Ein neuer Standard namens FIDO2 soll in Zukunft die Passwort-Eingabe ablösen. GIGA erklärt euch, wie so etwas funktioniert, was ihr dafür benötigt, wo eventuell Risiken liegen und wer es überhaupt brauchen kann.
Inhalt:
- So funktioniert FIDO2 – das braucht ihr
- Diese Risiken birgt FIDO2
- Wer braucht FIDO2?
FIDO2 hat nichts mit dem alten Fido-Net zu tun und ist auch nicht der Name eines Hundes. Die Abkürzung stammt von der Bezeichnung „Fast Identity Online 2“ und weist darauf hin, dass dadurch die Identitätsfeststellung an Online-Portalen schneller werden soll. Gleichzeitig wird eine höhere Sicherheitsstufe erreicht, weil dann überall biometrische Daten oder eine spezielle Hardware eingesetzt werden. Aber wie funktioniert das?
So funktioniert das passwortlose Anmelden mit FIDO2
FIDO2 soll allen eine starke Authentifizierung für das Internet bringen. Das soll auf zwei Wegen passieren, die beide eine Anmeldung mittels Passwort unnötig machen können:
- Durch Biometrie oder PIN-Eingabe
- Alternativ durch externe Hardware-Lösungen wie USB-Sicherheitsschlüssel, Wearables oder mobile Geräte.
Die zugrundeliegende Identifizierungs-Technologie heißt WebAuthn. Dabei werden private und öffentliche Schlüssel erzeugt und bei einer Anmeldung geprüft. Was sich nun so kompliziert anhört und bei vielen Anwendern die Nutzung der E-Mail-Verschlüsselung PGP so unbeliebt gemacht hat, ist hier viel einfacher.
Der private Schlüssel bleibt immer auf dem verwendeten Gerät und muss nie manuell eingegeben oder von irgendeiner Webseite geholt werden. Bei der Anmeldung mit FIDO2 bekommt man von dem teilnehmenden Webportal einen Prüfcode geschickt, mit dem dann verifiziert wird, ob der private Schlüssel vorhanden und korrekt ist. Verläuft die Prüfung erfolgreich, wird der Anwender angemeldet.
Dazu kann es nötig sein – je nach verwendeter Technik – dass man zum Beispiel einen Kontakt an einem Security-Key drückt, seinen Fingerabdruck scannen lässt oder eine Kamera mit Windows-Hello das Gesicht überprüfen lässt. Irgendeine Aktion ist immer nötig, damit niemand unbemerkt von außen auf die Identifizierungshardware zugreifen kann.
So soll FIDO2 einmal überall funktionieren:
| Beispiel | Technik |
| Windows-Anmeldung | Man nutz einen FIDO2-Sicherheitsschlüssel, der in einen USB-Slot eingesteckt ist und drückt kurz den Touch-Kontakt. Schon wird man angemeldet. Alternativ kann man Windows auch durch Fingerabdruck-Lesegeräte, Kamera-Identifizierung oder gekoppelte Hardware wie Smartwatches oder Smartphones entsperren lassen. |
| Anmeldung bei Google | Auch hier kann man einen Sicherheitsschlüssel verwenden. Auf einem kompatiblem Android-Smartphone werdet ihr mit einem Fingerabdruck angemeldet. |
| Verbindung mit LastPass | Ihr könnt einen Sicherheitsschlüssel zum Beispiel mit eurem LastPass-Premium-Konto verknüpfen. Auf eurem Handy oder Computer könnt ihr diesen dann mit dem Key entsperren, ohne etwas eingeben zu müssen. |
| Dropbox | Bei Dropbox wird ein FIDO2-Schlüssel als zusätzliche Sicherheitsebene verwendet. Einmal in den Einstellungen registriert, müsst ihr dort zusätzlich zu den sonstigen Anmeldedaten auch noch euren Key verwenden. |
Weitere bekannte Anbieter, die FIDO2-Unterstützung bieten, sind zum Beispiel Twitter und Facebook, GitHub und BoxCryptor. Die Nutzer von Microsoft-Diensten können dort sogar ganz ohne Passwort einloggen.
Der Sicherheitsschlüssel „Yubico YubiKey 5 NFC“ kostet bei Amazon rund 56 Euro und bietet bequeme Sicherheit für PCs und kompatible Smartphones. Bei Letzteren erfolgt die Authentifizierung über die NFC-Schnittstelle. Das kleine Ding ist unauffällig, wasserfest und passt an jeden Schlüsselbund. Es soll mit allen Betriebssystemen zusammenarbeiten und unterstützt die Standards WebAuthn/FIDO2 sowie U2F.
