Was ist FIDO2?

25. Juni 2020

Es ist bekannter­maßen ein Kreuz mit den Pass­wörtern: Simple Kenn­wörter sind leicht zu knacken, sichere sind schlecht zu merken – ein Problem, wenn man vernünftiger­weise für jeden Online­dienst ein anderes verwendet. Das FIDO-Projekt will Passwörter ergänzen und mittel­fristig ersetzen. Wie das Prinzip funktioniert und was es anders und sicherer macht als bisherige Verfahren, erklärt Christoph Bayer, IT-Security-Experte von TÜViT.

#explore: Was ist FIDO2?
Christoph Bayer: FIDO steht für Fast Identity Online. Hinter diesem Verfahren steht die FIDO-Allianz, die sich gegründet hat, um die Authentisierung im Internet zu erleichtern – und letztlich von Kenn­wörtern wegzukommen. Denn sichere Passwörter sind lang, kompliziert und dadurch schlecht zu merken und können etwa durch ein Daten­leck beim Anbieter oder einen Trojaner auf dem eigenen Rechner kompromittiert werden. Die FIDO-Allianz hat dazu Standards für ein sicheres Authentisierungs­verfahren entwickelt. Und FIDO2 ist nun die aktuelle Sammlung der entsprechenden Spezifikationen.

Wie läuft eine Anmeldung über FIDO2 ab?
FIDO versucht, das Sicherheitsproblem bei der Anmeldung durch eine lokale Benutzer­verifikation zu reduzieren. Der Nutzer benötigt dazu einen sogenannten FIDO-Authenticator, zum Beispiel einen USB-Stick, eine Smartcard oder auch eine App auf dem Smart­phone oder Laptop, auf dem ein geheimer Schlüssel sicher gespeichert ist. Über diesen Authenticator startet der Nutzer die Anmeldung etwa bei seinem E-Mail-Konto, die dann im Hinter­grund abläuft. Dabei gibt es zwei unter­schiedliche Varianten: Ein FIDO-Authenticator kann ergänzend zu einem Benutzer­namen und Passwort als „zweiter Faktor“ verwendet werden. Er kann aber auch als alleiniger Faktor das Passwort ersetzen – wenn der Authenticator beispiels­weise durch eine PIN oder durch biometrische Faktoren wie den Finger­abdruck zusätzlich geschützt ist.

Was macht das FIDO-Prinzip sicherer als das gängige Passwortsystem?
Im Registrierungsprozess wird von dem FIDO-Authenticator ein sogenanntes Schlüssel­paar bestehend aus einem öffentlichen Schlüssel und einem geheimen privaten Schlüssel erzeugt. Der öffentliche Schlüssel wird an den jeweiligen Online­dienst über­tragen, über den dieser Dienst bei einem Anmelde­vor­gang ermitteln kann, ob ich mich im Besitz des dazu­gehörigen privaten Schlüssels befinde. Dieser private Schlüssel ist ausschließlich auf dem FIDO-Authenticator gespeichert. Er kann daher durch ein Datenleck beim E-Mail-Provider oder bei der Bank nicht kompromittiert werden. Und für Cyber­kriminelle ist es natürlich erheblich einfacher, online einen Angriff aus­zu­führen als an den lokalen Authenticator heran­zu­kommen. Ein weiterer Vorteil: Viele Nutzer verwenden aus Bequemlichkeit oft immer noch dieselben Passwörter für unter­schiedliche Internet­dienste. Wenn ein Angreifer beispiels­weise das Onlineportal meines Sport­vereins hackt, könnte er damit dann etwa auch auf mein E-Mail-Konto zugreifen. Dieses Risiko wird mit FIDO reduziert, weil der Authenticator immer zufällige und von­einander unabhängige Schlüssel für die jeweiligen Dienste generiert. FIDO schützt zudem auch vor Phishing-Angriffen: Will ich mich etwa bei meiner Bank anmelden, schickt der Server eine sogenannte Challenge an meinen Authenticator, mit der er beweisen muss, dass er im Besitz des privaten Schlüssels ist. Zusammen mit der Challenge werden auch Informationen zum Absender und zum verwendeten Kanal über­mittelt. Dadurch kann das FIDO-Token feststellen, ob es sich beim Absender um meine Bank oder tatsächlich um einen Phishing-Angriff handelt. Und falls ein Angreifer durch eine sogenannte Man-in-the-Middle-Attacke den Kommunikations­weg zwischen der Bank und mir gekapert hat, schlägt der Authenticator eben­falls Alarm.

Was passiert, wenn mein Authenticator kaputt­geht und ich ihn tatsächlich als Passwort­ersatz benutze – kann ich dann nicht mehr auf meine Online­dienste zugreifen?
Wenn der Authenticator kaputt- oder verloren geht, ist eine Anmeldung mit den darauf gespeicherten Schlüsseln tatsächlich nicht mehr möglich. Denn ein FIDO-Authenticator ist immer ein Unikat. Man kann ihn nicht kopieren, also auch kein Sicherheits-Back-up erstellen, auf das man im Notfall zurück­greift. Darum ist es wichtig, früh­zeitig einen zweiten Authenticator als alternativen Log-in bei den entsprechenden Online­diensten zu registrieren. Und diesen Ersatz-Authenticator sollte man sicher zu Hause verwahren.

