Wie FIDO-Standards die Authentifizierung einfach und sicher machen

Fast Identity Online (FIDO)-Standards sind Authentifizierungsprotokolle, bei denen Sicherheit und Benutzererfahrung aufeinandertreffen.

FIDO-Standards, entwickelt von einer offenen Industrievereinigung – der FIDO Alliance, bieten mehr Sicherheit als nur Passwörter oder Einmalpasscodes und ermöglichen eine schnelle, sichere und stärkere Authentifizierung.

Sie umfassen mehrere Authentifizierungstechniken wie biometrische Scans, Irisscans, Spracherkennung oder Gesichtserkennung. FIDO erleichtert auch bestehende Authentifizierungslösungen wie Sicherheitstoken, Smartcard-Authentifizierung, Nahfeldkommunikation (NFC) und mehr.

Interessanterweise lässt sich der sprachliche Ursprung des Namens FIDO auf das lateinische Wort „fido“ zurückführen, das Vertrauen bedeutet, wie im Lateinwörterbuch der Universität Notre Dame definiert, und ist ein passendes Akronym für die Sicherheitsumgebung, in der Vertrauen von größter Bedeutung ist.

Die Mission der FIDO Alliance ist es, „die Abhängigkeit der Welt von Passwörtern zu reduzieren“. Was 2009 als Vision von PayPal und Validity Sensors für einen Industriestandard begann, der die Verwendung von Biometrie zur Identifizierung von Online-Nutzern anstelle von Passwörtern ermöglichen würde, ist nun genau das geworden.

Zu den heutigen Mitgliedern der FIDO Alliance gehören globale Technologieführer aus den Bereichen Unternehmen, Zahlungen, Telekommunikation, Regierung und Gesundheitswesen, darunter Technologieriesen wie Amazon, Alibaba, Facebook und Google. FIDO-fähige Websites und Apps erreichen mittlerweile über 3 Milliarden kommerzielle Nutzer.

Was sind FIDO-Standards?

FIDO-Standards bieten eine Reihe offener und skalierbarer Spezifikationen wie das Universal Authentication Framework (UAF), den Universal Second Factor (U2F) und FIDO2, die eine einfachere und sicherere Benutzer-Authentifizierungserfahrung ermöglichen.

Sie erleichtern die Benutzeridentifikation mit biometrischen Systemen, Multi-Faktor-Authentifizierung (MFA) und anderen Alternativen auf Websites und Anwendungen. IT betont ein gerätezentriertes Modell, bei dem es standardmäßige Public-Key-Kryptographie verwendet, bei der ein Benutzer aufgefordert wird, den Besitz des privaten Schlüssels auf verschiedene Weise nachzuweisen.

Wie funktioniert FIDO?

Wenn ein Benutzer ein Konto erstellt oder sich bei einem Online-Dienst registriert, der den FIDO-Standard verwendet, generiert das Gerät ein Satz kryptografischer Schlüssel. Das System registriert den öffentlichen Schlüssel bei den Online-Diensten und speichert den privaten Schlüssel auf dem Gerät.

Während der Authentifizierung fordert das System den Benutzer auf, den Besitz des privaten Schlüssels nachzuweisen. Sie können dies durch verschiedene FIDO-fähige Authentifizierungsmethoden wie biometrische Authentifizierung, Gesichtserkennung, Multi-Faktor-Authentifizierung und mehr tun. Sie können Ihren privaten Schlüssel lokal auf dem Gerät verwenden, nachdem Sie ihn durch sichere Methoden entsperrt haben, die das Wischen eines Fingers, das Sprechen in das Mikrofon, die Eingabe einer PIN oder das Drücken eines Knopfes umfassen.

FIDO-Protokolle schützen die Privatsphäre der Benutzer, während Sie von dem blitzschnellen und sicheren Zugang zu Online-Diensten profitieren. Unter keinen Umständen stellen FIDO-Protokolle Informationen für Online-Dienste bereit, mit denen sie zusammenarbeiten und den Benutzer über Dienste hinweg verfolgen können.

FIDO-Spezifikationen

FIDO bietet die folgenden Spezifikationen, um die Redundanzen des Erinnerns an komplexe Passwörter zu reduzieren und das Fehlen der Interoperabilität zwischen starken Authentifizierungsgeräten zu adressieren.

Universal Authentication Framework (UAF)

Das Universal Authentication Framework wurde 2014 veröffentlicht und sollte die passwortlose Authentifizierung durch Biometrie erleichtern. Laut UAF wird ein Benutzer, wenn er sich bei einem Dienst oder einer Anwendung authentifiziert, durch einen oder mehrere Sicherheitsfaktoren auf seinem digitalen Gerät herausgefordert. Sobald er diese erfolgreich bestanden hat, wird der private Schlüssel freigegeben, der dem Benutzer helfen kann, eine Herausforderung zu bestehen, die vom FIDO UAF-Server ausgegeben wird.

