO2

In einer Zeit, in der Passwort-gesicherte Online-Konten und Systeme immer wieder das Ziel von Brute-Force-, Passwort-Spraying und Credential-Stuffing-Angriffen werden, gewinnt die Idee einer passwortlosen Anmeldung zunehmend an Bedeutung. Lösungen, die ohne die Kombination aus Klein-, und Großbuchstaben, Zahlen und Sonderzeichen auskommen, stehen dafür bereit. Darüber hinaus führt das Festhalten an schlechten Nutzergewohnheiten dazu, dass immer wieder Passwörter für mehrere Konten wiederverwendet werden. So steigt das Risiko von Sicherheitsverletzungen. Daher verabschieden sich immer mehr IT-Experten von der Benutzung von Passwörtern.

Die Einführung des FIDO-Standards (Fast Identity Online) war ein entscheidender Moment in der Entwicklung von Authentifizierungsmethoden. FIDO und seine nachfolgende Version FIDO2 hatten zum Ziel, die Abhängigkeit von Passwörtern vollständig zu beseitigen. Durch Verwendung offener Standards und durch Nutzung der Public-Key-Kryptografie ermöglicht FIDO2 eine sichere und bequeme Authentifizierung ohne Passwörter. Dies stellt einen Paradigmenwechsel in der digitalen Sicherheit dar und bietet eine robuste Lösung, die die Schwächen herkömmlicher Authentifizierungsmethoden behebt. Die Fähigkeit von FIDO2, eine starke, passwortlose Authentifizierung zu bieten, hat das Potenzial, die Art und Weise, wie wir unsere Online-Interaktionen sichern, zu revolutionieren. Speziell auch für kleine und mittlerer Unternehmen (KMU) stellt dies eine zukunftsweisende Methode dar, um Mitarbeiterzugänge, Geschäftsanwendungen oder Kundenschnittstellen effektiver zu schützen und gleichzeitig den Anwenderkomfort zu erhöhen.

Was ist FIDO2?

Das von der FIDO Alliance gemeinsam mit dem World Wide Web Consortium (W3C) entwickelte FIDO2 ist ein Bündel von technischen Vorgaben, um einen offenen Standard für passwortlose Authentifizierung zu etablieren. Im Wesentlichen besteht der FIDO2 Standard aus zwei Teilen, die gemeinsam eine nahtlose, starke Authentifizierung über ein breites Spektrum von Geräten und Plattformen sicherstellen:

  1. WebAuthn (Web Authentication API): Eine Programmierschnittstelle (API), die Browser und Webanwendungen verwenden, um eine passwortlose Anmeldung zu ermöglichen. Es bietet eine standardisierte Möglichkeit für Browser und andere Nutzer Agenten mit Authentifikatoren wie Sicherheitsschlüsseln, biometrischen Sensoren und Mobilgeräten unter Verwendung von Public-Key-Kryptografie zu interagieren. Diese Interoperabilität gewährleistet, dass FIDO2 in verschiedenen Umgebungen breit eingesetzt und implementiert werden kann.
  2. CTAP (Client to Authenticator Protocol): Ein Kommunikationsprotokoll, das die Interaktion zwischen einem Client (z.B. Browser, Betriebssystem) und einem FIDO2-Authenticator (z.B. Hardware-Token) regelt. CTAP ermöglicht Authentifizierungsgeräten die Interaktion mit dem Gerät des Benutzers und sorgt so für eine sichere und benutzerfreundliche Authentifizierung. Die gängigste Implementierung von CTAP ist CTAP2, das eine Vielzahl von Authentifizierungsgeräten unterstützt, darunter USB-Sicherheitsschlüssel, NFC-Geräte und Bluetooth-fähige Geräte (z. B. BLE oder Bluetooth Low Energy).

