Sichere Authentifizierung mit FIDO2

Passwortersatz

Seit Jahren predigen Sicherheitsforscher, dass Passwörter keine Zukunft haben und als Methode zur Authentifikation verschwinden müssen. Viel Hoffnung lag auf biometrischen Verfahren, zumindest als weiterer Faktor neben dem Passwort. Der bereits 2014 veröffentlichte Standard zu FIDO und FIDO2 erlaubt unter anderem eine passwortlose Authentifikation. Wir stellen Ihnen die Voraussetzungen für einen FIDO2-Einsatz vor und zeigen die Implementierung anhand eines Beispiels.
Nicht erst durch die Corona-Krise sahen sich viele Firmen damit konfrontiert, dass sich Mitarbeiter von unterschiedlichen Geräten und verschiedensten ... (mehr)

Die Abkehr vom Passwort zur Verbesserung der Account-Sicherheit ist immer wieder ein Thema für Administratoren und Sicherheitsforscher. Seit gut und gerne zwei Jahrzehnten werden Business-Notebooks serienmäßig mit Fingerabdruck-Sensor verkauft. Das mit Windows 2000 eingeführte "Graphical Identification and Authentication" (GINA) ermöglichte bereits die Verwendung des Fingerabdrucks zum Windows-Login. Zwar wurde GINA bereits mit Windows Vista wieder abgeschafft, die Funktionalität aber blieb erhalten. Und während Forscher die Technik immer wieder überlisten konnten, entwuchs diese den Kinderschuhen und dient seit einiger Zeit auch Logins auf Smartphones.

Was lokal heute gut funktioniert, ist so bisher nicht für entfernte Anmeldungen nutzbar. Im Internet dominiert noch immer das Passwort als wissensbasierter Faktor der Authentifikation die Loginmethoden von Onlinediensten. Passwortmanager entlasten dabei zwar die Benutzer als Schwachstelle bei der Passwortwahl zunehmend. Doch aller technischen Unterstützung zum Trotz verwenden aber auch heute noch viele Benutzer einfach zu merkende und somit auch einfach zu knackende Passwörter.

Während Projekte wie "Have I Been Pwned" [1] oder die Forscher der Universität Bonn in ihrem EIDI-Projekt [2] einen reaktiven Ansatz zur Kontensicherheit verfolgen, sollte der Fokus in der Webentwicklung mehr auf alternative Authentifikationsmethoden liegen. Bereits im Dezember 2014 hat die FIDO Alliance den Standard "FIDO Universal Authentication Framework" (FIDO UAF) veröffentlicht, der passwortlose Authentifikation ermöglichen sollte. Schon vor dem Release von Windows 10 kündigte Microsoft Anfang 2015 die Unterstützung von FIDO im neuen Betriebssystem an. Bewegung in die Sache kam jedoch erst 2018. Seit der Veröffentlichung des FIDO2-Standards mit den Bestandteilen "Web Authentication" (WebAuthn) und "Client to Authenticator Protocol" (CTAP) unterstützen

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2020