Der Mechanismus, den der Benutzer zur Verifizierung auf dem Gerät verwendet, kann biometrisch, besitz- oder wissensbasiert sein, um den privaten Schlüssel zu erhalten und den Authentifizierungsprozess abzuschließen. Die UAF-Spezifikation gibt auch Anleitungen zur Erstellung und Verwaltung mehrerer Richtlinien für die Transaktionsverifizierung. Dieser FIDO-Standard wird von mehreren Organisationen verwendet, um ihre Sicherheit zu verbessern und sowohl Kunden als auch ihren Teams eine zufriedenstellende Benutzererfahrung zu bieten.

Universal Second Factor (U2F)

Der U2F-Standard legt Richtlinien zur Stärkung und Vereinfachung der Zwei-Faktor-Authentifizierung (2FA) unter Verwendung von Nahfeldkommunikation (NFC) oder USB-Geräten fest, die auf der Technologie ähnlich wie Smartcards basieren. Er wurde ursprünglich von Yubico und Google mit Beiträgen von NXP Semiconductors entwickelt.

Das Design des Standards dreht sich um USB-Geräte, die mit dem Hostsystem unter Verwendung des Human Interface Device (HID)-Protokolls kommunizieren und einfach eine Tastatur nachahmen. Es ermöglicht einem Browser, auf die Sicherheitsfunktionen des Geräts zuzugreifen und eliminiert die Notwendigkeit, eine spezifische Hardware-Treibersoftware zu installieren, um das USB-Gerät zu lesen.

Sobald der Hostcomputer das USB-Gerät liest und eine Kommunikation hergestellt ist, wird eine Challenge-Response-Authentifizierung durchgeführt, bei der das Gerät Public-Key-Kryptographietechniken und einen einzigartigen Geräteschlüssel verwendet. Browser wie Google Chrome, Opera, Firefox, Safari und Thunderbird unterstützen die U2F-Spezifikationen, indem sie U2F-Sicherheitsschlüssel als zusätzliche Methode der Zwei-Schritt-Verifizierung bei Online-Diensten verwenden.

Client to Authenticator Protocol (CTAP)

CTAP ermöglicht einem roaming kryptografischen Authenticator wie einem Mobiltelefon oder einem Hardware-Sicherheitsschlüssel die Interoperabilität mit einem Client-Gerät wie einem Laptop. Es ergänzt den WebAuthentication (WebAuthn)-Standard, der vom World Wide Web Consortium (W3C) veröffentlicht wurde.

Das Protokoll basiert auf dem U2F-Authentifizierungsstandard, der von der FIDO Alliance veröffentlicht wurde. U2F und WebAuth waren die Grundlage für die Entwicklung des FIDO 2.0-Standards. Die CTAP-Spezifikation bezieht sich auf zwei Protokolle CTAP1 und CTAP2. CTAP 1, der neue Name für das FIDO U2F-Protokoll, gibt Anleitungen zur Herstellung der Kommunikation zwischen FIDO U2F-fähigen Authenticatoren und FIDO2-fähigen Browsern und Betriebssystemen, um die Zwei-Faktor-Authentifizierung zu ermöglichen.

Andererseits definiert CTAP 2 Wege, wie FIDO2-fähige Browser und Betriebssysteme mit externen Authenticatoren wie mobilen Geräten oder FIDO-Sicherheitsschlüsseln kommunizieren können, um passwortlose, zwei- oder mehrfaktorige Authentifizierung zu erleichtern.

FIDO2

Der Zweck von FIDO2 ist es, passwortlose Authentifizierung zu ermöglichen. Es basiert auf U2F und einer erweiterten Version von CTAP. Der Standard ermöglicht es, Authentifizierungen passwortlos zu gestalten, indem er die Web-API – WebAuthn – nutzt.

FIDO2 eliminiert das Risiko, das durch das Missmanagement von Passwörtern verursacht wird, da seine kryptografischen Anmeldeinformationen für jede Website einzigartig sind und nicht auf einem Server, sondern lokal auf dem Gerät des Benutzers gespeichert werden.

Bevor dieses Protokoll ausgeführt wird, ist es wichtig, dass der externe Authenticator und der Host einen sicheren und gegenseitig authentifizierten Datentransportkanal etablieren.

Wer nutzt FIDO?

FIDO hilft Organisationen, kritische Risiken eines Datenlecks zu mindern, die durch schwache Passwörter oder das Missmanagement von Passwörtern entstehen. Es ermöglicht Ihrem Unternehmen, Kosten im Zusammenhang mit der Bereitstellung von Geräten, dem Zurücksetzen von Passwörtern, dem Kundensupport und mehr zu sparen, während es eine nahtlose Benutzererfahrung bietet.

