Was ist FIDO (Fast IDentity Online)? (2024)

Definition: Standards für eine sichere Online-Authentifizierung Was ist FIDO (Fast IDentity Online)?

Unter dem Kürzel FIDO sind mehrere offene Standards und Protokolle für eine sichere und benutzerfreundliche Online-Authentifizierung zusammengefasst. FIDO unterstützt die passwortlose Mehrfaktor-Authentifizierung und basiert auf der Public-Key-Kryptographie. Die aktuelle Version FIDO2 stützt sich auf WebAuthn und CTAP.

Das Akronym FIDO steht für Fast IDentity Online. Unter dem Kürzel sind mehrere Authentifizierungsprotokolle und -standards zusammengefasst. Sie wurden für eine sichere und benutzerfreundliche Online-Authentifizierung von der nichtkommerziellen FIDO-Allianz entwickelt.

Zu den von der FIDO-Allianz veröffentlichten Standards gehören FIDO v1.0 mit Universal Second Factor (U2F) und Universal Authentication Framework (UAF) sowie FIDO2. FIDO2 stützt sich auf Web Authentication (WebAuthn) und Client to Authenticator Protocol (CTAP). Die FIDO-Standards unterstützen die Mehrfaktor-Authentifizierung und machen Passwörter überflüssig. FIDO basiert auf der Public-Key-Kryptographie mit privaten und öffentlichen Schlüsseln. Zur Online-Authentifizierung lassen sich Sicherheits-Token oder biometrische Merkmale wie Fingerabdruck, Stimme oder Aussehen verwenden. Private Schlüssel bleiben lokal auf den Geräten der Anwender gespeichert und verlassen diese niemals.

Die gängigen Browser wie Google Chrome, Mozilla Firefox, Apple Safari und Microsoft Edge, Betriebssysteme wie Windows, Android, iOS und macOS und zahlreiche Online-Services unterstützen mittlerweile die FIDO-Authentifizierung. Kompatible Produkte können mit einem geschützten FIDO-ready-Logo gekennzeichnet sein.

Motivation für die Entwicklung der FIDO-Standards

Die bis heute übliche und weit verbreitete Online-Authentifizierung mit Benutzernamen und Passwort ist anfällig für Cyberangriffe wie Phishing und wenig benutzerfreundlich. Passwörter sind in der Authentifizierungskette das schwächste Glied. Um Online-Zugänge abzusichern, müssen die Anwender komplexe und für jeden Online-Dienst unterschiedliche Passwörter erstellen und verwalten.

Die wenigsten Anwender halten sich an die Sicherheitsvorgaben für die Online-Anmeldung mit Benutzernamen und Passwort. Sie verwenden oft einfach zu erratende Passwörter für mehrere Online-Services gleichzeitig. Jedes Jahr entstehen durch Brute-Force-Angriffe, Passwortdiebstahl und die missbräuchliche Verwendung von Zugangskennungen enorme wirtschaftliche Schäden. Aus diesem Grund wurden für einige Bereiche wie das Finanzwesen gesetzliche Regelungen geschaffen, die eine starke Mehrfaktor-Authentifizierung vorschreiben.

Die nicht mehr zeitgemäße Anmeldung mit Benutzernamen und Passwort soll mehr und mehr durch sichere und benutzerfreundliche Online-Authentifizierungsverfahren abgelöst werden. Die FIDO-Allianz nimmt sich dieser Problematik an und hat mehrere Standards und Protokolle für eine passwortlose Online-Authentifizierung entwickelt. Sie basieren auf öffentlichen und privaten Schlüsseln, nutzen Faktoren wie biometrische Merkmale oder physische Hardware-Token und entziehen vielen heute üblichen Angriffsmethoden die Funktionsgrundlage. Das Erstellen und Merken komplexer Passwörter für unterschiedliche Dienste wird überflüssig. Benutzerfreundlichkeit und Sicherheit der Anmeldung steigen und die Privatsphäre der Anwender bleibt gewahrt.

Die FIDO-Allianz

Die FIDO-Allianz (im Englischen FIDO Alliance) wurde im Jahr 2013 als nichtkommerzielle Organisation offiziell gegründet. Zu den Gründungsmitgliedern zählten PayPal, Lenovo, Nok Nok Labs, Validity Sensors, Infineon und Agnitio. Später stießen Google, Yubico und NXP dazu. Das Konsortium hat seinen Sitz im kalifornischen Mountain View und besteht heute aus über 250 Mitgliedern aus verschiedenen Bereichen wie multinationale Technologieunternehmen, Dienstleister, Finanzunternehmen, staatliche Behörden und öffentliche Institutionen.

