FIDO (Fast Identity Online) ist eine Kombination von offenen, standardisierten Authentifizierungsprotokollen, die letztendlich der Abschaffung von Passwörtern dienen, die oft ineffektiv und sicherheitstechnisch überholt sind.
Nach einer anfänglichen Registrierung und dem Auswählen der gewünschten Authentifizierungsmethode können sich Benutzer bei einem FIDO-kompatiblen Produkt oder Dienst einfach mit einem Fingerabdruck anmelden, in ein Mikrofon sprechen, in eine Kamera schauen oder eine PIN eingeben – je nachdem, welche Technologie auf ihrem Computer oder Smartphone verfügbar ist und welche Verfahrensweise das Produkt oder der Dienst akzeptiert. Ein großer Teil des Authentifizierungsprozesses läuft im Hintergrund, ohne dass der Benutzer dies bemerkt.
Konzipiert für den Schutz der Privatsphäre
FIDO-Protokolle verwenden die Standardverfahren der Public-Key-Kryptographie zur sicheren Authentifizierung von Benutzern. Die gesamte Kommunikation ist verschlüsselt und die privaten Schlüssel verlassen nie die Geräte der Benutzer. Damit verringert sich die Wahrscheinlichkeit, dass sie bei der Übertragung offenbart werden. Auch bei der Authentifizierung mit biometrischen Informationen werden die Schlüssel auf den Geräten der Benutzer gespeichert, was diese Methode noch stärker und sicherer macht.
Die 2013 gegründete FIDO Alliance ist ein offener Industrieverband, der sich auf die Schaffung von Authentifizierungsstandards konzentriert, die dazu beitragen „die übermäßige Abhängigkeit der Welt von Passwörtern zu reduzieren“.
Der Gedanke, biometrische Daten anstelle von Passwörtern zur Authentifizierung von Benutzern zu verwenden, kam erstmals bei einem Treffen zwischen PayPal und Validity Sensors im Jahr 2009 zur Sprache. Bei dieser Gelegenheit wurde auch die Idee geboren, einen Industriestandard zu erschaffen, der mit Hilfe von Public-Key-Kryptographie und lokalen Authentifizierungsmethoden eine passwortlose Anmeldung ermöglicht.
Heute zählt die FIDO Alliance Hunderte von Unternehmen aus einer Vielzahl von Branchen zu ihren Mitgliedern. Gemeinsam arbeiten sie an der Entwicklung technischer Spezifikationen für die Definition einer offenen Reihe von Protokollen für eine starke, passwortlose Authentifizierung. Zu diesen Unternehmen gehören unter anderem Amazon, Apple, Google, Microsoft, Visa und natürlich auch Ping.
Die FIDO Alliance entwickelt technische Spezifikationen, die offene Standards für unterschiedliche Authentifizierungsmechanismen festlegen, die alle miteinander kompatibel sind. Sie verfügt auch über Zertifizierungsprogramme, mit denen Unternehmen die Interoperabilität zertifizierter Produkte überprüfen können – eine Voraussetzung für eine weltweite Verbreitung.
Die Tatsache, dass FIDO ein offener Standard ist, hat auch im Hinblick auf eine flächendeckende Anwendung Bedeutung, denn er ist öffentlich verfügbar und kann gratis übernommen, implementiert und aktualisiert werden. Da die offenen Standards von einer Stiftung von Interessenvertretern verwaltet werden, die auf die Qualität und Interoperabilität der Standards achten, sind sie in der Entwicklergemeinschaft weithin akzeptiert.
Die FIDO Alliance hat drei Spezifikationen veröffentlicht, die alle auf Public-Key-Kryptographie basieren:
Mithilfe des FIDO UAF-Protokolls können Anbieter von Webdiensten ihren Benutzern passwortlose Anmeldeerfahrungen bieten. Es sind auch Szenarien mit Multi-Faktor-Anmeldungen möglich, falls zusätzliche Sicherheit erforderlich ist.
Um das UAF-Protokoll zu nutzen, müssen Benutzer über ein persönliches Gerät wie einen Computer oder ein Smartphone verfügen und dieses bei einem Webdienst registrieren. Im Rahmen der Registrierung werden die Benutzer zur Auswahl der Methode für ihre zukünftige Authentifizierung beim Dienst aufgefordert.
