Sicherheit
08.06.2020
Sicherheitstipps
1. Teil: „So funktionieren FIDO und FIDO2/WebAuthn“

So funktionieren FIDO und FIDO2/WebAuthn

SchlossSchlossSchloss
geralt / Pixabay
Hat das Passwort als Sicherheitsmerkmal ausgedient? Mit FIDO (U2F) und FIDO2/WebAuthn sind bereits vielversprechende Technologien im Einsatz.
Der Schutz von Geräten und der damit zusammenhängenden Konten wird immer wichtiger, je mehr via Internet abgewickelt wird. Ein hoher Grad an Sicherheit macht den Umgang mit den vielen Onlinediensten jedoch umständlich.

Unsicher und kompliziert

Für jeden Dienst ein anderes Passwort zu verwenden, ist zwar wichtig. Damit es aber nicht zu schnell erraten werden kann, muss ein Kennwort möglichst kompliziert sein. Sobald ein Angreifer in einen Onlineshop einbricht und sofern die Passwörter dort vielleicht sogar im Klartext gespeichert sind, nützt das beste Passwort nichts. Auch Phishing ist eine Gefahr für Passwörter. Damit versuchen Kriminelle, arglose Nutzer auf gefälschte Webseiten zu locken und ihnen die Zugangsdaten abzuluchsen. Ein reines Login mit Benutzernamen und Passwort mag für Webforen sicher genug sein. Für Onlineshops, E-Banking und Ihre Krankenkasse reicht das aber nicht - und ebenso wenig für Ihren Google- oder Microsoft-Account. Denn in solchen Accounts steckt Ihr ganzes Leben drin: persönliche Fotos, Dokumente, Mails, Kontakte et cetera.

Sicherer, aber kompliziert

Darum werden besonders wichtige Onlinekonten meist mit einer weiteren Maßnahme abgesichert: der Zwei-Faktor-Authentifizierung (2FA). Bei dieser geht es darum, auf einem separaten Kanal oder Gerät einen Einmal-Code anzuzeigen, den man beim Einloggen zusätzlich zu Benutzernamen und Passwort eingeben muss. Der zweite Kanal kann eine SMS auf dem Smartphone sein, eine Mobile-ID oder eine Authenticator-App. Damit reicht es fürs Login nicht mehr, bloß den Nutzernamen und das zugehörige Passwort eines Dienstes zu kennen. Jemand kommt mit Ihren Anmeldedaten nur in eins Ihrer Konten rein, wenn er zusätzlich die Kontrolle über diesen zweiten Kanal hat. Das ist zwar schon eine erhebliche Steigerung der Sicherheit, bleibt aber dennoch ziemlich kompliziert.

Sicher ohne Passwort?

Das ist relativ umständlich, denn es erfordert weiterhin, dass man für jeden Dienst ein separates Passwort erzeugt und all die Kennungen sowie den Zweitkanal stets griffbereit hat. Klar - es gibt Passwortverwaltungen, die einen Teil der Arbeit übernehmen. Aber auch die müssen gepflegt werden und auch bei diesen ist das Entlocken des zugehörigen Passworts oft etwas umständlich.
Genau da setzt der FIDO- bzw. FIDO2-Standard an. Die Abkürzung FIDO steht für "Fast IDentity Online". Dies ist ein Authentifizierungsstandard, der eine vereinfachte Anmeldung bei Geräten und Webdiensten ermöglicht - ohne auf eine hohe Sicherheitsstufe verzichten zu müssen.
Die Funktion "Windows Hello" von Windows 10 erlaubt das Anmelden auf dem Computer anhand der Gesichtserkennung, eines Fingerabdrucks oder einer PIN. Diese Anmeldeelemente werden nirgendwohin via Web übertragen, sondern dienen einzig auf dem lokalen Gerät zur Identifikation des Nutzers. Dabei werden die erforderlichen Schlüssel im TPM-Chip (Trusted Platform Module) des Computers verwahrt.
Beim ursprünglichen FIDO-/U2F-Standard ist neben dem Nutzernamen und den Daten im TPM-Chip noch mindestens ein weiteres Anmeldeelement erforderlich - etwa ein Passwort. Bei der Weiterentwicklung FIDO2 ist das zwar ebenfalls möglich und meistens sogar sinnvoll, aber bei manchen Diensten nicht mehr unbedingt Pflicht: Im einfachsten Fall genügt die Eingabe des Benutzernamens oder der Mailadresse, anschließend muss die Registriermethode mit dem Sicherheitsschlüssel gewählt werden. Hierfür kann entweder der eingebaute TPM-Chip oder ein separater Hardware-Schlüssel verwenet werden.
2. Teil: „Wie funktioniert es und wer kanns?“

Wie funktioniert es und wer kanns?