Und was ist, wenn mir mein FIDO-Authenticator gestohlen wird? Kann der Dieb dann einfach auf meine Konten zugreifen?
Nein, diese Gefahr besteht nicht. Grundsätzlich müssen die Authenticatoren unter­schiedlich hohe Anforderungen erfüllen, je nachdem, zu welchem Zweck sie eingesetzt werden sollen. Werden sie zusätzlich zu Benutzer­name und Passwort als zweiter Faktor verwendet, muss man meist nur einen Knopf drücken, um die Authentisierung zu starten. Das ist natürlich für einen Dieb keine Hürde – aber der müsste zugleich auch noch meinen Benutzer­namen und mein Passwort kennen, um an meine Online­konten heranzukommen. Soll der Authenticator die Passwort-Anmeldung komplett ersetzen, muss er durch zusätzliche Verfahren abgesichert werden, damit aus­schließlich der legitime Nutzer ihn verwenden kann. Etwa mit einer vier­stelligen PIN, wie man sie beispiels­weise von der Bank­karte kennt. Und wie bei der Bank­karte wird auch der Authenticator gesperrt, wenn diese PIN mehrmals falsch eingegeben wurde. Noch bequemer sind Authenticatoren mit eingebautem Finger­abdruck­scanner. Wird das Smartphone als Authenticator verwendet, kann die biometrische Authentisierung entsprechend über die integrierte Gesichts­erkennung oder den Finger­abdruck­sensor erfolgen.

Wie wird mein Smartphone zum FIDO-Authenticator?
In vielen Smartphones oder Computern sind bereits sogenannte Secure Elements verbaut. Diese kleinen, sicheren Elemente dienen als Schlüssel­speicher und sind gegenüber dem Rest des möglicher­weise unsicheren Laptops oder Handys abgekapselt. Die Kombination aus Secure Element und einer App, die die FIDO-Spezifikation implementiert, macht das Smartphone dann zum FIDO-Authenticator. Der Vorteil ist natürlich, dass fast jeder heute ein Smart­phone bei sich trägt. Man bräuchte also kein zusätzliches Gerät wie einen USB-Stick oder eine Chip­karte, um sich über FIDO anzumelden.

Wie wird die Sicherheit dieser Authenticatoren geprüft und gewährleistet?
Die Funktionalität des Authenticators muss der Hersteller durch entsprechende Konformitäts­tests gegen­über der FIDO-Allianz nachweisen. Die IT-Security der Authenticatoren wird beispiels­weise bei uns in der Prüf­stelle unter die Lupe genommen. Je nach angestrebtem Sicherheits­level unter­ziehen wir die Authenticatoren dabei zunehmend umfang­reicheren und aufwendigeren Tests: Wir prüfen beispiels­weise, ob der Strom­verbrauch während der Anmelde­prozedur Rück­schlüsse auf die verwendeten Schlüssel erlaubt. Oder wir versuchen durch Spannungs­veränderungen oder Laser­beschuss Fehler im Gerät zu erzeugen, die dann ihrer­seits wieder Rückschlüsse auf die Sicherheits­schlüssel zulassen können. Bei Authenticatoren mit entsprechend hohem Sicherheits­level über­prüfen wir auch den Source-Code auf Schwach­stellen. So ein Prüf­prozess dauert je nach Sicherheits­level zwischen zwei und sechs Monate. Wenn sämtliche unserer Tests und Analysen keine Sicherheits­lücken ergeben, erhält der Hersteller für seinen Authenticator ein Zertifikat von der FIDO-Allianz.

Kann ich FIDO2 bereits als Pass­wort­ersatz bei allen gängigen Online­diensten nutzen?
Das Einloggen ohne Passwort funktioniert bereits bei Microsoft.com und entsprechenden Microsoft-Diensten wie Outlook, Office 365 und OneDrive. Neben einem Hardware-Key in Form eines USB-Sticks kann man dazu auch Microsofts Authentifizierungs­technologie „Windows Hello“ verwenden, die mittler­weile als offizieller FIDO2-Authenticator zertifiziert wurde. Bei vielen weiteren Diensten wie Google, Dropbox oder Twitter kann man FIDO2 als zweiten Faktor einrichten.

Wird FIDO mittel­fristig Passwörter über­flüssig machen?
Das Interesse vonseiten der großen Tech-Unternehmen an dem System ist in jedem Fall da. Zu den Mitgliedern der FIDO-Allianz zählen Microsoft, Google, Samsung, Facebook und Amazon, aber auch Zahlungs­karten­anbieter wie VISA und Master­card oder der Online-Bezahl­dienst PayPal. Seit Januar 2020 ist auch der Apple-Konzern offiziell dabei, der im vergangenen Jahr die FIDO2-Unter­stützung für seine Smartphones und Tablets sukzessive verbessert hat. Wieweit FIDO in unseren Alltag einzieht, ist natürlich aber auch davon abhängig, ob einzelne Anbieter wie E-Mail-Provider oder Banken künftig eine Authentisierung über FIDO erlauben.