Bereits für 25 Euro bekommt ihr bei Amazon eine einfachere Variante, die auf NFC verzichtet und an Computern genutzt werden kann. Sie unterstützt U2F und FIDO2.
auf YouTube
Probleme, Risiken und Vorteile von FIDO2
Das Hauptproblem ist eines, das es schon vorher bei den üblichen Verdächtigen gab: Wenn ein Portal FIDO2 als Anmeldeoption nicht anbietet, müsst ihr weiter euer Passwort benutzen. Heutzutage ist bei den meisten Diensten nicht mal eine 2-Faktor-Authentifizierung möglich und schon gar keine Anmeldung durch FIDO2-kompatible Hardware.
Auf der Benutzerseite muss die Hard- und Software FIDO2-zertifiziert sein. Mit iOS 13 wurde beispielsweise endlich die NFC-Schnittstelle des iPhones so weit geöffnet, dass dort nun eine FIDO2-Anmeldung mit entsprechenden NFC-Sicherheitsschlüsseln möglich ist. Das Betriebssystem Android erhielt Anfang 2019 die FIDO2-Zertifizierung. In den Anfängen des Standards war nur der Chrome-Browser kompatibel, mittlerweile wird zwar jeder große Browser unterstützt, aber nicht immer perfekt.
Die Grafik der FIDO Alliance zeigt euch, wie es mit der Unterstützung der verschiedenen Standards in den verschiedenen Browsern aussieht. Chrome schneidet auf dem PC und unter Android am besten ab. Firefox ist noch nicht perfekt, aber auf einem guten Weg. Safari für iOS beherrscht keinen der nötigen Standards, die macOS-Version wird zukünftig die Basisanforderungen erfüllen und Microsoft Edge kann schon mehr als Firefox, hat aber auch Probleme mit U2F.
Doch das größte Problem bei der Verwendung dieser Keys ist das, was man bei Passwörtern immer beklagt hat: Alle Eier liegen in einem Korb. Früher hat man noch beklagt, dass die Anwender überall dasselbe Passwort benutzen. Irgendwann kann man alle digitalen Zugänge ergattern, wenn man jemandem seinen Sicherheitsschlüssel stiehlt. Dieses Problem lässt sich aber durch technische Lösungen beheben, wie etwa durch einen Fingerabdruckscanner am Sicherheitsschlüssel. Außerdem wird es hinfällig, wenn FIDO2 nicht als Passwort-Ersatz, sondern als weitere Sicherheitsebene bei der Anmeldung genutzt wird.
Aus diesem Grund wird es sicher niemals so weit kommen, dass FIDO2 zur einzigen Anmeldung wird. Vielmehr dürfte es darauf hinauslaufen, dass die nicht besonders beliebte Anmeldung mit 2 Faktoren durch Sicherheitsschlüssel oder biometrische Merkmale sicherer und einfacher wird. Letztlich wird das auch eine Frage der Verfügbarkeit kompatibler Geräte und des Preises sein.
Und da liegt gleichzeitig der größte Vorteil von FIDO2: Das Schreckgespenst gestohlener Online-Zugänge und riesiger Password-Listen in den Händen von Kriminellen wird irgendwann der Vergangenheit angehören. Wenn man zusätzlich zu diesen Login-Daten noch einen Hardware-Schlüssel benötigt oder das Passwort gleich ganz ersetzt wird, müssen die Diebe bei jedem Anwender persönlich einbrechen.
Wer braucht FIDO2 denn?
Um es mal ganz realistisch zu sagen, ist FIDO2 ein Profi-Feature in den Kinderschuhen. Die Liste der unterstützenden Webseiten und Dienste liest sich wie ein Business-Verzeichnis für IT-Spezialisten. Facebook, Twitter, Google, Microsoft und Co sind dabei, aber ansonsten hauptsächlich Spezialseiten wie GitHub, GitLab, Code Enigma und verschiedene Security-Seiten.
Und bei den meisten dieser Portale dient FIDO2 auch nicht als Möglichkeit der „Passwortlosen Anmeldung“, sondern als eine Alternative zu anderen Lösungen bei der 2-Faktor-Anmeldung.
Wer also große Angst hat, dass jemand in sein Google-Konto einbrechen oder sein Facebook-Konto übernehmen könnte, der sollte FIDO2 durchaus als bequeme Alternative zu Tools wie dem Google Authenticator in Betracht ziehen.
Für alle anderen wäre es schon wünschenswert, wenn sie endlich die häufig angebotene 2-Faktor-Sicherheit aktivieren würden und die maximal verfügbare und hundertprozentig kompatiblen Lösungen nutzen, bevor sie auf ein Pferd setzen, das noch gar nicht richtig laufen kann.
Hat dir der Beitrag gefallen? Folge uns auf WhatsApp und Google News und verpasse keine Neuigkeit rund um Technik, Games und Entertainment.
