Sicherheitstipps
08.06.2020, 10:11 Uhr
So funktionieren FIDO und FIDO2/WebAuthn
Hat das Passwort als Sicherheitsmerkmal ausgedient? Mit FIDO (U2F) und FIDO2/WebAuthn sind bereits vielversprechende Technologien im Einsatz. Wir erklären, wie diese funktionieren und wie Sie diese am besten verwenden.
Der Schutz unserer Geräte und der damit zusammenhängenden Konten wird immer wichtiger
(Quelle: geralt/Pixabay)
Der Schutz unserer Geräte und der damit zusammenhängenden Konten wird immer wichtiger, je mehr wir unsere täglichen persönlichen oder beruflichen Aufgaben via Internet abwickeln. Ein hoher Grad an Sicherheit macht aber den Umgang mit den vielen Onlinediensten umständlich.
Unsicher und kompliziert
Für jeden Dienst ein anderes Passwort zu verwenden, ist zwar wichtig. Damit es aber nicht zu schnell erraten werden kann, muss ein Kennwort möglichst kompliziert sein. Sobald ein Angreifer in einen Onlineshop einbricht und sofern die Passwörter dort vielleicht sogar im Klartext gespeichert sind, nützt das beste Passwort nichts. Auch Phishing ist eine Gefahr für Passwörter. Damit versuchen Kriminelle, arglose Nutzer auf gefälschte Webseiten zu locken und ihnen die Zugangsdaten abzuluchsen. Ein reines Login mit Benutzernamen und Passwort mag für Webforen sicher genug sein. Für Onlineshops, E-Banking und Ihre Krankenkasse reicht das aber nicht – und ebenso wenig für Ihren Google- oder Microsoft-Account. Denn in solchen Accounts steckt Ihr ganzes Leben drin: persönliche Fotos, Dokumente, Mails, Kontakte etc.
Sicherer, aber kompliziert
Darum werden besonders wichtige Onlinekonten meist mit einer weiteren Massnahme abgesichert: der Zwei-Faktor-Authentifizierung (2FA). Bei dieser geht es darum, auf einem separaten Kanal oder Gerät einen Einmal-Code anzuzeigen, den man beim Einloggen zusätzlich zu Benutzernamen und Passwort eingeben muss. Der zweite Kanal kann eine SMS auf dem Smartphone sein, eine Mobile-ID oder eine Authenticator-App. Damit reicht es fürs Login nicht mehr, bloss den Nutzernamen und das zugehörige Passwort eines Dienstes zu kennen. Jemand kommt mit Ihren Anmeldedaten nur in eins Ihrer Konten rein, wenn er zusätzlich die Kontrolle über diesen zweiten Kanal hat (zum Beispiel das zugehörige Handy). Das ist zwar schon eine erhebliche Steigerung der Sicherheit, bleibt aber dennoch ziemlich kompliziert.
Sicher ohne Passwort?
Obiges ist relativ umständlich, denn es erfordert weiterhin, dass man für jeden Dienst ein separates Passwort erzeugt und all die Passwörter sowie den Zweitkanal immer griffbereit hat. Klar – es gibt Passwortverwaltungen, die Ihnen einen Teil der Arbeit abnehmen. Aber auch die müssen gepflegt werden und auch bei diesen ist das Entlocken des zugehörigen Passworts oft etwas umständlich.
Es müsste doch etwas geben, das sowohl sicher als auch einfach ist. Und genau da setzt der FIDO- bzw. FIDO2-Standard an. Die Abkürzung FIDO steht für «Fast IDentity Online». Dies ist ein Authentifizierungsstandard, der eine vereinfachte Anmeldung bei Geräten und Webdiensten ermöglicht – ohne auf eine hohe Sicherheitsstufe verzichten zu müssen (siehe Box «wichtige Begriffe» auf Seite 2).