Gemeinsam erlauben diese Komponenten eine starke, kryptografisch abgesicherte passwortlose Authentifizierung bei der der Nutzer statt eines Passworts einen physischen Schlüssel, ein Smartphone oder eingebaute biometrische Authentifizierungsverfahren nutzt. Der Standard ist quelloffen, herstellerunabhängig und wird mittlerweile von den meisten Browsern (inklusive Google Chrome, Mozilla Firefox, Microsoft Edge und Apple Safari) und Betriebssystemen unterstützt.

Wie funktioniert FIDO2?

Um besser verstehen zu können, wie FIDO2 seinen hohen Sicherheitsstandard und seine Nutzerfreundlichkeit erreicht, müssen wir uns mit der technischen Seite seiner Funktionsweise beschäftigen. Im Kern nutzt FIDO2 die asymmetrische Kryptografie (Challenge-Response-Verfahren), um Anmeldedaten sicher zu verarbeiten. Doch bevor man sich bequem ohne klassische Passwörter authentifizieren kann, muss eine Ersteinrichtung erfolgen.

Registrierung (Einrichtung)

Bei der Registrierung generiert der Authentifikator ein neues Schlüsselpaar (öffentlichen und privaten Schlüssel) und speichert den privaten Schlüssel sicher. Der öffentliche Schlüssel wird dann an den Dienst gesendet und mit dem Konto des Benutzers verknüpft.

Der Nutzer muss diese Einrichtung mittels PIN, Fingerabdruck oder Knopfdruck am Sicherheitsschlüssel einmalig bestätigen.

Authentifizierung

Bei jeder nachfolgenden Authentifizierung generiert der Dienst eine zufällige Abfrage und sendet diese über seinen Server an das Gerät des Benutzers und den zugehörigen Client. Das Gerät leitet diese Abfrage dann an den Authentifikator weiter. Der Authentfikator signiert die Challenge mit dem privaten Schlüssel nachdem der Nutzer die Aktion durch eine Interaktion (z.B. durch Eingabe der Geräte-PIN oder mittels Biometrie) bestätigt hat.

Die signierte Challenge wird zurück an den Server geschickt und dort mit dem bei der Einrichtung hinterlegten öffentlichen Schlüssel verifiziert. Nach der erfolgreichen Verifizierung wird der Zugang gewährt.

Dieses Vorgehen stellt sicher, dass der private Schlüssel niemals das Gerät verlässt und selbst bei einem Angriff auf den Server, keine Anmeldedaten kompromittiert werden können. Darüber hinaus bedeutet die Verwendung eines eindeutigen Schlüsselpaars für jede Anwendung, dass selbst bei Kompromittierung eines Dienstes die Sicherheit der anderen Dienste weiterhin gewährleistet ist.

Was ist ein FIDO2-Authenticator?

Ein FIDO2-Authenticator ist ein Gerät oder eine Software, die den FIDO2-Standard für den passwortlosen Login unterstützt. Dieses Tool generiert und speichert die kryptografischen Schlüssel und ermöglichen den Zugang zu Konten ohne Eingabe von Passwörtern. Es gibt sie in verschiedenen Formen.

Biometrische Authentifizierung

Die beliebteste Methode, um die Passkey Technologie zu nutzen ist die biometrische Authentifizierung. Diese ermöglicht dem Nutzer den Login durch Verifikation eines biometrischen Merkmals wie Scannen eines Fingerabdrucks oder Gesichts. Viele Mobiltelefone und moderne Laptops bieten diese schnelle, sichere und praktische Option.

Bildschirmsperre

Auf Geräten ohne biometrische Sensoren können sich Nutzer mit einem gerätespezifischen PIN (auch Passwort) oder durch Eingabe eines Wischmusters authentifizieren, um auf ihre Konten zuzugreifen. Viele ältere, mobile Geräte ohne integrierte biometrische Funktionen basieren auf dieser Logik. Dennoch bietet sie einen sicheren und zugänglichen Authentifizierungsprozess.

