FIDO – zehn Jahre Industriestandard für passwortlose Authentifizierung

2022 heisst es „10 Jahre FIDO“. Was hinter dem kryptischen Kürzel steckt, erfahren Sie in hier. Wir widmen dem Jubiläum einen Blogbeitrag.

Jul 19, 2022 - 3 Min.
Picture of: Sebastian Ulbert
Sebastian Ulbert

Schon wieder das Passwort für den Online-Account vergessen! Warum muss die Anmeldung bei vielen Online-Accounts eigentlich so umständlich sein? Kennen Sie diese Gedanken? Es wäre doch fantastisch-praktisch, wenn die Identifikation genauso einfach ginge wie die Entsperrung des Handys, also mit dem Fingerabdruck oder per Gesichtsscan. Genau das ist längst möglich – mit dem internationalen FIDO-Standard. Doch was steckt hinter dem kryptischen Kürzel? Wie funktioniert diese Technologie und besteht Hoffnung, dass FIDO in Zukunft den Login für viel mehr User vereinfacht, als es heute der Fall ist? In diesem Blogbeitrag zum 10-jährigen Jubiläum – 2022 heisst es „10 Jahre FIDO“ – erfahren Sie die Antwort. 

2012: Die Gründung der FIDO-Allianz

Die Anfänge von FIDO liegen schon ein Jahrzehnt zurück. Damals wurden bereits so viele Transaktionen weltweit online abgewickelt, dass die Entwicklung eines globalen Industriestandards für die Authentisierung gefragt war. Am besten sollte dieser bereits damals ohne Passwort auskommen. Mit diesem Ziel vor Augen taten sich im Jahr 2012 sechs Technologie-Spezialisten zusammen: PayPal, Lenovo, Nok Nok Labs, Validity Sensors, Infineon und Agnitio. Als nichtkommerzielle FIDO-Allianz begannen sie mit der Entwicklung des FIDO-Standards, der nun zunehmend Verbreitung findet. 

Kurz erklärt, steckt hinter FIDO (FIDO = Fast Identity Online) ein Industriestandard für die sichere, schnelle und einfache Authentisierung, also ein Authentication standard im Internet. Für mehr Sicherheit, Schnelligkeit und Usability ermöglicht er eine hardwaregestützte Authentisierung mittels Fingerabdruck oder Gesichtserkennung.

2014: FIDO1 geht an den Start 

Als erster Schritt auf dem Weg in die passwortfreie Zukunft veröffentlichte die FIDO-Allianz 2014 den ersten offenen Standard FIDO1. Er basiert auf: 

  • dem Netzwerkprotokoll für die passwortlose Authentisierung FIDO UAF (FIDO Universal Authentication Framework) und
  • FIDO U2F (FIDO Universal 2nd Factor) mit den Spezifikationen von Hard- und Software für die Two-Factor-Authentication, z.B. die Eingabe des Benutzernamens oder einer PIN in Kombination mit Gesichtserkennung oder Fingerabdruckscan.

Zu den bekannten Anwendungen gehört der Anmeldeprozess über Windows Hello im Betriebssystem Windows 10 von Microsoft. Dabei kommen schon Gesichts- oder Fingerabdruckerkennung und ein PIN für den Login zum Einsatz.

Im Jahr 2016 folgt der nächste Meilenstein: FIDO2

Mit FIDO2 geht 2016 nach FIDO UAF und FIDO U2F der dritte Standard aus der Arbeit der FIDO-Allianz hervor. Die Weiterentwicklung erfolgte in Zusammenarbeit mit dem W3C (World Wide Web Consortium). Dabei wurde auf den W3C-Web-Authentification-Standard (WebAuthn) und das Client to Authenticator Protocol (CTAP) der FIDO-Allianz gesetzt. Ein Ziel war es, die sichere FIDO-Authentifizierung standardmässig in allen Webbrowsern zu integrieren. 

So funktioniert FIDO2

Mit FIDO2 können User sich mittels verifizierter Hardware passwortlos gegenüber Webseiten zu identifizieren. Bei der Hardware kann es sich zum Beispiel um externe Tokens wie USB-Sticks handeln. Auch Smartphones mit speziellen Apps können als sogenannter Authentifizierer dienen und die Verifikation via Fingerabdrucksensor oder Gesichtsscan ermöglichen. Eine wichtige Rolle spielt dabei die asymmetrische Public/Private Key-Verschlüsselung. Bei der Registrierung werden zwei Schlüssel erstellt: der private Schlüssel (Private Key) und der öffentliche Schlüssel (Public Key). Während letzterer beim Anbieter liegt, befindet sich der private Schlüssel auf dem Gerät des Users. Beim Anmeldevorgang oder anderen Transaktionen werden der öffentliche und private Schlüssel abgeglichen. 

Die Vorteile von FIDO2 

Sicherheit:

Die kryptografischen Anmeldedaten sind für jede Website einzigartig, verlassen nie das Gerät des Nutzers und werden auf keinem Server gespeichert. Das minimiert das Risiko für Phishing und Passwortdiebstahl. 

Komfort:

Die User entsperren ihre Anmeldedaten auf mobilen Geräten mit den integrierten Fingerabdrucksensoren, der Kamera für den Gesichtsscan oder anderen einfach zu verwendenden FIDO2-Authentifizierern. 

Datenschutz:

Die FIDO-Schlüssel sind für jede Website einzigartig, so können sie nicht über verschiedene Websites hinweg verfolgt werden. 

Skalierbarkeit:

Schon die Ein-Faktor-Authentifizierung mittels FIDO2 ist in den meisten Fällen sicherer als die Passwort-Authentifizierung. Sind unterschiedliche Sicherheitsstufen erforderlich, sind unproblematische Anpassungen möglich, etwa mit der FIDO2-Multifaktor-Authentifizierung. 

Die neusten Versionen gängiger Betriebssysteme wie iOS, Android, Windows und macOS unterstützen FIDO2 bereits. 

Passwortfrei in die Zukunft

Heute gehören zur FIDO-Allianz global führende Unternehmen aus der Tech-Branche, darunter auch die Giganten Apple, Google und Microsoft. Sie verkündeten zuletzt im Mai eine Kooperation mit dem Ziel, die Möglichkeiten zur passwortfreien Anmeldung zu vereinfachen, und orientieren sich dabei an den Sicherheitsstandards der FIDO-Allianz. Imzuge dessen sind neue Funktionen in den Betriebssystemen geplant, die mit Updatesim Laufe des nächsten Jahres ausgeliefert werden sollen. Sobald es soweit ist, stehen die FIDO-Zugangsdaten, sogenannte Passkeys, den Usern automatisch auf mehreren Geräten zur Verfügung. Auch die Einbindung neuer Geräte soll künftig kein Problem mehr darstellen. Dafür werden beim Einrichten neben dem Backup oder den Einstellungen auch die Passkeys aus der Cloud an das neue Gerät weitergegeben. 

Die passwortlose, sichere Authentifizierung mittels FIDO2-Standard ist also das Gebot der Stunde. Online-Dienstleister und -Händler sollten sich jetzt überlegen, ob sie dem Vorbild der Big Player folgen und ihren Nutzern ebenfalls kennwortlose, sichere Anmelde-Prozesse bieten wollen. Damit vergessene Passwörter endlich Schnee von gestern sind.

 

Was ist FIDO?