Sie kennen FIDO schon
Vielleicht nutzen Sie einen FIDO-Standard bereits für Ihre Windows-Anmeldung, ohne sich dessen bewusst zu sein. Die Funktion «Windows Hello» von Windows 10 erlaubt das Anmelden auf dem Computer anhand der Gesichtserkennung, eines Fingerabdrucks oder einer PIN. Diese Anmeldeelemente werden nirgendwohin via Web übertragen, sondern dienen einzig auf dem lokalen Gerät zur Identifikation des Nutzers. Dabei werden die erforderlichen Schlüssel im TPM-Chip (Trusted Platform Module) des Computers verwahrt. Angenommen, Sie loggen sich mittels Windows Hello am Windows-10-PC mit Ihrem Microsoft-Konto und einer PIN ein. Bekäme nun ein Angreifer diese PIN in die Finger, könnte er sich an seinem eigenen PC trotzdem nicht bei Ihrem Microsoft-Konto anmelden. Er müsste genau Ihren PC ebenfalls in seinen Besitz bekommen. Und das entspricht bereits dem FIDO-Standard. Auch das neue Login der PostFinance mittels Fingerabdruck- oder Face-ID-Authentifizierung basiert auf FIDO.
Beim ursprünglichen FIDO-/U2F-Standard ist nebst dem Benutzernamen und den Daten im TPM-Chip noch mindestens ein weiteres Anmeldeelement erforderlich, etwa ein Passwort. Bei der Weiterentwicklung FIDO2 ist das zwar durchaus ebenfalls möglich und meistens sogar sinnvoll, aber bei manchen Diensten nicht mehr unbedingt Pflicht: Im einfachsten Fall reicht dereinst die Eingabe des Benutzernamens oder der Mailadresse, anschliessend wählen Sie die Registriermethode mit dem Sicherheitsschlüssel, verwenden den eingebauten TPM-Chip oder stöpseln Ihren separaten Schlüssel ein und berühren dann den Sensor. Dieser Sensor scannt nicht etwa den Fingerabdruck, sondern stellt nur sicher, dass der Inhaber des Schlüssels gerade auch wirklich am PC sitzt.
Wie funktioniert es und wer kanns?
So funktioniert es
Sowohl ein PC als auch viele Handys haben einen separaten Kryptochip (beispielsweise TPM) schon eingebaut. Für Konten, die man auf mehr als einem Gerät nutzt, kann man auch einen separaten Hardware-Schlüssel kaufen, zum Beispiel einen YubiKey von Yubico (in der Schweiz unter yubikey.ch zu erstehen). Folgendes passiert, wenn Sie sich bei einem FIDO2-fähigen Dienst mit einem FIDO2-tauglichen Schlüssel wie zum Beispiel mit einem YubiKey registrieren: Als Benutzernamen verwenden Sie weiterhin beispielsweise Ihre Mailadresse. Ihr YubiKey erzeugt nun für diese Seite einen privaten sowie einen öffentlichen Schlüsselcode. Der Dienst erhält den öffentlichen Schlüssel, während der YubiKey den privaten Schlüssel für sich behält. Wenn Sie sich später wieder bei diesem Dienst einloggen wollen, geben Sie Ihren Benutzernamen ein und stöpseln den Key an. Der Server schickt nun eine spezielle Anfrage (genannt Challenge, zu Deutsch etwa Herausforderung) an den Key. Dieser beantwortet diese Anfrage korrekt und mit einer Signatur aufgrund des privaten Schlüssels. Der Server kann anhand der Signatur entscheiden, ob es der richtige Key ist.
Dass jeweils noch eine Taste berührt oder ein Knopf gedrückt werden muss, hat nichts mit einem Fingerabdruck oder Ähnlichem zu tun, sondern nur damit, dass der Dienst sicherstellen will, dass jetzt gerade ein Mensch (im Idealfall der Besitzer) an diesem PC sitzt. Viele Nutzer stecken ihren Key dauerhaft ein. Das Drücken eines Knopfs oder Berühren eines Sensors stellt sicher, dass niemand aus der Ferne (etwa über einen Trojaner) den angesteckten Key nutzen kann, während der Besitzer vielleicht gerade nicht am PC sitzt.