Sowohl ein PC als auch viele Smartphones haben einen separaten Kryptochip (beispielsweise TPM) schon eingebaut. Für Konten, die man auf mehr als einem Gerät nutzt, kann man auch einen separaten Hardware-Schlüssel kaufen, zum Beispiel einen YubiKey von Yubico.
Bei der Registrierung bei einem FIDO2-fähigen Dienst mit einem FIDO2-tauglichen Schlüssel erzeugt dieser für diese Seite einen privaten sowie einen öffentlichen Schlüsselcode. Der Dienst erhält den öffentlichen Schlüssel, während der Hardware-Key den privaten Schlüssel für sich behält. Beim erneuten Login bei der betreffenden Seite muss der Benutzernamen eingegeben und der Key eingesteckt werden. Der Server schickt nun eine spezielle Anfrage (genannt Challenge) an den Key. Dieser beantwortet diese Anfrage korrekt und mit einer Signatur aufgrund des privaten Schlüssels. Der Server kann anhand der Signatur entscheiden, ob es der richtige Key ist.
Dass jeweils noch eine Taste berührt oder ein Knopf gedrückt werden muss, hat nichts mit einem Fingerabdruck oder Ähnlichem zu tun, sondern nur damit, dass der Dienst sicherstellen will, dass ein Mensch (im Idealfall der Besitzer) an diesem PC sitzt. Viele Nutzer stecken ihren Key dauerhaft ein. Das Drücken eines Knopfs oder Berühren eines Sensors stellt sicher, dass niemand aus der Ferne (etwa über einen Trojaner) den angesteckten Key nutzen kann, während der Besitzer vielleicht gerade nicht am PC sitzt.
Alle gängigen Webbrowser wie Edge, Firefox oder Chrome unterstützen FIDO2/WebAuthn. Ab Android 7.0 läuft das mit Smartphones genauso wie mit Windows 10 auf allen Geräten, die damit ausgeliefert wurden.
Sollte ein Gerät oder Betriebssystem keinen FIDO2-tauglichen Chip mitbringen, gibt es entsprechende USB- oder NFC-Sticks, mit denen das klappt, so zum Beispiel den YubiKey. Das funktioniert auch mit macOS, Linux oder ChromeOS; und mit iOS 13 und spätestens mit Safari 13 können auch iPhones und iPads FIDO2-Sticks via NFC nutzen. Yubico ist zwar nur einer von mehreren Herstellern, die FIDO2-taugliche Sticks zur Nutzung via USB, Lightning oder NFC produzieren, aber der Katalog der Onlinedienste, die damit funktionieren, ist schon recht lang: yubico.com/works-with-yubikey/catalog. Die meisten dort erwähnten Dienste funktionieren auch mit anderen FIDO2-fähigen Lösungen, nicht nur mit dem YubiKey.
3. Teil: „FIDO2 in der Praxis“

FIDO2 in der Praxis

Microsoft beispielsweise ist mit der Implementierung von FIDO2 schon recht weit. Unter Windows Hello und Sicherheitsschlüssel befinden sich die beiden Punkte Sicherheitsschlüssel einrichten sowie Windows Hello einrichten. Hier kann Windows Hello konfigurieren und ein Sicherheitsschlüssel erfasst werden. Es ist empfohlen, für jeden Dienst mindestens zwei Schlüssel zu hinterlegen, denn so existiert noch eine Reserve, falls der primär genutzte Key gerade nicht verfügbar ist. Unter dem Punkt Anmeldemethoden verwalten lässt sich zudem ein verlorener Schlüssel entfernen oder einen neuen Schlüssel hinzufügen.
Das Einloggen per FIDO2 ist bequem, sofern man das richtige Gerät immer dabei hat. Dennoch sollte außerdem eine zweite Anmeldemöglichkeit einzurichten. Dazu empfiehlt sich ein richtig starkes Passwort mit Zwei-Faktor-Authentifizierung (2FA). Sollte der Schlüssel gerade nicht zur Hand sein, ist eine Anmeldung an den jeweiligen Diensten dennoch möglich. So fragt beispielsweise Microsoft nach dem Passwort.

Konten absichern

Bei vielen Diensten, die diese Art von Registrierung anbieten, gibts auch die Möglichkeit, einen Wiederherstellungs-Code zu sichern - oder gleich mehrere davon. Der Vorteil: Im Verlustfall kann das betreffende Konto gerettet werden.

mehr zum Thema