FIDO2 steht für Fast IDentity Online und bezeichnet eine Methode, mit der Sie sich sicher bei einer Webseite registrieren und anmelden können. Die Zahl 2 deutet darauf hin, dass es sich bei FIDO2 um eine zweite Version handelt. Die Erfahrungen aus der ersten Generation führten zu der Änderung, dass Sie sich jetzt nur mit einem Stick ganz ohne Passwort einloggen können.

Herkunft von FIDO2

Das System wurde von der FIDO-Allianz in Zusammenarbeit mit dem W3W oder World Wide Web Consortium entwickelt. An dieser Allianz sind zahlreiche große Internetkonzerne beteiligt.

Wie verwendet man FIDO2?

Nötig dafür ist ein Authenticator, bei dem es sich um einen Stick oder um eine Software auf einem dafür geeigneten Gerät handeln kann. Windows 10, Android 7 und Mac OS zusammen mit dem Chrome-Browser ermöglichen die Softwarelösung, wenn auf dem betreffenden Gerät ein Kryptomodul vorhanden ist.

Gebräuchlicher ist heute noch der separate Stick. Er kann über USB oder ein drahtloses Protokoll wie Bluetooth, NFC oder Lightning mit Ihrem Computer Verbindung aufnehmen. Die Authentifizierung bei einer Webseite bestätigen Sie dann einfach durch Drücken auf einen Knopf am Stick. Manche Geräte bieten eine erweiterte Funktionalität und prüfen Ihre Identität durch Dinge wie einen Fingerabdruck, einen Retinascan oder die Analyse Ihrer Stimme.

Wie funktioniert FIDO2?

Das Kernstück ist ein geheimer Schlüssel, der auf dem (USB-)Stick gespeichert ist. Im Fall einer Softwarelösung wird er im Krypto-Chip des betreffenden Geräts aufbewahrt. Die technische Lösung stellt sicher, dass der Schlüssel weder aus dem Stick noch aus dem Kryptomodul ausgelesen werden kann. Diese Vorkehrungen bedeuten, dass auch nach einer Infektion Ihres Geräts Schadprogramme auf den geheimen Schlüssel keinen Zugriff haben. Auch ist es nicht möglich, den Stick selbst zu kopieren. Das ist kein Bug, sondern als Feature eine Sicherheitsmaßnahme.

FIDO2 erspart Ihnen also nicht nur das mühsame Verwalten von Passwörtern, sondern bietet höhere Sicherheit als auch ein langes und erfolgreich geheim gehaltenes Passwort. Ein Angreifer müsste Ihren Stick körperlich unter seine Kontrolle bekommen, um sich in Ihr Konto bei einer Webseite einloggen zu können. Der Authenticator verbindet sich mit der Webseite und erzeugt einen eigenen Schlüssel nur für diese. Dafür verwendet er den Domainnamen der Webseite und den gespeicherten geheimen Schlüssel.

Sie melden sich also bei jeder Webseite mit einem eigenen Schlüssel an. Ein Angreifer kann zwischen Ihren verschiedenen Schlüsseln keinen Zusammenhang herstellen. Damit ist sichergestellt, dass Sie nicht durchs Internet verfolgt werden können. Das wäre nämlich der Fall, wenn Sie denselben Schlüssel für mehrere Webseiten verwenden müssten.

Wo ist FIDO2 einsetzbar?

Für die Verwendung von FIDO2 ist es erforderlich, dass die betreffende Webseite dafür eingerichtet ist. Auf Ihrer Seite muss Ihr Browser als Client von FIDO2 fungieren können.

Zahlreiche Webseiten verwenden FIDO2 bereits heute. Dazu gehören besonders Seiten wie diejenigen von Banken, die erhöhte Sicherheitsanforderungen stellen müssen. Es ist mittlerweile anerkannt, dass für die Anmeldung bei solchen Webdienstleistungen nur ein Passwort keine akzeptable Sicherheit mehr bietet.

Auf der Client-Seite können die neueren Versionen der meisten geläufigen Browser für das FIDO2-Protokoll verwendet werden.

Besitzen Sie selbst eine Webseite mit einer Möglichkeit zum Login für Ihre Kunden, können Sie sie mit geringem Aufwand für FIDO2 einrichten. Die FIDO-Allianz hat sich einige Mühe gegeben, diesen Prozess einfach und schnell zu gestalten.

Im Prinzip läge es nahe, ein Gerät wie Ihr Smartphone als Authenticator zu benutzen. Die meisten Smartphones besitzen ein Kryptomodul und haben damit die notwenigen Voraussetzungen bei der Hardware. Auch eine Smart Watch böte sich dafür an. Diese Integration ist mit FIDO2 durchaus möglich, wurde aber noch nicht umgesetzt. Wir können jedoch davon ausgehen, dass dieser Schritt nicht mehr lange auf sich warten lassen wird.

Was ist, wenn ich den Stick verliere?

Aus Sicherheitsgründen ist es nicht möglich, den als Authenticator verwendeten Stick zu kopieren. In Fall des Verlusts ist es deshalb notwendig, dass Sie sich auf andere Weise bei der entsprechenden Webseite ausweisen. Dieser Punkt ist nicht Teil des FIDO2-Systems und muss deshalb individuell gelöst werden. Bei besonders sicherheitskritischen Webseiten wie Banken wird der Aufwand größer sein, sonst kann das Zurücksetzen Ihres Kontos über eine deponierte Telefonnummer oder E-mail-Adresse erfolgen.

Das Verwalten von hinreichend langen Passwörtern ist mühsam und bietet darüber hinaus auch keine hinreichende Sicherheit mehr. Eine Alternative war deshalb eine dringende Notwendigkeit. Mit dem System FIDO2 steht eine Möglichkeit zur Verfügung, die nur das Mitführen eines kleinen Sticks am Schlüsselbund erfordert.

• Über den Autor
• Aktuelle Beiträge

Daniel Faust

Daniel Faust ist Redakteur im Content-Team der Biteno und betreut den Blog der Biteno GmbH.

• Was ist Business Continuity und die Bedeutung für Unternehmen
• Was ist Open-Source-Software?
• Wie funktioniert die Blockchain-Technologie?