Hintergrund: wichtige Begriffe
FIDO-Allianz
Eine Technologie-Allianz, der nebst Sicherheitsorganisationen auch kommerzielle und Finanzunternehmen angehören. Laut Mitgliederliste sind einige sehr bekannte Namen an Bord: Betriebssystemhersteller wie Apple, Google und Microsoft, Prozessorhersteller wie ARM, Infineon, Intel und Qualcomm, Hardware-Hersteller wie Huawei, Lenovo, LG oder Samsung, Entwickler und Implementierer von Onlinediensten wie etwa das Schweizer Software-Unternehmen AdNovum, ferner Amazon, American Express, eBay, Facebook, Mastercard, Netflix, PayPal, Twitter und Visa – und dann wäre auch noch Mozilla dabei und das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI).
Eine Technologie-Allianz, der nebst Sicherheitsorganisationen auch kommerzielle und Finanzunternehmen angehören. Laut Mitgliederliste sind einige sehr bekannte Namen an Bord: Betriebssystemhersteller wie Apple, Google und Microsoft, Prozessorhersteller wie ARM, Infineon, Intel und Qualcomm, Hardware-Hersteller wie Huawei, Lenovo, LG oder Samsung, Entwickler und Implementierer von Onlinediensten wie etwa das Schweizer Software-Unternehmen AdNovum, ferner Amazon, American Express, eBay, Facebook, Mastercard, Netflix, PayPal, Twitter und Visa – und dann wäre auch noch Mozilla dabei und das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI).
FIDO /U2F
Ein Standard, der von der FIDO-Allianz gepflegt und gefördert wird. Bei FIDO/U2F kann ein hardwaremässiger Sicherheitsschlüssel nur als zweiter Faktor neben einem Passwort dienen.
Ein Standard, der von der FIDO-Allianz gepflegt und gefördert wird. Bei FIDO/U2F kann ein hardwaremässiger Sicherheitsschlüssel nur als zweiter Faktor neben einem Passwort dienen.
FIDO2
Eine Weiterentwicklung von FIDO/U2F in Zusammenarbeit mit dem W3C (World Wide Web Consortium w3.org). FIDO2 ist mit U2F in jeder Hinsicht rückwärtskompatibel. Es verzahnt sich perfekt mit dem API-Standard «WebAuthn» des W3C. Theoretisch ist mit diesem Standard ein komplett passwortloses, sicheres Anmelden bei Onlinediensten möglich; Benutzername angeben und den Schlüssel zeigen – fertig.
Eine Weiterentwicklung von FIDO/U2F in Zusammenarbeit mit dem W3C (World Wide Web Consortium w3.org). FIDO2 ist mit U2F in jeder Hinsicht rückwärtskompatibel. Es verzahnt sich perfekt mit dem API-Standard «WebAuthn» des W3C. Theoretisch ist mit diesem Standard ein komplett passwortloses, sicheres Anmelden bei Onlinediensten möglich; Benutzername angeben und den Schlüssel zeigen – fertig.
WebAuthn
Das ist die zum FIDO2-Standard passende Programmierschnittstelle (API: Application Programming Interface), die Webseitenbetreiber auf ihren Servern verwenden. Diese Anwendungsprogrammierschnittstelle ist quasi die Andockmöglichkeit zwischen Diensten und/oder Funktionen. Unzählige Webdienste nutzen inzwischen Logins mit einer WebAuthn-Implementierung.