Mitglieder sind zum Beispiel Apple, Amazon, Microsoft, Facebook, Mastercard, VISA, American Express, OneSpan, Alibaba Group, Bank of America, Qualcomm, RSA Security, Samsung, Dell, Gemalto, LG Electronics, Netflix, das Bundesamt für Sicherheit in der Informationstechnik (BSI) und viele mehr. Gegründet wurde die FIDO-Allianz mit dem Ziel, offene und lizenzfreie Standards für eine sichere und benutzerfreundliche Online-Authentifizierung zu schaffen und die Verwendung von Passwörtern zu reduzieren.

FIDO v1.0 und FIDO2

FIDO v1.0 war der erste von der FIDO-Allianz veröffentliche Standard. Er erschien 2014 und bestand aus den beiden Standards Universal Second Factor (U2F) und Universal Authentication Framework (UAF). U2F stellte die Grundlagen für die Zwei-Faktor-Authentifizierung bereit und spezifizierte Soft- und Hardware. UAF ist ein Netzwerkprotokoll für die passwortlose Authentifizierung.

FIDO v1.0 folgte der FIDO2-Standard. Er ist in Zusammenarbeit zwischen der FIDO-Allianz und dem World Wide Web Consortium (W3C) entstanden. FIDO2 basiert auf dem Client to Authenticator Protocol (CTAP) der FIDO-Allianz und Web Authentication (WebAuthn) des W3C. CTAP ist aus dem U2F-Standard hervorgegangen. FIDO2 wird heute von den gängigen Betriebssystemen und Webbrowsern unterstützt. So erhielt beispielsweise Android (ab Version 7) 2019 die FIDO2-Zertifizierung.

Prinzipielle Funktionsweise Fast IDentity Online

Im Folgenden eine etwas vereinfachte Darstellung der prinzipiellen Funktionsweise von Fast IDentity Online:

Die Basis für FIDO bilden die Mehrfaktor-Authentifizierung (MFA) und die Public-Key-Kryptographie mit Schlüsselpaaren bestehend aus privaten und öffentlichen Schlüsseln. Für die Registrierung bei einem Online-Service wird zunächst auf dem Endgerät des Anwenders ein Schlüsselpaar erzeugt. Der private Schlüssel wird sicher in einem sogenannten FIDO-Authenticator gespeichert. Der Zugriff ist lokal, beispielsweise über biometrische Merkmale, gesichert. Öffentliche Schlüssel werden auf den Webservern der Online-Dienste eingetragen.

Zur Authentifizierung beim Online-Dienst muss der Anwender den Nachweis erbringen, dass er im Besitz des privaten Schlüssels ist. Der lokale Schlüssel wird durch eine Nutzerinteraktion entsperrt. Dies kann beispielsweise die Eingabe einer PIN, die Überprüfung eines biometrischen Merkmals oder die Freigabe über eine Zwei-Faktor-Hardware (FIDO2-Token) beziehungsweise über ein integriertes TPM-Modul sein. Über ein Challenge-Response-Verfahren und den bekannten öffentlichen Schlüssel kann der Webservice die Anmeldeanforderung prüfen und den Anwender authentifizieren.

Beim Authentifizierungsvorgang mit FIDO2 findet die Kommunikation zwischen Webbrowser und Webserver per WebAuthn-Protokoll statt. Für den Informationsaustausch zwischen Webbrowser und FIDO-Authenticator ist CTAP zuständig. Private Schlüssel oder biometrische Merkmale verlassen das Endgerät niemals. Grundsätzlich unterstützt FIDO die Authentifizierung mit Merkmalen wie Wissen des Benutzers (zum Beispiel PIN), Besitz des Benutzers (zum Beispiel Sicherheits-Token) oder Eigenschaft des Benutzers wie Fingerabdruck, Aussehen oder Stimme.

Vorteile durch den Einsatz von FIDO

Die Vorteile durch den Einsatz der FIDO-Authentifizierung sind kurz zusammengefasst folgende:

• Vermeidung von nicht mehr zeitgemäßer, unsicherer Anmeldung per Benutzernamen und Passwort (Reduzierung der Angriffsfläche - Schutz vor Phishing);

• kein Merken oder Verwalten von komplexen Passwörtern mehr notwendig;

• höhere Sicherheit und Benutzerfreundlichkeit bei der Authentifizierung - Anmelden zum Beispiel per Scan des Fingerabdrucks;

• Einhaltung gesetzlicher Anforderungen wie die der überarbeiteten Zahlungsdiensterichtlinie (PSD2) der Europäischen Union;

• private Schlüssel verbleiben im Besitz des Anwenders und werden nicht auf Webservern gespeichert;

• Verschlüsselung des gesamten Authentifizierungsprozesses;

• keine Passwortrücksetzung (bei vergessenen Passwörtern) oder anderen Passwortprozesse notwendig.

(ID:48801491)