Physische FIDO2 Sicherheitsschlüssel

Hardware-Token oder FIDO2-Sicherheitsschlüssel (FIDO2-key), sind physische externe Geräte. Diese werden über USB, NFC oder Bluetooth an das entsprechende Endgerät angeschlossen und ermöglichen den passwortlosen Login. Bekanntes Beispiel sind die YubiKeys. Die Besitzer von Sicherheitsschlüsseln authentifizieren sich, indem sie den Schlüssel in das Gerät einstecken oder auf dem Schlüssel eine Taste drücken, oft in Kombination mit einer PIN für zusätzlichen Schutz. Einige Schlüssel verfügen sogar über biometrische Sensoren (z.B. Fingerabdrucksensor), die die Sicherheit der Hardware-Authentifizierung mit dem Komfort von Biometrie kombinieren.

Wie FIDO2 die Sicherheit und Benutzerfreundlichkeit verbessert

FIDO2 verbessert die Sicherheit erheblich, indem es viele der gängigen Schwachstellen herkömmlicher Authentifizierungsmethoden behebt. Neben den reinen Sicherheitsaspekten gibt es aber auch viele positive Argumente in den Bereichen Lösungsintegration in bestehende Systeme oder Nutzerfreundlichkeit. Die wichtigsten Merkmale sind:

Zusammenfassend lässt sich sagen, dass die Kombination aus robuster Sicherheit und benutzerfreundlichen Authentifizierungsmethoden FIDO2 zu einer überzeugenden Wahl für Unternehmen macht, die ihre Sicherheitslage verbessern und gleichzeitig eine positive Benutzererfahrung bieten möchten.

Welche Vorteile bietet FIDO2 gegenüber der Authentifizierung mit Passwort?

Die Vorteile von FIDO2 gegenüber herkömmlichen Passwörtern sind vielfältig und betreffen sowohl Sicherheitsaspekte als auch die Benutzerfreundlichkeit. Einer der wichtigsten Vorteile ist die Beseitigung von Schwachstellen im Zusammenhang mit Passwörtern. Passwörter sind anfällig für verschiedene Angriffe, darunter Phishing, Passwort-Erraten und Credential Stuffing. Durch die Verwendung von Public-Key-Kryptografie stellt FIDO2 sicher, dass keine gemeinsamen Geheimnisse gestohlen oder wiederverwendet werden können, wodurch diese Risiken wirksam gemindert werden.

Darüber hinaus drehen sich viele IT-Tickets in Unternehmen um vergessene Passwörter, die oftmals noch manuell zurückgesetzt werden müssen. Mitarbeiter melden sich per Sicherheitsschlüssel (FIDO2-key) an und benötigen so keine Passwortzurücksetzung mehr.

Aus Sicht der Nutzer bietet FIDO2 eine nahtlose und bequeme Authentifizierung. Nutzer müssen sich keine komplexen Passwörter mehr merken oder mehrere Sätze von Anmeldedaten verwalten. Stattdessen können sie sich mit intuitiven Methoden wie Biometrie oder Sicherheitsschlüsseln authentifizieren. Dies vereinfacht nicht nur den Anmeldeprozess, sondern verringert auch die Wahrscheinlichkeit von Nutzerfehlern, wie der Verwendung schwacher Passwörter oder dem Hereinfallen auf Phishing-Betrug. Das Ergebnis ist eine sicherere und benutzerfreundlichere Authentifizierung.

FIDO2 bietet außerdem Skalierbarkeit und Flexibilität für Unternehmen und Dienstleister. Durch die Implementierung von FIDO2 können die mit der Passwortverwaltung verbundenen Kosten, wie z. B. Passwortzurücksetzungen und Supportanrufe, reduziert werden. Darüber hinaus ermöglicht die Unterstützung verschiedener Authentifikatoren durch FIDO2 Unternehmen die Auswahl der Authentifizierungsmethoden, die ihren Sicherheits- und Usability-Anforderungen am besten entsprechen. Diese Anpassungsfähigkeit macht FIDO2 zu einer attraktiven Lösung für eine Vielzahl von Anwendungen, von Unternehmensumgebungen bis hin zu Applikationen im privaten Bereich.

