FIDO2 ist ein Meilenstein der passwortlosen Authentifizierung. Beim Login erhält der Browser des Benutzers eine Challenge und muss diese mit dem privaten Schlüssel signieren, sodass der Dienstanbieter die Signatur mit den hinterlegten öffentlichen Schlüsseln verifizieren kann. Ist die Überprüfung erfolgreich, gilt der Login als abgeschlossen.
Ein Vorteil von Public-Key-Verfahren wie FIDO2 liegt darin, dass Dienstanbieter und Benutzer kein gemeinsames Geheimnis (Shared Secret) mehr teilen müssen. Das beinhaltet auch solche Geheimnisse, die etwa für die Zwei-Faktor-Authentifikation zum Einsatz kommen. Somit können diese Geheimnisse auch auf keiner Seite mehr abhandenkommen – Kriminelle erhalten im Zweifel lediglich den öffentlichen Schlüssel eines Benutzers. Dieser darf, wie der Name schon sagt, durchaus öffentlich bekannt sein. Eine Anmeldung bei dem Dienst selbst oder bei anderen Diensten, bei denen der Benutzer denselben Schlüssel hinterlegt hat, bleibt unmöglich. Damit ein Benutzer bei Verlust eines privaten Schlüssels nicht ohne einen Zugang bleibt, lassen sich bei den meisten FIDO2-Implementierungen direkt mehrere öffentliche Schlüssel beziehungsweise unterschiedliche Sicherheitstoken hinterlegen.
...Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.