NET 5/2022

11 www.net-im-web.de 5/22 Neuer Sicherheitsstandard verifiziert werden, um das Anmeldever- fahren zu verschlüsseln. Nutzer, die sich bei einemOnlineservice, der FIDO2 nutzt, registrieren, erzeugen dabei auf ihrem ge- nutzten Gerät ein Schlüsselpaar – einen privaten und einen öffentlichen FIDO2-Key (siehe Grafik). Der private Schlüssel bleibt auf dem Gerät der Registrierung gespeichert, der öffentliche Schlüssel hingegen wird in der Schlüsseldatenbank des Webservices registriert. Möchten sich Nutzer nun au- thentifizieren, gelingt dies nur, wenn der private Schlüssel nachgewiesen werden kann. „Dafür stehen verschiedene Verfahren zur Verfügung. PINs können eingegeben, Buttons gedrückt werden, Spracheingaben sind möglich oder eine Mehrfaktor-Hard- ware wie der FIDO2-Token ist denkbar. Außerdem sind immer mehr Betriebssys- teme – darunter Android in aktuellen Ver- sionen sowie Windows ab Version 10 – in der Lage, ebenfalls als Sicherheits-Token zu fungieren“, weiß die IT-Sicherheits- expertin. Die WebAuthn-API übernimmt die Kommunikation zwischen Server und Client, das CTAP-Protokoll die zwischen Client und Authenticator. Faktoren, die der Authenticator verwendet – seien es PINs, biometrische Merkmale oderWissen – verlassen das lokale Endgerät während des gesamten Authentifizierungsvorgangs nicht. „Dank standardmäßig verschlüs- seltem Login lässt sich bei FIDO2 ein Anmeldevorgang somit nur mit dem zuvor registrierten Gerät entsperren, wodurch ein deutlich höheres Sicherheitslevel er- reicht wird. Gleichzeitig lässt FIDO2 den Nutzerkomfort steigen, denn verschiedene Passwörter werden genauso unnötig wie die Eingabe der Passwörter selbst. Es genügt – je nach gewählter Option – einKlick auf einen Button, das Einstecken des Hardware-To- kens oder eine Spracheingabe“, fasst Schrenk dieVorteile des Sicherheitsstandards FIDO2 zusammen und verweist darauf, dass sogar Phishing – eine der häufigsten Angriffsme- thoden derzeit – vorgebeugt wird: „Selbst wenn Kriminelle in Kenntnis des Passworts gelangen sollten, bleibt ihnen der Zugang zu FIDO2-geschützten Konten aufgrund mehrerer Faktoren verwehrt. Noch in den Kinderschuhen Noch steckt FIDO2 allerdings in den Kinderschuhen. Es existieren bislang nur wenige Webservices, die FIDO2-Authen- tifizierungen anbieten – die Grundvoraus- setzung für die Nutzung. Da allerdings FIDO2 ein offener Standard ist, lässt sich das Verfahren recht simpel in Soft- und Hardware implementieren. „Wenn pass- wortfreie Logins möglich sind, entstehen Kosten für die externen Sicherheits-Token. Das ist insbesondere für Unternehmen relevant, in denen alle Mitarbeiter separate Sicherheitsschlüssel benötigen“, gibt Patryc- ja Schrenk zu bedenken. Hinzu kommt: Wenn ein Passwort wegfällt, müssen im Rahmen der Multifaktor-Authentifizierung ergänzende Komponenten implementiert werden. Nutzer, die sich mehrmals täglich beiWebdiensten anmelden müssen, sollten bedenken, dass FIDO2 damit nicht zu den effizientesten Login-Techniken zählt. Patrycja Schrenk ist jedoch zuver- sichtlich, was die Zukunft des Sicherheits- standards betrifft: „In der FIDO-Allianz haben sich global führende Unternehmen zusammengefunden. Ich gehe deshalb da- von aus, dass sich die Verbreitung schnell erhöhen wird. Mit Intel, Microsoft, Goo- gle, Qualcomm oder Samsung finden sich genügendTech-Giganten, die dabei helfen werden, FIDO2 aus den Kinderschuhen zu bekommen“, meint sie. Bereits in den aktuellen Versionen der Betriebssysteme Android, iOS, macOS undWindows findet sich Unterstützung für FIDO2, so dass Gerätesensoren wie Fingerabdruckscan- ner bereits zur Authentifizierung genutzt werden. Patrycja Schrenk Verglichen mit konventionellen Nutzer-Passwort- Login-Verfahren bietet FIDO2 dank Multifaktor- Authentifizierung eine deutlich kleinere Angriffs- fläche für Cyberkriminelle FIDO2 basiert auf einem sicheren Public-Key-Verfahren: Den Ablauf der Authentifizierung mithilfe von FIDO2 kann man sich wie in der Grafik abgebildet vorstellen (Bild: Ionos)