Das ist die zum FIDO2-Standard passende Programmierschnittstelle (API: Application Programming Interface), die Webseitenbetreiber auf ihren Servern verwenden. Diese Anwendungsprogrammierschnittstelle ist quasi die Andockmöglichkeit zwischen Diensten und/oder Funktionen. Unzählige Webdienste nutzen inzwischen Logins mit einer WebAuthn-Implementierung.
CTA P2
Das zugehörige «Client to Authenticator Protocol» (CTAP und CTAP2) ist quasi die «Sprache», die zwischen dem Sicherheitschip/-schlüssel des Nutzers und seinem Browser gesprochen wird.
Das zugehörige «Client to Authenticator Protocol» (CTAP und CTAP2) ist quasi die «Sprache», die zwischen dem Sicherheitschip/-schlüssel des Nutzers und seinem Browser gesprochen wird.
Kryptografie/TPM-Chip
Ein gesonderter Chip, der im oder am Gerät des Nutzers die öffentlichen und privaten Schlüssel verwaltet. Dies kann ein eingebauter Chip im PC oder Smartphone des Nutzers sein; bei PCs/Notebooks wäre beispielsweise der TPM-Chip zuständig. Man kann hierfür stattdessen auch einen separaten USB- oder NFC-Schlüssel wie zum Beispiel den YubiKey verwenden.
Ein gesonderter Chip, der im oder am Gerät des Nutzers die öffentlichen und privaten Schlüssel verwaltet. Dies kann ein eingebauter Chip im PC oder Smartphone des Nutzers sein; bei PCs/Notebooks wäre beispielsweise der TPM-Chip zuständig. Man kann hierfür stattdessen auch einen separaten USB- oder NFC-Schlüssel wie zum Beispiel den YubiKey verwenden.
Token
Oftmals ist bei Herstelleranleitungen von einem «Token» die Rede. Gemeint ist in diesem Zusammenhang etwas wie ein Identifizierungsgerät. Das ist dann beispielsweise wieder der TPM-Chip in Ihrem PC oder der angestöpselte FIDO2-Stick wie etwa der YubiKey.
Oftmals ist bei Herstelleranleitungen von einem «Token» die Rede. Gemeint ist in diesem Zusammenhang etwas wie ein Identifizierungsgerät. Das ist dann beispielsweise wieder der TPM-Chip in Ihrem PC oder der angestöpselte FIDO2-Stick wie etwa der YubiKey.
Wer kanns?
Alle gängigen Webbrowser wie Edge, Firefox oder Chrome unterstützen FIDO2/WebAuthn. Ab Android 7.0 läuft das mit Smartphones genauso wie mit Windows 10 auf allen Geräten, die damit ausgeliefert wurden.
Sollte ein Gerät oder Betriebssystem selbst keinen FIDO2-tauglichen Chip mitbringen, gibt es entsprechende USB- oder NFC-Sticks, mit denen das klappt, so zum Beispiel den YubiKey. Das funktioniert auch mit macOS, Linux oder ChromeOS; und mit iOS 13 und spätestens mit Safari 13 können auch iPhones und iPads FIDO2-Sticks via NFC nutzen. Yubico ist zwar nur einer von mehreren Herstellern, die FIDO2-taugliche Sticks zur Nutzung via USB, Lightning oder NFC produzieren, aber der Katalog der Onlinedienste, die damit funktionieren, ist schon recht gross: yubico.com/works-with-yubikey/catalog. Die meisten dort erwähnten Dienste funktionieren auch mit anderen FIDO2-fähigen Lösungen, nicht nur mit dem YubiKey.