Zudem lässt sich FIDO2 einfach in bestehende Systeme integrieren. Viele Webdienste und Identity‑Provider wie z.B. Engity unterstützen WebAuthn bereits out‑of‑the‑box. Für Inhouse-Anwendungen gibt es Bibliotheken und Plug‑ins.

In Branchen mit hohen Compliance‑Anforderungen wie Finanzdienstleistungen oder beim Gesundheitswesen kann FIDO2 besonders durch seine modernen Sicherheitsstandards punkten und so einen Wettbewerbsvorteil darstellen.

Herausforderungen und Überlegungen bei der Implementierung von FIDO2

FIDO2 bietet zwar zahlreiche Vorteile, aber es gibt auch Herausforderungen und Überlegungen, die Unternehmen bei der Implementierung dieser Technologie berücksichtigen sollten. Eine der größten Herausforderungen ist die Gewährleistung der Kompatibilität mit bestehenden Systemen und Infrastrukturen. Unternehmen müssen ihre Anwendungen und Dienste regelmäßig aktualisieren, um die FIDO2-Authentifizierung zu unterstützen. Dies kann die Anpassung von Webanwendungen zur Integration der WebAuthn-API und die Sicherstellung der ordnungsgemäßen Unterstützung von Authentifikatoren umfassen.

Die Aufklärung und Sensibilisierung der Benutzer sind ebenfalls entscheidende Faktoren für die erfolgreiche Einführung von FIDO2. Benutzer müssen die Vorteile der passwortlosen Authentifizierung verstehen und wissen, wie sie FIDO2-Authentifikatoren effektiv einsetzen können. Unternehmen müssen möglicherweise Schulungen und Ressourcen bereitstellen, um Benutzern den Übergang von herkömmlichen passwortbasierten Systemen zu FIDO2 zu erleichtern. Darüber hinaus kann es für Benutzer, die mit biometrischer Authentifizierung oder Sicherheitsschlüsseln nicht vertraut sind, eine gewisse Einarbeitungszeit geben.

Für den Nutzer bedeutet das, dass er zur Authentifizierung immer Zugriff auf den Authentifikator benötigt, der sich in der Regel auf dem Smartphone befindet.

Ein weiterer zu berücksichtigender Aspekt sind die Kosten und die Logistik für die Bereitstellung von FIDO2-Authentifikatoren. Zwar verfügen viele moderne Geräte wie Smartphones und Laptops über integrierte biometrische Sensoren, doch benötigen einige Benutzer möglicherweise externe Sicherheitsschlüssel (z. B. Yubikeys). Unternehmen müssen die Kosten für die Bereitstellung von Firmen-Smartphones (sofern noch nicht vorhanden) oder anderen Hardware-Token für Benutzer evaluieren und sicherstellen, dass diese verfügbar und zugänglich sind. Darüber hinaus können regulatorische und Compliance-Aspekte zu berücksichtigen sein, insbesondere in Branchen wie dem Finanz- und Gesundheitswesen, in denen Datensicherheit und Datenschutz von größter Bedeutung sind.

Erste Schritte mit FIDO2

Für Unternehmen, die FIDO2 implementieren möchten, besteht der erste Schritt darin, ihre aktuellen Authentifizierungsmethoden zu bewerten und Verbesserungsmöglichkeiten zu identifizieren. Dazu müssen die Sicherheit und Benutzerfreundlichkeit bestehender Systeme bewertet werden und es muss ermittelt werden, wie FIDO2 etwaige Mängel beheben kann. Unternehmen sollten auch die spezifischen Anforderungen und Präferenzen ihrer Benutzer berücksichtigen, da diese die Wahl der Authentifikatoren und Authentifizierungsmethoden beeinflussen.

