Digitalisierung und Innovation / 28.07.2020 / Simon Böck

Passwortlose Authentifizierung

Zu Beginn des Jahres gab es wieder einmal hochkarätige Berichtserstattung zur passwortlosen Authentifizierung. Zum Beispiel beschreiben im Januar das Weltwirtschaftsforum​ und das ​Handelsblatt​ die Vorteile einer passwortlosen Authentifizierung und zeigen damit eine Zukunft ohne Passwörter auf.

Nicht zuletzt veröffentlicht auch Apple mit Safari 13 eine Version des Safari-Browser, die eine passwortlose Authentifizierung ermöglicht. Da nun alle der gängigen Browserhersteller den passwortlose Authentifizierung Standard “FIDO2” unterstützen, stellt sich die Frage: Was ist denn dieses FIDO?

 

FIDO2

FIDO2 ist der Überbegriff für ein gemeinsames Projekt der FIDO-Allianz und des W3C, welches das Ziel hat starke passwortlose Mehrfaktoren-Authentifizierung zu ermöglichen. FIDO steht dabei für Fast Identity Online und adressiert die traditionellen Probleme von Passwörtern:

  • Sicherheit
  • Privatsphäre
  • Komfort
  • Skalierbarkeit

Der Authentifizierungs Standard kombiniert das Client to Authenticator Protocol (CTAP) der FIDO-Allianz mit der WebAuthn-API des W3C und lässt sich dadurch in den Browser integrieren.

Das CTAP-Protokoll stellt dabei die Schnittstelle zu den Authenticatoren her. Hier handelt es sich um Hardware-Keys, Smartcards und Trusted Platform Module (TPM), welche zum Beispiel Biometrie unterstützen. Ein Login kann somit nur von Personen im Besitz des privaten Sicherheitsschlüssels durchgeführt werden. Die mobilen Plattformen und Windows erweitern die Sicherheit zusätzlich noch um den Faktor Inhärenz z.B. mit Fingerabdruck oder Gesichtserkennung. Zur Authentifizierung kommt statt des Passwort ein öffentlicher, kryptografischer Schlüssel zum Einsatz.

WebAuthn bringt diese Authenticatoren ins Web und ermöglicht den Login auf Webseiten mit z.B. biometrischen Daten. Dazu werden weiterhin die biometrischen Merkmale im TPM gespeichert und verlassen nicht das Gerät des Benutzers. Tatsächlich wird nur der öffentliche Schlüssel über den Browser mit der Webseite ausgetauscht.

Heutzutage sind bereits viele Geräte insbesondere Smartphones und Laptops mit der entsprechenden Hardware (siehe TPM) und Software (z.B. Windows Hello) ausgestattet, weshalb die Hürde für Nutzer relativ gering ist. Alternativ kann ein Hardware-Token verwendet werden und dient als digitaler Schlüsselbund.

Phishing gehört damit vermutlich der Vergangenheit an insbesondere, wenn mehrere Faktoren bei der Authentifizierung im Spiel sind.

FIDO eignet sich für folgende Usecases:

  • Passwortlose Authentifizierung
  • Multifaktor Authentifizierung
  • Transaktionsfreigabe

 

Vorteile

Gegenüber den Passwörtern ergeben sich durch die von FIDO2 verwendeten öffentlichen, kryptografischen Schlüssel eine Reihe von Vorteilen. Der Komfort der mit dem Einsatz der Authenticatoren verbunden ist, dürfte die Benutzer von FIDO2 überzeugen. Insbesondere da die Benutzer keine Informationen auswendig lernen müssen. Damit geht auch ein Sicherheitsgewinn für den Kunden und Webseitenbetreiber einher. Schließlich sind die verwendeten öffentlichen Schlüssel und das damit verbundene Challenge-Response-Verfahren nur sehr schwer mit Brute-Force angreifbar und ein Phishing ist aufgrund des Faktor Besitz unwahrscheinlich.

Des Weiteren verlassen keine sensiblen Daten das vom Benutzer verwendete Gerät. Zusätzlich werden je Gerät, je Service und je Benutzer eigenständige Schlüsselpaare erzeugt. Die Privatsphäre des Kunden ist somit gewahrt und der Webseitenbetreiber muss diese Daten nicht extra absichern. Der für gewöhnlich hohe Aufwand zur Absicherung der zur Anmeldung verwendeten Daten entfällt und das mit einem schwerwiegenden Sicherheitsvorfall verbundene Risiko sinkt.

Ein weiterer für Unternehmen interessanter Punkt dürfte die Weiterentwicklung der in den Geräte verbauten Authenticatoren sein. Da diese von den Geräteherstellern bereitgestellt werden, sind zukünftig neben Multifaktor Authentifizierung mit PIN, Fingerabdruck oder Gesichtserkennung weitere Verfahren zu erwarten, die vom Webseitenbetreiber ohne Implementierungsaufwand unterstützt werden können.

 

Herausforderungen

Geht ein Authenticator verloren oder wird gestohlen, muss der Benutzer, wie schon heute auch, die Anmeldung in allen verwendeten Anwendungen unterbinden. Hierfür müssen vom Webseitenbetreiber sinnvolle Verfahren für einen Reset bereitgestellt werden. Zusätzlich werden die Nutzer den Aufwand zur Verwaltung eines Masterschlüssels in Kauf nehmen müssen.

 

Fazit

FIDO2 bietet einen deutlich höheren Sicherheitsstandard als bisher etablierte Verfahren an und erhöht gegenüber diesen Verfahren gleichzeitig den Komfort. Eine Anmeldung kann innerhalb weniger Sekunden durchgeführt werden. Auch für die Anbieter von Webseiten bedeutet FIDO2 spürbar weniger Aufwand. Zumal mit neuen Multifaktor-Verfahren durch die Gerätehersteller zu rechnen ist.

Einblicke

Shaping the future with our clients