Wie macht FIDO unser Online-Leben einfacher und sicherer?

Passwörter bieten im Internet keine Sicherheit. Lesen Sie, wie FIDO-Standards die Login-Erfahrung verbessern.

Jul 8, 2021 - 3 Min.
Picture of: Alina Fill
Alina Fill

Jeder von uns kennt es: Man möchte schnell im Web ein bestimmtes Produkt kaufen, das man sich schon lange wünscht. Und jetzt ist es endlich zu einem erschwinglichen Preis verfügbar! Doch nur in einem Webshop, den man vorher noch nie besucht hat. Wer plant, dort öfter zu bestellen, wird vielleicht nicht den Gastzugang wählen, sondern ein neues Benutzerkonto anlegen und ein Passwort für das Login vergeben. Später möchte man seinen Kauf nochmal prüfen – und hat das Passwort für den Zugriff auf die eigenen Benutzerinformationen schon wieder vergessen! Andere umgehen dieses Problem, indem sie ein und dasselbe Passwort, das sie sich gut merken können, für mehrere Benutzerkonten verwenden. Diese Bequemlichkeit steigert aber auch die Gefahr, dass Cyber-Kriminelle an vertrauliche Daten von Usern und Unternehmen gelangen können, um diese für ihre Zwecke zu missbrauchen. 

Zudem erledigen wir mittlerweile immer mehr Einkäufe, Transaktionen oder Bankgeschäfte mit dem Smartphone. Dort ist das umständliche Eintippen komplizierter Passwörter noch lästiger als auf dem Desktop-PC. Das hindert uns vielleicht sogar daran, ein Portal zu besuchen und lässt uns manchen Kaufvorgang entnervt abbrechen. 

Erstmals lassen sich IT-Sicherheit und Usability optimal miteinander verbinden

Doch jetzt sind es die Smartphones, die uns erstmals eine ebenso clevere wie sichere Lösung für das oben beschriebene Dilemma bieten: Mit ihnen ist es möglich, biometrische Merkmale wie Gesichtserkennung oder einen Fingerabdruckscan zu nutzen, um sich online eindeutig zu authentisieren. Beide Verfahren sind kaum zu überlisten – denn die dafür erforderlichen Daten verlassen das Mobilgerät nie und lassen sich nicht manipulieren. Nicht einmal die Authentisierungs-Anwendung hat Zugriff darauf. Werden biometrische Merkmale im Rahmen der Two-Factor-Authentication (2FA) oder Multi-Factor-Authentication (MFA) genutzt, haben Kriminelle praktisch keine Chance, das entsprechende Benutzerkonto zu knacken.

Der globale, offene FIDO-Standard trägt zusätzlich dazu bei, dass wir uns beim Einloggen Passwörter künftig immer häufiger sparen können …

Die Gründung der FIDO-Allianz: Globale Transaktionen erfordern globale Sicherheitsstandards

Nachdem via Internet die Welt zusammengewachsen ist und wir viele Transaktionen weit über nationale Ländergrenzen hinweg abwickeln – sei es beim Shopping oder der Hinterlegung unserer Kreditkarten-Daten auf ausländischen Portalen, bei der bargeldlosen Zahlung im Urlaub oder auf Geschäftsreisen – ist es notwendig geworden, internationale Industriestandards für die weltweite Authentisierung im Internet zu entwickeln. Deshalb gründete man im Jahr 2012 die FIDO-Allianz (FIDO = Fast Identity Online) als nichtkommerzielle Organisation. 

FIDO1.0 schafft die Grundlagen für die einfache und sichere passwortlose Authentisierung

Bereits im Dezember 2014 veröffentlichte die Allianz den ersten offenen Standard FIDO v1.0. Dieser basiert auf zwei Protokollen:

  • FIDO U2F (Universal Second Factor) mit den Spezifikationen von Hard- und Software für die Two-Factor-Authentication, z. B. der Eingabe des Benutzernamens oder eines PINs in Verbindung mit Gesichtserkennung oder Fingerabdruckscan 
  • FIDO UAF (Universal Authentication Framework) als Netzwerkprotokoll für die passwortlose Authentisierung 

Damit sollte der FIDO-Standard weltweit ermöglichen, sich beispielsweise auf seinem Smartphone oder Laptop schnell, bequem und sicher passwortlos im Internet zu authentisieren. Eine bekannte Anwendung des FIDO-Standards ist etwa der Anmeldeprozess bei Windows 10 über Windows Hello: Hier kommen Gesichts- oder Fingerabdruckerkennung und ein PIN zum Einsatz, um sich sicher einzuloggen.

FIDO2 – noch mehr Komfort und Sicherheit

Beim FIDO2-Standard, der von der FIDO-Allianz in Zusammenarbeit mit dem W3C (World Wide Web Consortium) entwickelt wurde, setzt man auf den W3C-Web-Authentification-Standard (WebAuthn) und das Client to Authenticator Protocol (CTAP) der FIDO-Allianz. Dabei nutzt man gezielt die Vorteile, die die Technik moderner PCs und Mobilgeräte heute für die Authentisierung bieten: Theoretisch reicht die Eingabe des Benutzernamens oder der Mailadresse. Mit Hilfe eines externen Sicherheitsschlüssels in einem Dongle oder Token oder über den im Gerät verbauten Krypto- oder TPM-Chip (Trusted Platform Module) wird nun ermittelt, ob der Benutzer tatsächlich berechtigt ist, auf die gewünschten Online-Daten zuzugreifen. Der geheime Security Key im Token oder auf dem TPM-Chip lässt sich weder auslesen noch entschlüsseln oder kopieren und ist damit absolut sicher.

Heute unterstützen die verbreiteten Betriebssysteme Windows (ab Win 10), iOS (ab iOS 13) und Android (ab Android 7) bereits von Haus aus den FIDO2-Standard, ebenso die Webbrowser Chrome, Edge und Firefox.

Für Komfort und Sicherheit: Nevis setzt auf FIDO

Nevis bietet eine passwortfreie Login-Erfahrung, um Komfort und Sicherheit im Internet optimal miteinander zu kombinieren. Dabei kommen die Technologien für Gesichts- und Fingerabdruckerkennung zum Einsatz, über die die meisten modernen Mobilgeräte heute bereits verfügen. Während des Login-Vorgangs wird in der Nevis Authentication-Cloud-Instanz für die Benutzeridentität ein Code generiert. Dieser authentisiert den Benutzer in Verbindung mit seinen biometrischen Merkmalen. Durch die Kopplung des privaten Schlüssels auf dem Krypto-Chip im Gerät des Nutzers mit dem öffentlichen Schlüssel auf dem Server kann eine passwortlose Anmeldung im FIDO-Standard von Nevis realisiert werden.

Fazit: FIDO wird die Login-Erfahrung nachhaltig verändern

Passwörter gehören definitiv der Vergangenheit an. Sie sind nicht nur unpraktisch und lästig, sondern auch ziemlich unsicher. Die FIDO-Standards bieten hier eine willkommene Lösung: Sie verbinden maximalen User-Komfort mit einem Höchstmass an Sicherheit. Cyber-Kriminellen wird es damit fast unmöglich gemacht, sich unbefugten Zugriff auf sensible Daten zu verschaffen. Und User in aller Welt atmen auf, weil sie sich keine Passwörter mehr merken müssen.

 

Was ist FIDO?