Nach Abschluss der Bewertung können Unternehmen mit der Integration von FIDO2 in ihre Anwendungen und Dienste beginnen. Dazu gehört die Implementierung der WebAuthn-API in Webanwendungen und die Sicherstellung der Kompatibilität mit verschiedenen Authentifikatoren. Unternehmen müssen möglicherweise mit Entwicklern und IT-Teams zusammenarbeiten, um ihre Systeme zu aktualisieren und sicherzustellen, dass FIDO2 ordnungsgemäß unterstützt wird. Darüber hinaus ist es wichtig, gründliche Tests durchzuführen, um sicherzustellen, dass die Integration nahtlos funktioniert und sich Benutzer ohne Probleme authentifizieren können.

Um die Benutzerakzeptanz zu erleichtern, sollten Unternehmen klare Anweisungen und Trainings-Ressourcen zur Verwendung von FIDO2-Authentifikatoren bereitstellen. Dazu können die Erstellung von Benutzerhandbüchern, die Durchführung von Schulungen und die Bereitstellung von Support bei Fragen oder Problemen gehören. Kommunikation ist der Schlüssel zu einer reibungslosen Umstellung und Unternehmen sollten die Vorteile von FIDO2, wie z. B. erhöhte Sicherheit und Komfort, hervorheben.

Fazit: Die Zukunft der sicheren Authentifizierung über FIDO2 hinaus

Wenn wir in die Zukunft der sicheren Authentifizierung blicken, wird deutlich, dass FIDO2 einen bedeutenden Schritt nach vorne darstellt. Durch den Verzicht auf Passwörter und die Nutzung starker kryptografischer Verfahren bietet FIDO2 eine robuste und benutzerfreundliche Lösung für die Herausforderungen der digitalen Sicherheit. Die Entwicklung der Authentifizierungsmethoden ist jedoch mit FIDO2 noch nicht abgeschlossen. Mit dem Fortschritt der Technologie sind weitere Innovationen zu erwarten, die auf der Grundlage von FIDO2 aufbauen werden.

Ein potenzieller Entwicklungsbereich ist die Integration von FIDO2 in neue Technologien wie Blockchain und dezentrale Identitätsdienste. Diese Technologien haben das Potenzial, die Sicherheit und den Datenschutz von Authentifizierungssystemen weiter zu verbessern, indem sie zusätzliche Schutzebenen bieten und sicherstellen, dass Nutzer mehr Kontrolle über ihre Daten haben. Darüber hinaus können Fortschritte in der biometrischen Authentifizierung, wie verbesserte Gesichtserkennung und Verhaltensbiometrie, noch sicherere und bequemere Authentifizierungsmethoden ermöglichen.

Die Zukunft der sicheren Authentifizierung wird auch durch die wachsende Bedeutung benutzerorientierter Ansätze geprägt sein. Diese Entwicklung wird auf Unternehmen den nötigen Druck ausüben, um Authentifizierungssysteme nicht nur effektiv, sondern auch immer benutzerfreundlicher zu machen. Durch kontinuierliche Innovation und Anpassung können wir eine Zukunft erreichen, in der sichere Authentifizierung nahtlos, intuitiv und für alle zugänglich ist.

Zusammenfassend lässt sich sagen, dass FIDO2 die passwortlose Authentifizierung revolutioniert, indem es eine sichere, bequeme und skalierbare Lösung für die Herausforderungen der digitalen Sicherheit bietet. Die Verwendung von Public-Key-Kryptografie, die Unterstützung verschiedener Authentifikatoren und die Fokussierung auf die Benutzererfahrung machen es zu einer überzeugenden Wahl für Unternehmen und Benutzer gleichermaßen. Zwar gibt es noch Herausforderungen zu bewältigen, doch die Vorteile von FIDO2 liegen auf der Hand, und seine Verbreitung dürfte weiter zunehmen. Mit Blick auf die Zukunft werden die von FIDO2 inspirierten Fortschritte und Innovationen den Weg für noch sicherere und benutzerfreundlichere Authentifizierungsmethoden ebnen und dafür sorgen, dass unsere digitalen Interaktionen sicher und geschützt bleiben.