Aufgrund solcher Vorteile und einer Vielzahl anderer werden Anwendungsfälle von FIDO in verschiedenen Organisationen und Institutionen gefunden.

Gesundheitswesen und Versicherungen

Im Gesundheitswesen hilft die FIDO-Authentifizierung sicherzustellen, dass die Patientendaten wie medizinische Aufzeichnungen, persönliche Informationen und andere sensible Daten nur ihnen und den vertrauenswürdigen Anbietern zugänglich sind.

Es versichert den Patienten, dass ihre Informationen bei vertrauenswürdigen Behörden liegen, die Standards wie das Health Insurance Portability and Accountability Act (HIPAA) einhalten. Es umhüllt medizinische Systeme und Gesundheitseinheiten mit einer starken Schutzschicht, um einen Cyberangriff zu verhindern.

Versicherungsunternehmen verwenden die Authentifizierung mit FIDO-Protokollen, um sicherzustellen, dass sie eine starke Authentifizierung implementiert haben.

Unternehmen

In Unternehmen vereinfacht FIDO den Authentifizierungsprozess der Benutzer, indem es ihn schnell und bequem macht, während es Authentifizierung bietet. FIDO wird typischerweise verwendet, um die Benutzer-Authentifizierung in ihrem Lebenszyklus innerhalb einer Organisation zu erleichtern. Es ermöglicht Benutzern, sichere Zahlungstransaktionen durchzuführen und eine schützende Sicherheitsschicht um ihre digitalen Signaturen zu erhalten.

In Umgebungen, die an die FIDO-Authentifizierungsstandards gebunden sind, können Benutzer gleichzeitig verschiedene Authenticatoren besitzen, wie einen für einen Laptop und einen anderen für ein mobiles Gerät. Zum Zeitpunkt der Benutzerregistrierung werden FIDO-Anmeldeinformationen auf einem lokalen Authenticator aufgezeichnet und an ein spezifisches Benutzerkonto gebunden, das während der Authentifizierungsphase verwendet wird.

Zum Beispiel, wenn ein Benutzer das Authentifizierungsgerät verloren hat, erlauben FIDO-Standards Administratoren, die Anmeldeinformationen zu widerrufen und zu löschen, die auf einem anderen Gerät erstellt werden können, indem der Registrierungsprozess befolgt wird. In Fällen, in denen die FIDO-Anmeldeinformationen erneuert werden müssen, stellen Administratoren sicher, dass das gleiche Sicherheitsniveau wie im Registrierungsprozess durchgesetzt wird. Inhärent unterstützt der FIDO-Standard das Konzept der Anmeldeinformationen-Erneuerung nicht, sodass jeder Erneuerungsprozess im System, das die FIDO-Authentifizierung unterstützt, entworfen werden muss.

Finanzdienstleistungen

Banken und Finanzdienstleister haben ihren Lieferumfang erweitert, um Kunden dort zu erreichen, wo sie sind. Mit Online- und Mobile-Banking können Kunden Finanzdienstleistungen außerhalb der zugewiesenen Filialen nutzen, was zu einer erhöhten Nachfrage nach robuster Authentifizierungssicherheit führt.

FIDO-Protokolle adressieren dieses Bedürfnis, indem sie sichere Authentifizierungsstandards für Banken und Finanzinstitute bereitstellen, bei denen Benutzer mit einer einfachen und unkomplizierten Bankerfahrung begeistert sind.

Regierung

Regierungsbehörden können FIDO verwenden, um schnelle und sichere Multi-Faktor- oder mobilbasierte Authentifizierung für Online-Dienste bereitzustellen. Der Standard unterstützt abgeleitete persönliche Identitätsnachweise (PIV), die die Ausstellung von Public Key Infrastructure (PKI)-Anmeldeinformationen basierend auf dem Besitz von PIV-Smartcards ermöglichen. Es ermöglicht Benutzern, schnellen und sicheren Zugang zu kritischen Informationen und Apps zu erhalten.

Gehen Sie über Passwörter hinaus

Implementieren Sie FIDO-Standards, um die Risiken zu eliminieren, die mit schwachen oder gestohlenen Passwörtern verbunden sind. Rüsten Sie Ihr Team mit passwortloser Authentifizierung aus, um ihnen ein nahtloses Anmeldeerlebnis zu bieten, während Sie eine robuste Sicherheit um Ihre Anwendungen und Online-Dienste aufrechterhalten.

Erfahren Sie mehr über die Arten von passwortlosen Authentifizierungsmethoden, die Sie in Ihrer Organisation einführen können.