Testen auf webauthn.io
Haben Sie ein neueres Android-Handy oder einen Windows-10-PC mit aktiviertem Windows Hello (Fingerabdruck, PIN, Gesichtserkennung)? Dann surfen Sie damit mal mit dem Browser Edge oder Google Chrome auf die Webseite webauthn.io. Dort können Sie das Registrieren und Einloggen mit einem FIDO2-Schlüssel ausprobieren. Tippen Sie irgendeinen Benutzernamen ein. Wählen Sie bei Authenticator Type im Falle des Smartphones oder Windows-10-PCs die Option Platform (TPM). Klicken Sie auf Register. Nun fragt Ihr Gerät nach dem Fingerabdruck oder einer PIN, den/die Sie auf dem Gerät verwenden. Fertig – Sie sind registriert. Das Einloggen geht dann genauso einfach: Tippen Sie den Benutzernamen ein, tippen Sie auf Login, nun fragt beispielsweise das Android-Handy nach einem Fingerabdruck – voilà. Die auf der Site webauthn.io für Testzwecke angelegten Benutzernamen werden übrigens nach 24 Stunden gelöscht.
Ganz so einfach ist es leider bei den meisten Diensten noch nicht. Viele unterstützen nur U2F und akzeptieren den FIDO2-Schlüssel des Geräts oder des zusätzlich einsteckbaren Keys nur als zweiten Faktor, etwa anstelle einer SMS oder Mobile-ID.
Ein weiteres Problem ist auch, dass jeder PC und jedes Smartphone natürlich einen eigenen Kryptochip besitzt. Darum werden Sie dennoch für jeden Dienst mindestens eine weitere Login-Möglichkeit einrichten müssen. Hier können Sie weiterhin auf ein gutes Passwort und Zwei-Faktor-Authentifizierung setzen. Oder Sie registrieren für diese Dienste einen oder besser zwei separat erhältliche FIDO2-Schlüssel, wie zum Beispiel jene von Yubico (die YubiKey-5-Serie). Einen der Schlüssel werden Sie stets dabeihaben und können sich daher an jedem PC in diese Konten einloggen.
Gegenprobe auf dem Smartphone
Bild 2: Nur Sekunden, nachdem wir den YubiKey auf die Handy-Unterseite halten, sind wir eingeloggt
Quelle: PCtipp.ch
FIDO2 in der Praxis
Microsoft ist mit der Implementierung von FIDO2 schon recht weit. Loggen Sie sich zum Beispiel mit Ihrem Microsoft-Konto unter der Adresse accounts.microsoft.com ein. Oben klicken Sie auf Sicherheit und benutzen weiter unten die rechte Kachel Weitere Sicherheitsoptionen, Bild 3.
Wir wollen unsere zwei YubiKeys hinzufügen. Unter Windows Hello und Sicherheitsschlüssel finden Sie die beiden Punkte Sicherheitsschlüssel einrichten sowie Windows Hello einrichten. Hier können Sie Windows Hello konfigurieren und Ihre Sicherheitsschlüssel erfassen. Es ist empfohlen, für jeden Dienst mindestens zwei Schlüssel zu hinterlegen; natürlich können Sie jeden YubiKey für haufenweise Dienste verwenden. Zwei Schlüssel für die wichtigsten Dienste sind empfohlen, denn so haben Sie noch einen in Reserve, falls der andere mal im Büro liegen bleibt oder verloren geht. Unter dem Punkt Anmeldemethoden verwalten können Sie einen verlorenen Schlüssel entfernen oder einen neuen Schlüssel hinzufügen, Bild 4.
Das Einloggen per FIDO2 ist bequem, sofern man das richtige Gerät (den eigenen Laptop, das Smartphone oder den separaten FIDO2-Key) immer dabei hat. Aber das ist vielleicht nicht immer der Fall. Darum empfehlen wir, bei jedem Dienst auch noch eine zweite Anmeldemöglichkeit einzurichten. Dazu empfiehlt sich ein richtig starkes Passwort mit Zwei-Faktor-Authentifizierung (2FA). So können Sie sich für alltägliche Logins auf Ihren Schlüssel verlassen und sich trotzdem per Passwort und 2FA einloggen, sollte der Schlüssel gerade nicht zur Hand sein. So fragt beispielsweise Microsoft nach dem Passwort. Aber Sie können unterhalb auf Mit Sicherheitsschlüssel anmelden klicken und den Schlüssel einstöpseln, Bild 5.
