Sichere Authentifizierung mit FIDO2

Die Abkehr vom Passwort zur Verbesserung der Account-Sicherheit ist immer wieder ein Thema für Administratoren und Sicherheitsforscher. Seit gut und gerne zwei Jahrzehnten werden Business-Notebooks serienmäßig mit Fingerabdruck-Sensor verkauft. Das mit Windows 2000 eingeführte "Graphical Identification and Authentication" (GINA) ermöglichte bereits die Verwendung des Fingerabdrucks zum Windows-Login. Zwar wurde GINA bereits mit Windows Vista wieder abgeschafft, die Funktionalität aber blieb erhalten. Und während Forscher die Technik immer wieder überlisten konnten, entwuchs diese den Kinderschuhen und dient seit einiger Zeit auch Logins auf Smartphones.

Was lokal heute gut funktioniert, ist so bisher nicht für entfernte Anmeldungen nutzbar. Im Internet dominiert noch immer das Passwort als wissensbasierter Faktor der Authentifikation die Loginmethoden von Onlinediensten. Passwortmanager entlasten dabei zwar die Benutzer als Schwachstelle bei der Passwortwahl zunehmend. Doch aller technischen Unterstützung zum Trotz verwenden aber auch heute noch viele Benutzer einfach zu merkende und somit auch einfach zu knackende Passwörter.

Während Projekte wie "Have I Been Pwned" [1] oder die Forscher der Universität Bonn in ihrem EIDI-Projekt [2] einen reaktiven Ansatz zur Kontensicherheit verfolgen, sollte der Fokus in der Webentwicklung mehr auf alternative Authentifikationsmethoden liegen. Bereits im Dezember 2014 hat die FIDO Alliance den Standard "FIDO Universal Authentication Framework" (FIDO UAF) veröffentlicht, der passwortlose Authentifikation ermöglichen sollte. Schon vor dem Release von Windows 10 kündigte Microsoft Anfang 2015 die Unterstützung von FIDO im neuen Betriebssystem an. Bewegung in die Sache kam jedoch erst 2018. Seit der Veröffentlichung des FIDO2-Standards mit den Bestandteilen "Web Authentication" (WebAuthn) und "Client to Authenticator Protocol" (CTAP) unterstützen

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.