FIDO2 hilft uns dabei, endlich unsere Passwörter zu vergessen

In 30 Ländern ist «password» das beliebteste und am meisten benutzte Passwort überhaupt, dicht gefolgt auf dem zweiten Platz mit der Zahlenfolge «123456». Auf Platz drei folgt – wohl aufgrund der Anforderungen an die Passwortlänge – «123456789»[i]. Gerade mal eine Sekunde braucht ein Hacker, um derartige Passwörter zu knacken. Es steht also nicht gut, um die Sicherheit vieler Geräte und Accounts, trotz der Verfügbarkeit von Passwortmanagern und Two-Factor Authentication (2FA)[ii]. Mangelnde Datensicherheit kann für private User zu viel Ärger und Kosten, im schlimmsten Fall zu gestohlenen Identitäten führen. In einer Firma können solche Passwort-Praktiken verheerende Auswirkungen haben.

Ein neuer passwortloser Standard

Es sind weltweit bekannte Unternehmen, die zur vor zehn Jahren gegründeten FIDO Alliance gehören[iii]: Lenovo, Samsung, Microsoft, Apple, Google, PayPal, eBay, Red Hat, Huawei und Sony sind nur einige der Firmen, die sich gemeinsam das Ziel gesetzt haben, Anmeldetechnologien zu entwickeln, die bequem und sicher sind. FIDO2 ist das aktuellste Resultat dieser Bemühungen.

Der FIDO2-Authentifizierungsprozess macht die passwortlose Anmeldung möglich und schützt damit vor gängigen Online-Angriffen wie Phishing und Man-in-the-Middle-Attacken[iv]. Fido2 funktioniert mit einem privaten und einem öffentlichen Schlüssel. Beides sind kryptografische Zeichenfolgen, die mittels mathematischer Verfahren generiert werden, um die User-Identität zu validieren. Den öffentlichen Schlüssel bekommt der Dienst, der geheime Schlüssel wird im eigenen Gerät gespeichert. Beim Einloggen erstellt das Gerät mit dem geheimen Schlüssel eine digitale Unterschrift. Diese kann durch den öffentlichen Schlüssel auf Authentizität überprüft werden.
Der private Schlüssel wird nie versendet, sondern bleibt immer auf dem eigenen Gerät (und kann deshalb nicht unterwegs abgefangen werden, wie ein Passwort).

Ein minimales Anwender-Engagement ist notwendig

Allerdings funktioniert auch FIDO2 nicht ohne ein minimales Engagement der Anwender: User müssen sich für den entsprechenden Dienst registrieren:

• Eine Anmeldung muss ausgefüllt und ein FIDO2-Sicherheitsschlüssel ausgewählt werden.
• Der Dienst generiert dann das FIDO2-Authentifizierungsschlüsselpaar.
• Das FIDO2-Gerät des Users sendet darauf den öffentlichen Schlüssel an das entsprechende Account, während der private Schlüssel mit sensiblen Informationen auf dem eigenen Gerät bleibt.
• Sobald der sichere Kommunikationspfad aktiviert ist, werden die Anmeldedaten dauerhaft gespeichert, so dass man sich später immer wieder anmelden kann.

Einmal registriert, ist die Anmeldung unkompliziert und sicher möglich – ein Passwort wird nicht mehr benötigt. Wenn die Anfrage mit dem FIDO2-Schlüssel signiert ist, wird der Zugriff auf das entsprechende Konto freigegeben.

Die ganz Grossen machen mit

Microsoft, Google und Apple haben nun bekanntgegeben, dass sie den gemeinsamen Standard für passwortlose Anmeldungen auf ihren jeweiligen Plattformen erweitern werden[v]. Die drei Unternehmen waren schon bei der Entwicklung des erweiterten Funktionsumfangs von FIDO2 federführend und ihre Plattformen unterstützen die Standards der FIDO Alliance bereits. (Windows Hello von Microsoft ist schon seit 2019 FIDO-zertifiziert[vi], und Google verwendet FIDO-Authentifizierung sowohl für seine Mitarbeiter als auch für seine Nutzer und gibt an, dass es seit dem Einsatz von FIDO-Sicherheitsschlüsseln keinen erfolgreichen Phishing-Angriff gegen Google-Mitarbeiter gegeben habe.)

Die bisherigen Implementierungen erfordern, dass sich die Benutzer auf jeder Website oder App mit jedem Gerät anmelden müssen, bevor sie die passwortlose Funktionalität nutzen können. Jetzt sollen zwei neue Funktionen das passwortlose Anmelden noch einfacher machen: Automatischer Zugriff auf die FIDO-Anmeldedaten durch mehrere Geräte, auch durch neue, ohne dass eine neue Anmeldung für jedes Gerät notwendig ist. Benutzer können sich ausserdem mit der FIDO-Authentifizierung auf ihrem Mobilgerät bei einer App oder Website auf einem Gerät in ihrer Nähe anzumelden, unabhängig von Betriebssystem oder dem Browser. Es wird erwartet, dass diese neuen Funktionen im Laufe des kommenden Jahres auf den Plattformen von Apple, Google und Microsoft verfügbar sein werden.

UMB: Die digitale Welt sicherer machen

Die Integration von FIDO2 in die Authentifikationsprozesse und das Ermöglichen des passwortlosen Anmeldens sind ein wichtiger Schritt, um die Kommunikation in einer immer komplexeren digitalen Welt sicherer zu machen. UMB kann Ihnen bezüglich Identity Security und Access Management umfassende Unterstützung bieten, auch was Two Factor Authentication, Multi Factor Authentication, Conditional Access, Identity Protection und Privileged Access Management betrifft.

UMB kreiert dank modularen Cybersecurity Services aber auch in allen anderen Bereichen permanenten Schutz vor Cyberattacken[vii]. Cybersecurity wird bei UMB nicht isoliert, sondern als Teil der IT-, Workplace- und Digitalisierungs-Konzepte betrachtet. Nur ausgewogene organisatorische und technische Massnahmen schützen Ihr Unternehmen wirkungsvoll und ganzheitlich. Dazu müssen neue Sicherheits-Dimensionen eingeführt werden, welche die klassische Prävention (Netzwerk- und Perimeterschutz) ergänzen. Damit kreieren wir nicht nur Sicherheit, sondern auch Zeit für Sie – zum Beispiel für Ihr Kerngeschäft. Kontaktieren Sie uns bitte, wenn Sie mehr wissen möchten.

[i] Die 200 häufigsten Passwörter 2022 | NordPass

[ii] Identitätsmanagement: Was Sie wissen. Was Sie haben. Was Sie sind. (umb.ch)

[iii] FIDO Alliance Member Companies & Organizations

[iv] What Is a Man-in-the-Middle Attack (MitM)?

[v] Apple, Google, and Microsoft commit to expanded support for FIDO standard

[vi] Windows Hello FIDO2 certification gets you closer to passwordless

[vii] UMB Cyber Security: Die neue Dimension der Sicherheit