Konten absichern
In vielen Diensten, die diese Art von Registrierung anbieten, gibts auch die Möglichkeit, einen Wiederherstellungs-Code zu sichern – oder gleich mehrere davon. Drucken Sie diese aus oder hinterlegen Sie diese in einer gut gesicherten Passwortdatei. Der Vorteil: Sie können sich im Verlustfall wieder bei Ihren Konten einloggen und den verlorenen Schlüssel aus diesen entfernen.
Beispiel Google
Auch Google ist in Sachen FIDO2 schon auf gutem Weg. Loggen Sie sich auf der Google-Seite mit Ihrem Google-Konto ein und surfen Sie zur Internetadresse myaccount.google.com/signinoptions/two-step-verification. Scrollen Sie ein Stück herunter. Da finden Sie übrigens auch schon die vorhin erwähnten Back-up-Codes, die Sie zum Wiederherstellen Ihres Kontos verwenden können, Bild 6.
Es schadet nichts, mal auf Codes anzeigen zu klicken, diese Codes auszudrucken und an einem sicheren Ort abzulegen. Dieser sichere Ort ist aber auf keinen Fall Ihr Smartphone, sondern ein Ordner in Ihrem Büroschrank oder ein Tresor.
Unten finden Sie den Bereich Sicherheitsschlüssel. Benutzen Sie Sicherheitsschlüssel hinzufügen. Dank FIDO2 kann ein neueres Smartphone selbst schon ein Sicherheitsschlüssel sein, den Sie für die Anmeldung an anderen Computern in Ihr Google-Konto benutzen könnten. Wenn dieses aber nicht dabei ist oder Sie gerne eine Reservevariante einrichten wollen, können Sie auch einen speziellen FIDO2-Schlüssel wie zum Beispiel einen YubiKey verwenden, der je nach Ausstattung via USB, Bluetooth, Lightning oder NFC benutzt werden kann. Wählen Sie aus, welche Sorte Hardware-Schlüssel Sie hinterlegen möchten, Bild 7.
Wir greifen hier zu USB oder Bluetooth. Stellen Sie sicher, dass Sie Ihren Schlüssel griffbereit haben, und klicken Sie im nächsten Fenster auf Weiter. Stöpseln Sie den Schlüssel an und folgen Sie den Anweisungen; die bestehen meist nur darin, kurz auf den YubiKey-Sensor zu tippen. Fertig! Da wir empfehlen, zwei Schlüssel zu registrieren, sollten Sie die Schlüssel physisch kennzeichnen, zum Beispiel mit einer Beschriftung. Übernehmen Sie diese auch in den Namen des Schlüssels. So wissen Sie eines Tages, welchen dieser Schlüssel Sie verloren haben, und können damit den richtigen wieder aus dem Konto entfernen. Sie können hier die Schlüssel anschauen und bearbeiten, Bild 8.
Sie können auch den integrierten Schlüssel/Chip Ihres Smartphones hinzufügen. Das bietet sich für Android-Nutzer ohnehin an. Aktivieren Sie hierzu auf beiden Geräten die Standortdienste und Bluetooth, dann klappt das Hinterlegen mit wenigen Klicks. Aufgepasst: Das geht nur via Google Chrome.
Soll man alles umstellen?
Wir sind schon froh, wenn die meisten Nutzer in allen möglichen Konten auf eine Zwei-Faktor-Authentifizierung umschalten. Falls Sie aber bei Gelegenheit einen Weg aus der Passworthölle suchen, sollten Sie sich mit FIDO2 befassen. Überstürzen Sie nichts, sondern loten Sie zunächst die Möglichkeiten Ihrer meistgenutzten Dienste aus. In welche müssen Sie sich öfter einloggen? Bei welchen könnte Ihnen FIDO2 Arbeit abnehmen?