FIDO-Allianz

aus SecuPedia, der Plattform für Sicherheits-Informationen

Anzeige
Wechseln zu: Navigation, Suche
Nutzer-Hinweis auf die Login-Möglichkeit mit FIDO - Bild loginwithfido.com

Die FIDO-Allianz (FIDO = Fast IDentity Online; zu deutsch: schnelle Identität bei digitalen Verbindungen) ist eine nichtkommerzielle Organisation mit dem Ziel, nutzerfreundliche Alternativen zu Passwörtern zu entwickeln.

Geschichte

Die FIDO-Allianz wurde 2012 unter anderem von PayPal, Lenovo, Validity und Agnitio gegründet. Google und MasterCard schlossen sich im Frühjahr 2013 an, Ende 2013 auch Microsoft. Bekannt wurde die Allianz durch die Ankündigung von Microsoft, dass das neue Windows10 FIDO-fähige Geräten unterstützen soll.

Ende 2014 hatte die Allianz ca. 150 Mitglieder.

Anfang 2020 hat sich, nach langem Zögern, auch Apple der Allianz angeschlossen.


Ziele

Das Hauptziel der FIDO-Allianz ist die Entwickung eines offenen und lizenzfreien Industriestandards für die weltweite Authentifizierung im Internet. Die bestehende Systemen aus Benutzernamen und Passwort seien zu unsicher geworden. Die FIDO-Spezifikationen definieren deshalb starke Authentifizierungsmechanismen und stellen einen neuen "passwortlosen" Standard für Geräte, Server und Client-Software (einschließlich Browsern, Browser-Plug-Ins und nativen App-Subsystemen) zur Verfügung. Auf diese Weise kann jede Website oder Cloud-Anwendung Schnittstellen mit einer großen Bandbreite existierender oder künftiger FIDO-fähiger Authentifikatoren bilden. Diese FIDO-fähiger Authentifikatoren reichen von Biometrie bis zu Hardware-Token (z.B. mit USB-Schnittstelle) und TPM (Trusted Platform Module) mit gerätebezogenen PINs.

FIDO benötigte zunächst ein externes Gerät, über welches man beispielsweise per Fingerabdruck seine Identität bestätigen kann. Zwischenzeitlich wurden zur Steigerung der FIDO-Durchsetzung auch gerätebezogene PINs per TPM oder anderen Hardware-Secure-Elementen zugelassen. Dabei setzt FIDO auf ein duales Sicherheitssystem. Dies bedeutet, dass man einerseits einen öffentlichen Schlüssel hat, der auf dem Server registriert und mit der Server URL verwoben ist. Daneben besitzt man noch eine private Sicherheitsabfrage, wie beispielsweise einen Fingerabdruck oder eben eine PIN, die den zugehörigen privaten Schlüssel des Public key-Systems schützt. Dieser ist dann natürlich nicht auf den Servern gespeichert, sondern verbleibt lokal beim Nutzer. Damit wird es für Hacker schwerer, da es schwieriger ist, die Kombination aus beiden Sicherheitsvorkehrungen zu finden und auszunutzen.

Windows Hello mit Anmelde-PIN

Zunächst war die FIDO-Durchsetzung schwierig, da die Nutzer noch überzeugt werden mussten, sich ein Authentifikatoren-Zusatzgerät zu kaufen (sofern das Basisgerät nicht gleich schon einen Authentifikator integriert hat wie z.B das neue IPhone mit Fingerabdruckscanner). In Deutschland hat man hier bei der Nutzung der eID-Funktionalität beim neuen Personalausweis (nPA) in Verbindung mit den notwendigen Kartenlesern eher schlechte Erfahrungen gemacht. Dies änderte sich durch die Verbreitung von TPMs, die dann mit gerätebezogener PIN mittels Windows Hello eingesetzt werden. Im Unterschied zu einem Passwort ist die PIN nur auf dem Rechner, wo die PIN erstellt wurde, gültig und wird nicht ins Internet versandt. Die PIN-Anmeldung kann auf jedem Windows 10-Rechner als Alternative zur Kennwortanmeldung eingestellt werden.


Verbreitung/Grundproblematik

Derzeit sind insbesondere Microsoft-Internet-Dienste per FIDO über den Edge-Browser erreichbar. Neben der sich bei weiteren Webdiensten erst noch durchzusetzenden passwortlosen Anmeldung wird FIDO aber auch (noch) als zusätzlicher zweiter Faktor neben einer Passwort-Anmeldung genutzt.

Auch eine Authentifizierung ohne Passwort per SSH ist nun möglich. Der Schlüssel wird dann zum Beispiel auf einem preiswerten USB-Dongle vorgehalten.

Der Schwachpunkt des FIDO-Konzepts ist der Verlust/Diebstahl/Defekt des Authentifikators. Ein Zugang zu den Accounts ist dann nicht mehr möglich. Zur Rücksetzung bieten die Webdienste derzeit höchst unterschiedliche Möglichkeiten an, die von Backup-Code, Backup-Schlüssel bis hin zur hinterlegter Handynummer oder Mailadresse reichen. Man kann sich auch vorsorglich zweifach registrieren, dies ist aber eine höchst user-unfreundliche Variante.


WebAuthn

Beispiel OAuth bei Who Unfollowed Me

Das W3C (World Wide Web Consortium) hat WebAuthn (Web Authentication) unter maßgeblichen Einfluss der FIDO-Allianz am 04.März 2019 endgültig standardisiert. Der Standard beschreibt eine Schnittstelle für die Public key-Authentifizierung von Benutzern an Web-Anwendungen und -diensten. Damit könnte man sich nun passwortlos per Browser bei entsprechenden Webdiensten anmelden.

Mit OAuth besteht eine offene Authentifizierungsprotokoll-Alternative, allerdings noch auf Passwort-Basis, zu WebAuthn/FIDO.


Weblinks


Siehe auch



Diese Seite wurde zuletzt am 4. Juni 2020 um 10:34 Uhr von Oliver Wege geändert.