Die Dienste-Anbieter ermitteln daraufhin die geeigneten Authentifizierungs-Mechanismen und erstellen eine Liste der verfügbaren Optionen, zu denen Gesichts- oder Stimmerkennung, das Einlesen von Fingerabdrücken oder die Eingabe einer PIN gehören können. Wenn eine Multi-Faktor-Anmeldung erforderlich wird, können sich Benutzer mit einer Kombination dieser Optionen authentifizieren.
Nachdem die Benutzer sich registriert haben, geben sie bei der Anmeldung nicht mehr ihre Passwörter ein, sondern verwenden von ihnen selbst gewählte Methoden, um sich zu authentifizieren.
Zunächst betrachten wir den Registrierungsprozess. Wenn ein Benutzer sich zum ersten Mal bei einem Webdienst anmelden möchte, wird er zur Registrierung aufgefordert.
Wichtig ist, zu beachten, dass die Kommunikation während dieses gesamten Ablaufs verschlüsselt bleibt. Da weder private Schlüssel noch biometrische Daten vom Benutzergerät übermittelt werden, ist die Wahrscheinlichkeit für eine Datenschutzverletzung minimal.
Nach der Registrierung erhält der Benutzer über die von ihm gewählte Authentifizierungsmethode umgehend Zugriff auf die Anwendung.
Das FIDO U2F-Protokoll ergänzt die herkömmliche passwortbasierte Sicherheit, anstatt sie vollständig zu ersetzen. Mit U2F müssen die Benutzer zwei Nachweise erbringen, um ihre Identitäten zu verifizieren:
Der Computerbrowser kommuniziert direkt mit dem aktivierten Sicherheitsgerät und gibt so den Zugriff auf den Online-Dienst frei.
Wenn ein Benutzer sich zum ersten Mal bei einem Webdienst anmelden möchte, wird er zur Registrierung und zur Eingabe eines Benutzernamens und Passworts aufgefordert.
Nachfolgend geschieht folgendes bei jedem Anmeldeversuch eines Benutzers an einem Webdienst über seinen Browser:
Wie auch beim UAF-Protokoll bleibt die Kommunikation während des gesamten Prozesses verschlüsselt, und das Gerät gibt die privaten Schlüssel der Benutzer in keinem Fall weiter.
FIDO2 ist der Name der neuesten Kombination von Spezifikationen der FIDO Alliance, die in gemeinsamer Anstrengung zwischen der FIDO Alliance und dem World Wide Web Consortium (W3C) erstellt wurde.
FIDO2 basiert auf zwei offenen Standards: dem FIDO Client To Authenticator-Protokoll (CTAP) und dem W3C-Standard WebAuthn. Die beiden greifen ineinander, um den Benutzern die passwortlose Authentifizierung beziehungsweise die Multi- Faktor-Authentifizierung (2FA und MFA) zu ermöglichen, sofern zusätzlicher Schutz erforderlich ist. Bei diesen Anmeldeerfahrungen können eingebettete Authentifikatoren (beispielsweise Biometrie, PINs) oder auch Roaming-Authentifikatoren (Key Fobs oder USB-Geräte) zum Einsatz kommen.
FIDO2 beinhaltet die folgenden Spezifikationen:
Wie auch bei UAF und U2F werden Benutzer bei ihrer ersten Anmeldung bei einem Webdienst dazu aufgefordert, sich zu registrieren und einen Benutzernamen und Passwort anzugeben. Bei der Registrierung wird ein neues Schlüsselpaar generiert, das aus einem privaten und einem öffentlichen Schlüssel besteht. Der private Schlüssel ist auf dem Gerät gespeichert und mit der ID und der Domäne des Online-Dienstes verknüpft, während der öffentliche Schlüssel in der Schlüsseldatenbank des Online-Dienstes auf einem Server hinterlegt ist.
Anschließend wird der Webdienst oder die Relying Party (RP) bei jedem Versuch des Benutzers auf einen Webdienst zuzugreifen, APIs verwenden, um die Anmeldeinformationen des Benutzers mit dem Authentifikatoren zu überprüfen.
Wie auch bei anderen FIDO-Protokollen bleibt die Kommunikation während des gesamten Prozesses verschlüsselt und das Gerät gibt die privaten Schlüssel der Benutzer nicht heraus.
Ressourcen zu diesem Thema
Starten Sie jetzt
Erfahren Sie, wie Ping Sie dabei unterstützen kann, sichere Mitarbeiter- und Kundenerlebnisse in einer sich schnell entwickelnden digitalen Welt zu schaffen.
Kostenlose Demo anfordern
Vielen Dank! Behalten Sie Ihren Posteingang im Auge. Wir melden uns bald bei Ihnen.